Các nhà nghiên cứu ESET đã phát hiện ra rằng những kẻ tấn công đã phân phối phần mềm độc hại Plead thông qua các bộ định tuyến bị xâm nhập và các cuộc tấn công trung gian chống lại phần mềm ASUS WebStorage hợp pháp

Vào tháng 7 năm 2018 chúng tôi đã phát hiện ra rằng cửa hậu Plead được ký điện tử bằng chứng chỉ ký mã được cấp cho Tập đoàn D-Link. Gần đây, chúng tôi đã phát hiện một hoạt động mới liên quan đến cùng một phần mềm độc hại và có thể kết nối với phần mềm hợp pháp do ASUS Cloud Corporation phát triển.

Phần mềm độc hại Plead là một cửa hậu, theo Trend Micro được nhóm BlackTech sử dụng trong các cuộc tấn công nhắm mục tiêu. Nhóm BlackTech chủ yếu tập trung vào vấn đề không gian mạng ở châu Á.

Hoạt động mới được mô tả trong blogpost này được ESET phát hiện tại Đài Loan, nơi phần mềm độc hại Plead luôn được triển khai tích cực nhất.

Vào cuối tháng 4 năm 2019, các nhà nghiên cứu ESET sử dụng từ xa ESET đã quan sát nhiều nỗ lực để triển khai phần mềm độc hại Plead theo một cách khác thường. Cụ thể, cửa hậu Plead được tạo và thực hiện bởi một quy trình hợp pháp có tên AsusWSPanel.exe . Quá trình này thuộc về máy khách Windows cho dịch vụ lưu trữ đám mây có tên ASUS WebStorage. Như đã thấy trong Hình 1, tệp thực thi được ký bởi kỹ thuật số của ASUS Cloud Corporation.

Hình 1. AsusWSPanel.exe chứng chỉ ký mã

Tất cả các mẫu Plead được quan sát đều có tên tệp sau: Asus Webst Storage Upate.exe [ sic ]. Nghiên cứu của chúng tôi đã xác nhận rằng mô-đun AsusWSPanel.exe của ASUS WebStorage có thể tạo các tệp có tên tệp như vậy trong quá trình cập nhật phần mềm, như trong Hình 2.

Hình 2. Mã dịch ngược của máy khách ASUS WebStorage

Có một số giải thích có thể giải thích tại sao phần mềm hợp pháp có thể tạo và thực thi phần mềm độc hại Plead.

Chuỗi cung ứng mở ra cơ hội vô tận cho những kẻ tấn công lén lút thỏa hiệp một số lượng lớn các mục tiêu cùng một lúc: đó là lý do tại sao số vụ tấn công chuỗi cung ứng đang gia tăng. Trong những năm gần đây, các nhà nghiên cứu ESET đã phân tích các trường hợp như MEDoc Elmedia Player VestaCP Statcount .

Đối với các nhà nghiên cứu phần mềm độc hại, nó không phải lúc nào cũng dễ dàng phát hiện và xác nhận một cuộc tấn công chuỗi cung ứng cụ thể; đôi khi không có đủ bằng chứng để chứng minh điều đó.

Khi chúng tôi nghĩ về khả năng tấn công chuỗi cung ứng ASUS WebStorage, chúng tôi nên tính đến các điểm sau:

  • Các nhị phân ASUS WebStorage hợp pháp được phân phối thông qua cùng một cơ chế cập nhật
  • Hiện tại, chúng tôi không biết rằng các máy chủ ASUS WebStorage được sử dụng làm máy chủ C & C hoặc đã phục vụ các tệp nhị phân độc hại
  • Những kẻ tấn công đã sử dụng các tệp phần mềm độc hại thay vì kết hợp chức năng độc hại bên trong phần mềm hợp pháp

Do đó, chúng tôi coi giả thuyết về một cuộc tấn công chuỗi cung ứng có thể là một kịch bản ít khả năng hơn; tuy nhiên, chúng ta có thể giảm giá hoàn toàn cho nó.

Phần mềm ASUS WebStorage dễ bị tấn công tấn công trung gian (MitM). Cụ thể, bản cập nhật phần mềm được yêu cầu và chuyển bằng HTTP; Sau khi bản cập nhật được tải xuống và sẵn sàng để thực thi, phần mềm sẽ không xác thực tính xác thực của nó trước khi thực hiện. Do đó, nếu quá trình cập nhật bị chặn bởi những kẻ tấn công, họ có thể đẩy một bản cập nhật độc hại.

Các nhà nghiên cứu ESET đã quen thuộc với các trường hợp khi phần mềm độc hại được phân phối bằng cách sử dụng một cuộc tấn công MitM ở cấp độ ISP, chẳng hạn như FinFisher StrongPity2 và [Turntrườnghợp

Theo nghiên cứu của Trend Micro những kẻ tấn công đằng sau phần mềm độc hại Plead đang xâm phạm các bộ định tuyến dễ bị tổn thương và thậm chí sử dụng chúng làm máy chủ C & C cho phần mềm độc hại.

Cuộc điều tra của chúng tôi đã phát hiện ra rằng hầu hết các tổ chức bị ảnh hưởng đều có bộ định tuyến được thực hiện bởi cùng một nhà sản xuất; hơn nữa, bảng quản trị của các bộ định tuyến này có thể truy cập từ internet. Do đó, chúng tôi tin rằng một cuộc tấn công MitM ở cấp bộ định tuyến là kịch bản có thể xảy ra nhất.

Như đã đề cập ở trên, phần mềm ASUS WebStorage yêu cầu cập nhật bằng HTTP. Cụ thể, nó sẽ gửi một yêu cầu đến máy chủ update.asuswebst Storage.com để gửi câu trả lời lại ở định dạng XML. Các yếu tố quan trọng nhất trong phản hồi XML là hướng dẫn và liên kết . Phần tử hướng dẫn chứa phiên bản hiện có sẵn; phần tử liên kết chứa URL tải xuống được sử dụng để cập nhật. Quá trình cập nhật rất đơn giản: phần mềm kiểm tra xem phiên bản đã cài đặt có cũ hơn phiên bản mới nhất hay không; nếu vậy, thì nó yêu cầu một tệp nhị phân sử dụng URL được cung cấp, như trong Hình 3.

Hình 3. Một giao tiếp hợp pháp trong quá trình kiểm tra cập nhật phần mềm ASUS WebStorage

Do đó, những kẻ tấn công có thể kích hoạt cập nhật bằng cách thay thế hai yếu tố này bằng dữ liệu của riêng chúng. Đây là kịch bản chính xác mà chúng tôi thực sự quan sát thấy trong tự nhiên. Như được hiển thị trong Hình 4, những kẻ tấn công đã chèn một URL mới, trỏ đến một tệp độc hại tại một miền gov.tw bị xâm nhập.

Hình 4. Một giao tiếp bị bắt trong bản cập nhật độc hại của phần mềm ASUS WebStorage

Hình minh họa trong Hình 5 cho thấy kịch bản rất có thể được sử dụng để phân phối tải trọng độc hại cho các mục tiêu thông qua các bộ định tuyến bị xâm nhập.

Hình 5. Kịch bản tấn công trung gian

Mẫu Plead được triển khai là một trình tải xuống giai đoạn đầu tiên. Sau khi được thực thi, nó tải xuống tệp fav.ico từ một máy chủ, có tên bắt chước máy chủ ASUS WebStorage chính thức: update.asuswebst Storage.com.ssmailer [.] com

Tệp đã tải xuống chứa hình ảnh ở định dạng PNG và dữ liệu được sử dụng bởi phần mềm độc hại, được đặt ngay sau dữ liệu PNG. Hình 6 mô tả chuỗi byte cụ thể (byte điều khiển) mà phần mềm độc hại tìm kiếm và sau đó nó sử dụng 512 byte tiếp theo làm khóa mã hóa RC4 để giải mã phần còn lại của dữ liệu.

Hình 6. Dữ liệu được sử dụng bởi phần mềm độc hại Plead trong tệp PNG đã tải xuống

Dữ liệu được giải mã chứa tệp nhị phân Windows PE, có thể được loại bỏ và thực thi bằng một trong các tên tệp và đường dẫn tuyệt đối:

  • % APPDATA% Microsoft Windows Start Menu Programs Startup slui.exe
  • % APPDATA% Microsoft Windows Start Menu Programs Startup ctfmon.exe
  • % TEMP% DEV [4_random_chars] .TMP

Bằng cách tự ghi vào thư mục khởi động Menu bắt đầu, phần mềm độc hại sẽ tồn tại lâu – nó sẽ được tải mỗi khi người dùng hiện tại đăng nhập vào hệ thống.

Trình thực thi bị rớt là trình tải giai đoạn hai, với mục đích là giải mã shellcode từ tài nguyên PE của nó và thực thi nó trong bộ nhớ. Shellcode này tải một DLL giai đoạn thứ ba, với mục đích là lấy một mô-đun bổ sung từ máy chủ C & C và thực hiện nó. DLL và mô-đun tải xuống giai đoạn thứ ba được phân tích kỹ lưỡng bởi JPCERT và được xuất bản vào năm blogpost của họ (được gọi là ở đó là TSCookie trộm).

Những kẻ tấn công liên tục tìm kiếm những cách mới để phát tán phần mềm độc hại của chúng theo cách lén lút hơn. Chúng tôi thấy rằng các cuộc tấn công chuỗi cung ứng và trung gian được sử dụng ngày càng thường xuyên hơn bởi những kẻ tấn công khác nhau trên toàn cầu.

Đây là lý do tại sao nó rất quan trọng đối với các nhà phát triển phần mềm không chỉ giám sát kỹ lưỡng môi trường của họ để có thể xâm nhập mà còn thực hiện các cơ chế cập nhật thích hợp trong các sản phẩm của họ có khả năng chống lại các cuộc tấn công MitM.

Các nhà nghiên cứu ESET đã thông báo cho ASUS Cloud Corporation trước khi xuất bản này.

Đối với bất kỳ yêu cầu nào, hoặc để gửi mẫu liên quan đến chủ đề này, vui lòng liên hệ với chúng tôi tại địa chỉ đe dọ[email protected] .

Tên phát hiện ESET
Win32 / Plead.AP trojan
Win32 / Plead.AC trojan
Mẫu thử (SHA-1)
77F785613AAA41E4BF5D8702D8DFBD315E784F3E
322719458BC5DFFEC99C9EF96B2E84397285CD73
F597B3130E26F184028B1BA6B624CF2E2DECAA67
Máy chủ C & C
update.asuswebst Storage.com.ssmailer [.] com
www.google.com.dns-báo cáo [.] com

cơ chế cập nhật trong phần mềm ASUS WebStorage để triển khai phần mềm độc hại Plead trong một số mạng.

]

Chiến thuật ID Tên Mô tả
Thi hành T1203 Khai thác để thực thi khách hàng
Sự tồn tại T1060 Đăng ký khóa chạy / thư mục khởi động thư mục khởi động của Menu bắt đầu.
Evasion Defense T1116 Ký mã số Một số mẫu phần mềm độc hại Plead
Evasion Defense T1027 Các tập tin hoặc thông tin bị xáo trộn
Truy cập thông tin xác thực T1081 Thông tin xác thực trong các tệp tin BlackTech có thể triển khai mô-đun trình duyệt và email khách hàng.
Discovery T1083 Khám phá tệp và thư mục Phần mềm độc hại cho phép kẻ tấn công lấy được danh sách các tệp.
Discovery T1057 Discovery Discovery Phần mềm độc hại cho phép kẻ tấn công có được danh sách các quy trình đang chạy hệ thống.
Chỉ huy và kiểm soát T1105 Sao chép tệp từ xa Phần mềm độc hại cho phép kẻ tấn công tải lên và tải xuống các tệp từ C & C của nó.
Chỉ huy và kiểm soát T1071 Giao thức lớp ứng dụng tiêu chuẩn Nhận phần mềm độc hại sử dụng HTTP để liên lạc với C & C
Exfiltration T1041 Exfiltration Over Command and Control Channel với máy chủ C & C.





nguon http://feedproxy.google.com/~r/eset/blog/~3/d9qGlYS175Y/

Source link

Đưa ra một phản hồi

Vui lòng nhập bình luận của bạn!
Vui lòng nhập tên của bạn ở đây