安全专家在针对菲律宾的网络攻击中发现一个老后门
FortiGuard安全实验室在近日发表一篇博文中指出,他们发现了一份带有强烈政治主题的恶意文档,文件名称为“Draft PH-US Dialogue on Cyber Security.doc(大致翻译为:美菲网络安全对话草案.doc)”。这份文档旨在利用一个通杀Office 2003到2016所有版本的远程代码执行漏洞——CVE-2017-11882。一旦利用成功,受害者计算机的%temp%文件夹中将会被植入一个恶意软件。
研究人员表示,经过他们的分析,确认这个恶意软件来自一个名为Hussarini(也被称为Sarhust)的后门家族。研究人员进一步描述说,自2014年以来,Hussarini就一直被积极用于针对东盟国家的高级持续性威胁(Advanced Persistent Threat,APT)攻击。
据菲律宾ABS-CBN新闻网的报道,菲律宾是东盟中最容易受到APT攻击的国家。尽管在2016年发生了数起大规模数据泄露事件后,菲律宾就加大了对于网络攻击防御的投资,但是事实证明菲律宾似乎仍没有脱离这种现状。
研究人员解释说,在恶意文档被打开之后,有两个文件(Outllib.dll和OutExtra.exe)被植入到了%temp%文件夹中。OutExtra.exe实质上是一个经微软签名的合法应用程序,原始名称为finder.exe。这个文件是微软Office套件的一部分,可用于在Outlook数据文件中查找关键字。但在这起攻击中,这个文件被用于通过DLL劫持加载Hussarini后门文件(Outllib.dll)。
Outllib.dll是一个能够导出包含恶意代码的函数的DLL,在执行文件OutExtra.exe时,会调用其中一些函数,从而有效地执行恶意代码。恶意代码的目的是获取以下系统信息,并通过HTTP POST请求发送给C&C服务器:用户名、计算机名、操作系统和CPU信息。
接下来,C&C服务器会在接收到这些信息之后向Hussarini后门发送两个命令。第一个命令包含字符串“cache.txt”,并创建另外两个文件:cache.txt和 cache.txt.cfg。第二个命令包含一些命令提示符(cmd.exe)的命令。 由C&C服务器发送的cmd命令随后将写入cache.txt中,具体命令如下:
ysteminfo:获取计算机的系统信息;
arp –a:查看IP地址到MAC地址的映射;
ipconfig /all:显示所有当前的TCP/IP网络配置值;
netstat -ano :显示协议统计信息和当前TCP/IP网络连接;
tasklist -v:用于所有任务运行的应用程序和服务列表及其进程ID(PID);
net start:启动正在运行的各种服务;
net view:显示网络上可见的其他计算机;
dir “c:users” /o-d:显示所有用户。
通过分析这些代码,研究人员认为这个Hussarini后门能够执行以下来自攻击者的命令:
创建、读、写文件;
下载并执行文件/组件;
使用exe启动远程shell。
由此,我们可以看出Hussarini后门只具备很少的功能,但研究人员表示它的功能可以被攻击者扩展。此外,由于这个后门可以启动远程cmd shell,因此攻击者也可以使用所有cmd命令。
菲律宾于2016年才成立了自己的信息和通信技术委员会(Commission on Information and Communications Technology,CICT),并承认该国针对网络威胁的防御仍处于起步阶段。可能正是由于这种现状,菲律宾才成为了网络犯罪和网络间谍活动的多发地。FortiGuard的研究人员也表示,他们预计针对该国家的网络攻击可能会在数量和质量上持续发展。