SLUB最新变种分析：仅靠 Slack进行C2通信

4个月之前，研究人员发现一起使用一款新出现的恶意软件SLUB的攻击活动。SLUB利用CVE-2018-8174 VBScript引擎漏洞来进行传播，使用GitHub和Slack作为恶意软件与控制器和控制器之间的通信工具。

7月9日，研究人员发现一个新的SLUB变种通过了一个水坑网站进行传播。该恶意站点使用了IE 漏洞CVE-2019-0752。这是研究人员从4月开始发现该漏洞之后首次发现在野漏洞利用。

新版本的SLUB恶意软件已经不再使用GitHub来进行通信，而是使用Slack。Slack是一个协作的消息系统，用户可以通过频道（channel）来创建自己的工作空间。研究人员发现这些传播SLUB恶意软件的站点都与朝鲜政府有关。

感染链

SLUB恶意软件是通过注入了CVE-2018-8174或CVE-2019-0752漏洞利用的水坑站点来传播的。如果受害者使用未修复漏洞的IE浏览器访问该站点就会感染SLUB加载器。

下面是漏洞利用脚本执行加载器的步骤。感染链与之前SLUB相似，但该版本使用不同的技术来绕过AV检测和机器学习算法：

· 打开PowerShell作为传播机制，其中含有隐藏的WindowStyle和混淆方法。

· 使用Rundll32来调用从水坑站点下载的伪装为C++运行态名的恶意DLL（伪装为mfcm14u.dll）。

· 恶意DLL根据Windows Naming Convention应用导出标志，并使用真实的Windows API名：AfxmReleaseManagedReferences。注意：使用Windows命名规则可以帮助攻击者绕过机器学习算法。 

图1. 下载和启动SLUB loader的 PowerShell脚本

PowerShell脚本会查看系统的架构来检查应该下载哪个DLL文件。下载的恶意DLL文件就是SLUB Loader。对x86系统来说，会下载32位的SLUB Loader和CVE-2019-0808漏洞利用。对x64系统来说，会下载64位的SLUB Loader和CVE-2019-0803漏洞利用。下载的漏洞利用的作用就是为了在Windows系统中进行全新提升。然后，loader会检查系统的架构来决定要下载和使用x86还是x64版本的SLUB恶意软件来感染受害者。

所有的漏洞利用、加载器和SLUB恶意软件都直接保存在水坑站点上。PHP大马

图2. SLUB恶意软件感染链

图3. SLUB恶意软件感染链流量模型

后门

自上次分析SLUB恶意软件之后，该后门做了一些更新和改进。最明显的变化是完全采用Slack来组织受害者机器和发布命令。下面是一些具体的变化，包括：

· 不再使用Github

· 运营者创建Slack workspace

· 每个受感染的机器都会加入该workspace，并且在workspace中创建一个名为<use_name>-<pc_name>的独立信道

· C2通信只使用Slack信道，如果运营者想要在受感染的机器上执行命令，就要特定受害者信道中插入消息

· 受害者读取特定信道的消息，并对消息进行分析，然后执行请求的命令

除了这些变化外，研究人员还发现了2个Slack token中发现的新消息（硬编码在二进制文件中）。天天好彩

这些token用来向slack API查询一些元数据信息，比如team info、用户列表、信道列表等。通过进一步调查研究人员发现用用户将workspace的时区设置为了韩国标准时间。

在检查token response header时，研究人员看到OAuth范围有一些不同：

C&C token:

Notify token:

 

C&C token在OAuth scope中含有admin，允许它管理workspace。

如果操作者需要修改这些token，可以更新toni132[.]pen[.]io页面的内容。Web页面的源码会分析特定的关键词：HELLO^, WHAT^, !!!。

如果找到关键词，就会token进行分析和更新：

C2通信

通信流程如下：如果运营者想要发送命令给受害者，就要发布一条消息到特定信道上。消息的text值指定了要执行的命令。

下面的例子说明了截图的capture命令：

在给定目录中列出命令：

列出受害者桌面的所有文件的命令：

然后受害者机器会读取命令并执行，然后上传截图和分享该链接的文件作为响应。注意upload的值被设置为true。

 

其他支持的命令还有exec, dnexec, capture, file, drive, reg和tmout，这与之前分析的SLUB是相似的。在运行命令时，命令运行的结果会上传到file.io。

在攻击过程中，研究人员发现SLUB恶意软件使用了2个Slack组sales-yww9809和marketing-pwx7789。Workspace的创建时间未知。在组sales-yww9809中，含有2个用户，Lomin (lomio8158@cumallover[.]me)和Yolo (yolo1617@cumallover[.]me)，创建时间都是2019年5月23日。Lomin的timezone设置为GMT时间，Yolo的timezone设置为韩国标准时间。marketing-pwx7789组中有2个用户Boshe (boshe3143@firemail[.]cc)和Forth (misforth87u@cock[.]lu)，创建时间都是2019年4月17日。Boshe timezone设置为GMT时间，Forth的timezone设置为韩国标准时间。

这些邮件地址都使用免费的加密邮件服务，无法根据用户名找出更多信息。

结论

使用Slack, cock.li, pen.io这样的在线服务使研究人员很难追踪攻击者。研究人员没有发现其他变种，也没有发现该攻击者进行的其他攻击活动。该攻击活动的目标是访问水坑站点的特定用户。为了应对此次攻击事件，Slack回应称会未被黑，但是会防止平台被滥用来进行恶意行为。