Pada awal Februari, Parlemen Australia menghadapi serangan dunia maya yang ditargetkan. Menurut berita BBC, Perdana Menteri Australia Morrison mengklaim bahwa peretas telah mencoba menyerang sistem jaringan parlemen Australia dan diam-diam bersembunyi di jaringan Partai Koalisi yang berkuasa dan Partai Buruh oposisi beberapa bulan sebelum pemilihan federal nasional. Untungnya, Australia Pusat Keamanan Cyber Australia (ACSC) segera menahan dan mencegah serangan. Selain itu, Australian Bureau of Signals (ASD) yang bertanggung jawab atas keamanan informasi akan menyelidiki serangan tersebut bersama dengan Department of Parliamentary Affairs (DPS).
Pernyataan Perdana Menteri Australia menunjukkan bahwa penyerang di balik serangan itu adalah organisasi peretasan APT yang didukung negara yang aktif di kawasan Asia-Pasifik. Namun, tidak memberikan arahan yang jelas dalam pernyataan resmi, juga tidak merilis bukti apa pun terkait dengan organisasi peretasan. Hanya saja Australian Cyber Security Center (ACSC) mengumumkan beberapa contoh program jahat yang digunakan oleh peretas dalam serangan dunia maya ini. Untuk alasan ini, perusahaan keamanan Cybaze-Yoroi bermaksud memulai dari sini untuk menganalisis beberapa kemampuan, karakteristik, dan metode serangan organisasi peretas APT .
analisis teknis
Menurut analisis, semua sampel yang diberikan adalah prosedur tahap pasca-penetrasi dan penggunaan, dan penyerang menggunakan program jahat ini untuk mencapai kebocoran data dan penetrasi lateral. Selain itu, program berbahaya ini tidak termasuk dalam kerangka kerja sumber terbuka seperti Metasploit atau Empire, tetapi sepenuhnya disesuaikan dan dikembangkan berdasarkan C # dan .NET.
DLL LazyCat
Hal pertama yang kami lihat adalah sampel berlabel LazyCat di komunitas keamanan, yang merupakan bagian dari alat dalam rangkaian pengujian penetrasi Mimikatz.
Dapat dilihat dari analisis statis bahwa pustaka yang terlibat dalam sampel LazyCat adalah arsitektur .NET tanpa kebingungan pengkodean, sehingga bentuk kode sumbernya dapat dengan mudah diubah:
Seperti yang dapat dilihat dari kode di atas, fungsi DumpMemory memantau dan mengumpulkan konten memori proses apa pun dengan menggunakan metode MiniDumpWriteDump milik pustaka DbgHelp, dan hasil eksekusinya akan disimpan dalam file bernama dengan parameter "Output":
Selain itu, sampel juga dapat memulai layanan yang disebut "TcpRelay". Tujuannya mungkin untuk menetapkan rute antara penyerang dan jaringan korban untuk penetrasi horizontal berikutnya. Fungsi StartTcpRelay adalah sebagai berikut:
Melihat lebih dekat pada kode sumber, kita dapat melihat modul khusus bernama "RottenPotato", yang berisi banyak fungsi menarik, seperti "findNTLMBytes" dan "HandleMessageAuth" yang terkait dengan tahap pasca-penetrasi di lingkungan MS Windows. Setelah analisis korelasi, ditemukan bahwa modul tersebut berasal dari kerangka serangan open source di GitHub-https: //github.com/foxglovesec/RottenPotato. Fungsi findNTLMBytes adalah sebagai berikut:
Melalui analisis perbandingan perbedaan, ditemukan bahwa modul RottenPoteto berbahaya di sini memiliki lebih banyak metode dan fungsi daripada RottenPoteto asli di GitHub. Terlihat bahwa penyerang telah mempersenjatai RottenPotet open source untuk memenuhi tujuan mereka sendiri. Aplikasi yang dimodifikasi dari alat sumber terbuka ini meningkatkan kesulitan ketertelusuran dan atribusi dalam penyelidikan dan pengumpulan bukti. Program jahat LazyCat juga telah menyiapkan modul pembersihan jejak khusus "LogEraser":
Fungsi metode utama dalam modul "LogEraser" adalah "RemoveETWLog". Fungsinya untuk menghapus file jejak log peristiwa (ETW) di bawah sistem Windows untuk membersihkan lingkungan serangan. Berikut ini adalah kode untuk menghapus file ETW di sistem Windows:
Seperti yang dapat dilihat dari kode pada gambar di atas, program jahat akan memeriksa semua catatan yang terkait dengan log Windows, dan jika ID catatan cocok dengan ID tertentu, itu akan menghapusnya.
Selama analisis kami, sampel berbahaya mungkin memiliki tingkat deteksi rendah hingga menengah karena penggunaan kode sumber terbuka. Berikut adalah hasil dari VirusTotal:
Sampel DLL Powerkatz
Program Powerkatz ini memiliki dua sampel, yang propertinya adalah sebagai berikut:
Meskipun nilai HASH dari dua sampel DLL berbeda, fungsi mereka pada dasarnya sama.Penyerang hanya sedikit memodifikasi beberapa string dan nama variabel untuk menghindari pembunuhan. Hanya ada sedikit perbedaan antara kedua sampel, dan keduanya memiliki fungsi keseluruhan yang efektif. Perbandingan sampel ditunjukkan pada gambar di bawah ini:
Kode sumber dekompilasi kelas utama dari kedua sampel juga menunjukkan fungsi yang sama. Misalnya, dari perbandingan kelas AsyncTask dari dua sampel, pada dasarnya memiliki fitur yang sama. Oleh karena itu, kita akan memperlakukannya sebagai salah satu berikut ini. Sampel.
Sampel ini terdiri dari beberapa kelas dan fungsi. Kita dapat menggunakan fungsi "StartNew" sebagai titik masuk analisis. Seperti namanya, seperti namanya, fungsi ini dapat memulai tugas asinkron baru di sistem korban dan memperlakukan _app sebagai objek tugas Pengoperan parameter. Setelah tugas asinkron dimulai, fungsi akan menunggu tugas selesai dengan siklus tidur yang berulang 1 detik (1000ms), lalu mengembalikan kode status yang valid ke pemanggilan fungsi. Modul contoh ini dapat digunakan bersama dengan implan berbahaya lainnya untuk secara diam-diam melakukan tugas di latar belakang. Berikut ini adalah kode fungsi StartNew:
Meskipun nama sampelnya sama dengan alat Powershell https://github.com/digipenguin/powerkatz di Github, kode keduanya sama sekali berbeda. Mirip dengan sampel sebelumnya, tingkat deteksi sampel ini pada VirusTotal tidak terlalu tinggi, 28/70, sebagai berikut:
Modul deteksi serangan (Recon Module)
Properti sampel pemindaian port dalam program modul ini adalah sebagai berikut:
Mirip dengan contoh sebelumnya, contoh ini juga ditulis dalam C #, dan pada dasarnya mengandung dua kelas utama, "PortScanner" dan "ReconCommonFuncs". Melalui contoh ini, program implan penyerang dapat melakukan langkah berikutnya. Dua kategori utama sampel:
Dari kode yang direfleksikan, pada kenyataannya, array integer dibangun ke dalam fungsi "portScan", yang berisi serangkaian port jaringan umum, mencakup layanan jaringan lokal utama, seperti HTTP, TELNET, RDP, POP, IMAP, SSH, SQL ... dll. sebagai berikut:
Untuk setiap port yang dideklarasikan dalam fungsi "portScan", sampel akan melakukan pemindaian TCP yang mencoba untuk terhubung. Jika koneksi berhasil, ini membuktikan bahwa layanan dan port terkait dibuka, dan kemudian informasi spanduk layanan yang mengembalikan respons akan disimpan dalam objek bernama "StringBuilder". Program sampel akan menghubungkan respons dari semua port yang dipindai, dan akhirnya menuliskannya ke dalam file yang ditentukan dengan kelas "ReconCommonFuncs". Berikut ini adalah kode khusus untuk melakukan pemindaian port:
Berikut ini adalah TcpClient yang memanggil C # dalam sampel untuk melakukan pemindaian:
Di kelas "ReconCommonFuncs", beberapa fungsi yang berguna disediakan, seperti "Append" dan "GZipAndBase64". Maksud dari fungsi ini sekilas sudah jelas. Berikut ini adalah fungsi yang termasuk dalam kelas "ReconCommonFuncs":
Klien Powershell (Agen)
Atribut utama sampel adalah sebagai berikut:
Nama sampelnya adalah "OfficeCommu.dll". Penyerang mungkin ingin mengacaukannya dengan modul komunikasi Office normal, yang tersedia di sebagian besar sistem Windows. Selain itu, sampelnya adalah program aplikasi yang digunakan dalam tahap pasca-penetrasi. Tujuannya adalah untuk membuat klien Powershell (Agen Powershell), yang digunakan sebagai komponen implan penyerang untuk mengurai skrip dan menjalankan perintah Powershell. Berikut ini adalah kode fungsi utama klien Powershell:
Untuk menyimpulkan
Dari hasil analisis, penyerang memilih pendekatan multi-modul untuk mengembangkan alat intrusi jaringan mereka sendiri, dan menggunakan fungsi tertentu di ekosistem perpustakaan untuk merangkum serangan yang mendalam dan mengganggu, berhasil menerapkan program jahat yang kompleks. Mencangkok.
Meskipun fungsi dan pustaka yang digunakan ini tidak memiliki eksploitasi 0day dan teknologi terkait, dan dari sampel program jahat yang disediakan oleh Parlemen Australia, tingkat pendeteksiannya relatif tinggi, tetapi juga menunjukkan bahwa penyerang cenderung menggunakan alat sumber terbuka. Pengemasan dan pemanfaatan, dan kemudian pengembangan disesuaikan sekunder dari alat intrusi, di satu sisi dapat mempersingkat "waktu ke pasar" dari program intrusi, dan tidak akan mempengaruhi efektivitas dan bahaya sumber daya. Pengembangan pengemasan sekunder semacam ini dari teknologi yang dikenal juga dapat melewati anti-perangkat lunak tertentu sampai batas tertentu, menerobos batas keamanan tradisional, dan mewujudkan implantasi tersembunyi.
IOC-hash
1c113dce265e4d744245a7c55dadc80199ae972a9e0ecbd0c5ced57067cf755b
08a85f5fe8714b4842180c12c4d192bd186500af01ee39825f6d5100a2019ebc
a95c9fe29a8ae0f618536fdf4874ede5412281e8dfb380bf1370a8d8794f787a
b63ae455f3deaca297b616dd3356063112cfda6e6c5434c407781461ae69361f
1087a214ebe61ded9f61de81999868f399a1105188467e4e44182c02ee264a19
* Sumber referensi: yoroi, dikompilasi oleh awan, tunjukkan bahwa ini berasal dari FreeBuf.COM
- "Captain Marvel" orang gila yang mencurigakan dikritik! Rotten Tomatoes tidak akan lagi memublikasikan indeks "ingin melihat"!
- Tidaklah cukup hanya mengetahui bahwa China memiliki hip-hop. Tahukah Anda 88rising, saluran terkuat dari Rich Chigga?
- Perguruan tinggi yang disebut "perguruan tinggi" tidak mengalir? Keenam perguruan tinggi ini lebih sulit untuk dilalui daripada universitas biasa!
- Film blockbuster pencerahan fiksi ilmiah masa kecil Anda, pernahkah Anda melihat makhluk alien "Men in Black" ini?