一直以来Buhtrap组织以其针对俄罗斯的金融机构和企业而闻名。在我们的跟踪过程中,发现并分析了该组织的主要后门以及其他工具。
自2015年底以来,该组织变为以经济利益位目的的网络犯罪组织,其恶意软件出现于东欧和中亚进行间谍活动中。
2019年6月我们第一次发现Buhtrap使用0day攻击作。 同时我们发现Buhtrap在攻击过程中使用了本地提权漏洞CVE-2019-1132。
在Microsoft Windows中的本地权限提升漏洞利用的是win32k.sys组件中的NULL指针取消引用产生的问题。一旦发现该漏洞,已经向微软安全响应中心报告,该中心及时修补并发布了相关补丁。
历史活动
下图中的时间表体现了Buhtrap活动中一些最重要的发展节点。
当该组织工具在网上开源时,很难将它们与网络攻击行为联系起来。 然而,由于该组织在目标的转变后发生了源代码泄漏的问题,我们迅速高效的分析了该组织攻击的恶意软件,明确了该组织针对的企业和银行目标,同时确认了该组织参与了针对政府机构的攻击。
尽管新的工具已经添加到他们的武器库中并且替换了旧版本,但是不同时期的Buhtrap活动中使用的策略、技术和程序并没有发生显着变化。他们广泛使用NSIS安装程序作为droppers,而恶意文档则是其主要的载体。 此外,他们的一些工具会使用有效的代码签名证书进行签名,并利用已知的合法应用程序来作为攻击载体。
用于传递攻击载荷的文件通常为设计好的钓鱼文件,以避免在受害者打开时产生怀疑。对这些钓鱼文件为我们的分析提供了可靠的线索。 当Buhtrap目标为企业时,钓鱼文件通常是合同或发票。该组织在2014年的攻击活动中曾使用下图中展示的通用发票。
当该组织将目标对准银行时,钓鱼文件通常与金融系统法规或Fincert的咨询有关,Fincert是俄罗斯政府创建的一个组织,为其金融机构提供帮助和指导。
因此,我们在看到与政府行动有关的钓鱼文件时立即开始对这些行为进行跟踪。2015年12月,发现了第一批恶意样本,它下载了一个NSIS安装程序,该安装程序的作用是安装buhtrap后门,钓鱼文档如下图:
URL在文本中具有独特的特点,使其与乌克兰国家移民局网站dmsu.gov.ua非常相似。 该文本以乌克兰语要求员工提供他们的联系信息,尤其是他们的电子邮件地址,还试图说服他们点击文本中的恶意链接。
这是我们在遭遇Buhtrap组织用于攻击政府机构的诸多恶意样本中的首例。 我们认为另一个更近期的钓鱼文件也是由Buhtrap组织设计的,如图所示这个文件可以吸引与政府相关的另一类群体。
0day攻击分析
该组织在0day攻击中使用的工具与其用于企业和金融机构的工具非常相似。 我们分析的第一批针对政府组织的恶意样本哈希为2F2640720CCE2F83CA2F0633330F13651384DD6A。 此NSIS安装程序下载包含Buhtrap后门的常规包,并显示如上文提到的2015年12月的钓鱼文档。
从那以后,我们看到了针对这一政府组织群体的多次攻击。 攻击中经常使用漏洞来提升权限,以便安装恶意软件。 他们利用了旧的漏洞,如CVE-2015-2387。他们最近使用的0day也采用了相同的模式:利用漏洞以最高权限运行恶意软件。
多年来,该组织使用了具有不同功能的软件包装。 最近,我们发现并详细分析了两个全新软件包,因为它们与该组织典型的工具集相比发生了变化。
钓鱼文档包含一个恶意宏,启用后会删除NSIS安装程序。NSIS安装程序的任务是安装主后门。 但是此NSIS安装程序与此组织早期使用的版本不同, 它更简单,仅用于设置并启动嵌入其中的两个恶意模块。
后门分析
第一个模块,称为“抓取器”,是一个独立的密码窃取程序。它试图从电子邮件和浏览器中获取密码,并将其发送到C&C服务器。该模块使用标准的Windows API来与其命令和控制服务器进行通信。
第二个模块是我们从Buhtrap操作人员得到的:一个包含合法应用程序的NSIS安装程序,将用来安装Buhtrap主后门。利用的是一种免费的反病毒扫描程序AVZ。
Meterpreter和DNS隧道
该文件包含有害宏代码,一旦启用会删除NSIS安装程序,而该安装程序的目的是为主后门准备安装准备工作。在安装过程中,会设置防火墙规则,以便允许恶意组件与C&C服务器进行通信。以下是NSIS安装程序用于配置这些规则的命令示例:
<p>```</p><p>cmd.exe /c netsh advfirewall firewall add rule name=\”Realtek HD Audio Update Utility\” dir=in action=allow program=\”<path>\RtlUpd.exe\” enable=yes profile=any </p><p>```</p>
最终的有效载荷是与Buhtrap传统工具完全不同的东西。 在其正文中加密了两个有效负载。 第一个是一个非常小的shellcode下载器,而第二个是Metasploit的Meterpreter。Meterpreter是一种反向Shell,可让操作员完全访问遭受攻击的系统。
实际上,Meterpreter反向shell通过DNS隧道与其控制与命令服务器进行通信。对于防御者来说,检测DNS隧道可能很困难,因为所有恶意流量都是通过DNS协议完成的,而不是常规的TCP协议。 以下是此恶意模块的初始通信片段。
```7812.reg0.4621.toor.win10.ipv6-microsoft[.]org7812.reg0.5173.toor.win10.ipv6-microsoft[.]org7812.reg0.5204.toor.win10.ipv6-microsoft[.]org7812.reg0.5267.toor.win10.ipv6-microsoft[.]org7812.reg0.5314.toor.win10.ipv6-microsoft[.]org7812.reg0.5361.toor.win10.ipv6-microsoft[.]org[…]```
此示例中的C&C服务器域名模仿Microsoft。 事实上攻击者注册了不同的域名,其中大多数都模仿微软域名。
总结
虽然我们不知道为什么该组织突然转变目标,但它是说明了网络间谍团体与网络犯罪之间界限日益模糊。 目前还不清楚该组织中的一个或几个成员出于什么原因改变目标,但未来会有更多的攻击行为出现。
##IOC
###ESET检测名称
VBA/TrojanDropper.Agent.ABMVBA/TrojanDropper.Agent.AGKWin32/Spy.Buhtrap.WWin32/Spy.Buhtrap.AKWin32/RiskWare.Meterpreter.G
###恶意软件样本
Main packages SHA-1:
2F2640720CCE2F83CA2F0633330F13651384DD6A E0F3557EA9F2BA4F7074CAA0D0CF3B187C4472FF C17C335B7DDB5C8979444EC36AB668AE8E4E0A72
Grabber SHA-1:
9c3434ebdf29e5a4762afb610ea59714d8be2392
###C&C服务器
https://hdfilm-seyret[.]com/help/index.php https://redmond.corp-microsoft[.]com/help/index.php dns://win10.ipv6-microsoft[.]org https://services-glbdns2[.]com/FIGm6uJx0MhjJ2ImOVurJQTs0rRv5Ef2UGoSc https://secure-telemetry[.]net/wp-login.php
###Certificates
| Company name | Fingerprint |
|---|---|
| YUVA-TRAVEL | 5e662e84b62ca6bdf6d050a1a4f5db6b28fbb7c5 |
| SET&CO LIMITED | b25def9ac34f31b84062a8e8626b2f0ef589921f |
###MITRE ATT&CK techniques
| Tactic | ID | Name | Description |
|---|---|---|---|
| Execution | T1204 | User execution | The user must run the executable. |
| T1106 | Execution through API | Executes additional malware through CreateProcess. | |
| T1059 | Command-Line Interface | Some packages provide Meterpreter shell access. | |
| Persistence | T1053 | Scheduled Task | Some of the packages create a scheduled task to be executed periodically. |
| Defense evasion | T1116 | Code Signing | Some of the samples are signed. |
| Credential Access | T1056 | Input Capture | Backdoor contains a keylogger. |
| T1111 | Two-Factor Authentication Interception | Backdoor actively searches for a connected smart card. | |
| Collection | T1115 | Clipboard Data | Backdoor logs clipboard content. |
| Exfiltration | T1020 | Automated Exfiltration | Log files are automatically exfiltrated. |
| T1022 | Data Encrypted | Data sent to C&C is encrypted. | |
| T1041 | Exfiltration Over Command and Control Channel | Exfiltrated data is sent to a server. | |
| Command and Control | T1043 | Commonly Used Port | Communicates with a server using HTTPS. |
| T1071 | Standard Application Layer Protocol | HTTPS is used. | |
| T1094 | Custom Command and Control Protocol | Meterpreter is using DNS tunneling to communicate. | |
| T1105 | Remote File Copy | Backdoor can download and execute file from C&C server. |
以上是Buhtrap黑客组织最新0day漏洞实例分析的详细内容。更多信息请关注PHP中文网其他相关文章!
运维安全审计系统属于什么品目Mar 05, 2025 pm 03:59 PM本文研究了操作安全审核系统采购。 它详细介绍了典型类别(硬件,软件,服务),预算分配(资本支出,OPEX,项目,培训,应急)和合适的政府合同工具(GSA SCH SCH
运维安全工程师是干嘛的Mar 05, 2025 pm 04:00 PM本文探讨了DevOps,Security和IT运营工程师的角色和必需技能。 它详细介绍了每种工作的日常任务,职业道路以及必要的技术和软技能,强调了自动化的重要性,C
运维人员岗位安全职责是什么Mar 05, 2025 pm 03:51 PM本文详细介绍了DevOps工程师,系统管理员,IT运营人员和维护人员的重要安全责任。 它强调将安全性集成到SDLC(DEVOPS)的所有阶段,实现了强大的访问C
运维安全审计系统和网络安全审计系统的区别Mar 05, 2025 pm 04:02 PM本文对比操作安全性(OPSEC)和网络安全性(NETSEC)审核系统。 OPSEC专注于内部流程,数据访问和员工行为,而NETSEC集中在网络基础架构和通信安全上。 钥匙
运维安全是什么工作Mar 05, 2025 pm 03:54 PM本文研究了DevSecops,将安全性集成到软件开发生命周期中。 它详细介绍了DevOPS安全工程师的多方面角色,包括安全体系结构,自动化,脆弱性管理和事件响应
安全运维人员的前景如何?Mar 05, 2025 pm 03:52 PM本文研究了成功的安全运营职业的基本技能。 它强调了对技术专长(网络安全,SIEM,云平台),分析技能(数据分析,威胁智能)和软技能的需求(CO
运维安全是做什么的工作Mar 05, 2025 pm 03:58 PMDevOps通过在CI/CD管道中自动化安全检查来增强操作安全性,利用基础架构作为改进控制的代码,并促进开发团队和安全团队之间的协作。 这种方法加速了vulnerabi
运维安全的主要工作Mar 05, 2025 pm 03:53 PM本文详细介绍了操作和维护(O&M)安全性,强调漏洞管理,访问控制,安全监控,数据保护和物理安全。 关键职责和缓解策略,包括Proacti
热AI工具
Undresser.AI Undress
人工智能驱动的应用程序,用于创建逼真的裸体照片
AI Clothes Remover
用于从照片中去除衣服的在线人工智能工具。
Undress AI Tool
免费脱衣服图片
Clothoff.io
AI脱衣机
AI Hentai Generator
免费生成ai无尽的。
热门文章
热工具
DVWA
Damn Vulnerable Web App (DVWA) 是一个PHP/MySQL的Web应用程序,非常容易受到攻击。它的主要目标是成为安全专业人员在合法环境中测试自己的技能和工具的辅助工具,帮助Web开发人员更好地理解保护Web应用程序的过程,并帮助教师/学生在课堂环境中教授/学习Web应用程序安全。DVWA的目标是通过简单直接的界面练习一些最常见的Web漏洞,难度各不相同。请注意,该软件中
PhpStorm Mac 版本
最新(2018.2.1 )专业的PHP集成开发工具
SublimeText3 Mac版
神级代码编辑软件(SublimeText3)
MinGW - 适用于 Windows 的极简 GNU
这个项目正在迁移到osdn.net/projects/mingw的过程中,你可以继续在那里关注我们。MinGW:GNU编译器集合(GCC)的本地Windows移植版本,可自由分发的导入库和用于构建本地Windows应用程序的头文件;包括对MSVC运行时的扩展,以支持C99功能。MinGW的所有软件都可以在64位Windows平台上运行。
ZendStudio 13.5.1 Mac
功能强大的PHP集成开发环境
