1.背景紹介
MMCoreは、ダウンローダーがダウンロードした後、メモリ内の悪意のあるファイルを復号化して実行する興味深い悪意のあるファイルです。悪意のあるファイルはBaneChantとも呼ばれ、2013年に初めてFireeyeによって公開されました。さらに、Forcepointは2017年の初めに悪意のあるファイルに対するいくつかの攻撃も公開しました。
悪意のあるファイルの活動は、主に中国、パキスタン、アフガニスタン、ネパールなどのアジアで活発です。ただし、フォースポイントは、攻撃にはアフリカと米国も含まれると述べました。攻撃の標的は主に軍事標的、メディア、大学などです。
攻撃は2013年まで遡ることができ、2020年まではまだ存在しています。テクノロジーに大きな変化はありませんが、興味深い変化がいくつかあります。さらに、属性の観点から、悪意のあるファイルはインドの一部のAPT攻撃組織(白象、Man Linghua、孔子など)に関連していると考えています。さらに、未公開の攻撃兵器も偶然発見しました。正味RAT。
第二に、攻撃技術の分析
分析の理由は、セキュリティ研究者によるTwitter投稿です。
この種のサンプルを何度もキャプチャし、攻撃中にこの悪意のあるファイルの存在を何度も発見しましたが、この悪意のあるファイルを体系的に分析して追跡していません。そこで今回は、この興味深い悪意のあるファイルを追跡するためにさらに掘り下げることにしました。
1.MMCoreローダー分析
分析の例として次のファイルを使用します。
全体的な機能:
サンドボックスに対して:最初にフロントエンドウィンドウを取得してから、フロントエンドポートが1秒ごとに変化するかどうかを確認し、変化しない場合は無限ループを検出します。
アンチソフトウェア検出:snxhk.dllモジュール(セキュリティベンダーAvastからの関連ファイル)を検出し、存在する場合は、2分遅延します。
ダウンロードURLを復号化し、ダウンロードしてメモリで実行します。
保管方法:
復号化後:
ダウンロードして実行:
シェルコードはオフセット+ 0x14にあります。
2.MMCore分析
最初に2つの「avp」および「bdagent」アンチソフトウェアプロセスを検出し、見つかった場合は終了します。
次に、2つのラウンドのxorを使用して復号化し、dllを取得します。
復号化されたdllには自己ロード機能があります。
dllmainで、ロードされたプロセスがrundll32.exeかどうかを最初に判別し、そうでない場合は、トロイの木馬のインストール操作を実行します。
次に、インストールして、最初にPEファイルを格納するself._codeセクションを見つけます。
PEファイルをC:\ ProgramData \ DailyUpdate \ opendrive64.dllにリリースします。
起動ディレクトリにあるOneDrive(2).lnkファイルを解放して永続化します。lnkショートカットはrundll32.exeをポイントしてC:\ ProgramData \ DailyUpdate \ opendrive64.dllを読み込み、IntRun関数を呼び出します。
rundll32.exeを起動してC:\ ProgramData \ DailyUpdate \ opendrive64.dllを読み込み、IntRun関数を呼び出します。
このファイルの機能はローダーに似ています。主な機能は、dailysync.zapto.org / fancycumti / combidation / scale.jpgからペイロードをプルしてロードし、ペイロード自体にファイルがないことを確認することです。トロイの木馬がロードされるたびに、ネットワークからペイロードをプルする必要があります。その機能はローダーと同じで、コードも似ているため、詳細には分析されません。
実際の悪意のあるペイロードの実装を始めましょう。
まず、Mutex 44cbdd8d470e88800e6c32bd9d63d341を作成して、操作が繰り返されないようにします。
コマンドを実行して取得した情報を収集し、取得した情報をC&Cサーバーにアップロードします。
cmd.exe / q / cタスクリスト
cmd.exe / q / c ipconfig / all
cmd.exe / q / c dir C:\\
cmd.exe / q / c dir D:\\
cmd.exe / q / c dir E:\\
cmd.exe / q / c dir F:\\
cmd.exe / q / c dir G:\\
cmd.exe / q / c dir H:\\
収集された情報は、一時的なトロイの木馬nnp [ランダムな4桁] .tmpに保存されます。
次に、メモリに読み込まれ、ファイルが削除されてから、他の情報が取得されて接合されます。接合された情報は次のとおりです。
次に、C&Cサーバーとの通信を開始します。
手順を取得し、さまざまな手順に従って次の操作を実行します。
コマンドと関数の対応関係は次のとおりです。
3.変更履歴と要約
サンプルライブラリから多数のMMcoreサンプルを取得し、これらのサンプルの帰納的分析を行ったところ、いくつかの興味深いルールが見つかりました。
1.名前の由来
この悪意のあるファイルは、外国のセキュリティ会社Forcepointによる分析レポートとして初めてMMcoreと呼ばれましたが、この記事では名前の由来については説明されていません。追跡の結果、元のバージョンのMMcoreでは、ミューテックスの名前が "MM-Core-Running"であることがわかりました。そのため、Forcepointが悪意のあるファイルにMMCoreと名付けたと推測しました。
それ以来、著者は相互に排他的な名前(M1M-C1o1r1e-R1u1n1n1i1n1g1など)に混乱と変更を加えてきました。
これまで、MMCoreの影はまったくありませんでした。
2.マークの変更
さらに、上記のMMCoreの詳細な分析から、悪意のあるファイルに明らかなバージョンとバージョンラベルがあることがわかります。
見つかったサンプルラベルとバージョン情報をリストします。具体的な情報は次のとおりです。
ラベルは時間とともに変化することがわかり、現在の最新バージョン番号は2.5で、ラベル名はFreshPassです。
3.復号化アルゴリズムの合計エンコーディング
MMCoreの主な機能は、ダウンロードしたjpgファイルにシェルコードを保存することですが、一部のjpgにはjpgロゴがまったくありません。
主なシェルコードのエンコーディングには、Shigata ga naiと通常のエンコーディングの2つがあります。Shikata ga naiコードは、ソフト検出の強制終了を回避するために一般的に使用されるコードであり、ハスのシェルコードもこのコードを使用します。
単一のxor復号化:
2つのxor復号化:
複数のxor復号化:
- C&Cサーバー設定
MMCoreの攻撃グループは動的ドメイン名を優先します。使用される動的ドメイン名には、ddns.net、zapto.org、no-ip.org、redirectme.netなどが含まれます。一部の情報を次の表にまとめます。
4.攻撃属性
Tencent SecurityのThreat Intelligence Centerは、2019年に「パキスタン、バングラデシュ、その他の南アジア諸国に対する疑わしいホワイトエレファントグループの最新の攻撃活動」という記事をかつて公開しました。この記事では、MMCoreの分析について述べています。
このアクティビティのIPは、この記事で分析した白い象と重複しています。
さらに、Chi Anxinによって公開された記事「パキスタンおよびギャング協会に対するBITTER APT組織のInPageソフトウェアの脆弱性を使用したパキスタンへの攻撃の分析」におけるRATの分析は一貫しています:
そのため、マルウェアはインドの関連組織に起因します。MMCoreが独立したグループかどうかはまだ明確ではありませんが、それでもホワイトエレファント、マンリンファ、ドノット、孔子などの組織に属しています。しかし、これらの組織がいくつかの重要な活動でMMcoreマルウェアを使用して攻撃することは確かですが、少なくともMMCoreはこれらの組織とテクノロジーを共有しています。
さらに、昨年、Tencent Security and Threat Intelligence Centerによるパキスタン、バングラデシュ、およびその他の南アジア諸国に対する疑いのある白象組織の最新の攻撃活動の最後のレポートに基づく発見もあります。記事で言及されている白象の攻撃活動は、ファイルベイトはマクロを含むドキュメントを使用して攻撃します。ライブラリ内にも同様のマクロファイルが見つかりました。
PakCERT-SnapchatがPakistani Hacker Group.doc(92ee6729747e1f37dcae7b36d584760d)によってハッキングされた
ドキュメントによってリリースされた悪意のあるファイルは、.netで記述されたRATです。
.net RATは、これまでに公開されていないRATであり、組織の従来の攻撃兵器の1つです。
ファイルのpdbは次のとおりです。d:\ KL \ rav \ rav \ obj \ Release \ rav.pdb
同様に、他のpdb情報があります:d:\ startnew \ JackSparow \ WinStore \ WinStore \ obj \ Release \ WinStore.pdb
このRATの主な機能は次のとおりです。
C2の復号化:
復号化の結果は「http://188.241.68.127/pmpk/」であり、スティッチングパラメーターは完全なURLを取得し、systeminfoコマンドを実行してシステム情報を取得し、URLの最後にスティッチします。URLは次のとおりです。
http://188.241.68.127/pmpk/blue.php?MNVal=JNENIEYOU-PC&FNVal=ConnInfo&DVal=17_
V.結論
APTが編成する攻撃の武器は、攻撃方法、開発ツール、言語などを含め、常に進化しており、新しい攻撃の武器が常に追加されます。現在公開されている攻撃兵器の一部は、実際の攻撃では氷山の一角に過ぎない場合がありますが、追跡が深まり、ますます攻撃活動が発見されるにつれて、より多くの詳細が公開されます。
さらに、攻撃活動の原因は常に頭痛の種でした。MMCoreの所有権に関しては、それが組織に属している必要があることを証明する十分な証拠はありませんが、少なくとも、インフラストラクチャが重複しており、インドの一部の組織と攻撃兵器を再利用していることを説明できます。これは、インドの多くのAPT組織間の複雑な関係にも関連しています。
マンリングア、ホワイトエレファント、孔子、ドノットなどの組織には一定の関連性があり、同じ大組織に属していると除外されていません。私たちは、属性をより明確にするために、この悪意のあるファイルの攻撃活動を追跡し続けます。
6、安全に関する推奨事項
Tencent Security Threat Intelligence Centerは、中国の重要な企業と政府機関がAPT攻撃に対して非常に警戒を続けることを推奨しています。情報システムのセキュリティを向上させるには、次の提案を参照してください。
1.重要機関のネットワーク管理トレーニングスタッフは、不明なソースからのメールの添付ファイルをランダムに開かないことをお勧めします。メールの目的と送信者が不明な場合は、添付ファイルにアクセスしないことをお勧めします。
2.エンタープライズユーザーは、Tencent Security T-Sec端末セキュリティ管理システムを使用して脆弱性にパッチを適用し、システムパッチを適時にインストールして、脆弱性による攻撃のリスクを軽減することをお勧めします。また、Officeドキュメントを開くときは、マクロコードを有効にしないでください。
3. ハッカー攻撃を検出するために、エンタープライズユーザーはTencent T-Sec Advanced Threat Detection System(Tencent Yujie)を展開することをお勧めします。
TencentのT-Sec高度な脅威検出システムは、Tencentのセキュリティ機能に基づいて開発され、クラウドおよびエンド内のTencentの膨大なデータに依存する、独自の脅威インテリジェンスおよび悪意のある検出モデルシステムです。このシステムは、ハッカーによる企業ネットワークへのさまざまな侵入を効果的に検出できます。攻撃のリスクを貫通します。参照リンク:https : //cloud.tencent.com/product/nta
その他の推奨テンプレート
7.付録
1、IOC
MMCore:
fa5ca2cba0dab28fa0fb93a9bd7b1d83
eecbfa73955218181b0bc27c9491bd03
0647bac99b6a8407795134f5d67d4590
0932b703849364ca1537305761bc3429
9e73734ac2ab5293c0f326245658b50e
b5c1b0137181cf818a46126ca613365e
263b6c350cbf7354b99139be17c272d3
9d7953cd0e67e6ebad049faba242a74b
30e519573d04a2e1505d8daafb712406
320e29f867ae579a9db0d04e998e5459
6303059930cfb785c5cf0af1512b2cbe
5024e86b00012a202d6aa55d5502b9e0
86e3e98c1e69f887e23d119d0d30d51c
5a489fb81335a13dff52678bbce69771
9782e1f021fff363b4a6ee196e1aa9cb
a469f3f7eda824bafb8e569deb05b07d
af501dfd35e7d04afd42d9178601a143
851ea11fa3cf5ca859dacf47d066d6df
bac7c5528767d86863532bd31bdd12e2
c0baa532636ecca97de85439d7ae8cb3
eecbfa73955218181b0bc27c9491bd03
d692a057330361f8f58163f9aa7fc3a8
f946ea7d9640023d06c2751dde195eb8
03fa06ac91685e0df4c635339e297e04
0490e54e4cce81d2ab24a6e7787fa595
060d13afdb2212a717666b251feda1d3
5a477d4574983c2603c6f05ff5bae01e
7d19f3547dc900eba548ee5ceb84edae
baa12a311b9029f33c4fc6de6fde06b0
bddb10729acb2dfe28a7017b261d63db
f3a7d55ee47f2b6bdf7ed6259a6f9496
423dbab9d632a1fc318f66dfc370ac28
b692a0f56d2462ba0ec50374c653b6e8
b3286791b22f515ab8d7f8866a154e9c
2826c9c6c25368f773c0e448572585d0
1e8915ccb433ce0406a98faa94db2237
8b2b4bed6db31739686531d11c9e98aa
c4cee8d6f30127938681c93dd19f2af4
0922a6d3d9d9a774eea90853a075056e
b4db105c90d2f2659fd4e930e0b7ad5b
65067f8c60cbc4ee459641c3b704e180
dailysync.zapto.org
abtprinting.com
adworks.webhop.me
ichoose.zapto.org
theglobalnews24x7.com
timpisstoo.hol.es
burningforests.com
account-support.site
noitfication-office-client.890m.com
mockingbird.no-ip.org
useraccount.co
nayanew1.no-ip.org
nakamini.ddns.net
adrev22.ddns.net
hawahawai123.no-ip.biz
waterlily.ddns.net
pressnorth.net
officeopenxml.co
jospubs.com
davidjone.net
themoondelight.com
g-img.no-ip.biz
adnetwork33.redirectme.net
plansecure.org
kibber.no-ip.org
.net RAT:
0464acc5f3ea3d907ab9592cf5af2ff4
e223ff5a6a961a6c3ff30811e8a2ceb5
517c2c6e5e0f27f6f9c759a04a2bf612
b3a2e376a9a1f9e4d597eb8509aed57a
c69cd5894bdf4c92fcfb324e7db83ce3
f8da3eab85def2cdedd4227eec3114bb
73eb441bcf27a1ee4b1f5c1f78139b3b
5b1d7c4cea8fcb96696a6e9318d36a45
2cc9cd56b2e4c17b6b63bad4dfc5bc10
188.241.68.127
91.211.88.71
2.参考資料
https://s.tencent.com/research/report/711.html
https://www.forcepoint.com/blog/x-labs/mm-core-memory-backdoor-returns-bigboss-and-sillygoose
https://twitter.com/KorbenD_Intel/status/1237121311450652672
