这个新的网络间谍组织主要集中在亚洲,使用无证工具,包括从 PNG 文件中隐写提取 PowerShell 有效载荷
ESET 研究人员最近发现了针对主要在亚洲的各种知名公司和地方政府使用未记录工具的针对性攻击。 这些攻击是由一个以前未知的间谍组织实施的,我们将其命名为 Worok,该组织至少自 2020 年以来一直处于活动状态。Worok 的工具集包括一个 C++ 加载程序 CLRLoad、一个 PowerShell 后门 PowHeartBeat 和一个 C# 加载程序 PNGLoad,它使用隐写术来提取隐藏的恶意软件来自 PNG 文件的有效负载。
沃克是谁?
在 ProxyShell (CVE-2021-34523) 漏洞披露在 2021 年初,我们观察到 来自不同 APT 小组的活动. 一种表现出与 TA428:
- 活动时间
- 目标行业
- ShadowPad的使用
工具集的其余部分非常不同:例如,TA428 参与了 能够桌面妥协 在 2020 年。我们认为链接不够强,无法将 Worok 视为与 TA428 相同的组,但两个组可能共享工具并有共同的兴趣。 我们决定创建一个集群并将其命名为 Workok。 该名称是在该组使用的加载程序中的互斥锁之后选择的。 然后将使用相同工具变体的进一步活动与该组相关联。 根据 ESET 的遥测数据,Worok 自 2020 年底以来一直处于活跃状态,并在撰写本文时继续活跃。
早在 2020 年底,Worok 就瞄准了多个国家的政府和公司,具体来说:
- 东亚某电信公司
- 中亚的一家银行
- 东南亚某海运业公司
- 中东的一个政府实体
- 南部非洲的一家私营公司
从 2021 年 05 月到 2022 年 01 月,观察到的操作出现了显着中断,但 Worok 活动在 2022 年 02 月恢复,目标是:
- 中亚的一家能源公司
- 东南亚公共部门实体
图 1 显示了目标区域和垂直方向的可视化热图。
考虑到目标的个人资料和我们看到的针对这些受害者部署的工具,我们认为 Worok 的主要目标是窃取信息。
技术分析
虽然大多数初始访问是未知的,但在某些情况下,到 2021 年和 2022 年,我们已经看到了针对 ProxyShell 漏洞的利用。 在这种情况下,通常会在利用这些漏洞后上传 webshell,以便在受害者的网络中提供持久性。 然后操作员使用各种植入物来获得进一步的能力。
一旦获得访问权限,操作员就会部署多种公开可用的侦察工具,包括 Mimikatz, 蚯蚓, 乔治及 NBT扫描,然后部署他们的自定义植入程序:第一阶段加载程序,然后是第二阶段 .NET 加载程序 (PNGLoad)。 不幸的是,我们无法检索任何最终的有效载荷。 在 2021 年,第一阶段加载程序是一个 CLR 程序集 (CLRLoad),而在 2022 年,它在大多数情况下已被一个功能齐全的 PowerShell 后门 (PowHeartBeat) 所取代——这两个执行链都如图 2 所示。这三个工具将在以下小节中详细描述。
图 2. 工作妥协链
CLRLoad:CLR 程序集加载器
CLRLoad 是我们在 32 位和 64 位版本中看到的通用 Windows PE。 它是一个用C++编写的加载器,用于加载下一个阶段(PNGLoad),它必须是一个 公共语言运行时 (CLR) 程序集 DLL 文件。 该代码是从位于磁盘上合法目录中的文件加载的,可能是为了误导受害者或事件响应者认为它是合法软件。
一些 CLRLoad 示例首先解码文件的完整路径,它们将在下一阶段加载其内容。 这些文件路径使用单字节 XOR 编码,每个样本中都有不同的密钥。 解码或明文,这些文件路径是绝对的,以下是我们遇到的:
- C:程序文件VMwareVMware ToolsVMware VGAuthxsec_1_5.dll
- C:程序文件UltraViewermsvbvm80.dll
- C:Program FilesInternet ExplorerJsprofile.dll
- C:程序文件WinRarRarExtMgt.dll
- C:Program Files (x86)福昕软件Foxit Readerlucenelib.dll
接下来,创建一个互斥体,我们在每个样本中都看到了不同的名称。 加载器检查这个互斥锁; 如果找到,则退出,因为加载程序已经在运行。 在其中一个示例中,互斥锁 Wo0r0KGWhYGO 遇到了,这使该组的名称为 Worok。
CLRLoad 然后从可能已解码的文件路径加载 CLR 程序集。 作为非托管代码,CLRLoad 通过 CorBindToRuntimeEx 32 位变体中的 Windows API 调用,或 CLR创建实例 调用 64 位变体。
PowHeartBeat:PowerShell 后门
PowHeartBeat 是一个用 PowerShell 编写的全功能后门,使用各种技术(如压缩、编码和加密)进行混淆处理。 基于 ESET 遥测,我们认为 PowHeartBeat 在最近的 Worok 活动中取代了 CLRLoad 作为用于启动 PNGLoad 的工具。
后门代码的第一层由多块 base64 编码的 PowerShell 代码组成。 一旦有效载荷被重建,它就会通过 IEX. 解码后,将执行另一层混淆代码,我们可以在图 3 中看到。
图3. PowHeartBeat第二层解码主函数摘录
后门的第二层首先base64解码其代码的下一层,然后用 三重DES (CBC 模式)。 解密后,使用以下代码解压缩此代码 GZIP 算法,从而给出了第三层 PowerShell 代码,也就是实际的后门。 它分为两个主要部分:配置和处理后门命令。
后门代码的主要层也是用 PowerShell 编写的,并使用 HTTP 或 ICMP 与 C&C 服务器进行通信。 它的工作原理如图 4 所示。
图 4. PowHeartBeat 的功能
配置
该配置包含多个字段,包括版本号、可选代理配置和 C&C 地址。 表 1 描述了我们观察到的不同版本中配置字段的含义。
表 1. 配置字段含义
| 字段名称 | 产品描述 |
|---|---|
| 鼻子 / ikuyrtydyfg (其他样品) |
没用过。 |
| 客户编号 | 客户端标识符,用于以下目的: · 作为构造时的值 曲奇头 用于 C&C 通信。 · 作为发送数据加密的加密神器。 |
| 版本 | PowHeartBeat 的版本号。 |
| 执行时间 | 发出 a 时允许的执行尝试次数 运行命令 (命令运行)命令。 |
| 用户代理 | 用于 C&C 通信的用户代理。 |
| 引用者 | 引用者 用于 C&C 通信的标头。 |
| 接受编码 | 没用过。 |
| Cookie客户端ID Cookie任务ID Cookie 终端 ID |
用于构造的值 Cookies C&C 通信的标头。 |
| 网址Https | 用于 C&C 通信的协议。 |
| 网址域 IP地址 域名 |
用作 C&C 服务器的 URL、域或 IP 地址。 如果 域名 不是空的,它被选择而不是 IP地址。 在其他情况下, IP地址 被采取。 |
| 网址发送心跳 | 后门向 C&C 服务器请求命令时使用的 URL 路径。 |
| 网址发送结果 | 后门将命令结果发送回 C&C 服务器时使用的 URL 路径。 |
| 获取网址 | 完整的 URL,由 PowHeartBeat 用于从 C&C 服务器请求命令。 它是上面 URL 元素的串联。 |
| 放置网址 | 与...一样 获取网址 但用于将命令的结果发送回 C&C 服务器。 |
| 当前路径 | 没用过。 |
| 代理启用标志 | 指示后门是否必须使用代理才能与 C&C 服务器通信的标志。 |
| 代理消息 | 要使用的代理的地址 if 代理启用标志 被设置为 $真. |
| 间隔 | 脚本在 GET 请求之间休眠的时间(以秒为单位)。 |
| 基本配置路径 | 包含可选配置文件的路径 正常运行时间, 停机, 默认间隔及 域名. 如果文件存在,这些值将被覆盖。 |
| 正常运行时间 | 后门开始运行的时间,这意味着它开始向 C&C 服务器发出 GET 请求。 |
| 停机 | 后门可以运行的时间,即停止向 C&C 服务器发出请求的时间。 |
| 域索引 | 用于与 C&C 服务器通信的当前域名索引。 如果请求返回的错误消息不同于 304 (“未修改”), 域索引 增加。 |
| 密钥 | 用于解密/加密配置的密钥。 配置使用多字节 XOR 加密。 |
| 日志 | 没用过。 |
| 如果日志文件路径 | 指示是否启用日志记录的标志。 |
| 日志路径 | 日志文件的路径。 |
| 代理文件 | 可选代理配置的文件路径。 如果为空或在文件系统中未找到,则后门从注册表值中检索用户的代理设置 HKCU软件MicrosoftWindows当前版本互联网设置代理服务器 . |
| 如果配置 | 指示是否使用配置文件的标志。 |
图 5 显示了从 PowHeartBeat 样本(SHA-1: 757ABA12D04FD1167528FDD107A441D11CD8C427).
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 |
$Script:nouse = 100; if(Test-Path $MyInvocation.MyCommand.Path){Remove-item $MyInvocation.MyCommand.Path -Force;} $Script:ClientId = “83”; $Script:Version = “2.1.3.0003”; $Script:ExecTimes = 10; $Script:UserAgent = “Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/69.0.3487.100 Safari/537.36”; $Script:Referer = “www.adobe.com”; $Script:AcceptEncoding = “text/html,app1ication/xhtml+xml,app1ication/xml;q=0.9,*/*;q=0.8”; $Script:CookieClientId = “s_ecid”; $Script:CookieTaskId = “aam_uuid”; $Script:CookieTerminalId = “AAMC_adobe_0”; $Script:UrlHttps = “http://”; $Script:UrlDomain= ” 118.193.78[.]22:443″; $Script:UrlSendHeartBeat = “/latest/AdobeMessagingClient.js”; $Script:UrlSendResult = “/content/dam/offers-homepage/homepage.jpg”; $Script:GetUrl = $Script:UrlHttps + $Script:UrlDomain + $Script:UrlSendHeartBeat; $Script:PutUrl = $Script:UrlHttps + $Script:UrlDomain + $Script:UrlSendResult; $Script:currentPath = Split-Path -Parent $MyInvocation.MyCommand.Definition; $Script:ProxyEnableFlag = $false; $Script:Proxymsg; $Script:Interval = 10 ; $Script:BasicConfigPath = “C:ProgramDataunins.dat”; $Script:UpTime = 0; $Script:DownTime = 24; $Script:Domains; $Script:DomainIndex; $Script:SecretKey = “###ConfigKey###”; #$Script:IfLog = $true; $Script:IfLogFilePath = “C:ProgramDatatpncp.dat”; $Script:logpath = “C:ProgramDataunins000.dat”; $Script:ProxyFile = “C:ProgramDatahwrenalm.dat”; $Script:IfConfig = $false; |
图 5. 配置示例
数据加密
PowHeartBeat 对日志和其他配置文件内容进行加密。
日志文件内容通过多字节 XOR 与示例中以明文指定的密钥进行加密。 有趣的是, 客户编号 用作键数组索引的盐。 密钥是一个 256 字节的数组,在我们遇到的每个样本中都是相同的。 附加配置文件内容通过多字节 XOR 加密,其值来自 密钥 作为它的关键。
C&C 通讯
PowHeartBeat 在 2.4 版本之前使用 HTTP 进行 C&C 通信,然后切换到 ICMP。 在这两种情况下,通信都没有加密。
HTTP
在无限循环中,后门向 C&C 服务器发送 GET 请求,要求发出命令。 加密的答案由后门解密,后门处理命令,并将命令输出写入文件,然后通过 POST 请求将其内容发送到 C&C 服务器。
GET 请求的格式如下:
|
GET <UrlSendHeartBeat> HTTP/1.1 User-Agent: <UserAgent> Referer: <Referer> Host: <Domain> Cookie: <CookieClientId>=<ClientId> Connection: close |
请注意,请求是使用同名配置字段构造的。
在C&C服务器的响应中,内容的第三个字节是命令标识,表示后门要处理的命令。 我们称之为 命令编号. 响应的剩余内容将作为参数传递给正在处理的命令。 此内容使用图 6 所示的算法进行加密, 任务标识 是以命名的 cookie 的值 Cookie任务ID的值来自配置。
|
1 2 3 4 5 6 7 8 9 10 |
o[int] $pos = $taskId % 256; for ($i = 0; $i -lt $tmpBytes.Value.Length; $i++) { $pos = $pos + $clientId; if ($pos -ge 256) { $pos = $pos % 256; } $tmpBytes.Value[$i] = [byte]($tmpBytes.Value[$i] -bxor $hexEnc[$pos]); } |
图 6. 请求内容数据加密算法
来自 C&C 服务器的响应还包含另一个 cookie,其名称由后门的 Cookie 终端 ID 配置变量。 该cookie的值在后门的POST请求中重复出现,不能为空。 执行后门命令后,PowHeartBeat 将结果作为 POST 请求发送到 C&C 服务器。 结果作为文件发送,其名称为 .png.
ICMP
从 PowHeartBeat 2.4 版本开始,HTTP 被 ICMP 取代,发送的数据包超时为 XNUMX 秒,并且被 完整的. 通过 ICMP 进行通信很可能是逃避检测的一种方式。
2.4 及更高版本没有大的变化,但我们注意到代码中有一些修改:
- PowHeartBeat 在每个循环中发送一个包含字符串的心跳包 a B C D E F G H I J K L M O P Q R S T U V w xy z, 在请求命令之前。 这会通知 C&C 服务器后门已准备好接收命令。
- 获取后门执行的命令的请求包含字符串 abcdefghijklmnop.
心跳包具有图 7 中描述的格式。
图 7. 心跳包布局
当中的差异: 客户编号 和 客户标志 是 客户编号 每个样本都不同,而 客户标志 在每个使用 ICMP 的样本中都是相同的。 心跳标志 表示后门正在发送心跳。 来自 C&C 服务器的响应具有图 8 中描述的格式。
图 8. C&C 服务器响应布局
旗 这里表示是否有命令发给后门。 获取命令的请求具有图 9 中描述的格式。
图 9. 获取命令的请求布局
请注意,后门的 ICMP 模式允许接收无限量的数据,分为块和变量 数据长度, 当前位置 和 总长度 用于跟踪传输的数据。 对这些请求的响应具有图 10 中描述的格式。
图 10. 获取命令请求的响应布局
与 HTTP 响应一样,命令标识符是 data.
在连续 XNUMX 次 ICMP 回复空或格式不一致的内容后,后门和 C&C 服务器之间的传输被视为完成。
关于将发出命令的结果发送到 C&C 服务器的请求,服务器模式更改为 post 模式,最后的字符串 (abcdefghijklmnop) 更改为结果数据。
后门命令
PowHeartBeat 具有多种功能,包括命令/进程执行和文件操作。 表 2 列出了各种分析样本支持的所有命令。
表 2. PowHeartBeat 命令说明
| 名字 | 命令标识符 | 产品描述 |
|---|---|---|
| CMD | 0x02 | 执行 PowerShell 命令。 |
| exe文件 | 0x04 | 执行命令作为 过程. |
| 文件上传 | 0x06 | 将文件上传到受害者机器。 文件内容是 gzip 压缩的。 |
| 文件下载 | 0x08 | 从受害机器下载文件,并将文件路径、文件长度、创建时间、访问时间和文件内容返回给 C&C 服务器。 |
| 文件视图 | 0x0A | 获取特定目录的文件信息,具体为: · 文件名 · 文件属性 · 最后写入时间 · 文件内容 |
| 文件删除 | 0x0C | 删除一个文件。 |
| 文件重命名 | 0x0E | 重命名或移动文件。 |
| 更改目录 | 0x10 | 更改后门的当前工作位置。 |
| 资料包 | 0x12 | 根据指定参数获取信息类别: · “基本信息”: 客户编号, 版本, 主机名, IP 地址, explorer.exe的 版本和大小信息,操作系统(表明机器是否为服务器的架构和标志), 间隔、当前目录、驱动器信息(名称、类型、可用空间和总大小)、当前时间 · “时间间隔信息”: 间隔 和当前时间 · “域信息”:解密后的配置文件内容 |
| 配置 | 0x14 | 更新配置文件内容并重新加载配置。 |
| 无 | 0x63 | 后门出口。 |
如果后门侧出现错误,后门会在向 C&C 服务器的 POST 请求中使用特定的命令标识符 0x00,从而表明发生了错误。
请注意,在将信息发送回 C&C 服务器之前,数据是经过 gzip 压缩的。
PNGLoad:隐写加载器
PNGLoad 是 Worok 在受感染系统上部署的第二阶段有效载荷,根据 ESET 遥测,由 CLRLoad 或 PowHeartBeat 加载。 虽然我们在 PowHeartBeat 中没有看到任何直接加载 PNGLoad 的代码,但后门能够从 C&C 服务器下载和执行额外的有效负载,这很可能是攻击者在 PowHeartBeat 受损系统上部署 PNGLoad 的方式。 PNGLoad 是一个加载器,它使用 PNG 文件中的字节来创建要执行的有效负载。 它是一个 64 位的 .NET 可执行文件——用 .NET反应堆 – 伪装成合法软件。 例如,图 11 显示了伪装成 WinRAR DLL 的示例的 CLR 标头。
图 11. 伪造 WinRAR DLL 示例
一旦去混淆,只有一个类存在。 在这堂课中,有一个 主路径 包含后门搜索的目录路径的属性,包括其子目录,以查找具有 。PNG 扩展,如图 12 所示。
图12。 。PNG 文件列表
每 。PNG 通过此搜索找到的文件 主路径 然后检查隐写嵌入的内容。 首先,获取每个像素的 R(红色)、G(绿色)、B(蓝色)和 A(alpha)值的最低有效位并将其组装到缓冲区中。 如果该缓冲区的前 13 个字节与图 XNUMX 中看到的幻数匹配,并且下一个 XNUMX 字节值 control 不为空,则文件通过 PNGLoad 的隐写内容检查。 对于此类文件,处理继续使用存储在 PNGLoad 中的密钥,使用多字节 XOR 解密缓冲区的其余部分 密钥字节 属性,然后对解密的缓冲区进行 gzip 解压缩。 结果应该是一个 PowerShell 脚本,它会立即运行。
图 13. PNGLoad 从处理中创建的缓冲区格式 。PNG 档
有趣的是,PNGLoad 执行的操作记录在一个文件中,该文件的路径存储在变量中 日志文件路径. 仅当存在路径由内部变量指定的文件时才会记录操作 如果日志文件路径.
我们无法获得样品 。PNG 文件与 PNGLoad 一起使用,但 PNGLoad 的操作方式表明它应该与有效的 PNG 文件一起使用。 为了隐藏恶意负载,Worok 使用 C# 中的位图对象,它只从文件中获取像素信息,而不是文件元数据。 这意味着 Worok 可以将其恶意负载隐藏在有效的、看起来无害的 PNG 图像中,从而隐藏在显而易见的地方。
结论
Worok 是一个网络间谍组织,它开发自己的工具并利用现有工具来破坏其目标。 从受害者那里窃取信息是我们认为运营商所追求的,因为他们专注于亚洲和非洲的知名实体,针对私营和公共部门的各个部门,但特别强调政府实体。 活动时间和工具集表明与 TA428 可能存在联系,但我们在进行此评估时信心不足。 他们的自定义工具集包括两个加载器——一个在 C++ 中,一个在 C# .NET 中——和一个 PowerShell 后门。 虽然我们的知名度有限,但我们希望对这个群体的了解将鼓励其他研究人员分享关于这个群体的信息。
ESET Research 现在还提供私人 APT 情报报告和数据馈送。 有关此服务的任何查询,请访问 ESET 威胁情报 页面上发布服务提醒。
国际石油公司
档
| SHA-1 | 文件名 | ESET 检测名称 | 评论 |
|---|---|---|---|
| 3A47185D0735CDECF4C7C2299EB18401BFB328D5 | 脚本 | PowerShell/PowHeartBeat.B | PowHeartBeat 2.4.3.0003。 |
| 27ABB54A858AD1C1FF2863913BDA698D184E180D | 脚本 | PowerShell/PowHeartBeat.A | PowHeartBeat 2.4.3.0003。 |
| 678A131A9E932B9436241402D9727AA7D06A87E3 | 脚本 | PowerShell/PowHeartBeat.B | PowHeartBeat 2.4.3.0003。 |
| 757ABA12D04FD1167528FDD107A441D11CD8C427 | 脚本 | PowerShell/PowHeartBeat.B | PowHeartBeat 2.1.3.0003。 |
| 54700A48D934676FC698675B4CA5F712C0373188 | 脚本 | PowerShell/PowHeartBeat.A | PowHeartBeat 1.1.3.0002。 |
| C2F53C138CB1B87D8FC9253A7088DB30B25389AF | 脚本 | PowerShell/PowHeartBeat.A | PowHeartBeat 1.1.3.0002。 |
| C2F1954DE11F72A46A4E823DE767210A3743B205 | tmp.ps1 | PowerShell/PowHeartBeat.B | PowHeartBeat 2.4.3.0004。 |
| CE430A27DF87A6952D732B4562A7C23BEF4602D1 | tmp.ps1 | PowerShell/PowHeartBeat.A | PowHeartBeat 2.1.3.0004。 |
| EDE5AB2B94BA85F28D5EE22656958E4ECD77B6FF | 脚本 | PowerShell/PowHeartBeat.A | PowHeartBeat 2.4.3.0003。 |
| 4721EEBA13535D1EE98654EFCE6B43B778F13126 | vix64.dll | MSIL/PNGLoader.A | PNG加载器。 |
| 728A6CB7A150141B4250659CF853F39BFDB7A46C | RarExtMgt.dll | MSIL/PNGLoader.A | PNG加载器。 |
| 864E55749D28036704B6EA66555A86527E02AF4A | jsprofile.dll | MSIL/PNGLoader.A | PNG加载器。 |
| 8DA6387F30C584B5FD3694A99EC066784209CA4C | vssxml.dll | MSIL/PNGLoader.A | PNG加载器。 |
| AA60FB4293530FBFF00D200C0D44EEB1A17B1C76 | xsec_1_5.dll | MSIL/PNGLoader.A | PNG加载器。 |
| B2EAEC695DD8BB518C7E24C4F37A08344D6975BE | msvbvm80.dll | MSIL/PNGLoader.A | PNG加载器。 |
| CDB6B1CAFEE098615508F107814179DEAED1EBCF | lucenelib.dll | MSIL/PNGLoader.A | PNG加载器。 |
| 4F9A43E6CF37FF20AE96E564C93898FDA6787F7D | vsstrace.dll | Win64/CLRLoad.C | CLR 加载。 |
| F181E87B0CD6AA4575FD51B9F868CA7B27240610 | ncrypt.dll文件 | Win32/CLRLoad.A | CLR 加载。 |
| 4CCF0386BDE80C339EFE0CC734CB497E0B08049C | ncrypt.dll文件 | Win32/CLRLoad.A | CLR 加载。 |
| 5CFC0D776AF023DCFE8EDED5CADA03C6D7F9C244 | dll | Win64/CLRLoad.E | CLR 加载。 |
| 05F19EBF6D46576144276090CC113C6AB8CCEC08 | dll | Win32/CLRLoad.A | CLR 加载。 |
| A5D548543D3C3037DA67DC0DA47214B2C2B15864 | 安全32.dll | Win64/CLRLoad.H | CLR 加载。 |
| CBF42DCAF579AF7E6055237E524C0F30507090F3 | 数据库帮助文件 | Win64/CLRLoad.C | CLR 加载。 |
文件路径
一些 主路径, 日志文件路径 和 如果日志文件路径 我们在 PNGLoad 样本中遇到的值:
| 主路径 | 日志文件路径 | 如果日志文件路径 |
|---|---|---|
| C:程序文件VMwareVMware工具 | C:程序文件VMwareVMware ToolsVMware VGAuthreadme.txt | C:程序文件VMwareVMware ToolsVMware VGAuthVMWSU_V1_1.dll |
| C:程序文件WinRar | C:程序文件WinRarrarinstall.log | C:程序文件WinRades.dat |
| C:程序文件UltraViewer | C:Program FilesUltraViewerCopyRights.dat | C:程序文件UltraVieweruvcr.dll |
商业网络
| 域名 | IP |
|---|---|
| 不包含 | 118.193.78[.]22 |
| 不包含 | 118.193.78[.]57 |
| plane.travel-commercials[.]agency | 5.183.101[.]9 |
| central.suhypercloud[.]org | 45.77.36[.]243 |
互斥体
在 CLRLoad 示例中,我们遇到的互斥体名称是:
aB82UduGX0EX
ad8TbUIZl5Ga
Mr2PJVxbIBD4
OERiQtKLgPgK
U37uxsCsA4Xm
Wo0r0KGWhYGO
xBUjQR2vxYTz
zYCLBWekRX3t
3c3401ad-e77d-4142-8db5-8eb5483d7e41
9xvzMsaWqx我的
妥协指标 (IoC) 和示例的完整列表可在 我们的GitHub仓库.
MITRE ATT&CK 技术
该表是使用 11版 MITRE ATT&CK 框架。
| 战术 | ID | 名字 | 产品描述 |
|---|---|---|---|
| 侦察 | T1592.002 | 收集受害者主机信息:软件 | PowHeartBeat 集结 explorer.exe的 信息。 |
| T1592.001 | 收集受害者主机信息:硬件 | PowHeartBeat 收集有关驱动器的信息。 | |
| T1590.005 | 收集受害者网络信息:IP 地址 | PowHeartBeat 收集受感染计算机的 IP 地址。 | |
| 资源开发 | T1583.004 | 获取基础设施:服务器 | Worok 使用自己的 C&C 服务器。 |
| T1588.002 | 获得能力:工具 | Workok 在受感染的机器上部署了多个公开可用的工具。 | |
| T1583.001 | 收购基础设施:领域 | Worok 已注册域以促进 C&C 通信和分期。 | |
| T1588.005 | 获得能力:利用 | Workok 使用了 ProxyShell 漏洞。 | |
| T1587.001 | 开发能力:恶意软件 | Worok 开发了自己的恶意软件:CLRLoad、PNGLoad、PowHeartBeat。 | |
| T1587.003 | 开发能力:数字证书 | Worok 创建了 Let's Encrypt SSL 证书,以便为恶意软件启用双向 TLS 身份验证。 | |
| 执行 | T1059.001 | 命令和脚本解释器:PowerShell | PowHeartBeat 是用 PowerShell 编写的。 |
| 坚持 | T1505.003 | 服务器软件组件:Web Shell | Workok 使用 webshell 乔治. |
| 防御规避 | T1140 | 去混淆/解码文件或信息 | Worok 使用各种基于 XOR 的自定义方案来加密 PowHeartBeat、PNGLoad 和 CLRLoad 中的字符串和日志。 |
| T1036.005 | 伪装:匹配合法名称或位置 | PNGLoad 样本部署在看起来合法的 VMWare 目录中。 | |
| 凭证访问 | T1003.001 | 操作系统凭证转储:LSASS 内存 | Worok 使用 Mimikatz 从 LSASS 内存中转储凭据。 |
| 药物发现 | T1082 | 系统信息发现 | PowHeartBeat 收集操作系统信息。 |
| T1083 | 文件和目录发现 | PowHeartBeat 可以列出文件和目录。 | |
| T1046 | 网络服务发现 | 工作用途 Nbt扫描仪 获取有关受感染机器的网络信息。 | |
| T1124 | 系统时间发现 | PowHeartBeat 收集受害者的时间信息。 | |
| 购物 | T1005 | 来自本地系统的数据 | PowHeartBeat 从本地系统收集数据。 |
| T1560.002 | 归档收集的数据:通过图书馆归档 | PowHeartBeat gzip 压缩数据,然后将其发送到 C&C 服务器。 | |
| 指挥和控制 | T1071.001 | 应用层协议:Web 协议 | 一些 PowHeartBeat 变体使用 HTTP 作为与 C&C 服务器的通信协议。 |
| T1090.001 | 代理:内部代理 | PowHeartBeat 处理受害者机器上的代理配置。 | |
| T1001.002 | 数据混淆:隐写术 | PNGLoad 从 。PNG 文件来重建有效载荷。 | |
| T1573.002 | 加密通道:非对称加密 | PowHeartBeat 处理与 C&C 服务器的 HTTPS 通信。 | |
| T1095 | 非应用层协议 | 一些 PowHeartBeat 变体使用 ICMP 作为与 C&C 服务器的通信协议。 | |
| T1132.001 | 数据编码:标准编码 | Worok 在 PowHeartBeat 和 PNGLoad 中使用 XOR 编码。 | |
| T1132.002 | 数据编码:非标准编码 | Worok 使用使用额外盐的 XOR 编码算法。 | |
| 渗出 | T1041 | 通过 C2 通道进行渗透 | PowHeartBeat 使用其 C&C 通信渠道来泄露信息。 |
