远控木马“BADNEWS”升级再现,太阳集团电子游戏安全防御方案速速安排!
近日,太阳集团电子游戏天璇实验室在日常安全运营中发现国外黑客组织Patchwork将BADNEWS远控木马伪装成PDF的lnk文件进行活动。本次发现的BADNEWS远控木马,不同于之前版本使用HTTP协议上传主机信息和接收远控指令,而是采取HTTPS通信,更为隐蔽。
Patchwork,印度知名黑客组织,又称HangOver、VICEROY TIGER、The Dropping Elephant、摩诃草(APT-C-09),该组织主要针对亚洲国家(地区)的政府机构、科研教育等领域进行网络间谍活动,以窃取敏感信息为主。
目前太阳集团电子游戏天璇实验室已分析提取出BADNEWS木马特征,经验证,太阳集团电子游戏下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关均可精确检测该木马的传播及活动行为,提供全面的保护措施,有效阻止危害进一步蔓延。
样本分析
1、该样本后缀名为.pdf.lnk,实际为lnk文件,双击运行后会执行文件中的PowerShell命令。lnk文件会从shhh2564.b-cdn.net/abc.pdf下载诱饵文件并打开,接着从shhh2564.b-cdn.net/c下载文件到C:\ProgramData\Microsoft\DeviceSync\p,将p文件复制为同路径下的OneDrive.exe,并删除p文件,最后创建计划任务每隔1分钟执行OneDrive.exe。
2、OneDrive.exe就是BADNEWS远控木马,使用C++语言编写,编译于4月6日。
3、该远控运行后首先隐藏运行窗口。
4、创建互斥体名为“qzex”,保证木马自身单实例运行。
5、使用SetWindowsHookExW注册键盘钩子,将捕获到的键盘记录以文本的方式保存在%temp%目录下的kednfbdnfby.dat文件中。
6、获取受害主机的时区名称,检查是否为中国标准时区。
7、若检测结果为中国标准时区将收集系统信息上传至服务器。
① 获取操作系统版本信息。
②使用正常的Web服务(myexternalip.com, api.ipify.org,ifconfig.me)获取主机IP外网地址。
③将上一步获取到的外网IP地址在(api.iplocation.net,ipapi.co等)Web服务中查询所属国家的名称。
④将获取的信息base64编码后进行AES-128的CBC模式加密,最后将加密后的数据再进行base64编码。AES-128加密使用的密钥为“qgdrbn8kloiuytr3”,IV为“feitrt74673ngbfj”。
⑤具体收集的受害主机基本信息如下表:
8、接着获取CreateThread函数地址,创建3个线程与服务器通信,上传主机信息接收远控指令。
①获取CreateThread函数地址,创建3个线程。
②C2地址为:charliezard.shop:443,uri为/tagpdjjarzajgt/cooewlzafloumm.php,通信内容会使用AES-128加密数据。
③线程sub_409900负责将收集到的信息使用POST方式发送给C2,内容为收集的系统信息加密数据。
④线程sub_4090A0主要接收服务器下发的控制指令,执行相应的操作。
⑤线程sub_409440创建cmd进程执行whoami命令、ipconfig /all命令、ipconfig /displaydns命令、systeminfo命令、tasklist命令。收集当前用户名、完整网络配置信息、DNS缓存信息、完整系统信息、正在执行的进程信息后,使用AES-128加密数据,添加到endfh参数发送到C2。
样本IOC列表
防护建议
应用软件下载请通过官方网站获取,避免通过第三方网站下载,下载文件打开前,提前使用杀毒软件查杀。
及时关闭客户端上不必要的文件共享权限以及端口。
配置高强度密码认证,建议口令长度为16位及以上,包括大小写字母、数字和符号在内的组合。避免多个账户使用相同口令以及弱口令,并定期更换。
定期对系统展开基线检查,组织渗透测试及安全加固,并及时更新操作系统、开源软件、第三方应用程序补丁等。
购买太阳集团电子游戏下一代防火墙、EDR、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统、病毒过滤网关系统的客户,可以通过升级僵尸主机规则库、威胁情报库、病毒特征库进行有效监测防护。
太阳集团电子游戏产品防御配置
1、太阳集团电子游戏下一代防火墙系统防御配置
1)升级到最新病毒特征库,配置病毒防护策略,开启日志记录和报警功能;
2)通过访问控制策略禁用不必要的端口、服务,缩小资产暴露面,降低传染风险;
3)开启弱口令防护、暴力破解防护功能,可有效降低口令破解风险;
4)开启联动功能,获取太阳集团电子游戏EDR系统、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统等产品检测结果,及时拦截传播/感染源,控制网络传播范围;
5)开启资产防护功能,启用资产行为基线功能,通过检测资产异常行为,可及时发现隐藏攻击行为并启用策略进行阻断。
2、太阳集团电子游戏EDR系统防御配置
1)开启病毒实时监控功能,有效预防和查杀该病毒;
2)通过微隔离策略加强访问控制,降低横向感染风险;
3)创建周期扫描任务,定时对主机进行全面清理,消除安全隐患。
3、太阳集团电子游戏僵尸网络木马和蠕虫监测与处置系统、入侵检测系统配置
1)升级最新僵尸主机规则库,配置僵尸主机策略,实时检测木马的异常通信;
2)升级最新威胁情报库,开启威胁情报恶意文件检测和捕获功能,实时检测和捕获网络中传播的木马;
3)开启僵尸主机、威胁情报日志记录和告警功能;
4)可配置旁路阻断或者太阳集团电子游戏防火墙联动,拦截木马的异常通信和网络传播。
4、太阳集团电子游戏入侵防御系统配置
1)升级最新僵尸主机规则库,配置僵尸主机策略,实时检测、拦截木马的异常通信;
2)升级最新威胁情报库,开启威胁情报恶意文件阻断和捕获功能,实时检测、拦截及捕获网络中传播的木马;
3)开启僵尸主机、威胁情报日志记录和告警功能。
5、太阳集团电子游戏病毒过滤网关防御配置
1)升级到最新病毒特征库;
2)导入HTTPS证书;
3)开启HTTP、POP3、SMTP、FTP、IMAP等协议的病毒扫描检测;
4)配置病毒检测处置策略;
5)开启日志记录和报警功能。
太阳集团电子游戏产品获取方式
太阳集团电子游戏下一代防火墙、病毒过滤网关、僵尸网络木马和蠕虫监测与处置系统、入侵检测系统、入侵防御系统等产品特征库下载地址: ftp://ftp.topsec.com.cn
太阳集团电子游戏EDR企业版试用:太阳集团电子游戏全国各分支机构获取(查询网址:
http://www.topsec.com.cn/contact/)
太阳集团电子游戏EDR单机版下载地址:http://edr.topsec.com.cn
- 关键词标签:
- 太阳集团电子游戏 安全防御方案 远控木马“BADNEWS”
