谢谢您的关注,祝您生活愉快,事业顺利。
卡巴斯基于昨日发布了一篇关于LuckyMouse组织通过投放使用了深圳联软科技的证书签名的驱动程序,并声称已向CNCERT反馈问题。
被发现的原因是存在未知的木马被注入lsass.exe系统进程中。而经过排查发现是由数字签名的32位和64位网络过滤驱动程序NDISProxy注入的。
以下为基本信息
组织名称:LuckyMouse (APT27、Iron Tiger、EmissaryPanda和Threat Group-3390)
报告披露时间:9月10日
攻击目的:中亚政府
关联事件:
此前针对中亚某事件相关信息
恶意软件:
该组织最新的恶意软件具有3个模块
a.首先一开始是一个安装包,运行后,使用DES解密出NDISProxy驱动程序文件和木马,并为驱动创建Windows自动运行服务,并将异或后的木马添加到系统注册表项。
b.网络过滤驱动程序(NDISProxy),用于解密并将木马注入lsass.exe,过滤端口3389(远程桌面协议,RDP)流量。
c.木马与驱动程序一起工作,并等待来自C2的通信(通过端口3389或443进行通信)
① 安装包关键点
一、安装包一开始是32位程序,会根据系统安装32位或64位驱动,同目录下的load.log会记录所有安装步骤。然后会用DES解密配置文件,配置文件中有一组未使用的端口(HTTP,HTTPS,SMB,POP3S,MSSQL,PPTP和RDP),这一组与[test]字段一起出现,说明软件还处于开发状态,未来也许会再次出现。
二、安装程序会创建信号量(名称取决于配置),Global\Door-ndisproxy-mn
并检查服务(名称还取决于配置)是否已安装ndisproxy-mn。有就写入log中,声明检测到door了
三、
安装程序还解密(使用相同的DES)最后一级木马的shellcode,并将其保存在三个注册表值中,名为xxx0,xxx1,xxx2,密钥为HKLM\SOFTWARE\Classes\32ndisproxy-mn (或 64ndisproxy-mn 【64位系统】)。加密配置在注册表项HKCR\ndisproxy-mn中保存为值filterpd-ndisproxy-mn
安装程序会创建相应的自动启动服务和注册表项。“Altitude”注册表值(minifilter驱动程序的唯一ID)设置为321000,即Windows中的“FSFilter Anti-Virus”:
② NDISProxy驱动,带联软科技签名
驱动首先检查系统版本,然后创建名为
\\Device\\ndisproxy-%s 的设备(%s取决于变种名)以及对应的符号链接\\DosDevices\\Global\\ndisproxy-%s
代码中与下列三个公共库有关系
该驱动会使用硬编码解密注册表(上面提及的注册表)中shellcode,并使用Blackbone注入到lsass.exe中
然后执行下面的操作。
驱动控制码
0x222400 | 在RDP端口3389启动流量过滤 |
0x22240C | 将给定数据注入过滤TCP流。用于与C2的木马通信 |
③ 内存中的C++木马
此RAT由NDISProxy驱动程序从系统注册表解密并注入lsass.exe进程内存。代码以shellcode开头 - 而不是典型的Windows PE头,此恶意软件本身实现了内存映射。
C++类名:
CMFile,CMFile,CMProcess,TFileDownload,TDrive,TProcessInfo,TSock等
该木马使用HTTP Server API在端口443上过滤HTTPS数据包并解析命令
没找见样本不开心,跟原文有偏差,告辞,看原文吧各位,求大佬给个安装包玩玩
相关链接:https://securelist.com/luckymouse-ndisproxy-driver/87914/
公众号仅为转述,如有问题,请看原文。
ioc:
内存中的C++木马
6a352c3e55e8ae5ed39dc1be7fb964b1
安装包
3cbeda2c5ac41cca0b0d60376a2b2511
驱动
Auxiliary Earthworm SOCKS tunneler
(http://rootkiter.com/EarthWorm/)
和Scanline网段扫描
ip:
103.75.190[.]28
信号量
Global\Door-ndisproxy-mn
开启服务
ndisproxy-mn
涉及注册表项
HKLM\SOFTWARE\Classes\32ndisproxy-mn
联软科技证书信息:
请不要将所有该证书签名的产品都当成恶意的,因为有很多合法的软件也是用这个签名。
证书名
ShenZhen LeagSoft Technology Co.,Ltd.
证书序列号
78 62 07 2d dc 75 9e 5f 6a 61 4b e9 b9 3b d5 21
发行方
VeriSign Class 3 Code Signing 2010 CA
到期日
2018-07-19