ESET的研究人员近日发现黑客组织Winnti
Group编写的新恶意软件,该恶意软件用于在微软SQL
Server(MSSQL)系统上潜伏下来。

近日,安全专家在微软的Exchange中发现了一个非常隐蔽的后门,该后门的存在,可导致攻击者通过邮件感染服务器,完成修改或阻止以及撰写新邮件的操作。

图片 1

图片 2

一种“有趣”的新型攻击手段被安全人员发现。安全人员认为,这种新型手段是对特定目标投放恶意软件的全新攻击手段。

攻击者可以利用名为skip-2.0的新恶意工具,将后门植入到MSSQL Server
11和12服务器中,从而使他们能够使用所谓的“魔法密码”(magic
password)连接到服务器上的任何帐户,并隐藏活动、不被安全日志发现。

研究人员将这个后门称为:LightNeuron。原理是通过使用隐写PDF和JPG附件的电子邮件,实现对目标用户的远程控制。目前已证实该后门被Turla网络间谍小组使用过。

这种手段被称为路过登录(Drive-by-login)。路过下载(Drive-by
downloads)可以在用户访问恶意页面时对其注入恶意软件,这种新手段与之类似。不过,在路过登录攻击中,攻击者在用户可能登录的网站中嵌入恶意代码。这些恶意代码被用于向特定目标注入恶意软件,而并非所有网页访问者。

ESET的研究员Mathieu
Tartare说:“该后门使攻击者不仅可以通过使用一个特殊密码,在受害者的MSSQL
Server上潜伏下来,还由于使用该密码后禁用了多个日志和事件发布机制,无法被检测出来。”

关于LightNeuron

图片 3

Winnti Group的武器库日益庞大

LightNeuron是第一个使用微软Exchange传输代理作为后门程序的恶意行为。研究人员表示,Exchange的功能允许使用者直接接触邮件服务器所采用的传输代理,以达到处理或修改邮件的目的,邮件的传输代理又可以直接由微软或第三方供应商直接在体系内部创建。并且在邮件服务器发送或接收电子邮件时,经常会出现传输代理进行处理的情况,若在此时调用/修改传输代理,则可以直接实现修改电子邮件内容。

High-Tech Bridge公司在收到一家名为Central
European的在线商店报告后对该攻击方式展开了调查。用户发现在登录这家企业的网站时会被试图注入恶意软件。最初,研究人员认为这只是一次假阳性事件,因为他们并没有发现网站有任何注入恶意软件的企图。然而进一步的调查分析表明,这是一种精心安排的定向攻击。

Winnti
Group是个笼统的术语,它是指黑客组织(赛门铁克追踪的Blackfly和Suckfly、CrowdStrike追踪的Wicked
Panda、微软追踪的BARIUM以及FireEye追踪的APT41),这些黑客组织共享自2011年前后以来就在使用的同一批恶意工具。

这个设定的初衷是用于合法目的,但如我们所见,它的弊端也已经被不法分子发现了。除了传输代理(位于Program
Files文件夹中的Exchange文件夹并在邮件服务器中进行了相应的配置)之外,该后门还会使用传输代理所需的DLL文件来达成恶意行为。

这家在线商店使用osCommerce Online Merchant
v2.3.4平台,该版本发布于2014年六月。在企业服务器上,研究人员发现了针对osCommerce的后门文件,文件名“ozcommerz_pwner.php.bak”。

卡巴斯基在大量受感染的游戏系统上发现了黑客的Winnti特洛伊木马,这个木马通过一款游戏的官方更新服务器来传播。

如前所述,后门的存在,可以拦截电子邮件,修改邮件正文、收件人、主题,创建新邮件,替换附件,以及从Exchange服务器重新创建和发送电子邮件以绕过垃圾邮件过滤器。并且还能创建电子邮件附件日志,对邮件进行加密和存储,并解析JPG/PDF附件并执行其中附带的命令。

这个后门将自己的恶意代码和osCommerce平台“/includes/application_bottom.php”路径下的脚本文件绑定在一起,在用户使用特定IP或注册邮箱加载网站时会执行一种名为任意远程载入的恶意软件。

ESET的研究人员分析了这个新的后门后,还发现skip-2.0与其他Winnti
Group恶意软件、“尤其是PortReuse后门和ShadowPad后门”有着某些共同的特征。

除此之外,LightNeuron还可以用来编写和执行文件,删除文件,执行进程,禁用自身进程,执行大量日志记录(后门操作、调试、错误内容等)并在特定时间自动泄漏特定文件。

为了不引起安全人员注意,该后门会重置其所绑定脚本的时间戳,使文件看上去并没有被改动。一旦恶意软件注入成功,该后门会自动抹去绑定在application_bottom.php脚本上的内容,以防止被调查人员发现。

图片 4

图片 5

在调查人员分析的这起事件中,后门已经清除了脚本的相关信息,不过安全专家们还是在该后门的一份备份文件中找到了恶意代码。

图片 6

在对此事件的调查过程中,研究人员还发现LightNeuron与远程管理软件,基于RPC的恶意软件或面向Outlook
Web Access的.NET Web
shell等工具会同时出现,并且通过利用这些软件,攻击者可以轻松通过发送到Exchange服务器上的电子邮件来取得本地计算机及局域网到控制权。

该后门并未被任何反病毒软件探测为有害,它的功能是在特定IP或登录邮箱访问网站时向其注入恶意软件。

Winnti Group的攻击手法和TTP(ESET)

最后,根据恶意软件样本中揭秘到一些字符串来判断,研究人员认为该恶意软件可能是Linux端的变体。

注入过程并不是直接的。它会让受害者重定向到一个常用的黑客工具包,并通过最近已经被修复的Adobe
Flash Player漏洞对受害者进行注入。

WinReti黑客曾对一家知名的亚洲移动软件和硬件制造商的服务器发动了攻击,当时在攻击中使用了PortReuse这个模块化的Windows后门。

关于Turla

在这起事件中,黑客也窃取了在线商店的数据库。该网站使用了脆弱的第三方插件,很容易被入侵。

此外,PortReuse还是“一种网络植入程序,它将自己注入到已经在侦听网络端口的进程中,等待隐蔽的入站数据包触发恶意代码。”

Turla(绰号Snake,又名Uroburos)被认为是一个以俄语为主的黑客攻击群体,其背后很有可能受国家支持,至今已活跃了十多年。通常该组织以世界各地的政府、军事、国防承包商以及区域政治组织和教育组织等为目标进行黑客活动。

研究人员表示,路过登录攻击是非常危险的,因为实施攻击并不需要任何社会工程学,进而不能通过培训员工来防御。攻击者只需要入侵一个目标有可能会访问的网站,并搜寻可以将目标分离出来的相关信息。类似的信息并不难获取,因为用户在社交网络和其它网站上披露的信息十分充分。

ShadowPad是该组织使用的另一个Winnti后门,曾在2017年用来发动攻击供应链,那次攻击影响了韩国网络连接解决方案制造商NetSarang,当时这个黑客组织成功地用后门感染了该公司的服务器管理软件。

研究人员表示,LightNeuron的存在至少可以追溯到2014年,但由于其机制的特殊性导致最近才被安全人员发现。该后门程序很难被检测到(因其没有HTTPS,并且通常它仅会针对关键目标进行部署。

路过登录攻击的另一个威胁在于很难被侦测到,因为它们只向特定用户投放恶意软件。

这三个后门都使用同样的VMProtected启动器和该组织自行编写的恶意软件打包程序,而最重要的是,还跟与该威胁组织过去的攻击行动有关的另外几个工具有另外诸多相似之处。

ESET恶意软件研究员Matthieu
Faou表示,当前已确认两个因为后门被攻击的目标:一个东欧国家的外交部和一个中东地区的外交组织。

恶意软件探测策略可能会一无所获,因为后门并不会向扫描网站的爬虫注入恶意软件。恶意软件只针对特定用户注入,只有这个用户才能察觉到攻击。

MSSQL Server 11和12受到攻击

删除恶意软件

安全专家表示,解决该威胁的最佳方式是部署一个复杂的文件完整性监控策略,确保Web服务器打上最新的补丁并正确配置,并定期执行渗透测试。

一旦植入到已经中招的MSSQL服务器上,skip-2.0后门会继续通过sqllang.dll将其恶意代码注入到sqlserv.exe进程中,通过钩子(hook)把用于将身份验证记入日志的多个函数关联起来。

ESET研究人员已经放出了关于该后门的IoC,以便人们检查自身是否存在问题。同时研究人员警告称不要擅自将该恶意文件直接删除,因为会破坏Microsoft
Exchange程序。必须使用管理员账号限禁用恶意传输代理,然后再删除两个相关恶意文件。

路过式登录攻击意味着今后没有网站会是百分百安全的。任何网站,不论它的大小和功能,都有可能成为复杂的针对性入侵的受害者。它开启了安全网站世界的末日。

这让恶意软件得以绕过服务器的内置身份验证机制,那样一来,即使攻击者输入的帐户密码不匹配,也允许他们登录进去。

同时研究人员建议:如果不想重新安装邮件服务器,那么请尽快修改感染服务器上的所有具有管理权限账号的密码,否则黑客可以再度发动攻击。

研究小组的负责人表示,他并不认为路过登录会被用于进行大规模攻击。但他坚信未来这类针对“VIP受害者”的攻击将会增多。

ESET说:“该函数的钩子(hook)检查用户提供的密码是否与魔法密码匹配,在这种情况下,原始函数不会被调用,钩子会返回0,即使没有提供正确的密码也允许连接。”

原文地址:

Tartare补充道:“我们针对多个MSSQL
Server版本测试了skip-2.0,结果发现只有MSSQL Server
11和12存在使用特殊密码就能够成功登录这种情况。”

图片 7

Skip-2.0注入(ESET)

据ESET的研究人员从Censys获得的数据显示,虽然MSSQL Server
11和12不是最近发布的版本(分别在2012和2014年发布),但它们却是最常见的版本。

ESET的研究小组总结道:“skip-2.0后门是Winnti
Group武器库中值得关注的新增武器,它与该组织已知臭名昭著的工具集有诸多相似之处,让攻击者得以在MSSQL
Server上永久潜伏下来。”

“考虑到安装钩子需要管理员特权,必须在已经中招的MSSQL
Server上使用skip-2.0,才能永久潜伏下来,并保持不被察觉。”

来源:云头条