韩国服务器在那边 （韩国服务器地点 免费）〔韩国服务器地址免费〕

　　一位日本的安全研究者MalwareMustDie发现一种基于Poison Ivy的新型APT攻击，颠末 他的逆向分析 ，发现了一些关于攻击厂商的风趣 发现 。

　　本文将先容 他是怎样 发现这种隐匿极深的APT攻击回溯之旅。

　　一次平凡 的垂纶 攻击？

　　和全部 APT攻击的开头一样，一个受感染的Word文档，一次看似平凡 的垂纶 攻击。

　　但是假如 我们留意 到MalwareMustDie长文分析的开头 ，可以发现一些平凡 邮件的图片，固然 还是 那种平凡 、boring的受感染的Word文档，毫无新意 。

　　奇怪 的是 ，可疑文档好像 是由一个名为Geocities的公共博客网站提供了一个多层嵌套的编码的VB脚本，下图是手工解码的结果 ：

图1. “powershell.exe ” 下令 编码得到的VB

　　通常VB的“createbject”指令都会跟在 Powershell 下令 “powershell.exe -w hidden -ip bypass -Enc with long encoded coded”之后

　　Poweshell? 嵌入下令 ? “绕过 ” 的目标 是什么?

　　颠末 MalwarareMustDie的观察 ，那些不那么“平凡 、无聊”的东西从阴影中浮现出来 ，随着分析的步步深入，他发现了更加风趣 且惊人的东西。

　　下图是base 64手动解码的代码示例，其显现 了另一嵌套的base 64编码代码。 在图片中表现 的功能是自我表明 。显而易见，那台受感染的盘算 机已经“吃下”什么不好 的东西。

图2. VB base 64解码代码

　　在多层循环解码base 64编码后 ，结果 很显着 的：附加于Word附件文档，隐蔽 在VB文件中，存在一个长且伤害 的脚本 ，随时可由Powershell实行 。但MalwareMustDie表现 “我已经发现它的源代码 ” 。

　　复制、粘贴 Powersploit/CodeExecution PoC

　　运行Powershell下令 的VB存在一处代码，该代码就是基于污名 昭著的恶意软件Powershell PowerSploit/CodeExecution PoC代码的“copy pasta”，你可以在GitHub上可以得到千篇一律 的文件和.ps1扩展。

　　这里它是文档以及利用 方式的网页：

图3.GitHub页面上的PowerSploit / CodeExecution

　　弊端 的文档阐明 ：“将shellcode插入到您选择的进程 ID中或在运行PowerShell进程 中”。

　　MalwareMustDie表现 ：

　　这也就是我为什么反对公众在GitHub上放出这种开源代码。GitHub上到处 都是这种开源项目 。

Shellcode 分析

　　但是让我们来看看Shellcode ，由于 如今 最紧张 的任务 是对它举行 逆向分析，而且 明白 它的利用 的重要 目标 是什么，为什么注入盘算 机受害者 ，采取 哪些技能 和机制来做什么，毗连 在那边 ？

　　同样Shellcode利用 的是base 64编码。当解码时，它如下图所示：

图4.Shellcode.

　　逆向之旅好像 尚有 很长的路要走 ，我们再一次为MalwareMustDie的本领 所惊叹 ，他乐成 地编译了shellcode并得到 了一个可安全实行 的文件。

　　MalwareMustDie在博客中写道：

　　将shellcode数据生存 在汇编文件的.text部分 和入口点（EP）中将在编译过程中由编译器“调解 ”，如许 你可以将此shellcode作为二进制PE文件实行 。 此方法在分析shellcode时非常有效 。 通过Unix环境 ，你可以创建这种PE ，而不会有感染的风险。

　　下图就是他采取 的过程：

图5. 操纵 shellcode 来创建一个 .exe 文件

　　我们在恶意软件运行时发现：它从受害者的盘算 机提取信息回调其C2服务器与目标 实行 全部 的恶意举动 。

　　末了 ，我们可以确定，它就是污名 昭着的Poison Ivy。

　　Poison Ivy筹划

　　运行Shellcode有大概 观察到它利用 了大量涉及DLL的体系 调用 ，这些DLL重要 与体系 的内核相干 ：在Shellcode的trace-assemby的第一个阶段提供了一个名为userint.exe的假进程 ，用于注入恶意代码。

　　这里来自MalwareMustDie博客的图片：

图6. 伪造的进程 userinit.exe 创建后被注入

　　他说，某些DLL的利用 的组合“也表现 了威胁的典范 模式 。 别的 ，MUTEX名称中标注的日期大多由Poison Ivy利用 。

　　然后其他操纵 由恶意软件实行 ：

　　创建一个名为“Plug1.dat”的文件

　　为之后的工作创建一个套接字

　　通过 “HKEY_LOCAL_MACHINESYSTEMSetup”查询PC信息

　　毫无疑问就是Poison Ivy

　　那么题目 来了CC服务器在何地？

　　我来细致 观察一下WS2_32.DLL文件，可以看到一些故意 思的东西

　　socket(),

　　gethostbyname()

　　connect().

　　由CC服务器回传的主机名和IP地点 可知，该服务器位于韩国首尔。

图7.CC服务器位于韩国

　　Network/BGP Information→「61.97.243.15||4766 | 61.97.243.0/24 | KIXS-AS | KR | kisa.or.kr | KRNIC」

　　但是我们发现主机名是web.outlooksysm.net ，这里可以用WHOIS来得到 额外的信息，知道谁是幕后主使，结果 该公司来自上海 。

图8.对 Poison Ivy 恶意软件的CC服务器WHOIS

　　结论

　　这个APT攻击利用 了多种变体 ，它先是诱骗 受害者下载一个恶意VB，让这个VB去下载一个.doc文件并打开它。 完成这些操纵 之后，它会静静 的地实行 PowerShell（PowerSploit）攻击，使得受害者在运行内存中的进程 时感染Poison Ivy。

　　这个实例很好地展示了这种攻击的潜伏 伤害 ，攻击者在一次APT感染中利用 修改过的PowerSploit PoC代码，这种做法很独特。

　　Poison IVY恶意软件是在PowerSploit利用 shellcode创建或预备 的恶意进程 userinit.exe的过程中注入的 。这种不感染文件的攻击有效 地克制 了多个编码和包装检测的已知署名 ，而且 100％克制 了原始攻击者的工作地区 被发现的大概 性。 这将使如今 的APT活动 有更好的机遇 乐成 由雷同 有效 载荷造成的其他环境 。

　　近来 的APT攻击很有大概 也是利用 雷同 的payload在别的 地方乐成 发挥 攻击 。

　　为了克制 更多的受害者 ，我真的盼望 Geocities.jp上的vbiayay1帐户尽快将恶意软件删除。

　　盼望 我的分析可以或许 资助 观察 和打击这种威胁。

*参考泉源 ：0day.jp，securityaffairs，FB小编bimeover编译 ，转载请注明来自Freebuf.COM