概述
我们的XLab大网威胁感知系统最近捕获了一个VirusTotal 0检测, 高持续、高隐匿、高完善升级设计、并利用高性能稳定在线设备作为其基础设施的恶意载荷投递&升级框架系统。
从我们的数据来看,这个我们命名为DarkCracks的恶意程序设计精良,背后的攻击者绝非普通的脚本小子。虽然我们对他的载荷投递&升级框架体系已经掌握,但由于高隐匿性,它的Launcher组件我们截止目前尚无显著视野。
不过在8月26日,我们看到在该项目的开发文件中新增一个受密码保护的名字resume的PDF文件,随后该文件被重命名为韩文“김영미 이력서 (Kim Young-mi’s resume)“,考虑到这是一个较为常见的韩文名字,我们高度怀疑这个组件的一部分功能是针对韩语用户群体的社工活动。
DarkCracks利用被黑的GLPI, WORDPRESS站点充当Downloader & C2,收集被入侵设备敏感信息,维持被入侵设备的长期访问权限,并利用这些设备作为中间节点控制其他设备或投递恶意载荷以隐匿攻击者痕迹。我们视野范围内的分布在不同国家的学校网站,公交系统,甚至监狱访客系统等公众服务系统都是被害对象。
攻击目标
DarkCracks 根据受害者设备的性能差异分配不同角色:性能强劲的设备承担基础设施角色,如 C2 和 Downloader;而性能较弱的设备则充当 Bot 业务节点。
DarkCracks 的一类攻击目标是World Press以及GLPI。World Press,一个世界知名的web内容管理系统,此处就再不展开;而相对冷门的GLPI(Gestionnaire Libre de Parc Informatique)是一款开源的 IT 资产管理和服务管理系统,它主要用于帮助组织管理其信息技术资产,包括硬件、软件、网络设备等。该系统广泛应用于中小型企业、教育机构和政府部门,以提高 IT 基础设施的管理和维护效率。
在我们观察到的13个C2/Downloader中(被入侵的设备),涉及城市公交系统、监狱访客预约系统、金融机构等重要机构。
根据奇安信鹰图的统计,近一个月暴露在公网上的GLPI服务数字为10157,请使用此系统的相关企业积极排查,保持警惕。
技术细节示例
DarkCrack框架的关键组件包括:Runner、Client、Launcher和C2 Panel。通过深入分析各组件的功能,我们清晰地揭示了DarkCracks的设计原理,并理清了它是如何通过这些组件隐秘地实现Payload的投递。
由于篇幅原因,本文选取对C2 Panel的操控作为分析成果的展示,想充分理解DarkCracks技术细节的读者可以参阅原文。
我们发现特定的网络请求能进入C2 Panel的管理员模式,对数据库进行”增,删,改,查”。
以”soussanart.com”为例,它是一个艺术品交易网站,被DarkCracks入侵,将其变身为C2基础设施。我们构造了以下网络请求,用以查询和此C2通信的Bot的详细信息。
可以看出C2返回的信息是加密的,解密过程可以分成以下3步
1. 字串逆序列,Base64 URLSafe模式解码2. 与Crackalackin'逐字节异或3. 英文字母大小写互换,Base64 URLSafe模式解码
最终我们就获得了一个JSON格式的消息,其中的clients字段中存放着76条Bot相关的信息,它们的IP分布于17个不同的国家。
DarkCracks还有很多有意思的技术细节,如DGA,如将配置文件隐藏在C++代码中等。对技术分析感兴趣的读者,请访问XLab Blog,上面详细地分享了我们发现&分析旅程。
https://blog.xlab.qianxin.com/uncovering_darkcracks_payload_delivery_framework_cn/
或者点击下方的阅读原文,想了解更多内幕信息的读者,可以给我们留言。
原文始发于微信公众号(奇安信XLab):DarkCracks, 一个利用被黑GLPI, WORDPRESS站点充当中转的高级恶意载荷&升级框架
