欢迎访问本站!

首页科技正文

usdt无需实名买入卖出(www.caibao.it):使用RMS和TeamViewer对工业企业的APT攻击

admin2021-01-1631技术

0x01 基本概述

· 从2018年到至少2020年秋季初,攻击者发送了包罗恶意软件的网络钓鱼电子邮件。

· 攻击利用了社工手艺和正当文件,例如备忘录和装备使用说明书或其他工业信息的文件,这些文件已从受攻击的公司或其营业合作同伴那里被窃取。

· 攻击使用远程管理程序。这些程序的图形用户界面被恶意软件隐藏,使攻击者可以在用户不知情的情形下控制受熏染的系统。

· 在新版本的恶意软件中,攻击者更改了熏染新系统后使用的通知渠道:他们使用RMS远程管理程序的云基础结构的Web界面,而不是恶意软件的下令和控制服务器。

· 从受攻击的组织中窃取资金仍然是攻击者的主要目的。

· 在连续的攻击历程中,网络罪犯使用特工软件和Mimikatz程序来窃取身份验证凭证,这些凭证随后用于熏染企业网络上的其他系统。

0x02 手艺剖析

我们在之前的讲述“使用RMS和TeamViewer对工业企业的攻击”中形貌了这一系列攻击的手艺细节,在本文档中,我们仅列出了攻击的主要阶段,并形貌了攻击者的计谋和工具集。

https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer/87104/

1.钓鱼攻击

在大多数情形下,此攻击中使用的网络钓鱼电子邮件会伪装成组织之间的营业往来邮件。详细来说,攻击者代表大型工业公司发送索赔信。

网络钓鱼电子邮件伪装成索赔信

在较早的攻击系列中,攻击者使用的发件人电子邮件地址的域名与该组织的钓鱼电子邮件所代表的组织的官方网站地址相似。现在,他们使用公共电子邮件服务发送网络钓鱼电子邮件,而且使用另一种手艺来误导邮件收件人并说服他们打开恶意附件:他们假装成是真实的营业合作同伴或代表受攻击的公司的真实子公司,而且请收件人在电子邮件中指定的停止日期之前查看随附的文件,在采购招标邻近结束时注释请求,可能的处罚或需要尽快查看装备设置数据。

还应强调的是,网络钓鱼电子邮件是针对受攻击的每个特定公司单独制作的。电子邮件文本中提到了被攻击公司的名称,以及攻击者用作附件的文件(在下面提供了文件说明)这一事实证明了这一点。在较早发现的某些情形下,攻击者还用收件人的全名称谓收件人。

代表承包商发送的网络钓鱼电子邮件

网络钓鱼电子邮件中使用的附件是受密码保护的存档,邮件正文中提供了密码。攻击者通过参考邮件正文中的机密性说明来注释这种发送信息的方式,但现实上,密码保护可防止使用防病毒工具扫描存档中存储的文件。

2.恶意软件功效

网络钓鱼电子邮件的存档包罗一些恶意的经由混淆处置的JS剧本,这些剧本具有相同的功效,但由于使用了差别的代码混淆手艺,因此它们的结构略有差别,剧本名称通常伪装成文档名称。

若是用户运行这些剧本之一,则将解压缩并打开两个文件:一个为HEUR:Backdoor.Win32.Generic的恶意程序,以及一个正当的PDF文件。网络钓鱼电子邮件中的某些JS剧本会从远程服务器下载这些文件。

在早期的攻击中,为确保用户对新闻正文中所提到的文档不疑惑,并涣散用户的注重力,攻击者打开了损坏的PDF文档或图像,或启动了正当的软件安装程序。

恶意软件在较早的攻击中打开的图像

在厥后的攻击中,攻击者最先使用与被攻击组织的事情领域相关的现实文档。文档看起来像是由营业同伴甚至受攻击的组织自己建立的文档。详细来说,攻击中使用的文档包罗备忘录的扫描副本,给子公司和承包商的信以及显然是较早之前被盗的采购文档表格。

攻击者使用的包罗子公司说明的PDF文档

稀奇令人感兴趣的事实是,在某些情形下,攻击者使用了包罗工业装备设置数据和其他与工业历程有关的信息的文档。

详细而言,已使用DIGSI应用程序的截图,该应用程序用于设置西门子制造的继电器系统。

DIGSI软件截图1

电力设施(例如变电站)使用DIGSI来设置其继电保护系统。

DIGSI软件截图2

中继系统的设置矩阵的快照,设定值列表

在攻击者使用的文档中,我们还找到了带有变压器示波图的截图:

矢量图和波形图

值得注重的是,最后的截图显示了事故发生时系统的示波图。

具有此类截图的网络钓鱼电子邮件并不要求实行附件文档中显示的设置。在安装恶意软件时,攻击者很可能使用带有上述截图的文档来涣散职员的注重力。由于上述数据可以为继电保护专家提供有关该设施使用的尺度设置的信息,因此,攻击者可以使用此类快照这一事实值得关注。

然后,JS剧本启动恶意软件,该恶意软件将安装TeamViewer的一个版本,该版本是由攻击者修改的远程管理工具(RAT)。与早期攻击一样,攻击者使用恶意DLL库隐藏图形用户界面,以便在用户不知情的情形下控制受熏染的系统。

若是需要网络其他信息,则攻击者会下载专门为每个受害者选择的另一组恶意软件。这可能是特工软件,旨在网络种种程序和服务的凭证,包罗电子邮件客户端,浏览器,SSH / FTP / Telnet客户端,以及纪录按键和截图。在某些情形下,Mimikatz程序用于网络在受熏染系统上输入的Windows帐户的帐户凭证。使用Mimikatz会带来稀奇的危险,由于它可以使攻击者接见企业网络上的大量系统。

在大多数情形下,攻击者将恶意软件组件伪装为Windows组件,以隐藏系统上恶意流动的痕迹。

3.攻击链剖析

在剖析一系列新的攻击时,我们注重到了两种结构与早期攻击中所用的差别。

首先,攻击者在系统熏染阶段使用伪装成现有俄语公司网站的资源来存储由恶意JS剧本下载的文件。

第二个更主要的区别是,攻击者在与受熏染系统的通讯中不再使用恶意软件的下令和控制服务器。

使用这种类型的攻击的恶意软件下令和控制服务器的主要缘故原由是,需要在TeamViewer系统中获取受熏染机械的ID。攻击者已经有了他们需要的其他信息(毗邻所需的密码在特殊的设置文件中提供)。在新的系列攻击中,攻击者使用RMS远程管理系统的正当基础结构发送了受熏染盘算机的TeamViewer ID。

之所以可以这样做是由于RMS远程管理软件有专用的Web服务,该服务旨在通知管理员远程系统上已安装RMS分发程序包。要发送通知,RMS服务器会在邮件正文中天生一封电子邮件,其中包罗RMS系统中的盘算机ID。对于要天生的新闻,RMS客户端将HTTP POST请求发送到专用网页就足够了,并提供以下数据:产品名称,系统中使用的语言包的ID,用户名,盘算机名,通知应发送到的电子邮件地址,以及在安装程序后分配的RMS系统中的盘算机ID。

攻击链

Web服务的基本机制包罗一个破绽:它不使用任何类型的授权历程。卖力隐藏TeamViewer图形界面的恶意DLL包罗用于将上述请求发送到RMS服务器的代码。然则,它在TeamViewer系统中发送了盘算机的ID,而不是RMS系统中发送了其ID。TeamViewer系统中的ID长度与RMS系统中的ID长度差别;然则,由于没有验证HTTP POST请求中发送到服务器的字段的内容,因此,有关新熏染盘算机的信息的通知新闻已乐成通报到攻击者的地址。

0x03  受害者剖析

,

usdt跑分平台

菜包钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜包Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

如上所述,受攻击的系统绝大多数是俄罗斯的工业企业,代表了各个经济领域。我们发现了来自以下行业的公司受到的攻击:

· 制造业

· 油和气

· 金属工业

· 工程

· 能源

· 工程

· 矿业

· 后勤保障

因此,这不是针对特定行业的攻击的情形。然则,由于攻击中使用的大多数正当文件都来自能源部门,因此可以假定攻击者对该部门稀奇感兴趣。

0x04 剖析总结

我们笃信,这些攻击背后是一个俄语整体。

我们之前的讲述“使用RMS和TeamViewer对工业企业的攻击”中提供了支持该理论的证据。

还要注重,在剖析恶意DLL的新版本的历程中识别出的用于将请求发送到RMS服务器的代码包罗用于操作系统俄语版本的语言ID。

凭据现有信息,罪犯的主要目的是从受害者组织的账户中窃取款项。这意味着攻击者必须对财政事情流有很好的领会,由于财政事情流在某些方面因国家而异,而且支持适当的现金提取基础结构。

该组织没有使用任何庞大的计谋或手艺,而是经心准备了每种攻击,并熟练地使用了社会工程学手艺以及从其他犯罪集团发动的攻击中已知的手艺。

我们以为,该小组包罗卖力熏染受害者系统的手艺方面的职员,以及卖力财政运作的职员,即卖力从受害者的受害者中窃取款项的职员。

攻击者继续使用相对简朴的手艺乐成攻击工业企业,然则其方式正在不断发展。为了说服用户使用网络钓鱼电子邮件的正当性,犯罪分子已最先使用在早期攻击中被盗的文件。值得注重的是,一些用于此目的的文档包罗有关工业装备设置和工业历程参数的信息。这是信赖这些攻击专门针对工业企业的又一个缘故原由。

攻击的主要手艺转变是,攻击者放弃了数据网络和传输中最易受攻击的阶段,即恶意软件下令和控制服务器,可以由托管提供商断开毗邻或由信息平安系统阻止。相反,新的系统熏染通知是通过RMS远程管理实用程序的云基础结构的正当Web界面通报的。伪装成现有组织正当网站的资源用于存储恶意软件样本。

从受熏染的系统最先,攻击者就可以完全控制它。从组织帐户中窃取资金仍然是其主要目的。当攻击者毗邻到受害者的盘算机时,他们会寻找财政和会计软件。此外,他们查找和剖析与采购有关的会计凭证,并细读企业员工的电子邮件通讯。之后,攻击者会寻找种种方式举行财政敲诈。我们以为,犯罪分子能够取代用来支付发票的银行详细信息。

显然,攻击者对受熏染系统的远程接见还带来了其他威胁,例如组织的敏感数据被泄露,系统无法运行等。如最新事宜所示,攻击者使用了可能是从组织窃取的文档举行后续攻击,包罗对受害者公司合作同伴的攻击。

0x05  IOCs

文件hashs(恶意文档,恶意软件,电子邮件等)

· 386a1594a0add346b8fbbebcf1547e77

· 203e341cf850d7a05e44fafc628aeaf1

· 3b79aacdc33593e8c8f560e4ab1c02c6

· ea1440202beb02cbb49b5bef1ec013c0

· 1091941264757dc7e3da0a086f69e4bb

· 72f206e3a281248a3d5ca0b2c5208f5f

· da4dff233ffbac362fee3ae08c4efa53

· d768a65335e6ca715ab5ceb487f6862f

· 9219e22809a1dff78aac5fff7c80933c

· 86e14db0bcf5654a01c1b000d75b0324

样本名称

· Акт.js

· Запрос 17782-09-1.js

· Перечень документов.js

· спецификация на оборудование xls.js

· tv.dll

· tv.ini

系统上安装的某些恶意软件模块具有随机天生的名称,这些名称遵照特定花样。以下正则表达式可用于搜索此类文件:

%TEMP%\[a-z]{2,3}[0-9]{2}.exe

这些文件保存在临时文件目录(%TEMP%)中。文件名的第一部分由两个或三个罗马字符组成;第二个是两位数,后跟扩展名.exe

Domains 和 IPs

· timkasprot.temp.swtest[.]ru (RemoteAdmin.Win32.RemoteManipulator.vpj)

· 77.222.56[.]169 (RemoteAdmin.Win32.RemoteManipulator.vpj)

· z-wavehome[.]ru (RemoteAdmin.Win32.RemoteManipulator.vpj)

· dncars[.]ru (RemoteAdmin.Win32.RemoteManipulator.vpj)

Yara 规则

rule TeamViewer_ver6_and_lower {
meta:
    description = "Rule to detect TeamViewer ver 6.0 and lower"  
    hash = "4f926252e22afa85e5da7f83158db20f"
    hash = "8191265c6423773d0e60c88f6ecc0e38"
    version = "1.1"    
condition:
                uint16(0) == 0x5A4D and 
                pe.version_info["CompanyName"] contains "TeamViewer" and 
                (pe.version_info["ProductVersion"] contains "6.0" or
                pe.version_info["ProductVersion"] contains "5.1" or
                pe.version_info["ProductVersion"] contains "5.0" or
                pe.version_info["ProductVersion"] contains "4.1" or
                pe.version_info["ProductVersion"] contains "4.0" or
                pe.version_info["ProductVersion"] contains "3.6" or
                pe.version_info["ProductVersion"] contains "3.5" or
                pe.version_info["ProductVersion"] contains "3.4" or
                pe.version_info["ProductVersion"] contains "3.3" or
                pe.version_info["ProductVersion"] contains "3.2" or
                pe.version_info["ProductVersion"] contains "3.1" or
                pe.version_info["ProductVersion"] contains "3.0")
}

攻击者使用TeamViewer客户端的过时版本,该版本包罗破绽,使他们能够隐藏程序的图形界面。此YARA规则可用于确定系统上是否安装了TeamViewer软件的旧版本。检查找到的任何此类软件是否已正当安装是一项首要任务。

若是标识了正当使用的TeamViewer客户端的旧版本的实例,则建议将相关软件更新为最新版本。

注册表项

· Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\rundll32 Value: rundll32.exe shell32.dll,ShellExec_RunDLL “%AppData%\Roaming\TeamViewer\5\TeamViewer.exe”

· Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\CCFTray Value: rundll32.exe shell32.dll,ShellExec_RunDLL “%temp%\TeamViewer.exe”

本文翻译自:https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer-new-data/99206/

网友评论