最近，在回忆一些 *** 反常的时分，咱们发现了Cold River，一个歹意运用DNS地道作为C&C通讯的进犯安排。现在，咱们现已能够解密受害者与进犯者的通讯流量，也发现了进犯中运用的杂乱钓饵文档，这让咱们联想到了其他曾经不知道的样本，并发现了进犯者运用的很多根底设施。 这次举动首要针对中东安排，尤其是黎巴嫩和 *** 联合酋长国，此外，和这些中东国家关系密切的印度和加拿大公司也成为了进犯方针。 这次进犯中运用了新的TTP –例如Agent_Drable歹意程序运用Django结构来建立C2服务器，其技术细节会在后边的博客中发表。 咱们不确认这次举动背面是否有其他安排的推进，但这次（举动）运用了曾经没有被发现的东西，咱们估测其运用的栽培程序中发现的硬编码字符串”Agent_Drable”是一种从右到左的言语，它学习了2007年黎巴嫩戎行在“Nahr Elbard”巴勒斯坦收容所发作的抵触，该阵营是”Nahr el bared”的音译，而”Nahr Elbard”的英文翻译则是”Cold River”。 简略来说，“Cold River”是一个杂乱的进犯安排，运用了DNS子域绑架、证书诈骗、荫蔽的C2通道，具诈骗性的钓饵文档和之前不知道的投递木马发起进犯。 歹意doc文档dropper 咱们发现了两个歹意文档，两者差异仅在于钓饵内容：具有相同的VBA宏和payload，但之一个是带有歹意的空白文档（图1）。 图1：空文档截图 第二个则是来自SUNCOR公司的合法人力资源文档，里边添加了歹意payload和VBA宏（图2）。 图2：来自SUNCOR公司的文档截图 在搜集有关回调域0ffice36o[.]com的开源情报时，咱们又发现了来自Twitter的潜在相关文档（参见图3），尽管不包括相同的payload，但这个Twitter帐户用户或许附加了过错的文档。 图3：第三个文档的引证推文 表1中列出的时刻戳好像证明了Suncor文档是带payload的合法文档的假定，由于创立日期满足长，最终一次保存和进犯的时刻规模也相匹配。空文档很或许是用于测验宏或在与Suncor无关的环境中投递payload的。 SHA1 描述 创造时刻 最终保存时刻 1f007ab17b62cca88a5681f02089ab33adc10eec Empty doc 2019-10-05 07:10:00 2019-10-15 02:59:00 9ea865e000e3e15cec15efc466801bb181ba40a1 Suncor decoy 2012-06-07 18:25:00 2019-10-15 22:22:00 表1: Malicious documents and related metadata. 有关文档及其有用负载的时刻表，可参阅图4。 行为剖析 关于VBA宏，很根底但十分有用。宏分为两个部分，一个在文档翻开时履行，另一个在文档封闭时履行。实践payload不直接存储在VBA代码中，而是隐藏在文档中的表单里。 翻开Suncor文档时，用户有必要启用宏履行才干查看实践内容。也就是说答应宏履行关于一般的用户来说是合理的。仅有发生混杂的当地是运用了字符串衔接，例如“t”和“mp”，“Microsoft.XML”和“DOM”，“userp”和“rofile”等。 歹意宏包括一些根本的反沙箱代码，运用API Application.MouseAvailable查看核算机上是否有鼠标可用。总的来说，宏的逻辑如下： 文档翻开时： 1）查看Environ(“userprofile”).oracleServicessvshost_serv.exe是否存在 假如存在就退出；不存在则持续操作 2）假如Environ(“userprofile”).oracleServices不存在，则创立目录 3）读取UserForm1.Label1.Caption中存储的base64编码payload 4）解码并写进Environ(“userprofile”).oracleServicessvshost_serv.doc。 5）显现文档 文档封闭时： 1）把”svshost_serv.doc”重命名为”svshost_serv.exe” 2）创立一个命名为”chrome updater”的每分钟履行EXE文件的计划任务 最终一个值得重视的点是，设置计划任务的部分代码是从网上仿制而来的。 Payload与C&C通讯 咱们发现了两个相关的Payload，如表2所示，两者的差异在于其间一个有事情记载功用，这让咱们更简单确认歹意程序的目的，当然，也或许是前期开发的调试版别，像Suncor文档中的payload就没有记载功用。 SHA1 描述 编译时刻戳 1c1fbda6ffc4d19be63a630bd2483f3d2f7aa1f5 Payload with logs information 2019-09-03 16:57:26 UTC 1022620da25db2497dc237adedb53755e6b859e3 Payload without logs information 2019-09-15 02:31:15 UTC 表2: the Agent_Drable payloads. 在二进制文件中找到了一个风趣的字符串是“AgentDrable.exe”。这是PE头中的导出表里的DLL Name字段值，在这次进犯的其他部分（例如根底架构装备）也有呈现。咱们简直能够确定这是进犯者给程序的代号命名。不过，除了近期呈现在在线剖析平台上的少量提交以外，很少有依据能够证明是AgentDrable，因而还有一个假定是称之为”Elbard”。 两个样本的编译时刻戳也很风趣。咱们有必要充沛意识到时刻戳很简单被假造，可是，这些时刻戳能够在二进制文件的多个方位找到（调试目录，文件头），而且与进犯事情的其他部分保持一致。咱们把一切dropper和payload有用时刻戳都放在图4里。 [1][2][3]黑客接单网