在2016年6月,日本主要的旅行社JTB公司宣称,在他们的服务器受到攻击后,经历了大规模的数据泄露。初步报告表明,在JTB公司预定旅行的793万人的个人预定信息可能被曝光,震惊了整个日本。
泄露的数据中含有敏感的个人信息,包括客户的姓名、家庭住址和电子邮件地址。当地媒体日本时报透露,护照信息在攻击中也遭受泄漏,包括4300多个可用的护照号码。
JTB公司,总部位于东京,是世界上最大的旅行社之一,旗下员工超过26000人。官方声称攻击的来源是一次有针对性的电子邮件钓鱼行动:一位公司的员工打开了一个被一种被称作PlugX的极其隐蔽的木马感染的电子邮件附件Microsoft Word文档,传播渗透到公司的数据服务器。据称有问题的文件是全日空公司的旅行预定要求。
JTB总裁高桥宏之为这次可能还影响了使用JTB在线预定网站的顾客的感染亲自道歉。这次事件突出了储存大量客户敏感信息的公司对于审查和加强其网络安全策略和实施的迫切需要。这应该包括对安全链上最容易被忽视的所有员工的网络安全意识的培训。
PlugX亮相
令人震惊的是: PlugX, 有时也被称为Korplug,并不是一个新的威胁.然而,最近对JTB的攻击将这个系列的恶意软件带回到了聚光灯下。 PlugX和一系列的木马,例如Elirks(一种信息窃取器)经过多年的进化,随时间推移使用了不同的新技术, 从而确保了高度的隐蔽性、持续性,以及侦测/预防控制及逃脱的能力。
虽然说的这么多,我们已经观察到,传统的基于签名的反病毒(AV)技术对于检测这类“陈旧”的恶意软件仍然存在问题。凭借多年的免费供研究和学习的易于使用的样本,人们想要明确是什么制止了传统反病毒厂商采取措施来升级他们产品的功能,来阻止这些威胁的发生。
写到这里, 我们将会特别关注PlugX系列,以及一些恶意软件作者用来在目标终端建立落脚点的新技术。我们必须非常明确的指出,在这篇文章中标明和分析的样本并非与JTB事件有关的确切的PlugX 样本。 然而,情报显示,在实际攻击中使用了与PlugX非常相似的文件和技术。
因此,这是一个绝佳的机会来重新审视这类威胁,并自习观察与PlugX系列有关的具体行为,并突出Cylance的基于人工智能的技术的威力,来防止这些威胁的发生。
约会PlugX——一个披着羊皮的RAT
PlugX是一个可以追溯到至少2012年的多功能的远程访问木马(RAT)。PlugX的使用并非某个对立组织独有,也并不属于某一特定区域。多年来,它已经在许多著名的攻击中观测到,包括Operation Poisoned Handover, Operation Poisoned Hurricane, ClassicWind, Clandestine Fox以及更多。
在最新的旅行社攻击中,报告显示,恶意软件PlugX 通过捆绑或编程进入许多合法的应用程序。近期的例子包括英特尔的CPUMonitor,戴尔的Toad for Oracle packages,以及微软的System Information工具。 该恶意软件还带有一个PlugX DLL和一个包含了shellcode的高信息量的二进制文件。它利用了合法的可执行文件来将PlugX side-load进可执行文件。
DLL的side-load利用了有着在运行时不指定DLL导入位置的缺陷的可执行文件。发生这种情况时,威胁者可以让OSLoader加载一个恶意DLL来取代原本的DLL,并将新的DLL存储在与可执行文件相同的根目录下。当这种情况发生时,DLL将导入可执行文件。
在近期的攻击中,据报道,木马PlugX嵌入到了武器化的Microsoft Word 文档中,然后上传到鱼叉式网络钓鱼电子邮件中。该木马往往会生成恶意文档的一个独特的新副本来避免侦测。鱼叉式网络钓鱼是一种经常被用作进入高价值的公司和金融网络的技术,例如近期攻击SWIFT银行的事件。
PlugX:面纱之下
PlugX经常通过生成器配置。生成器有着威胁者能够使用的不同设置,包括指定一个合法的可执行文件、后门连接和计划事件。PlugX生成器拥有的这些选项允许威胁者指定一个合法的应用程序,然后在受害者的系统上获得落脚点。
在下面的例子中,我们显示了PlugX生成器使用的CPUMonitor和Operating System Information工具(msinfo32)版本:
图1:PlugX生成器显示英特尔的CPUMonitor被用作合法的可执行文件
图2:PlugX生成器显示Operating System Information工具(msinfo32)被用作合法的可执行程序
在PlugX生成器应用程序中其他配置选项如下:
图3:PlugX流氓软件/DNS服务器选项
图4:PlugX计划任务选项
PlugX样本分析
当具体分析样本(8abcbfe0f44726f898c1c288c4a5d3a84f1aa11a60156e28d125fffbf0b81ce6)时,我们观察到以下行为:PlugX将代码注入进程 "C:WindowsSysWOW64svchost.exe” 并利用下面内核模式功能帮助进入:
SeShutdownPrivilege
SeIncreaseQuotaPrivilege
SeCreateTokenPrivilege
SeAssignPrimaryTokenPrivilege
SeLockMemoryPrivilege
SeMachineAccountPrivilege
PlugX然后将代码注入msiexec.exe,将一个恶意Microsoft Word 文档放入受害者的AppDataLocalTemp文件夹, 然后尝试运行该Word文档。
图5:Process Explorer见证PlugX恶意代码注射进程
图6:恶意Word文档被PlugX放入受害者的Temp文件夹
PlugX通过收集用户名和计算机名来分析受害者和被感染的计算机系统。然后,它使用进程间通信管道来窃取知识产权、证书等。
这种特殊的例子调出并与下面的IP进行交互:
198.41.215.183
202.181.24.147
图7:PlugX的暴怒第1集……通过Wireshark (网络协议分析仪)观看
图8:PlugX的暴怒第2集……通过Wireshark(网络协议分析仪)观看
CylancePROTECT大战PlugX
Cylance的研究团队在过去的一年中尝试了各种各样的PlugX二进制文件来对抗CylancePROTECT和我们目前的数学模型。我们基于数学的人工智能技术能够在所有的PlugX测试样本中100%的阻止并保护可执行文件。
回想一下,这和利用相同的二进制文件来测试传统的、基于签名的反病毒技术的结果是完全不同的。基于一次PlugX相关的攻击对财务和业务的影响,没有任何一家公司能够承受这些威胁没有被检测到的后果。
出现在CylancePROTECT控制台(和本地代理)的结果如下所示。
-相信数学!!!
图9:CylancePROTECT控制台显示检测出了全部118个PlugX恶意样本
图10:CylancePROTECT威胁面板显示全部118个PlugX样本被检测出、预运行
我们的威胁研究团队最近上传了一个展现我们对抗PlugX技术运转中的视频:
https://www.youtube.com/embed/xg18_N7dLXo
视频: CylancePROTECT vs. PlugX
感染指标(IOCs)
SHA256 哈希值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发表评论
您还未登录,请先登录。
登录