FreeBuf|MontysThree工业间谍软件分析( 二 )
Config包含任务计划(屏幕截图) , 访问令牌 , 感兴趣的目录和扩展:
本文插图
发现俄语字符串 , 例如“Снимокрабочегостола”(桌面快照) , “Системнаяинформация”(系统信息) , “Времявыхода”(退出时间) 。
本文插图
解密后的配置结构如下:
本文插图
处理指令的主要类是CTask 。 CTask的IoControl方法负责处理相应的任务 , 并可运行以下方法:
本文插图
通信模块【FreeBuf|MontysThree工业间谍软件分析】HttpTransport存在于内核模块.text部分中的四个加密数据块 。 当内核需要通信时 , 它会解密该模块 , 并运行Open函数 , 传递命令行参数 。
根据从内核模块传输的参数 , 该模块可以使用RDP , WebDAV , Citrix和HTTP协议上传或下载内容 。 HttpTransport也实现了使用用户令牌从Google和Dropbox公共服务下载数据 。 在HTTP GET / POST请求下 , 该恶意软件将使用Windows API HTTP功能从URL接收隐写位图图片 。
上述通信协议本身并未在模块内部实现 。 恶意软件利用计算机上已安装的Windows程序(例如RDP , Citrix客户端和Internet Explorer)进行操作 。 可通过剪贴板将URL粘贴到浏览器中;等待并再次通过剪贴板接收结果 。
Dropbox和Google数据的上传和下载依赖于另一个原理:使用自定义类CSimpleHttp进行身份验证并发送HTTP请求 。
总结通常恶意软件主要针对政府实体 , 外交官和电信运营商 , 像MontysThree这样的工业间谍少见很多 。
就传播方式 , 持续性控制方法而言 , 其复杂性无法与顶尖APT相提并论 。 恶意软件开发方面(同时登录RAM和文件 , 将加密密钥保留在同一文件中 , 在远程RDP主机上运行不可见的浏览器)还不成熟 。
MontysThree中的代码量以及投入的精力是巨大的:在RSA加密下存储3DES密钥 , 规避IDS的自定义隐写术以及使用合法的云存储隐藏C2流量 。
IOCsLoader1B0EE014DD2D29476DF31BA078A3FF48
0976*42A06D2D8A34E9B6D38D45AE42
A2AA414B30934893864A961B71F91D98
KernelA221671ED8C3956E0B9AF2A5E04BDEE3
3A885062DAA36AE3227F16718A5B2BDB
3AFA43E1BC578460BE002EB58FA7C2DE
HttpTransport017539B3D744F7B6C62C94CE4BCA444F
Domains and IPsautosport-club.tekcities[.]com
dl10-web-stock[.]ru
dl16-web-eticket[.]ru
dl166-web-eticket[.]ru
dl55-web-yachtbooking[.]xyz
原文链接https://securelist.com/montysthree-industrial-espionage/98972/
本文插图
推荐阅读
- 大话百科天地|“工业4.0”将引领全球制造业再出发,物向联网、智能企业、智能产业迈进
- 红星新闻|5G赋能影视城深度工业化,象山影视城要从1.0升级到2.0
- 互联网|周宏仁:工业互联网核心是先进的数据分析和处理
- 起重汇射频集成|阿尔法工业遥控器怎么样?
- FreeBuf|前微软工程师窃取千万美元:自己买车买房,同事做替罪羊
- 互联网|贵阳:统筹网络、平台、安全三大领域 全力推进全市工业互联网建设
- 工业互联网|计算机领域哪些技术的发展前景较好,本科生如何进入这些领域发展
- 塑料|科技创新助推塑料加工业由大变强
- 倪光南|倪光南:针对工业软件卡脖的三点建议
- 虚拟现实|云南首个工业级AR技术变电运检辅助系统成功应用