攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

渗透技巧 2年前 (2023) admin
306 0 0
攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

情报背景

趋势科技发现命名为Earth Kitsune的攻击组织通过破坏与朝鲜有关的网站并托管恶意程序,正在向对朝鲜感兴趣的个人发起水坑攻击。


组织名称
Earth Kitsune
关联组织
未知
战术标签
持久化
技术标签
DII劫持、Chrome扩展
情报来源
https://www.trendmicro.com/en_us/research/23/b/earth-kitsune-delivers-new-whiskerspy-backdoor.html


01 攻击技术分析

当受害者观看网站视频时,注入网站的恶意脚本提示用户视频解码错误,诱导受害者下载安装解码器安装程序。这些解码器程序都进行了恶意修改,会执行powershell命令下载进一步的恶意载荷,这些恶意载荷最终会在受害者机器通过滥用合法程序或Chrome扩展等方式安装。


使用IP筛选受害者

攻击者在脚本中检查访问者的IP,只有符合特定IP的受害者会受到攻击影响,减少暴露风险。其中中国和日本的IP可能是攻击者的真正目标。

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图1 原始页面(左)与注入脚本的页面(右)的网页内容比较


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图2 被注入的网站会重定向下载恶意MSI安装程序


滥用合法程序

受害者下载的MSI程序是合法的安装程序,但程序被攻击者进行了修改,修改后的安装程序会先挑战执行恶意的shellocde,完成后恢复原始程序代码,保证正常运行。

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化
攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图3 原始程序被增加了一个新节(.odata)去用来存储恶意shellcode


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图4 安装程序入口被修改为立即跳转到shellcode


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图5 解密后的shellcode会执行powershell命令下载后续的恶意文件


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图6 重新恢复原始程序入口


修改vcruntime140.dll,利用OneDrive建立持久性

vcruntime140.dll同样时被修改的合法文件,修改后的文件放置在%LOCALAPPDATA%microsoftonedrivevcruntime140.dll,默认每个用户的OneDrive会安装到位置,通过将DLL放置到OneDrive目录,以用来获得持久性。

修改后的vcruntime140.dll中memset函数被劫持,并同样增加了一个.odata节区,新节区代码中会先使用xor解密,并将载荷注入到werfautl.exe进程。

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图7 原始的memset函数函数


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图8 修改后的memset函数,0x18000C7D被修改为jmp跳转到shellcode


利用Chrome扩展的持久化后门

攻击者实现了一个chrome扩展的持久化后门,后门包含一个Installer.exe(Chrome扩展程序安装程序)、一个NativeApp.exe(原生应用程序)和多个Chrome扩展文件(background.js、mainfest.json、icon.png)。执行安装后,每当chrome启动时会调用攻击者在本地安装的恶意扩展,之后恶意扩展会选择通知原生应用执行命令或下载后续恶意文件。


由于在Chrome的机制中只有native messaging host(原生应用程序)才能调用Native API,所以攻击者使用NativeApp来实现具体的恶意行为。chome 扩展程序使用stdin/stdout(标准输入输出)与原生应用程序进行消息通讯,消息格式为为JSON格式的字符串。

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图9 mainfest.json配置文件显示了其注册信息,stdio表示使用标准输入输出与NativeApp.exe进行通讯


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

图10 background.js显示会在Chrome启动收到通知


02 总结

攻击者的攻击手段非常老练,在攻击时会选择特定的目标,大量滥用合法程序进行执行和持久化,并使用Chrome扩展等方式隐蔽其攻击活动。


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括:漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术,以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究,以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术,从攻击视角提供识别风险的方法和手段,为威胁对抗提供决策支撑。


攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群


往期推荐

攻击技术研判 | 曝光一周年,向日葵RCE漏洞在野利用再现

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

攻击技术研判 | 针对仿真与静态分析的代码混淆技术

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

攻击技术研判|滥用Web3的变色龙网络钓鱼攻击

攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

原文始发于微信公众号(M01N Team):攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化

版权声明:admin 发表于 2023年3月6日 下午6:01。
转载请注明:攻击技术研判 | Earth Kitsune滥用vcruntime140.dll和Chrome扩展等实现持久化 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...