"Düşük Akım II" tekrar tarandı: Duwan'ın "Oyun Kutusu" nun tedarik zinciri tarafından saldırıya uğradığından şüpheleniliyor
1. Etkinliğe genel bakış
Çin'deki aktif botnet'ler arasında lider olan "Undercurrent" ailesi, trafik taraması saldırılarına odaklanıyor. Eskiden Çin'de tanınmış bir yazılım şirketinin "resmi" ceketinin koruması altında uzun yıllar saklanıyordu. Uyuşturucu zalimleri güvenlik ekibi Ekim 2018 sonunda başı çekti. Kazı, perde arkasındaki siyah üretim çetesinin açıkça kolay kolay durmadığını ortaya çıkardı. "Yüz bacaklı böcekler ölür ama sertleşmez." Son zamanlarda uyuşturucu tiranın "rüzgarı yakalayan" tehdit algılama sistemi, "alt akıntı" ailesinin yeni varyantlarının aktivite izlerini bir kez daha izledi.
İzlenebilirlik analizi sayesinde, bu sefer "Undercurrent II" ailesinin enfeksiyonu Duwan Company'nin "Game Box" istemci yükseltme kanalı aracılığıyla yaydığını gördük. Ana makine sürecini başlatmak için dijital imza "Guangzhou Wan Box Technology Co., Ltd." idi. Şirketin tanınmış yardımcı oyun yazılımı olan "Game Box", "League of Legends Box", "DNF Box", "World of Tanks Box" gibi çeşitli yardımcı istemcileri içerir. İzleme verilerinden hiç kimse korunmaz. Tüm ürün yükseltme kanalları Hepsi "Undercurrent II" Truva atı ailesine yerleştirildi. Yükseltme kanalları ve dijital imzalar gibi güçlü korelasyon kanıtları dışında, "Undercurrent II" Truva atı ailesinin ve "Multiplay Games" in doğrudan manipüle edildiğine ve ilgi alanlarıyla ilişkili olduğuna dair hiçbir ipucu bulunamamıştır Bu virüs aktarımı olayı üretici tarafından dahili bir işlem mi yoksa harici bir siyah ürün mü? Saldırı henüz sonuçlanamadığından, bu güvenlik olayını geçici olarak "şüpheli yazılım tedarik zinciri saldırısı" olarak adlandırıyoruz.
"Rüzgar Yakalama" sistemimizin geçmişe dönük verilerinden, bu "Düşük Akım II" virüs yayma aktivitesi, 17 Ocak 2019 tarihinde küçük ölçekli bir test olarak başladı ve ardından çeşitli oyun kutularının müşteri yükseltme kanallarına genişledi ve etki alanı hızla genişledi. Ağın tamamındaki virüslü kullanıcı sayısının bir milyon düzeyinde olduğu tahmin edilmektedir. Bu "Düşük Akım II" virüs aktarım etkinliği, Bahar Şenliği'nden sonra izlenen ilk yüksek riskli güvenlik olayıdır. Güvenlik acil durum müdahale sürecini mümkün olan en kısa sürede başlattık. Şu anda, ilgili ayrıntıları bildirmek için üreticilerle aktif olarak iletişim kuruyoruz. Lütfen daha fazla sonuç için bekleyin. Oyunu "resmi anket yanıtı" oynayın.
2. Teknik analiz
1. Kanal kirliliğini yükseltin
"Undercurrent II" karanlık fırça Truva Ailesinin ana gövdesi yükseltildi ve "Duowan" oyun kutusu altındaki oyun kutusu istemcisi aracılığıyla kuruldu.Veri paketi izleme analizinden, sunucu yükseltme yapılandırma dosyalarının tümüne kirlilik enjekte edildi ve çekirdek modül "UpdateServer" dır. çalıştırdıktan sonra sistem hizmeti başlangıç öğesi olarak kaydedilen ve bulut kontrol modüllerinin müteakip yüklenmesinden sorumlu olan exe ", ek olarak, koyu fırça modülüne enjekte edilecek ana bilgisayar işlemi olarak boş kabuk programı" Notify.exe "kullanılır. Yukarıdaki dosyaların dijital imzalarının tamamı "Guangzhou Wanbox Technology Co., Ltd." dir.
2. Bulut kontrol eklentisini başlatın
"UpdateServer.exe" çekirdek modülü bir sistem hizmeti olarak kendi kendine kaydedildikten sonra, sanal makine çalışmasını, paket yakalama algılamasını veya hata ayıklama analizini önlemek için önce mevcut sistem ortamını kontrol eder. Ardından güncelleme dizinindeki çekirdek dosyaları kontrol edin: "UpData.db", "Notify.exe", "info.db". (RC4 + ZLib) içindeki "UpData.db" modülünün şifresini çözün ve bellek yoluyla yükleyin ve dışa aktarma işlevi "update_init" olarak adlandırın.
"UpData.db" modülü tarafından açılan modülün orijinal dosya adı "Undercurrent II" varyantının temel bulut kontrol modülü olan "common.dll" dir. Döngü iş parçacığı açıktır ve çevresel algılama, bulut kontrol talepleri ve iş eklentisi Yükleyicinin enjeksiyonundan sorumludur Başlatma ve diğer görevler, bulut kontrol istek paketi temel olarak iki tür içerir; biri bulut kontrol sunucusu bilgilerini güncellemek, diğeri ise koyu fırça URL yapılandırması gibi eklenti işletim parametresi bilgilerini elde etmektir. Çalışan eklenti Yükleyici, şifresi çözülen ve askıya alma tarafından oluşturulan boş kabuk işlemi olan "Notify.exe" ye enjekte edilen "info.db" dosyasıdır. Üst işlemdeki yapılandırma bilgilerinin bellek adresi, sonraki eklenti okumasını kolaylaştırmak için komut satırı parametrelerinden geçirilir. Çözmek.
3. Koyu fırça eklentisini başlatın
"İnfo.db" çalışan eklenti yükleyici enjekte edildikten ve çalıştırıldıktan sonra, önce komut satırı parametreleri aracılığıyla ana işlem belleğinde depolanan parametre yapılandırma bilgilerini alır Doğrulama tamamlandıktan sonra, çalışma dizisi başlatılır ve ağ güncellemesi ile gerçek işlevsel eklenti elde edilir ve bellek yansıması ile yüklenir. Eklenti modülünün içeriği şifrelenir ve "user.db" dosyasında önbelleğe alınır. Dark brush eklentisinin işlev dışa aktarma arabirimi "FuncA" ve "FuncB" dir; burada "FuncA", parametre XML yapılandırma bilgilerinin şifresini çözmekten sorumludur ve "FuncB", parametre yapılandırmasına göre koyu fırça görevini yürütür.
Eklenti koyu fırça işlevi desteği, yüksek esneklikle nispeten eksiksizdir ve temelde önceki "Düşük Akım" aile raporunda açıklanan eklenti koduyla aynıdır ve güvenlik yazılımı, trafik izleme, oyunlar ve diğer işlemler için algılama ve kaçınma stratejisini güçlendirir. Hedef web sitesinin gizli taraması da çok karmaşıktır ve videolar, arabalar, güzellik, e-ticaret, haberler ve mobil gibi çok sayıda üreticiyi içerir.Bu makalede tekrarlanmayacak olan önceki ifşa raporuna başvurabilirsiniz.
3. IOC Ek
HASH:
6A6708B0B328E83C75475813031BEC85
CB4312825FAD06B693DC99EFA51200C7
7991C6348D094F6DD131BF16CC2FEC52
413907237A6480BD3590EA516002B9FA
BE029AF532636359DB97A24116CB85E5
CC:
data.3515w.com
tt.we2021.com
gg.we2021.com
211.110.66.106
* Yazar: leopar güvenliği, lütfen FreeBuf.COM'dan belirtin
