德国服务器租用_德国国外服务器「德国服务器」

　　一位日本的安全研究者MalwareMustDie发现一种基于PoisonIvy的新型APT攻击，颠末他的逆向分析，发现了一些关于攻击厂商的风趣发现。

　　本文将先容他是怎样发现这种隐匿极深的APT攻击回溯之旅。

　　一次平凡的垂纶攻击？

　　和全部APT攻击的开头一样，一个受感染的Word文档，一次看似平凡的垂纶攻击。

　　但是假如我们留意到MalwareMustDie长文分析的开头，可以发现一些平凡邮件的图片，固然还是那种平凡、boring的受感染的Word文档，毫无新意。

　　奇怪的是，可疑文档好像是由一个名为Geocities的公共博客网站提供了一个多层嵌套的编码的VB脚本，下图是手工解码的结果：

图1.“powershell.exe”下令编码得到的VB

　　通常VB的“createbject”指令都会跟在Powershell下令“powershell.exe-whidden-ipbypass-Encwithlongencodedcoded”之后

　　Poweshell?嵌入下令?“绕过”的目标是什么?

　　颠末MalwarareMustDie的观察，那些不那么“平凡、无聊”的东西从阴影中浮现出来，随着分析的步步深入，他发现了更加风趣且惊人的东西。

　　下图是base64手动解码的代码示例，其显现了另一嵌套的base64编码代码。在图片中表现的功能是自我表明。显而易见，那台受感染的盘算机已经“吃下”什么不好的东西。

图2.VBbase64解码代码

　　在多层循环解码base64编码后，结果很显着的：附加于Word附件文档，隐蔽在VB文件中，存在一个长且伤害的脚本，随时可由Powershell实行。但MalwareMustDie表现“我已经发现它的源代码”。

　　复制、粘贴Powersploit/CodeExecutionPoC

　　运行Powershell下令的VB存在一处代码，该代码就是基于污名昭著的恶意软件PowershellPowerSploit/CodeExecutionPoC代码的“copypasta”，你可以在GitHub上可以得到千篇一律的文件和.ps1扩展。

　　这里它是文档以及利用方式的网页：

图3.GitHub页面上的PowerSploit/CodeExecution

　　弊端的文档阐明：“将shellcode插入到您选择的进程ID中或在运行PowerShell进程中”。

　　MalwareMustDie表现：

　　这也就是我为什么反对公众在GitHub上放出这种开源代码。GitHub上到处都是这种开源项目。

Shellcode分析

　　但是让我们来看看Shellcode，由于如今最紧张的任务是对它举行逆向分析，而且明白它的利用的重要目标是什么，为什么注入盘算机受害者，采取哪些技能和机制来做什么，毗连在那边？

　　同样Shellcode利用的是base64编码。当解码时，它如下图所示：

图4.Shellcode.

　　逆向之旅好像尚有很长的路要走，我们再一次为MalwareMustDie的本领所惊叹，他乐成地编译了shellcode并得到了一个可安全实行的文件。

　　MalwareMustDie在博客中写道：

　　将shellcode数据生存在汇编文件的.text部分和入口点（EP）中将在编译过程中由编译器“调解”，如许你可以将此shellcode作为二进制PE文件实行。此方法在分析shellcode时非常有效。通过Unix环境，你可以创建这种PE，而不会有感染的风险。

　　下图就是他采取的过程：

图5.操纵shellcode来创建一个.exe文件

　　我们在恶意软件运行时发现：它从受害者的盘算机提取信息回调其C2服务器与目标实行全部的恶意举动。

　　末了，我们可以确定，它就是污名昭着的PoisonIvy。

　　PoisonIvy筹划

　　运行Shellcode有大概观察到它利用了大量涉及DLL的体系调用，这些DLL重要与体系的内核相干：在Shellcode的trace-assemby的第一个阶段提供了一个名为userint.exe的假进程，用于注入恶意代码。

　　这里来自MalwareMustDie博客的图片：

图6.伪造的进程userinit.exe创建后被注入

　　他说，某些DLL的利用的组合“也表现了威胁的典范模式。别的，MUTEX名称中标注的日期大多由PoisonIvy利用。

　　然后其他操纵由恶意软件实行：

　　创建一个名为“Plug1.dat”的文件

　　为之后的工作创建一个套接字

　　通过“HKEY_LOCAL_MACHINESYSTEMSetup”查询PC信息

　　毫无疑问就是PoisonIvy

　　那么题目来了CC服务器在何地？

　　我来细致观察一下WS2_32.DLL文件，可以看到一些故意思的东西

　　socket(),

　　gethostbyname()

　　connect().

　　由CC服务器回传的主机名和IP地点可知，该服务器位于韩国首尔。

图7.CC服务器位于韩国

　　Network/BGPInformation→「61.97.243.15||4766|61.97.243.0/24|KIXS-AS|KR|kisa.or.kr|KRNIC」

　　但是我们发现主机名是web.outlooksysm.net，这里可以用WHOIS来得到额外的信息，知道谁是幕后主使，结果该公司来自上海。

图8.对PoisonIvy恶意软件的CC服务器WHOIS

　　结论

　　这个APT攻击利用了多种变体，它先是诱骗受害者下载一个恶意VB，让这个VB去下载一个.doc文件并打开它。完成这些操纵之后，它会静静的地实行PowerShell（PowerSploit）攻击，使得受害者在运行内存中的进程时感染PoisonIvy。

　　这个实例很好地展示了这种攻击的潜伏伤害，攻击者在一次APT感染中利用修改过的PowerSploitPoC代码，这种做法很独特。

　　PoisonIVY恶意软件是在PowerSploit利用shellcode创建或预备的恶意进程userinit.exe的过程中注入的。这种不感染文件的攻击有效地克制了多个编码和包装检测的已知署名，而且100％克制了原始攻击者的工作地区被发现的大概性。这将使如今的APT活动有更好的机遇乐成由雷同有效载荷造成的其他环境。

　　近来的APT攻击很有大概也是利用雷同的payload在别的地方乐成发挥攻击。

　　为了克制更多的受害者，我真的盼望Geocities.jp上的vbiayay1帐户尽快将恶意软件删除。

　　盼望我的分析可以或许资助观察和打击这种威胁。

*参考泉源：0day.jp，securityaffairs，FB小编bimeover编译，转载请注明来自Freebuf.COM