freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

从阿尔巴尼亚到中东:揭秘“疤痕狮蝎”(Scarred Manticore)的间谍活动
2023-11-02 19:23:05

重要发现

  • Check Point研究中心(CPR)正在监视伊朗情报和安全部(MOIS)下属的威胁组织“疤痕狮蝎”(Scarred Manticore)进行的间谍活动。
  • 这些攻击依赖于LIONTAIL,一种安装在Windows服务器上的高级被动恶意软件框架。出于隐身目的,LIONTIAL植入会利用对Windows HTTP堆栈驱动程序HTTP.sys的直接调用来加载内存驻留(memory-residents)有效负载。
  • 目前的攻击活动至少持续了1年左右,并在2023年中期达到顶峰。除了IT服务提供商、金融机构和非政府组织外,该活动还针对中东地区的知名组织,重点是政府、军事和电信部门。
  • Scarred Manticore多年来一直在追求高价值目标,利用各种基于IIS的后门来攻击Windows服务器。这些包括各种自定义web shell、自定义DLL后门和基于驱动程序的植入程序。
  • 虽然Scarred Manticore行动背后的主要动机是间谍活动,但本报告中描述的一些工具与MOIS支持的针对阿尔巴尼亚政府基础设施的破坏性攻击(称为DEV-0861)有关。

Check Point研究中心与叙利亚事件响应小组合作,一直在跟踪和应对Scarred Manticore的活动,这是一个主要针对中东政府和电信部门的伊朗国家行为体威胁组织。Scarred Manticore与伊朗著名黑客OilRig(又名APT34、EUROPIUM、Hazel Sandstorm)存在关联,一直在瞄准知名组织,利用量身定制的工具系统地窃取数据。

在最新的攻击活动中,攻击者利用了LIONTAIL框架,这是一套复杂的自定义加载程序和内存驻留shellcode有效负载。LIONSTAIL的植入物利用HTTP. sys的未记录功能从传入的HTTP流量中提取有效负载。观察到的多个与LIONTAIL相关的恶意软件变体表明,Scarred Manticore会为每个受感染的服务器生成一个量身定制的植入程序,允许恶意活动混入合法的网络流量中,使其无法被识别。

研究人员目前追踪的这个Scarred Manticore,是一个与DEV-0861最密切相关的伊朗威胁组织。尽管LIONTAIL框架本身看起来很独特,并且与任何已知的恶意软件家族没有明显的代码重叠,但这些攻击中使用的其他工具与之前报告的活动存在重叠。最值得注意的是,其中一些最终与OilRig或OilRig下属的历史集群联系在一起。不过,目前还没有足够的数据来正式地将Scarred Manticore归因于OilRig,尽管研究人员坚信它们可能是相关的。

Scarred Manticore的工具和能力的演变表明了伊朗行动者在过去几年中所取得的进步。与之前和伊朗有关的活动相比,最近Scarred Manticore行动中使用的技术明显更加复杂。

LIONTAIL框架

LIONTAIL是一个恶意软件框架,包括一组自定义shellcode加载器和内存驻留shellcode有效负载。它的一个组件是用C语言编写的LIONTAIL后门。它是一个轻量级但相当复杂的被动后门,安装在Windows服务器上,使攻击者能够通过HTTP请求远程执行命令。后门为其配置中提供的URL列表设置侦听器,并执行攻击者向这些URL发送的请求的有效负载。

LIONTAIL后门组件是最新的Scarred Manticore入侵中使用的主要植入物。利用来自面向公众的服务器的访问权限,威胁行为者链接了一组被动植入程序来访问内部资源。到目前为止,研究人员看到的LIONTAIL后门的内部实例要么监听HTTP(s),要么在某些情况下使用命名管道来促进远程代码执行。

【图1:LIONTAIL恶意软件框架概述】

LIONTAIL加载器

安装

研究人员观察到在受损的Windows服务器上有两种后门安装方法:独立可执行文件和通过Windows服务或合法进程的搜索顺序劫持加载的DLL。

当作为DLL安装时,恶意软件会利用Windows Server操作系统发行版中缺少的一些DLL:该后门程序以wlanapi.dll或wlbsctrl.dll的形式被放置到系统文件夹C:\ Windows \system32中。默认情况下,Windows Server安装中不存在这两个选项。根据Windows Server版本,恶意DLL随后由其他进程(如Explorer.exe)直接加载,或者由威胁参与者启用需要这些DLL的特定服务(默认禁用)。

在wlbsctrl.dll的情况下,该DLL会在IKE和AuthIP IPsec key Modules服务开始时加载。至于wlanapi.dll,威胁行为者会启用可扩展身份验证协议:

sc.exe config Eaphost start=auto

sc.exe start Eaphost

在将LIONTAIL作为可执行文件部署的实例中,研究人员观察到的一个值得注意的特征是其试图将可执行文件伪装成Cyvera Console(Cortex XDR的一个组件)。

配置

恶意软件首先对包含恶意软件配置的结构执行一个1字节的异或解密(XOR decryption),主要表现为以下结构:

QWORD    var_0
QWORD    var_8
QWORD    magic_number
DWORD    num_of_end_string
DWORD    num_of_listen_urls
STRING   end_string
STRING[] listen_urls

字段listen_urls定义了恶意软件监听传入请求的特定URL前缀。

所有示例的URL列表都包含http://+:80/Temporary_Listen_Addresses/ URL前缀,这是一个默认的WCF URL保留,允许任何用户从该URL接收消息。其他示例包括端口80、443和444上的多个URL,模拟现有服务,例如:

https://+:443/autodiscover/autodiscovers/

https://+:443/ews/exchanges/

https://+:444/ews/ews/

许多LIONTAIL示例包含量身定制的配置,其中添加了多个其他自定义URL,以匹配受损服务器上现有的web文件夹。由于实际的IIS服务已经使用了现有文件夹的URL,因此生成的有效负载在路径中包含额外的随机字典单词。这确保了恶意软件通信与合法通信融合在一起,使其更不显眼。

配置中所有前缀的host元素由单个加号(+)组成,这是一个匹配所有可能主机名的“强通配符”(strong wildcard)。当应用程序需要处理指向一个或多个相对URL的请求时,无论这些请求如何到达机器或它们在host标头中指定的站点(主机或IP地址),强通配符都是有用的。

为了理解恶意软件如何在这些前缀上配置侦听器以及该方法如何随时间变化,研究人员还对Windows HTTP堆栈进行了简短介绍。

Windows HTTP堆栈组件

Windows Server 2003中引入了端口共享机制,允许多个HTTP服务共享相同的TCP端口和IP地址。这种机制被封装在HTTP. sys中,后者是一个内核模式驱动程序,承担处理HTTP请求的责任,监听传入的HTTP请求,并将它们定向到相关的用户模式进程或服务,以进行进一步处理。

在驱动层之上,Windows提供了HTTP服务器API,这是一个用户模式组件,提供了与HTTP.sys交互的接口。此外,Internet信息服务(IIS)的底层依赖于HTTP API与HTTP. sys驱动程序进行交互。类似地,. net框架中的HttpListener类是HTTP Server API的简单wrapper。

【图2:Windows服务器上HTTP栈组件的架构(源代码)】

应用程序(或者说,本情境中的恶意软件)接收和处理特定URL前缀请求的过程可以概述如下:

  1. 恶意软件通过Windows操作系统提供的任何方式用 HTTP. sys注册一个或多个URL前缀。
  2. 当接收到HTTP请求时,HTTP. sys会识别与请求前缀相关联的应用程序,并将请求转发给恶意软件(如果它负责该前缀)。
  3. 该恶意软件的请求处理程序随后接收由HTTP. sys截获的请求,并为它生成一个响应。

C&C通信

在提取配置信息后,该恶意软件会使用相同的1字节异或通过侦听提供的URL前缀列表,来解密负责建立C&C通信通道的shellcode。虽然在面向web的Windows服务器上的被动后门概念并不新鲜,并且早在2019年就被观察到在野劫持相同的Windows DLL wblsctrl.dll,但LIONTAIL开发人员改进了他们的方法。该恶意软件不使用HTTP API,而是使用IOCTL直接与HTTP. sys驱动程序交互。这种方法更隐蔽,因为它不涉及IIS或HTTP API这些通常由安全解决方案密切监视的内容。但这并非一项简单的任务,因为HTTP. sys的IOCTL是未记录的,且需要威胁参与者进行额外的研究工作。

首先,该shellcode使用以下IOCTL通过HTTP. sys注册URL前缀:

  • 0x128000 - UlCreateServerSessionIoctl -创建HTTP/2.0会话。
  • 0x128010 - UlCreateUrlGroupIoctl -创建新的UrlGroup。UrlGroups是在服务器会话下创建的一组URL的配置容器,并继承其配置设置。
  • 0x12801d - UlSetUrlGroupIoctl -通过设置HttpServerBindingProperty将UrlGroup与请求队列关联。
  • 0x128020 - UlAddUrlToUrlGroupIoctl -在新创建的UrlGroup中增加listen_urls数组。

【图3:HTTP. Sys IOCTL表】

注册URL前缀后,该后门会启动一个负责处理传入请求的循环。该循环会一直持续,直到它从一个等于后门配置中提供的end_string的URL中获得请求。

该后门会使用0x124036 - UlReceiveHttpRequestIoctl IOCTL接收来自HTTP. sys的请求。

根据被入侵服务器的版本,接收请求的主体使用0x12403B - UlReceiveEntityBodyIoctl或0x12403A - UlReceiveEntityBodyFastIo。然后对它进行base64解码,并通过使用数据的第一个字节对整个数据进行XORing来解密。这是在多个恶意软件家族中观察到的常见加密方法,包括但不限于DEV-0861的web部署反向代理。

【图4:来自LIONTAIL有效载荷的C&C解密方案】

解密后的有效载荷具有以下结构:

QWORD   shellcode_size
_BYTE[] shellcode
QWORD   shellcode_output (should be 0 in the incoming msg)
QWORD   shellcode_output_size (should be 0 in the incoming msg)
QWORD   MAGIC_NUM (has to be 0x18)
_BYTE[] argument

该恶意软件会创建一个新线程并在内存中运行shellcode。由于某种原因,它使用请求消息中的shellcode_output和shellcode_output_size作为指向内存中各自数据的指针。

为了加密响应,该恶意软件会选择一个随机字节,使用它作为密钥对数据进行XOR编码,将密钥添加到结果中,然后对整个结果进行base64编码,随后使用IOCTL 0x12403F - UlSendHttpResponseIoctl将其发送回C&C服务器。

LIONTAIL web shell

除了PE植入物外,Scarred Manticore还使用基于web shell的LIONTAIL shellcode加载器。web shell以类似于其他Scarred Manticore. NET有效负载和web shell的方式进行混淆。

【图5:LIONTAIL web shell的主要功能(格式化,保留混淆)】

该web shell接收带有2个参数的请求:

  • 用于执行的shellcode。
  • shellcode要使用的参数。

这两个参数的加密方式与其他通信方式相同:异或,第一个字节后跟base64编码。

shellcodes的结构和参数发送到基于web shell的shellcode加载器与LIONTAIL后门中使用的结构相同,这表明观察到的工件是一个更大的框架的一部分,该框架允许根据威胁行为者的访问和需求动态构建加载器和有效负载。

使用命名管道的LIONTAIL版本

在研究过程中,研究人员还发现了与LIONTAIL样本具有相似内部结构的加载器。这个版本不是监听URL前缀,而是从命名管道(named pipe)获取有效负载,并且可能被指定安装在无法访问公共web的内部服务器上。该恶意软件的配置有点不同:

QWORD   var_0
QWORD   var_8
QWORD   var_10
DWORD   var_18
DWORD   dwOpenMode
DWORD   dwPipeMode
DWORD   nMaxInstances
DWORD   nOutBufferSize
DWORD   nInBufferSize
DWORD   nDefaultTimeOut
STRING  pipe_name

主shellcode首先将字符串安全描述符“D:(A;;FA;;;WD)”转换为有效的功能安全描述符。当字符串以“D”开头时,它表示一个DACL(自由访问控制列表)条目,通常具有以下格式:entry_type:inheritance_flags(ACE_type;  ACE_flags;  rights;  object_GUID;  inherit_object_GUID;  account_SID)。在这种情况下,该安全描述符允许(A)对每个人(WD)进行文件全访问(File All Access,FA)。

该安全描述符随后会根据配置中提供的值创建命名管道。在观察到的示例中,所使用的管道的名称是\\.\pipe\test-pipe。

值得注意的是,与HTTP版本不同,该恶意软件没有使用任何更高级的技术来连接到命名管道,从中读取和写入。相反地,它依赖于标准的kernel32.dll api,如CreateNamedPipe和ReadFileWriteFile。

基于命名管道的LIONTAIL的通信与HTTP版本相同,具有相同的加密机制和相同的负载结构,在内存中作为shellcode运行。

LIONTAIL内存组件

有效载荷类型

在LIONTAIL加载器解密从攻击者的C&C服务器接收到的有效负载及其参数后,它开始解析参数。它是一个结构,描述了shellcode要执行的有效载荷类型,并且根据有效载荷的类型而分别构建:

TYPE = 1 -执行另一个shellcode:

DWORD   type // 1
QWORD   shellcode_size
_BYTE[] Shellcode

TYPE = 2 -执行指定API函数:

DWORD    type // 2
CHAR[]   library_name
CHAR[]   api_name

API执行的参数有以下结构:

DWORD need_to_be_freed_flag
QWORD argument_size
_BYTE[] argument

下个阶段

为了让事情变得更复杂,Scarred Manticore将最终有效负载封装在嵌套的shellcode中。例如,从攻击者那里收到的一个shellcode会运行另一个几乎相同的shellcode,而这个shellcode又会运行负责机器指纹识别的最终shellcode。

此有效负载收集的数据是通过运行特定的Windows API或枚举注册表项收集的,并包括以下组件:

  • 计算机名(使用GetComputerNameW API)和域名(使用GetEnvironmentVariableA API);
  • 如果系统是64位的则进行标记(使用GetNativeSystemInfo API,检查是用wProcessorArchitecture == 9完成的);
  • 处理器数量(使用GetNativeSystemInfo API的dwNumberOfProcessors);
  • 物理内存(GetPhysicallyInstalledSystemMemory);
  • 来自当前版本注册表项的数据(类型,名称长度,名称,数据长度,数据);
  • 来自SecureBoot \状态注册表项的数据(与上述相同的数据);
  • 来自System\Bios注册表项的数据(相同的数据)。

最后的结构包含所有收集到的信息,也有一个存放错误代码的地方,供威胁参与者使用,以弄清楚为什么他们使用的一些API不像预期的那样工作:

DWORD       last_error      (GetComputerNameW)
DWORD       last_error      (GetPhysicallyInstalledSystemMemory)
DWORD       last_error      (GetEnvironmentVariableA)
DWORD       last_error      (NtOpenKey CurrentVersion)
DWORD       last_error      (NtQueryKey CurrentVersion)
DWORD       num_of_values   (CurrentVersion)
DWORD       last_error      (NtOpenKey SecureBoot\State)
DWORD       last_error      (NtQueryKey SecureBoot\State)
DWORD       num_of_values   (SecureBoot\State)
DWORD       last_error      (NtOpenKey System\Bios)
DWORD       last_error      (NtQueryKey System\Bios)
DWORD       num_of_values   (System\Bios)
QWORD       num_of_proccesors
QWORD       total_RAM
QWORD       tick_count
QWORD       is_64_bit
_CHAR[0X10] computer_name
_CHAR[0X10] domain_name
_BYTE[]     CurrentVersion_data
_BYTE[]     SecureBootState_data
_BYTE[]     SystemBios_data

额外的工具

除了使用LIONTAIL外,研究人员还观察到Scarred Manticore利用了其他定制组件。

LIONHEAD web forwarder

在一些被入侵的交换服务器上,攻击者部署了一个名为LIONHEAD的小型web forwarder。LIONHEAD也作为服务安装,使用与LIONTAIL相同的phantom DLL劫持技术,并利用类似的机制将流量直接传送到Exchange Web Services(EWS)端点。

LIONHEAD的配置与LIONTAIL不同:

DWORD     timeout         0x493E0   
DWORD     forward_port    444
STRING    end_string      '<redacted>'
STRING    forward_server  'localhost'
STRING    forward_path    '/ews/exchange.asmx' 
STRING[]  listen_urls     'https://+:443/<redacted>/' 

其后门以与LIONTAIL相同的方式注册listen_urls前缀并侦听请求。对于每个请求,该后门都会复制内容类型、cookie和正文,并将其传送到 <forward_server>/<forward_path>:<forward port>。接下来,后门会从forward_server获得响应,并将其发送回接收原始请求的URL。

这个forwarder可以用来绕过对EWS外部连接的限制,将EWS数据的真正消费者隐藏在外部,从而遮掩数据泄露的事实。

Web shells

Scarred Manticore部署了多个web shells,包括之前被间接归因于OilRig的web shells。其中一些web shell因其混淆、命名约定和工件而脱颖而出。这些web shell保留了类和方法混淆以及一个类似于LIONTAIL的字符串加密算法(异或与一个字节,密钥从第一个字节或前2个字节派生),许多其他web shell和基于.net的工具也在过去几年间被Scarred Manticore应用于攻击活动中。

其中一个shell是对开源XML/XSL转换web shell(XSL Exec shell)进行了严重混淆和略微修改的版本。这个web shell还包含两个混淆的函数,它们返回字符串“~/1.aspx”。这些函数从未被调用过,很可能是其他版本的残余。

【图6:FOXSHELL web shell版本中未使用的字符串】

目标地区

根据对最新一波利用LIONTAIL的攻击的了解,研究人员观察到受害者主要遍布中东地区,包括沙特、约旦、科威特、阿曼、伊拉克和以色列。大多数受影响的实体属于政府、电信、军事和金融部门,以及IT服务提供商。

这些地理区域和目标剖面与伊朗的利益一致,并符合MOIS附属集群通常在间谍活动中针对的典型受害者剖面。

【图7:目标国家分布】

研究人员认为,Scarred Manticore与此前出现的DEV-0861集群存在关联,后者曾被公开披露入侵并从阿尔巴尼亚政府网络中渗漏数据,以及从中东国家(如科威特,沙特,土耳其,阿联酋和约旦)的多个组织中渗漏电子邮件。

归因与历史活动

至少从2019年开始,Scarred Manticore便在中东地区受损的面向互联网的Windows服务器上部署了独特的工具。在这些年里,他们的工具集经历了重大的发展。它最初是基于开源的web部署代理,随着时间的推移演变成一个多样化和强大的工具集,既利用了定制编写的组件,也利用了开源组件。

【图8:Scarred Manticore使用的多个恶意软件版本的代码和功能演变概述】

基于Tunna的web shell

最早的一个与该威胁行为者的活动相关的样本是基于Tunna的web shell,Tunna是一个开源工具,旨在通过HTTP隧道传输任何TCP通信。Tunna web shell允许从外部连接到远程主机上的任何服务,包括那些在防火墙上被阻止的服务,因为所有与web shell的外部通信都是通过HTTP完成的。在配置阶段,将远程主机的IP和端口发送给web shell,在很多情况下,主要使用Tunna来代理RDP连接。

该攻击者使用的web shell的内部版本为Tunna v1.1g(Github上只有1.1a版本)。与开源版本相比,最重要的变化是通过使用预定义的字符串szEncryptionKey对数据进行XORing并在末尾附加常量字符串K_SUFFIX来加密请求和响应:

【图9:威胁行为者使用的“Tunna 1.1g”代理中的加密功能】

【图10:Tunna代理对数据的解密和加密】

FOXSHELL:XORO版本

随着时间的推移,代码被重构,失去了与Tunna的相似之处。研究人员将此版本和所有后续版本都称为“FOXSHELL”。

该版本最大的变化是使用面向目标(objective-oriented)的方法将多个实体组织到类中。下面的类结构在大多数FOXSHELL版本中仍然存在:

【图11:FOXSHELL中的类】

负责加密通信的所有函数都转移到一个单独的EncryptionModule类中。这个类会加载一个嵌入在base64编码的字符串中的.net DLL,并调用其加密和解密方法:

【图12:web shell中base64编码的EncryptionDll】

【图13:EncryptionModule类负责加密和解密方法调用】

嵌入式加密模块的名称是XORO.dll,它的类是加密(Encryption)。XORO实现解密和加密方法的方式与基于隧道的web shell相同,使用相同的硬编码值:

【图14:XORO.dll中的加密常量和解密函数】

所有对web shell的请求也封装在一个名为Package的类中,该类处理不同的包类型(PackageType): 数据、配置、处理或错误。PackageType是由包的第一个字节定义的,根据包的类型,web shell解析包并应用配置(在配置中指定的远程机器上打开一个新的套接字,如果提供的话,应用一个新的EncryptionDll),或者处理现有的套接字,或者如果包是Data类型代理连接:

【图15:FOXSHELL中的包处理】

基于IIS ServerManager和HTTPListener的独立后门

自2020年中期以来,除了FOXSHELL作为代理流量的一种手段外,研究人员还观察到一个相当复杂的独立被动后门,用.net编写,部署在IIS服务器上。它使用与FOXSHELL类似的技术进行混淆,并伪装成System.Drawing.Design.dll。该SDD后门之前由一位沙特研究人员进行了分析,但从未归因于特定的威胁行为者或活动。

C&C通信

该SSD后门通过受感染计算机上的HTTP侦听器设置C&C通信。它是通过两个类实现的:

  • ServerManager——. net中Web.Administration命名空间的一部分,用于管理和配置Windows服务器上的Internet信息服务(IIS),例如获取配置、创建、修改或删除IIS站点、应用程序和应用程序池。
  • HTTPListener——. net框架中的一个类,用于创建自定义HTTP服务器,独立于IIS并基于HTTP API。

ServerManager用于提取IIS服务器托管的站点,并构建URL前缀的HashSet来侦听:

【图16:构建URL前缀的HashSet混淆代码】

在这种特定情况下,恶意软件示例中配置的唯一相对URI是Temporary_Listen_Addresses。然后恶意软件使用HttpListener类开始监听指定的URL前缀:

【图17:HttpListener启动代码】

C&C命令执行

该后门程序有多个功能:使用cmd.exe执行命令,上传和下载文件,执行带有指定参数的进程,以及运行额外的.net程序集。

【图18:SDD后门的请求处理程序】

首先,如果POST请求体包含数据,恶意软件将对其进行解析,并将该消息作为它支持的4个命令之一进行处理。否则,如果请求包含参数Vet,恶意软件只是从base64解码其值,并使用cmd /c执行它。如果这些都不为真,则恶意软件将处理心跳机制(heartbeat mechanism):如果请求URL包含小写字符串wOxhuoSBgpGcnLQZxipa,则恶意软件将返回UsEPTIkCRUwarKZfRnyjcG13DFA以及200 OK响应。

来自POST请求的数据使用Base64和简单的基于xor的加密进行加密:

【图19:命令解密算法】

在解密消息的数据后,恶意软件将按照以下顺序进行解析:

DWORD     command_type
DWORD     command_name_length
STRING    command_name
STRING    data

【图20:处理可能的SDD后门命令类型的开关】

可能的命令,由威胁参与者命名,包括以下几种:

  • “命令(Command)” -使用指定参数执行进程。在本例中,将解析数据以提取进程名称及其参数。
  • “上传(Upload)”—将文件上传到受感染系统的指定路径。
  • “下载(Download)”-将指定的文件发送给威胁参与者。
  • “Rundll”-加载程序集并使用指定参数(如果存在)运行它。

响应数据以与请求相同的方式构建(返回命令类型、命令名称和输出),然后使用与请求相同的基于XOR的算法进行加密。

WINTAPIX驱动程序

最近,Fortinet披露了一波针对中东目标(主要是沙特,但也包括约旦、卡塔尔等)的攻击,这些攻击涉及内核模式驱动程序,研究人员将其命名为“WINTAPIX”。虽然安装驱动程序的确切感染链是未知的,但它们只针对IIS服务器,因为它们使用IIS ServerManager对象。高级执行流程如下:

  1. WINTAPIX驱动程序在内核中加载。
  2. WINTAPIX驱动程序枚举用户模式进程,以查找具有本地系统特权的合适进程。
  3. WINTAPIX驱动程序将嵌入的shellcode注入到先前找到的进程中。shellcode是使用开源的Donut项目生成的,它允许创建一个独立于位置的shellcode,能够从内存加载和执行.net程序集。
  4. 注入的shellcode加载并执行加密的.net负载。

最后的有效负载除了已经熟悉的类、方法和字符串混淆之外,还使用商业混淆器进行混淆,并且它结合了SDD后门和FOXSHELL代理的功能。为了实现这两个目标,它使用ServerManager和HTTPListener(类似于SSD后门)监听两组URL前缀。

值得一提的是,WINTAPIX驱动程序与其他讨论的工具之间存在诸多重叠部分,具体表现在以下方面:

  • 与SDD后门相同的代码库,包括基于相同字符串值wOxhuoSBgpGcnLQZxipa和UsEPTIkCRUwarKZfRnyjcG13DFA的心跳机制。
  • 支持相同的后门命令类型,使用相同的密钥进行加密。
  • 与FOXSHELL相同的代码库、结构和功能。
  • 使用相同的混淆和加密方法。

LIONTAIL框架组件与FOXSHELL、SDD后门和WINTAPIX驱动程序共享类似的混淆和字符串工件。目前,尚未发现任何其他威胁行为者利用这些工具,研究人员根据多个代码重叠和共享的受害者特征将它们全部归因于Scarred Manticore。

结语

在过去几年里,Scarred Manticore被观察到在中东国家进行了多次秘密行动,包括获得该地区电信和政府组织的访问权限,并维持和利用这种访问权限从受害者的系统中窃取数据。通过观察他们的活动历史,可以很明显看出威胁行为者在改进攻击和增强依赖被动植入的方法方面取得了很大进展。

研究人员预计,为了实现伊朗的长期利益,Scarred Manticore行动将持续下去,并可能蔓延至其他地区。虽然Scarred Manticore最近的大部分活动主要集中在保持秘密访问和数据提取上,但对阿尔巴尼亚政府网络的攻击案例提醒我们,民族国家行为者可能会与情报机构合作并共享访问权限。


原文链接:

https://research.checkpoint.com/2023/from-albania-to-the-middle-east-the-scarred-manticore-is-listening/

# 技术分析
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录