IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

分析alienSpy payload

发布时间:2015-08-20 10:13文章来源:未知文章作者: IT学习网点击次数:
最近,有媒体报道发现与Alberto Nisman(神秘死亡的阿根廷检察官)案件有关的针对性网络攻击。据阿根廷媒体称,在他的手机中找到了一个名为Estrictamente Secreto y Confidencial.pdf.jar的文件,同时,该文件实际上还以同名文件上传到了VirusTotal[2]。 这个文件

http://p2.qhimg.com/t01a1be953a78295850.png

最近,有媒体报道发现与Alberto Nisman(神秘死亡的阿根廷检察官)案件有关的针对性网络攻击。据阿根廷媒体称,在他的手机中找到了一个名为Estrictamente Secreto y Confidencial.pdf.jar的文件,同时,该文件实际上还以同名文件上传到了VirusTotal[2]。 这个文件的上传地址位于阿根廷境内,上传时间标记为“2015-05-29 18:48:24”。 这是一个JAR(Java归档)格式的文件,实际上是AlienSpy远控木马的一个变种。

AlienSpy RAT可以支持多种平台,其有效荷载可以根据Windows、Linux、Mac OS X及Android操作系统专门定制。但是,与流行的报道不同的是,这个JAR文件可能并非用于该检察官Android手机的有效荷载。 安卓有效载荷通常是APK(Android应用程序包)文件或编译为ARM处理器机器码的本地二进制文件。尽管技术上可行,但是,若想让JAR格式的有效载荷在没有Java虚拟引擎上的Android操作系统上运行绝非易事。 相反,更可能的情况是,这个文件是设计用来加载到桌面环境使用的有效荷载,不过由于疏忽而下载到了Android手机上面,比如通过电子邮件或其他方式。

为此,Proofpoint的威胁分析人员专门复制了该有效荷载,并进行了深入的分析研究,本文将对其分析过程进行详细阐述。关于AlienSpyRAT的分析,之前已经有过多篇分析文档[3][4],其解码程序和配置提取程序的文章,见[5][6]。 因此,本文将重点介绍AlienSpy之前的文献中没有被深入分析过的方面。

技术分析

现实中发现的AlienSpy的有效荷载,通常都是经过Allatori(一种用于Java代码的商业混淆工具,用于打乱代码,令其难以辨认,从而达到逃避检测的目的)混淆处理了的。然而,这个有效荷载又另外附加了一个混淆层,跟最近发现的AlienSpy有效荷载不太一样。 这个有效荷载的最外层的文件结构如图1所示。

http://p6.qhimg.com/t01d8f935fc1357a074.png

图1:JAR有效荷载最外层的文件结构

需要注意的是,这里有一个非常大的Favicon.ico文件,这在JAR归档中是不太常见的。观察代码可以发现,它非常简洁,因为它实际上是一个嵌入式的JAR文件,可以根据需要加载并运行。 该文件的内容是通过getResourceAsStream()方法进行加载的,然后存放到一个临时路径中,接着利用java –jar payload.jar命令运行该文件。

http://p2.qhimg.com/t0105a437926e6b3bbc.png

图2:从Favicon.ico文件中解包后得到的JAR文件代码

这个JAR文件解包并加载后,会看到一个用Allatori混淆过的文件中一个常见的结构。(图 3)Allatori既可以对类和变量名进行混淆处理,使其难以阅读,也可以对混淆处理后的代码进行解码,恢复成原来的有效荷载。

此外,在这个JAR归档中,还有一个名为Estrictamente Secreto y Confidencial.pdf的嵌入式PDF文件,如图3所示。这个PDF文档实际上是一个诱饵,该文件一打开就会执行AlienSpy的有效荷载,尽管它是一个空文件。

http://p6.qhimg.com/t01220bc74d3f1cc38e.png

图3:使用Allatori混淆后的嵌入式JAR归档的结构

本文中,我们会以Allatori v5.1为例进行相应的说明。此外,这个有效荷载还使用RC4加密方案进行了加密处理。 (图4)我们认为它使用RC4的第一条线索是,长度为256字节的数组是利用位置值0-255(0x00-0xFF)来初始化的。 同时,该数组随后通过存储在变量iiIIIIIiII4中的密钥进行加密。 这个256字节的数组在RC4加密方案中的作用就是一个置换盒或Sbox。

http://p7.qhimg.com/t010429f3b8b35a12c2.png

图4:用于解码最终AlienSpy有效荷载的RC4加密方案

RC4密钥是由动态和静态字符串组成的。其中,静态的字符串是硬编码在代码中的,其值为“H3SUW7E82IKQK2J2J2IISIS”。 这个字符串的动态部分,是一个8字节的值,需要从资源中名为ID的对象中提取。 这个密钥的动态部分,是根据有效荷载的构建时间随机产生的;在结合使用RC4的情况下,它在这里的值为“oVs0Jp7kH3SUW7E82IKQK2J2J2IISIS”。 现实中发现的样本里,我们发现AlienSpy也使用其他不同的静态密钥。

一旦下列文件结构被解密,并出现在最终解密的AlienSpy JAR 有效荷载中,就能看到各种各样的功能代码。这些功能可以通过辅助插件来进一步进行扩展,而攻击者则可以根据需要选择将哪些辅助插件下载到受害者的机器上面。

http://p3.qhimg.com/t01f2b75be8d0837f38.png

图5:有效荷载最终解密后的结构

AlienSpy RAT在攻击者的手中,会变成一款强大的武器,它提供的主要功能包括:

收集系统信息进行踩点,并将信息显示在攻击者的控制面板上。

 查看和修改文件系统、进程和注册表

运行控制台命令

通过记录击键来窃取用户输入。

下载执行辅助有效荷载。

窃取各种浏览器存储的证书。

通过屏幕截图、网络摄像头、麦克风监视受害者。

利用远程桌面来感染客户机器。

数字货币挖矿,例如bitcoin、litecoin、dogecoin等等。


图5展示了解密的结构中看到的config.xml文件,其中存放了RAT的配置,提取配置的方法如下所示:

 

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE properties SYSTEM "http://java.sun.com/dtd/properties.dtd">
<properties>
<comment>AlienSpy</comment>
<entry key="pluginfolder">cOzdAJCuee</entry>
<entry key="reconnetion_time">3000</entry>
<entry key="ps_hacker">false</entry>
<entry key="restore_system">false</entry>
<entry key="pluginfoldername">cOzdAJCuee</entry>
<entry key="dns">deyrep24.ddns.net</entry>
<entry key="install_time">3000</entry>
<entry key="port2">1040</entry>
<entry key="port1">1030</entry>
<entry key="taskmgr">false</entry>
<entry key="vmware">true</entry>
<entry key="jarname">documentos</entry>
<entry key="msconfig">false</entry>
<entry key="mutex">wMiSl1X1o423a2hh45Uifk8duasdf2S</entry>
<entry key="install">true</entry>
<entry key="instalar">true</entry>
<entry key="vbox">true</entry>
<entry key="password">ca19d6a81d35685b87547898c5e000a5fc9be554</entry>
<entry key="NAME">Localhost</entry>
<entry key="extensionname">jHs</entry>
<entry key="prefix">officce</entry>
<entry key="jarfoldername">0o86gb96</entry>
<entry key="uac">false</entry>
<entry key="win_defender">false</entry>
<entry key="connetion_time">3000</entry>
<entry key="folder">0o86gb96</entry>
<entry key="jar">documentos</entry>
<entry key="pluginextension">jHs</entry>
<entry key="registry">389032</entry>
<entry key="ps_explorer">false</entry>
<entry key="p2">1040</entry>
<entry key="p1">1030</entry>
<entry key="registryname">389032</entry>
<entry key="wireshark">false</entry>
<entry key="desktop">true</entry>
<entry key="nickname">officce</entry>
</properties>

这个配置中存放了各种具体设置参数,如需要连接的远程服务器以及端口,安装路径,VM以及安全工具检测,等等。有趣的是,在这些设置中,有一些西班牙语字符串,例如documentos,这意味着攻击者可能是西班牙人。

AlienSpy RAT会通过连接口令对远程命令和控制服务器进行身份验证。就本例而言,这个连接口令位于该配置中,其值为ca19d6a81d35685b87547898c5e000a5fc9be554。  这个值,实际上就是字符串“7854”的SHA1哈希值。  这个口令对于攻击者的意义不得而知,但是,它可以作为对未来的攻击的参考,因为攻击者往往习惯于重用各种设置。

事件时间表

这个样本的研究时间线是根据文件中发现的时间戳来组织的,但是有经验的攻击者是能够修改这些数字时间戳的。

http://p4.qhimg.com/t01f37a7c4f6b2a0e8c.png

小结

在数字世界中的攻击往往与现实世界中正在发生的热点事件紧密相关。虽然尚不清楚本文介绍的攻击负载是否与Alberto Nisman案件有关,但通过对有效载荷分析我们发现,这个恶意软件有效荷载提供的功能是非常有威力的。 AlienSpy之类的RATs一般都会提供强大的监控工具,使其能够观察和收集对手的通讯和活动,因此,这无论对国家行为者或罪犯来说都具有强大的吸引力。根据我们的观察,传统针对国家行为者和罪犯已经出现“交叉”,因此公共和私人组织需要提防用来将AlienSpy之类RAT投递到桌面系统的网络钓鱼和其他攻击行为。

有效荷载的哈希值:

aa9aa05af8df2cc99eb936e2d17623a68abdbb60606bb097379457c4a376011

参考资料:

[1] http://motherboard.vice.com/read/malware-hunter-finds-spyware-used-against-dead-argentine-prosecuto

[2] https://www.virustotal.com/en/file/aa9aa05af8df2cc99eb936e2d17623a68abdbb60606bb097379457c4a3760116/analysis

[3] http://blog.idiom.ca/2015/03/AlienSpy-java-rat-overview.htm

[4] http://www.fidelissecurity.com/sites/default/files/FTA_1015_AlienSpy_FINAL.pd

[5] https://github.com/idiom/IRScripts/blob/master/AlienSpy-decrypt-v2.p

[6] https://github.com/kevthehermit/RATDecoders/blob/master/AlienSpy.py

 

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://www.proofpoint.com/us/threat-insight/post/You-Dirty-RAT


分析alienSpy payload
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/others/jiami/24132.html

标签分类:

上一篇:上一篇:一个严重Wordpress 0 day漏洞的逆向工程分析
下一篇: 下一篇:BGP劫持综述
无觅关联推荐,快速提升流量