Rootkit木马是一种系统内核级病毒木马,其进入内核模块后能获取到操作系统高级权限,从而使用种种底层手艺隐藏和珍爱自身,绕开平安软件的检测和查杀。随着Windows多年来的生长完善,想在Windows中乐成部署和执行rootkit组件已成为一项艰难的义务,尤其是微软Driver Signature Enforcement引入后,试图在内核空间中加载运行新代码变得越来越难题,内核补丁珍爱(PatchGuard)等其他机制也在降低对系统改动的可能性。

因此,在野Windows Rootkit的数目已大大削减,其中大部门仍处于流动状态的Windows Rootkit通常被用于高阶APT攻击中。在去年的一次观察中,我们发现了一个以前未知的Windows rootkit及其潜在的流动集群,被用于名为“ TunnelSnake”的针对亚洲和非洲数个着名组织的攻击行动中。TunnelSnake要点归纳如下:

· 我们将此新发现的rootkit称为“ Moriya”,使用此rootkit的幕后团队身份未知。Moriya被用于向公共服务器的上部署被动后门,确立隐藏的C&C通讯渠道,从而对受害者举行静默控制。

· Moriya是在亚洲和非洲数个组织的区域外交网络上发现的,在2019年10月和2020年5月有被检测到,Moriya每次部署后能在目的网络中连续存在数月;

· 从南亚某受害者网络中发现了发现了攻击者使用的横向移动工具集,与APT1以前使用的工具有所关联,凭证工具集的检测时间戳,预计Moriya早在2018年就已在网络中驻足;

· 我们还发现了与Moriya有大量重叠代码的其他几个工具,包罗Moriya的用户模式版以及用于绕过杀毒软件的适用程序。

什么是Moriya Rootkit,它若何事情?

Moriya Rootkit是一种被动后门,攻击者可以行使其检查受熏染盘算机的所有传入流量,过滤出指定符号的数据包并对其响应。

Moriya具有两个特征,使其稀奇容易被检测规避。一是数据包检查使用Windows驱动程序在内核模式下举行,攻击者可以在网络客栈处置数据包之前将驱动程序植入,从而确保不会被平安解决方案检测到;其次,rootkit是守候传入流量,而不是启动与服务器自己的毗邻,这阻止了将C&C地址合并到恶意软件的二进制文件或维护稳固C&C基础设施的需要,通过此举使对攻击者足迹的追踪变得难题。

下图说明晰rootkit组件的结构,它由内核模式驱动程序和用户模式署理组成,后者用于部署和控制。下面的部门将细述这些组件。

图1. Moriya Rootkit的系统结构

用户模式署理剖析

Moriya Rootkit的用户模式组件有两个目的,一个是在盘算机上部署恶意软件的内核模式组件,另一个是行使其确立的隐藏通讯通道来读取从C&C服务器发送到机械上的shell下令并对其做出响应。由于Moriya是部署在可通过互联网接见的服务器上的被动后门,因此它不包罗硬编码的C&C地址,仅依赖驱动程序从盘算机传入服务器的流量中筛选出响应的数据包。

使用Moriya时,攻击者的主要义务是在目的盘算机上保持持久性。为此,用户模式署理的DLL包罗一个名为Install的导出函数,该函数确立一个名为“ ZzNetSvc”的服务(形貌为“ Network Services Manager”)并启动,接着将用户模式署理程序映像的路径设置为注册表项HKLM\System\CurrentControlSet\Services\ZzNetSvc\Parameters\ServiceDll,这样每当服务被启动时,它就会从ServiceMain导出中被挪用。

服务启动后,署理将rootkit的驱动程序加载到系统中。它的二进制文件被封装成DLL的资源部门中的两个驱动程序映像,划分对应于32位和64位系统结构,而现实上只有其中一个被写入磁盘。在我们剖析的情形中,署理DLL是为64位系统编译的,,将64位驱动程序放在系统路径中的驱动程序目录中,目录名为MoriyaStreamWatchmen.sys,这就是Moriya名称的由来。

图2.将Moriya驱动程序写入磁盘的代码

署理使用了一种已知的手艺,行使VirtualBox驱动程序(VBoxDrv.sys)绕过Windows中的驱动程序署名强制机制(DSE),并加载Moriya的未署名驱动程序。DSE功效是从Vista 64位起的所有Windows版本中引入的,其他APT组织(例如Turla,Lamberts和Equation)中也有使用此类绕过手艺。

Moriya的用户模式署理使用名为DSEFIX v1.0的开源代码来绕过平安防护。用户署理将版本1.6.2的嵌入式VBoxDrv.sys映像转储到磁盘上并举行加载,然后使用上述代码将Moriya的未署名驱动程序映射到内核内存空间并从入口点执行。这些操作可以通过在VBoxDrv.sys中的IOCTL实现,该IOCTL允许写入内核地址空间并从中执行代码。在整个历程中,代码用于在内核空间中定位和修更名为g_CiOptions的标志,用此标志控制执行模式。

加载未署名的驱动程序后,署剖析注册一个特殊的要害字用作魔术值,并在通过隐藏通道传入的数据包的第一个字节中搜索该要害字。此值被rootkit用作过滤符号,能阻止系统上除用户模式署理程序外其他应用程序的使用。

图3.使用指定的IOCTL注册数据包魔术值

除了隐秘通讯功效,Moriya还能够使用公然通道确立反向Shell会话。为此需要一个特殊的数据包,该数据包由结构为connect

在其他情形下,署理实验从驱动程序读取传入的TCP有用负载,一旦吸收到带有魔术值和shell下令的指定包,就会检索有用负载,用ReadFile API函数在响应条件下完成数据读取,也就是说,读取仅在内核模式的缓冲区中填充来自moriya相关包的数据时才完成。

在收到传入的数据包事宜时,署理将确立一个新的cmd.exe历程,并使用命名管道重定向其I / O。一个管道用于从隐藏通道读取检索到的shell下令,另一个管道用于在执行后将shell的输出(从stdout和stderr流获得)写回。

通道上转达的所有流量都使用简朴的加密方案举行编码。每个发送的字节都有其有用负载,后跟邪术值,与值0x05举行XOR运算,然后取反。根据相同的逻辑,要解码传入流量的有用负载,应首先将其每个字节取反,然后与0x05举行异或。

,

Usdt第三方支付平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

图4.用于分组编码的代码

内核模式驱动程序剖析

Moriya Rootkit的驱动程序组件行使Windows Filtering Platform(WFP)来促进主机与C&C服务器之间的密道通道。WFP提供了一个内核空间API,该API允许驱动程序代码截取传输中的数据包,并通过Windows TCP / IP网络客栈干预其处置。这样就可以编写一个驱动程序,可凭证开发职员的尺度过滤出差其余数据包流,并指定它们供特定的用户模式应用程序使用。

驱动程序使用过滤引擎获取与Moriya相关流量。这是一种凭证规则来检查流量的内核模式机制,可以对数据包的多个层面(即数据链路,IP和传输)的各个字段磨练,并放置响应的处置程序来处置匹配数据包。此类处置程序称为调出函数。

就Moriya而言,过滤引擎设置为阻挡从远程地址通过IPv4发送的TCP数据包。具有这些尺度的每个数据包将由一个调出函数举行检查,检查其前六个字节是否对应于先前注册的魔术值,若是是,则将数据包内容复制到一个特殊的缓冲区中,以便以后由用户模式署理读取。然后将屏障匹配的数据包,使其对系统隐藏,而其他通例的数据包按网络客栈的预期举行处置。

为了返回服务器的响应,调出函数会在全局变量中保留一个特殊的值,用于标识吸收到的TCP流,该值称为flowHandle,取自数据包的响应FWPS_INCOMING_METADATA_VALUES0结构。当用户通过驱动程序向服务器发出响应时,驱动程序将使用FwpsAllocateNetBufferAndNetBufferList0函数制作一个新数据包,并使用函数FwpsStreamInjectAsync0凭证保留的flowHandle向服务器插入响应数据和目的服务器。

图5.代码确立一个新包,将其指定为传入TCP包的流,并将从用户空间写入的数据注入其中

目的服务器若何被初始熏染的?

如前所述,Moriya通常被部署在面向民众的服务器上。在其中一个案例中,攻击者使用了China Chopper Webshell初始熏染了某组织的邮件服务器,再在其中部署其他工具,这其中就包罗Moriya。

攻击者的手法是先入侵网络中易受攻击的Web服务器。例如Moriya的一个名为IISSpy的较旧变体就以IIS Web服务器为目的,可能是行使CVE-2017-7269举行了部署。

后行使工具集

在某南亚受害组织中我们发现了攻击者使用的部门工具集,包罗横向移动工具和一些开源恶意软件,工具概述如下。

网络发现:自构建程序,用于扫描内部网络,检测易受攻击的服务,包罗HTTP扫描器和DCOM扫描器。

· HTTP扫描器:下令行工具,可通过横幅广告抓取来发现Web服务器。此举通过向给定地址发特别式错误的HTTP数据包来完成,包中不包罗任何标头,而且请求中包罗多个空字节。

· DCOM扫描程序:另一个下令行适用程序,它实验毗邻到TCP端口135(RPC)上的远程主机,并使用DCOM IOxidResolver接口剖析分配给远程系统上所有可用网络接口的地址。

横向移动:用于流传到目的网络中其他主机的工具,包罗BOUNCER和自界说PSExec。

· BOUNCER:Mandiant在2013年关于APT1的讲述中首次提及的恶意软件。该工具是另一个被动后门,它守候特定端口上的传入毗邻,并提供种种功效,可用于控制远程主机及横向移动。

· 自界说PSExec:可以在受熏染的盘算机上远程执行下令。与原始PSExec工具一样,此工具由两个组件组成——名为tmp的客户端和名为pv.tmp的服务。为了使用该工具,攻击者必须通过下令行指定参数来执行。

渗透:用于与远程主机确立毗邻,对远程主机举行文件系统操作,好比文件上传、下载等,包罗Earthworm、Termite、TRAN等工具。

· Earthworm/Termite:入侵Intranet网络的下令行适用程序,支持多平台,可以部署在种种系统结构上。Earthworm用于在受熏染主机之间确立隧道并传输数据,Termite可以在受影响的主机之间下载和上传文件,还提供了一种天生远程shell来控制目的机械的方式。

· TRAN:用于在受熏染主机之间传输数据。此工具作加载器运行,其中包罗了一个使用RC4算法加密的微型web服务器。

行动目的

我们的遥测数据显示,这些攻击行动具有高度针对性,在全天下仅针对的受害组织不到10名,包罗东南亚和非洲的两个大型区域外交组织。

结论

TunnelSnake流动展示了其幕后团队的成熟,通过行使Windows驱动程序、隐藏的通讯渠道和专属的恶意软件,可以保持相当高的隐身水平不被发现,且能够针对目的环境举行改善和调整。

更多信息请参见:https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/

本文翻译自:https://securelist.com/operation-tunnelsnake-and-moriya-rootkit/101831/

IPFS官网

IPFS官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

环球UG官网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:max pool(www.ipfs8.vip):对TunnelSnake行动中Moriya Rootkit的剖析
发布评论

分享到:

filecoin交易所(www.ipfs8.vip):《金融股》合库银持有台股部位近400亿元 仍有加码空间
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。