美NSA新APT框架曝光，针对俄伊等要害部门

安全研究人员发现了一项新的攻击行为, 使用两个攻击框架, 据称是美NSA开发的后门，用以监视俄罗斯、伊朗和埃及的目标。

这些 工具 最初是在2017年3月由影子经纪人（ ShadowBrokers ）发布的, 称他们来自美国间谍机构，其中包括两个框架: DanderSpritz 和 FuzzBunch。

DanderSpritz-包括 "插件，用以收集情报, 使用利用和检查已经被控制的机器"。FuzzBunch支持不同的实用程序交互和协同工作, 其中含各种功能插件，用以分析数据, 受害者, 利用漏洞, 执行计划任务等等。

DanderSpritz 完全由插件来收集情报、利用漏洞和检查已经控制的机器。它是用 Java 编写的, 它提供了一个类似僵尸网络管理面板的图形窗口界面, 以及像 Metasploit 的控制台接口。它还包括自己的后门和插件, 支持 FuzzBunch 控制的受害者。

DarkPulsar 后门将两个框架链接一起, 与 FuzzBunch 一起利用漏洞, 在 DanderSpritz 执行侦察和窃取数据之前，获得对目标系统的远程访问权限。

"FuzzBunch 和 DanderSpritz 框架的设计是灵活的, 可扩展功能，与其他工具兼容。其中每一个都包含一组针对不同任务设计的插件:  FuzzBunch 插件负责侦察和攻击受害者；DanderSpritz 框架中的插件则管理已感染的受害者。

FuzzBunch 框架中的插件有三文件:

%pluginName%-version.fb

从 XML 复制标头, 并包含插件的 ID。

%pluginName%-version.exe

当 FuZZbuNch 收到命令时, 将启动此可执行文件

%pluginName%-version.xml

此配置文件描述插件的输入和输出参数-参数名称, 类型等;

DarkPulsar 的管理模块, 用于控制一个名为 "sipauth32" 的被动后门, 它提供远程控制，支持以下命令:

Burn 
RawShellcode 
EDFStagedUpload 
DisableSecurity 
EnableSecurity 
UpgradeImplant 
PingPong

Darkpulsar 有将恶意软件流量嵌入系统协议的能力。支持情况如下：

Msv1_0.dll – for the NTLM protocol, 
Kerberos.dll – for the Kerberos protocol, 
Schannel.dll – for the TLS/SSL protocols, 
Wdigest.dll – for the Digest protocol, and 
Lsasrv.dll –for the Negotiate protocol. 

通过端口445的流量，lsass.exe 中还会出现一对绑定套接字；当 DanderSpritz 通过 PcDllLauncher 插件部署 PeddleCheap 的负载时, 网络活动会显著增加；当与受感染计算机的连接终止时, 网络活动将停止, 且仅 lsass.exe 中的两个绑定套接字的踪迹仍然存在:

卡巴斯基实验室声称在俄罗斯、伊朗和埃及发现了大约50名受害者, 其中有 Windows Server 2003 和2008的目标系统。俄罗斯 AV 供应商解释说, 受攻击组织与核能、电信、IT、航空航天等部门有关联。

IOCs：

implant – 96f10cfa6ba24c9ecd08aa6d37993fe4

File path – %SystemRoot%\System32\sipauth32.tsp

Registry – HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Providers

参考：

https://securelist.com/darkpulsar/88199/

声明：本文来自malwarebenchmark，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如需转载，请联系原作者获取授权。