Backswing——从帽子中拉出一只“坏兔子” - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

Backswing——从帽子中拉出一只“坏兔子” - 行业资讯 - 广州科明大同科技有限公司丨20多年网络安全解决方案经验

行业资讯

您当前所在的位置:首页>>动态资讯>>行业资讯

Backswing——从帽子中拉出一只“坏兔子”

点击数:6982017-10-30 17:01:57 来源:广州科明大同科技有限公司丨20多年网络安全解决方案经验

新闻摘要:2017年10月24日,协调的战略网络妥协开始向不知情的用户分发BADRABBIT ransomware。FireEye设备检测到下载尝试,并阻止我们的用户群感染。在我们调查此活动期间,FireEye发现BADRABBIT重定向站点和托管我们一直跟踪的分析器的站点之间的直接重叠BACKSWING。我们已经确定了51个站点托管BACKSWING和4个确认删除BADRABBIT。在整个2017年,我们观察到两个版本的BACKSWING,并在5月份大幅增加,显然侧重于妥协乌克兰网站。部署模式提出了具有特定区域利

执行摘要

2017年10月24日,协调的战略网络妥协开始向不知情的用户分发BADRABBIT ransomware。FireEye设备检测到下载尝试,并阻止我们的用户群感染。

在我们调查此活动期间,FireEye发现BADRABBIT重定向站点和托管我们一直跟踪的分析器的站点之间的直接重叠BACKSWING。

我们已经确定了51个站点托管BACKSWING和4个确认删除BADRABBIT。在整个2017年,我们观察到两个版本的BACKSWING,

并在5月份大幅增加,显然侧重于妥协乌克兰网站。部署模式提出了具有特定区域利益的战略赞助者的可能性,并提出除经济利益之外的动机。

鉴于许多领域仍然受到BACKSWING的影响,

事件背景

FireEye从10月24日UTC 08:00开始,检测到并阻止了通过下载伪装为Flash Update(install_flash_player.exe)来传播多个客户端的尝试,

该版本提供了可篡改的ransomware变体。用户同时从多个合法站点(例如http://www.mediaport [。] ua / sites / default / files / page-main.js)

重定向到受感染站点,表明协调一致且广泛的战略网络妥协活动。

FireEye网络设备阻止了主要在德国,日本和美国的十几个受害者的感染尝试,直到10月24日UTC UTC时间15:00,感染尝试停止并且攻击者基础设施

 - 包括1dnscontrol [。] com和合法网站流氓代码 - 被离线。

BACKSWING框架可能连接到BADRABBIT活动

战略网络妥协可以有大量的抵押品定位。威胁演员通常将策略性网络妥协与分析恶意软件配对,以针对具体应用程序版本或受害者的系统。

FireEye观察到,BACKSWING是一个恶意的JavaScript分析框架,已被部署到至少54个合法站点,早在2016年9月开始。

其中一小部分后来被用于重定向到BADRABBIT分发URL。

FireEye iSIGHT Intelligence跟踪包含相同功能的两个不同版本的BACKSWING,但其代码样式不同。我们认为BACKSWING是

用于选择当前浏览会话(User-Agent,HTTP Referrer,Cookies和当前域)的属性的通用容器。然后,该信息被中继到“C2”,

有时被称为“接收器”。如果接收器处于联机状态,则服务器向调用者返回唯一的JSON blob,然后由BACKSWING代码解析(图1)。


图1:BACKSWING回复

BACKSWING预期JSON Blob有两个字段,“InjectionType”(预期是一个整数)和“InjectionString”(预期是包含HTML内容的字符串)。

BACKSWING版本1(图2)将“InjectionType”的值显式处理为两个代码路径:

  • 如果InjectionType == 1(将浏览器重定向到URL)
  • 如果InjectionType!= 1(将HTML渲染到DOM中)


图2:后退版本1

在版本2(图3)中,BACKSWING保留类似的逻辑,但是将要严格处理的InjectionString进行泛化,以将回复呈现给DOM。



图3:BACKSWING版本2

版本1:

  • FireEye在2016年晚些时候观察了属于捷克共和国酒店组织的网站的第一版BACKSWING以及黑山的政府网站。
  • 土耳其旅游网站也注入了这个分析器。
  • BACKSWING v1通常以明文方式注入受影响的网站,但随着时间的推移,演员开始使用开源的Dean-Edwards Packer对代码进行模糊处理,
  • 并将其注入受影响网站上的合法JavaScript资源。图4显示了注射含量。
  • 从2017年5月开始,FireEye观察到一些乌克兰网站受到BACKSWING v1的影响,2017年6月开始看到BACKSWING接收机返回的内容。
  • 在2017年6月底,BACKSWING服务器返回了一个具有两个不同标识符的HTML div元素。当解码时,BACKSWING v1在DOM中嵌入两个div元素,
  • 值为07a06a96-3345-43f2-afe1-2a70d951f50a和9b142ec2-1fdb-4790-b48c-ffdf22911104。在这些答复中没有观察到额外的内容。


图4:BACKSWING注射内容

版本2:

  • FireEye观察到BACKSWING v2的最早期是在2017年10月5日发生在以前托管BACKSWING v1的多个网站上
  • BACKSWING v2主要注入受影响网站上托管的合法JavaScript资源; 然而,一些实例被注入到站点的主页中
  • FireEye观察到有限的托管此版本的网站的实例也涉及可疑的BADRABBIT感染链(详见表1)。

恶意分析器允许攻击者在部署有效负载(在这种情况下,BADRABBIT“闪存更新”卸载程序)之前获取有关潜在受害者的更多信息。

虽然FireEye还没有直接观察到BACKSWING提供BADRABBIT,但是在多个网站上观察到BACKSWING被视为将FireEye客户引用到托管BADRABBIT滴管的1dnscontrol [。] com。 

表1突出显示了还用作BADRABBIT有效载荷分发的HTTP引用的BackSWING的合法站点。

妥协网站

BACKSWING接收器

BACKSWING版本

观察到BADRABBIT重定向

blog.fontanka [。] RU

不可用

不可用

1dnscontrol [。] COM

www.aica.co [。] JP

HTTP:[。] //185.149.120 3 / scholargoogle /

V2

1dnscontrol [。] COM

www.fontanka [。] RU

HTTP:[。] //185.149.120 3 / scholargoogle /

V2

1dnscontrol [。] COM

www.mediaport [。] UA

HTTP:[。] //172.97.69 79 / I /

V1

1dnscontrol [。] COM

www.mediaport [。] UA

HTTP:[。] //185.149.120 3 / scholargoogle /

V2

1dnscontrol [。] COM

www.smetkoplan [。] COM

HTTP:[。] //172.97.69 79 / I /

V1

1dnscontrol [。] COM

www.smetkoplan [。] COM

HTTP://38.84.134 15 /核心/发动机/索引/默认的[。]

V1

1dnscontrol [。] COM

www.smetkoplan [。] COM

HTTP:[。] //185.149.120 3 / scholargoogle /

V2

1dnscontrol [。] COM

表1:托管BACKSWING分析程序和重定向用户到BADRABBIT下载站点的站点

表1中列出的受损网站显示了我们观察到BACKSWING的潜在武器化的第一次。FireEye正在跟踪越来越多的合法网站,

同时也支持BACKSWING,强调演员可以在将来的攻击中利用相当大的足迹。表2提供了也受到BACKSWING损害的站点列表

妥协网站

BACKSWING接收器

BACKSWING版本

akvadom.kiev [。] UA

HTTP:[。] //172.97.69 79 / I /

V1

bahmut.com [。] UA

HTTP:[。] // dfkiueswbgfreiwfsd TK / I /

V1

bitte.net [。] UA

HTTP:[。] //172.97.69 79 / I /

V1

余文请参考:https://www.fireeye.com/blog/threat-research/2017/10/backswing-pulling-a-badrabbit-out-of-a-hat.html

【责任编辑:FireEye】(Top) 返回页面顶端
分享到:
0

QQ联系

  • FireEye       QQ
  • SonicWALL QQ
  • 售后服务     QQ