多国黑客组织利用关键漏洞部署恶意软件的技术分析

美国CISA发布的恶意软件分析报告,详细披露了多国黑客组织利用CVE-2022-47966和CVE-2022-42475漏洞的攻击活动,包含Meterpreter木马、ASPX网页后门的详细技术指标和检测规则。

MAR-10430311-1.v1 多国黑客组织利用CVE-2022-47966和CVE-2022-42475

发布日期:2023年9月7日
警报代码:AR23-250A

通知声明

本报告"按原样"提供,仅用于信息目的。国土安全部(DHS)对此处包含的任何信息不作任何明示或暗示的保证。DHS不认可本公告中引用的任何商业产品或服务。

本文档标记为TLP:CLEAR——接收方可无限制共享此信息。

摘要

描述

CISA从航空部门组织的事件响应活动中收到4个文件进行分析:

  • 2个文件(bitmap.exe、wkHPd.exe)被识别为Metasploit(Meterpreter)的变体,设计用于从其各自的命令与控制(C2)服务器连接并接收未加密的有效负载。
  • 2个文件(resource.aspx、ConfigLogin.aspx)是Active Server Pages(ASPX)网页后门,设计用于在受害服务器上执行远程JavaScript代码。

CISA在本恶意软件分析报告(MAR)中提供了入侵指标(IOCs)和用于检测的YARA规则。

提交的文件(4个)

334c2d0af191ed96b15095a4a098c400f2c0ce6b9c66d1800f6b74554d59ff4b (bitmap.exe)
47dacb8f0b157355a4fd59ccbac1c59b8268fe84f3b8a462378b064333920622 (resource.aspx)
6dcc7b5e913154abac69687fcfb6a58ac66ec9b8cc7de7afd8832a9066b7bdde (ConfigLogin.aspx)
79a9136eedbf8288ad7357ddaea3a3cd1a57b7c6f82adffd5a9540e1623bfb63 (wkHPd.exe)

IP地址(2个)

108[.]62[.]118[.]160
179[.]60[.]147[.]4

分析发现

334c2d0af191ed96b15095a4a098c400f2c0ce6b9c66d1800f6b74554d59ff4b

标签:downloader, obfuscated, trojan

详细信息

  • 名称:bitmap.exe
  • 大小:7168字节
  • 类型:PE32+ executable (GUI) x86-64, for MS Windows
  • MD5:b8967a33e6c1aee7682810b6b994b991
  • SHA256:334c2d0af191ed96b15095a4a098c400f2c0ce6b9c66d1800f6b74554d59ff4b

杀毒软件检测结果

  • AhnLab:Trojan/Win64.Shelma
  • Bitdefender:Trojan.Metasploit.A
  • ESET:a variant of Win64/Rozena.M trojan
  • McAfee:Trojan-FJIN!B8967A33E6C1

YARA检测规则

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

rule CISA_10430311_01 : METERPRETER trojan downloader{
   meta:
      author = "CISA Code & Media Analysis"
      incident = "10430311"
      date = "2023-03-03"
      last_modified = "20230404_1200"
      actor = "n/a"
      family = "METERPRETER"
      Capabilities = "n/a"
      Malware_Type = "trojan downloader"
      Tool_Type = "n/a"
      description = "Detects trojan downloader samples"
      sha256_1 = "334c2d0af191ed96b15095a4a098c400f2c0ce6b9c66d1800f6b74554d59ff4b"
   strings:
      $s1 = { 49 be 77 73 32 5f 33 32 }
      $s2 = { 49 89 e6 48 81 ec a0 01 }
      $s3 = { 49 bc 02 00 e5 6b b3 3c 93 04 }
      $s4 = { 41 ba 4c 77 26 07 ff d5 }
      $s5 = { 41 ba ea 0f df e0 ff d5 }
      $s6 = { 41 ba 99 a5 74 61 ff d5 }
      $s7 = { 41 ba 02 d9 c8 5f ff d5 }
      $s8 = { 41 ba 58 a4 53 e5 ff d5 }
   condition:
      all of them
}

描述: 此文件是一个恶意的Windows可执行文件。该文件设计用于连接到远程IP地址"179[.]60[.]147[.]4"的TCP端口58731并等待响应。来自远程服务器的响应有效负载未加密,将在内存中执行。

179[.]60[.]147[.]4

标签:command-and-control

端口:58731 TCP

WHOIS信息

  • 所有者:Cloud Solutions S.A.
  • 国家:VE(委内瑞拉)
  • 注册日期:2022年3月1日

描述:恶意软件C2服务器IP地址。

79a9136eedbf8288ad7357ddaea3a3cd1a57b7c6f82adffd5a9540e1623bfb63

标签:obfuscated, trojan

详细信息

  • 名称:wkHPd.exe
  • 大小:7168字节
  • 类型:PE32+ executable (GUI) x86-64, for MS Windows
  • MD5:76adb0e36aac40cae0ebeb9f4bd38b52
  • SHA256:79a9136eedbf8288ad7357ddaea3a3cd1a57b7c6f82adffd5a9540e1623bfb63

描述: 此文件是一个恶意的64位Windows可执行文件,已被识别为Metasploit Meterpreter应用程序的变体。该文件设计用于连接到远程IP地址108[.]62[.]118[.]160。

108[.]62[.]118[.]160

标签:command-and-control

WHOIS信息

  • 组织:Leaseweb USA, Inc.
  • 国家:US(美国)
  • 注册日期:2010年12月13日

描述:恶意软件尝试连接到此IP地址。

47dacb8f0b157355a4fd59ccbac1c59b8268fe84f3b8a462378b064333920622

标签:backdoor, webshell

详细信息

  • 名称:resource.aspx
  • 大小:175字节
  • 类型:ASCII text, with no line terminators
  • MD5:1a0e111e60e543810423ef073b545c77
  • SHA256:47dacb8f0b157355a4fd59ccbac1c59b8268fe84f3b8a462378b064333920622

描述: 此文件是一个ASPX网页后门,设计用于在系统上执行远程JavaScript代码。攻击者必须使用密钥"OWAwebconfig"向网页后门客户端进行身份验证,然后才能执行远程代码。“unsafe"上下文关键字被故意混淆以绕过安全协议。

6dcc7b5e913154abac69687fcfb6a58ac66ec9b8cc7de7afd8832a9066b7bdde

标签:backdoor, webshell

详细信息

  • 名称:ConfigLogin.aspx
  • 大小:169字节
  • 类型:ASCII text, with no line terminators
  • MD5:a33354d598b58f2e55eb3619c3465f24
  • SHA256:6dcc7b5e913154abac69687fcfb6a58ac66ec9b8cc7de7afd8832a9066b7bdde

描述: 此文件是一个ASPX网页后门,设计用于在系统上执行远程JavaScript代码。攻击者必须使用密钥"TUCSON"向网页后门客户端进行身份验证,然后才能执行远程代码。“unsafe"上下文关键字被故意混淆以绕过安全协议。

关系摘要

  • bitmap.exe 连接到 179[.]60[.]147[.]4
  • 179[.]60[.]147[.]4 被 bitmap.exe 连接
  • wkHPd.exe 连接到 108[.]62[.]118[.]160
  • 108[.]62[.]118[.]160 被 wkHPd.exe 连接

防护建议

CISA建议用户和管理员考虑使用以下最佳实践来加强其组织系统的安全状况:

  1. 保持最新的防病毒签名和引擎
  2. 保持操作系统补丁最新
  3. 禁用文件和打印机共享服务
  4. 限制用户安装和运行不需要的软件应用程序的权限
  5. 强制执行强密码策略并实施定期密码更改
  6. 打开电子邮件附件时要小心谨慎
  7. 在机构工作站上启用个人防火墙
  8. 禁用机构工作站和服务器上不必要的服务
  9. 扫描并删除可疑的电子邮件附件
  10. 监控用户的网页浏览习惯
  11. 使用可移动媒体时要小心谨慎
  12. 在执行前扫描从Internet下载的所有软件
  13. 保持对最新威胁的情境感知并实施适当的访问控制列表(ACL)

有关恶意软件事件预防和处理的更多信息,请参阅NIST特别出版物800-83"桌面和笔记本电脑恶意软件事件预防和处理指南”。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次