MontysThree工业间谍软件分析
2020年夏季发现了针对性较强的工业间谍软件的活动,工具集中包含未知的C++模块。恶意软件作者将工具集命名为“MT3”,研究人员将工具集命名为“MontysThree”。
该恶意软件包括一组用于持久控制的C++模块,使用隐写术从位图中获取数据,解密配置任务(屏幕截图,获取目标指纹,获取文件等)等。该恶意软件使用自定义隐写术,基于XOR的自定义加密,3DES和RSA算法进行解密和通信。
传播方式
初始加载程序模块在RAR自解压文件中,只有PE文件(伪装.pdf或.doc文件),其中一个(MD5da49fea229dd2dedab2b909f24fb24ab)名为“Списоктелефоновсотрудников2019.doc”(“员工电话清单”,俄语),另外还有“Techtask.pdf”和“ invitro-106650152-1.pdf”。 后者是俄罗斯医学实验室的名称。 SFX脚本如下:
执行后,SFX脚本会调用%TEMP%目录中已解压缩的可执行文件,并将其删除。
技术分析
执行流程如下:
下表列出了四个模块及其功能, 这些模块共享通用的通信规范。当处理诸如配置文件和执行日志之类的共享数据时,该恶意软件会初始化线程本地存储(TLS)中的结构。
入口点DllEntryPoint()的工作方式类似于构造函数,模块必须导出一个名为Open()的函数,该函数不带任何参数(但可以解析命令行)并返回一个四字节的错误代码。
1. 加载程序模块
将加密数据的位图文件名作为参数提供给加载程序,加载程序会从像素数组解密下一个程序。 在第一次迭代中,它提取隐写参数数据。
IID,IParam和ISize参数保存在像素阵列的前384个字节中,因此仅需要每个像素阵列字节的最后一位。该模块使用这些字段收集48个字节的配置结构,确定下一个解密阶段。
提取隐写参数后,使用两步算法对下一个程序进行解密。首先,IParam算法从像素阵列的字节中选择bits。如果IID等于2,则对收集到的字节使用四字节轮回密钥,前四个字节解密的初始密钥硬编码为0x23041920。下一个字节的XOR公式为:
key ^= 8 * (key ^ (key << 20))
解密结果并未注入到某个进程内存中,而是生成名为msgslang32.dll的文件放到磁盘上。加载程序使用windowsAPI函数LoadLibraryW()和GetProcAddress()来运行下一个阶段的Open()函数。
2. Kernel模块
内核模块包含三个用于配置解密和C2通信的加密密钥。公用和专用RSA密钥分别以PUBLICKEYBLOB和PRIVATEKEYBLOB的形式存储在.data节中,用于加密C2通信、解密3DES密钥。
第三个3DES密钥也以加密形式存储在.data节中。此密钥用于解密包含XML配置的.cab文件,该模块使用Window的标准程序“expand.exe”解压缩.cab。
XML配置包含恶意软件的各种“任务”,例如对目标进行指纹识别,捕获屏幕截图,从%USERPROFILE%、%APPDATA%、%APPDATA%\Microsoft\Office\Последниефайлы中最新目录中获取扩展名为.doc,.docx,.xls,.xlsx,.rtf,.pdf,.odt,.psw,.pwd的文档列表。Последниефайлы翻译成俄语为“最近文件”。
Config包含任务计划(屏幕截图),访问令牌,感兴趣的目录和扩展:
发现俄语字符串,例如“Снимокрабочегостола”(桌面快照),“Системнаяинформация”(系统信息),“Времявыхода”(退出时间)。
解密后的配置结构如下:
处理指令的主要类是CTask。CTask的IoControl()方法负责处理相应的任务,并可运行以下方法:
3. 通信模块
HttpTransport存在于内核模块.text部分中的四个加密数据块。当内核需要通信时,它会解密该模块,并运行Open()函数,传递命令行参数。
根据从内核模块传输的参数,该模块可以使用RDP,WebDAV,Citrix和HTTP协议上传或下载内容。HttpTransport也实现了使用用户令牌从Google和Dropbox公共服务下载数据。在HTTPGET /POST请求下,该恶意软件将使用windows API HTTP功能从URL接收隐写位图图片。
上述通信协议本身并未在模块内部实现。恶意软件利用计算机上已安装的Windows程序(例如RDP,Citrix客户端和InternetExplorer)进行操作。可通过剪贴板将URL粘贴到浏览器中;等待并再次通过剪贴板接收结果。
Dropbox和Google数据的上传和下载依赖于另一个原理:使用自定义类CSimpleHttp进行身份验证并发送HTTP请求。
总结
通常恶意软件主要针对政府实体,外交官和电信运营商,像MontysThree这样的工业间谍少见很多。
就传播方式,持续性控制方法而言,其复杂性无法与顶尖APT相提并论。恶意软件开发方面(同时登录RAM和文件,将加密密钥保留在同一文件中,在远程RDP主机上运行不可见的浏览器)还不成熟。
MontysThree中的代码量以及投入的精力是巨大的:在RSA加密下存储3DES密钥,规避IDS的自定义隐写术以及使用合法的云存储隐藏C2流量。
IOCs
Loader:
- 1B0EE014DD2D29476DF31BA078A3FF48
- 0976*42A06D2D8A34E9B6D38D45AE42
- A2AA414B30934893864A961B71F91D98
Kernel:
- A221671ED8C3956E0B9AF2A5E04BDEE3
- 3A885062DAA36AE3227F16718A5B2BDB
- 3AFA43E1BC578460BE002EB58FA7C2DE
HttpTransport:
- 017539B3D744F7B6C62C94CE4BCA444F
- 501E91BA1CE1532D9790FCD1229CBBDA
- D6FB78D16DFE73E6DD416483A32E1D72
Domains and IPs:
- autosport-club.tekcities[.]com
- dl10-web-stock[.]ru
- dl16-web-eticket[.]ru
- dl166-web-eticket[.]ru
- dl55-web-yachtbooking[.]xyz
原文链接:securelist
鸿蒙官方战略合作共建——HarmonyOS技术社区
推荐系统
雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO
语言:中文版系统大小:5.91GB系统类型:Win7雨林木风win7旗舰版系统下载 win7 32位旗舰版 GHOST 免激活镜像ISO在系统方面技术积累雄厚深耕多年,加固了系统安全策略,雨林木风win7旗舰版系统在家用办公上跑分表现都是非常优秀,完美的兼容各种硬件和软件,运行环境安全可靠稳定。win7 32位旗舰装机版 v2019 05能够帮助用户们进行系统的一键安装、快速装机等,系统中的内容全面,能够为广大用户
番茄花园Ghost Win7 x64 SP1稳定装机版2022年7月(64位) 高速下载
语言:中文版系统大小:3.91GB系统类型:Win7欢迎使用 番茄花园 Ghost Win7 x64 SP1 2022.07 极速装机版 专业装机版具有更安全、更稳定、更人性化等特点。集成最常用的装机软件,集成最全面的硬件驱动,精心挑选的系统维护工具,加上独有人性化的设计。是电脑城、个人、公司快速装机之首选!拥有此系统
番茄花园 Windows 10 极速企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10番茄花园 Windows 10 32位极速企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
新萝卜家园电脑城专用系统 Windows10 x86 企业版 版本1507 2022年7月(32位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新萝卜家园电脑城专用系统 Windows10 x86企业版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(32位) ISO镜像快速下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows 10 32位企业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过
笔记本&台式机专用系统 Windows10 企业版 版本1903 2022年7月(64位) 提供下载
语言:中文版系统大小:3.98GB系统类型:Win10笔记本台式机专用系统 Windows10 64专业版 v2022年7月 一、系统主要特点: 使用微软Win10正式发布的专业版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动
雨林木风 Windows10 x64 企业装机版 版本1903 2022年7月(64位) ISO镜像高速下载
语言:中文版系统大小:3.98GB系统类型:Win10新雨林木风 Windows10 x64 企业装机版 2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程中自动激活
深度技术 Windows 10 x64 企业版 电脑城装机版 版本1903 2022年7月(64位) 高速下载
语言:中文版系统大小:3.98GB系统类型:Win10深度技术 Windows 10 x64 企业TLSB 电脑城装机版2022年7月 一、系统主要特点: 使用微软Win10正式发布的企业TLSB版制作; 安装过程全自动无人值守,无需输入序列号,全自动设置; 安装完成后使用Administrator账户直接登录系统,无需手动设置账号。 安装过程
相关文章
- 突发的疫情之下,身为IT运维工程师的他们很烦恼!
- 2021 年 Web 核心性能指标是什么?谷歌工程师告诉你,FMP 过时啦!
- 除了燃油公司,美国还因为哪些黑客攻击事件,而进入“紧急状态”
- 暗网上泄漏的数据97%出自网络安全机构
- 本地连接网络怎么共享给无线连接用户上网【详细步骤】
- 零信任能彻底解决邮件安全难题
- COVID-19使关键证书颁发机构流程面临挑战
- 迈克菲本人被诉加密货币欺诈
- 随着勒索软件的兴起,网络保险显得越来越必要
- 10个好用的Web日志安全分析工具
- 为什么隐私至上的方法对基于数据的创新至关重要?
- TI Inside峰会即将启航,打造威胁情报应用生态协同盛宴
- 俄罗斯Rostelecom劫持事件,BGP安全不止于此
- 大规模DDoS攻击导致比利时政府网站瘫痪
热门系统
- 1华硕笔记本&台式机专用系统 GhostWin7 32位正式旗舰版2018年8月(32位)ISO镜像下载
- 2深度技术 Windows 10 x86 企业版 电脑城装机版2018年10月(32位) ISO镜像免费下载
- 3电脑公司 装机专用系统Windows10 x86喜迎国庆 企业版2020年10月(32位) ISO镜像快速下载
- 4雨林木风 Ghost Win7 SP1 装机版 2020年4月(32位) 提供下载
- 5深度技术 Windows 10 x86 企业版 六一节 电脑城装机版 版本1903 2022年6月(32位) ISO镜像免费下载
- 6深度技术 Windows 10 x64 企业版 电脑城装机版2021年1月(64位) 高速下载
- 7新萝卜家园电脑城专用系统 Windows10 x64 企业版2019年10月(64位) ISO镜像免费下载
- 8新萝卜家园 GhostWin7 SP1 最新电脑城极速装机版2018年8月(32位)ISO镜像下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2022年5月(免激活) ISO镜像高速下载
- 10新萝卜家园Ghost Win8.1 X32 最新纯净版2018年05(自动激活) ISO镜像免费下载
热门文章
- 1迅雷云播“手机看片神器”使用教程(随时随地秒速离线云播放)
- 2Win10怎么设置网络按流量计费 Win10网络设置流量收费教程
- 3微信公众号怎么年审? 微信公众号年审流程及所需材料介绍
- 4win7蓝屏代码7f指什 怎么解决 很严重
- 5安卓手机安装运行win7系统教程 安卓手机装win7系统教程
- 6二手笔记本电脑价格是多少 二手笔记本电脑价格盘点
- 7Steam提示“需要在线进行更新,请确认您的网络连接正常”怎么办?
- 8华硕b460主板装win7系统及bios设置教程 10代CPU安装Win7教程 BIOS设置 U盘启动 完美支持USB驱动
- 9高通骁龙8cx怎么样 高通骁龙8cx处理器详细介绍
- 10aoc一体机电脑win10改win7系统及bios设置
常用系统
- 1番茄花园 Windows 10 极速企业版 2018年10月(64位) 提供下载
- 2深度技术Ghost Win8.1 x32 安全纯净版2018年7月(激活版) 最新版ISO镜像下载
- 3新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2019年4月 ISO镜像下载
- 4新萝卜家园 Ghost XP SP3系统 电脑城极速纯净版 2020年2月 ISO镜像高速下载
- 5雨林木风 Ghost Win7 SP1 装机版 2021年4月(32位) 提供下载
- 6深度技术 Windows 10 x86 企业版 电脑城装机版2018年5月(32位) 提供下载
- 7华硕笔记本&台式机专用系统 GhostWin7 64位旗舰版2018年7月(64位) ISO镜像免费下载
- 8电脑公司 装机专用系统Windows10 x64 企业版2022年1月(64位) ISO镜像高速下载
- 9电脑公司Ghost Win8.1 x32 精选纯净版2019年11月(免激活) ISO镜像高速下载
- 10雨林木风 Ghost XP SP3 装机版 YN2018.10 ISO镜像免费下载