攻击者使用 Havoc 框架攻击政府组织 | xxx攻击者使用 Havoc 框架攻击政府组织 – xxx
菜单






攻击者使用 Havoc 框架攻击政府组织

二月 24, 2023 - FreeBuf

研究人员近日发现有攻击者利用 Havoc 的 C&C 框架针对政府组织进行攻击,Havoc 框架使用了多种高级规避技术,能够绕过最新版本的 Windows Defender。

攻击活动

2023 年 1 月初,研究人员发现了针对政府组织的、名为 pics.exe 的可执行文件。

攻击者使用 Havoc 框架攻击政府组织下载行为

其完整的感染链如下所示:

攻击者使用 Havoc 框架攻击政府组织感染链

名为 ZeroTwo.zip 的压缩文件,包含 character.scr 和 Untitled Document.docx 两个文件。

攻击者使用 Havoc 框架攻击政府组织压缩文件

Untitled Document.docx 文档中包含对 ZeroTwo 的描述,ZeroTwo 是日本动漫 Darling in the Franxx 中的虚构角色。

攻击者使用 Havoc 框架攻击政府组织文件内容

屏幕保护程序文件 character.scr 是一个在失陷主机上下载和执行 Havoc 的下载程序,该下载程序是使用 BAT2EXE 编译的。

攻击者使用 Havoc 框架攻击政府组织BAT2EXE 参数

执行后,二进制文件从资源中加载并解密脚本,如下所示:

攻击者使用 Havoc 框架攻击政府组织解密的 BAT 脚本

从临时文件夹写入并执行解密的 BAT 脚本,如下所示:

攻击者使用 Havoc 框架攻击政府组织写入脚本

攻击者使用 Havoc 框架攻击政府组织通过 Invoke-WebRequest 从远程服务器下载载荷

攻击者使用 Havoc 框架攻击政府组织下载 JPG 图片

ZeroTwo 的图片是通过 pinimg[.]com 下载的,目的是隐藏最终载荷的实际执行和恶意活动。

攻击者使用 Havoc 框架攻击政府组织ZeroTwo 图片

Havoc Demon 是通过 Havoc 框架生成的恶意软件,该框架是由 @C5pider 创建的后渗透 C&C 框架。

攻击者使用 Havoc 框架攻击政府组织Havoc 框架

攻击者使用 Havoc 框架攻击政府组织Havoc 控制界面

ShellCode 加载

下载的 pics.exe 使用微软的数字签名,如下所示:

攻击者使用 Havoc 框架攻击政府组织数字签名的可执行文件

执行时,首先通过 EtwEventWrite() 来禁用 Windows 事件跟踪(ETW)。

攻击者使用 Havoc 框架攻击政府组织获取 EtwEventWrite 的地址

以下模块和 NTAPI 的虚拟地址是通过使用 API 哈希进行检索的,根据硬编码的 DJB2 哈希与动态生成的哈希进行比较。

攻击者使用 Havoc 框架攻击政府组织API 哈希

此外,嵌入式 DLL 文件是内存映射的。如果需要,则通过调用 NtAllocateVirtualMemory() 为已分配内存页中计算基本重定位,还需要通过调用 NtProtectVirtualMemory 来更改页面保护。

攻击者使用 Havoc 框架攻击政府组织内存映射

为了逃避检测,DLL 被内存映射到没有 DOS 和 NT 头的内存中。

攻击者使用 Havoc 框架攻击政府组织内存映射

一旦 DLL 文件被内存映射到 KaynDllMain,即 DLL 的入口点由 KaynLdr 执行。如下所示,控制权转移到 Havoc Demon DLL 文件。

攻击者使用 Havoc 框架攻击政府组织入口点由 KaynLdr 执行

Havoc Demon DLL

一旦 Havoc Demon 被执行,DemonMain() 就会执行四个函数:

DemonInit

DemonMetaData

DemonConfig

DemonRoutine

DemonConfig 函数解析存储在数据段的配置文件,如下所示:

攻击者使用 Havoc 框架攻击政府组织配置信息

DemonRoutine 函数是主循环,负责连接到 C&C 服务器,等待执行攻击者下发的任务。恶意软件向 C&C 服务器发送 AES 加密的元数据,传输成功后会在 TeamServer 上解密收到的数据。

攻击者使用 Havoc 框架攻击政府组织元数据结构

TransportSend() 函数用于向 C&C 服务器发送数据,通过 HTTP 或者 SMB 协议。

攻击者使用 Havoc 框架攻击政府组织TransportSend 函数参数

在 Teamserver 端带有元数据包的 CheckIn 请求被解密,同时包含发送和接收的数据包的加密和解密详细信息。

攻击者使用 Havoc 框架攻击政府组织解析的元数据包

服务器可以下发各种命令执行,例如 whoami 命令可以显示当前运行的用户。

攻击者使用 Havoc 框架攻击政府组织使用 Havoc GUI 执行命令

命令执行,输出被 AES 加密后发送到 C&C 服务器,最后由 TeamServer 解密。

攻击者使用 Havoc 框架攻击政府组织输出日志

Havoc 支持的命令如下所示,通常包含框架的常用命令:

攻击者使用 Havoc 框架攻击政府组织命令列表

跟踪攻击者

下载 image.exe 的域名 ttwweatterarartgea[.]ga 中有一个开放目录,其中部署了多个恶意软件并且包含许多内部日志。

攻击者使用 Havoc 框架攻击政府组织开放目录

开放目录中有一个名为 NFcmoOSI.html 的文件,提供了攻击者的屏幕截图。

攻击者使用 Havoc 框架攻击政府组织跟踪攻击者

研究人员猜测是攻击者在自己的电脑上启动了 meterpreter,接着通过 C&C 服务器下发屏幕截图命令。服务器上就会生成对应的文件,包含机器的屏幕截图、IP 地址、开始时间与状态。

通过屏幕截图,可以看出如下信息:

攻击者使用 Havoc 框架攻击政府组织屏幕截图

攻击者的 IP 地址位于美国纽约,在截图时温度为 50 华氏度。

攻击者使用 Havoc 框架攻击政府组织温度变化

名为 wget-log 的日志文件中,包含从 DropBox 的 URL(https://www.dropbox.com/scl)下载的诱饵文档(Untitled-document.docx)与下载日志。

攻击者使用 Havoc 框架攻击政府组织下载日志

HTML 文件 index.nginx-debian.html 和 login.nginx-debian.html 也是正在开发中的 Twitter 钓鱼页面,如下所示:

攻击者使用 Havoc 框架攻击政府组织钓鱼页面

结论

C&C 框架 Havoc 的活动表示网络攻击威胁无处不在,攻击者会利用恶意软件执行恶意命令并收集敏感信息。

IOC

146[.]190[.]48[.]229
ttwweatterarartgea[.]ga
5be4e5115cdf225871a66899b7bc5861
bfa5f1d8df27248d840d1d86121f2169

参考来源

Zscaler

本文作者:, 转载请注明来自FreeBuf.COM

# C&C服务器 # 后渗透工具 # 窃密木马







Notice: Undefined variable: canUpdate in /var/www/html/wordpress/wp-content/plugins/wp-autopost-pro/wp-autopost-function.php on line 51