793万客户信息泄露样本技术分析与防护方案

日本知名旅行社JTB公司2016年6月14日宣称,在他们的服务器受到攻击后,经历了大规模的数据泄露。初步报告表明,在JTB公司预定旅行的793万人的个人预定信息可能被曝光。泄露的数据中含有敏感的个人信息,包括客户的姓名、家庭住址和电子邮件地址。当地媒体日本时报透露,护照信息在攻击中也遭受泄漏,包括4300多个可用的护照号码。

时间线跟踪如图1所示:

时间线跟踪1

攻击路径概要如图2所示:(下图来自日经新闻编辑部)

攻击路径概要

]2 攻击路径概要

官方声称攻击的来源是一次有针对性的电子邮件钓鱼行动,一位公司的员工打开了一个被一种被称作PlugX的极其隐蔽的木马感染的电子邮件附件, 从而渗透到公司的数据服务器。

什么是PlugX

PlugX是一个可以追溯到至少2012年的多功能的远程访问木马(RAT),通过捆绑或编程进入许多合法的应用程序。

执行概要

攻击者发送带有样本的邮件,诱骗被攻击者打开、运行样本,感染机器。示意图如图3所示:

执行示意图

]3 执行示意图

样本实现的恶意功能包括:键盘记录,截屏,网络操作,端口监听,磁盘信息获取,数据库信息窃取等。

样本功能如表1所示:

样本功能

样本使用不同的参数执行不同的功能,参数如表2所示:

参数

样本启动方式

两种启动方式,一是以服务形式启动,服务名称Quest Software Service; 二是设置注册表启动项 。

服务启动设置

]6 服务启动设置

自启动项设置

]7 自启动项设置

样本结构

样本文件及功能如表3所示:

样本文件及功能

文件生成关系如图6所示:

文件生成关系

]9 文件生成关系

执行行为分析

注册表行为

在注册表项“Software\Microsoft\Windows\CurrentVersion\Run”中添加了“Quest Software Sevice”,以完成自启动。

网络行为

样本网络行为

]10 样本网络行为

样本使用了HTTP、TCP、UDP、ICMP四种协议方式发送数据,其中首先使用HTTP和TCP两种协议向指定IP发送数据(“攻击定位”章节所示),当连接失败后,使用UDP协议发送数据。发送数据包含密文信息和明文请求,其中密文信息包括计算机名、用户名、CPU信息、用户Token、内存信息、操作系统信息、系统时间等信息,其发送的数据为这些信息的压缩数据格式。明文信息为请求更新信息。分析如下:

使用不同的通信协议

]11 使用不同的通信协议

发送的敏感数据的明文信息(网卡)

]12 发送的敏感数据的明文信息(网卡)

POST请求更新数据

]13 POST请求更新数据

对发送的数据进行压缩(加密),成功连接后,接收的数据为压缩格式数据(通过解压缩函数解密),其返回数据为相应的命令,执行相应功能(根据不同的执行指令发送不同的信息)。

对样本的解密过程如下:

样本通过WSARecv函数接收命令,循环接收两个数据包,一个0xA大小,解密后作为key解压另一个数据包,第二个数据包0x10大小,其中第二个DWORD字段是Command字段。目前接收的Command字段数值一直是0x2,功能是主机的CPU、Memory、Version、ststeytime信息。

CC通信

]14 CC通信

进程调用

进程调用

]15 进程调用

进程注入情况如图14、图15所示:

svchost.exe中注入的线程

]16 svchost.exe中注入的线程

msiexec.exe注入的线程

]17 msiexec.exe注入的线程

样本动态调试分析

设置键盘钩子

]18 设置键盘钩子

主功能代码截图1

]19 主功能代码截图1

主功能代码截图2

]20 主功能代码截图2

主功能代码截图3

]21 主功能代码截图3

创建服务

]22 创建服务

查询是否管理员权限

]23 查询是否管理员权限

获取键盘类型

]24 获取键盘类型

攻击定位

网络IP地址

]25 网络IP地址

绿盟科技TAC检测结果

TAC针对样本的检测结果

]26 TAC针对样本的检测结果

解决方案

绿盟科技检测服务

绿盟科技工程师前往客户现场检测。

绿盟科技专杀解决方案

1) 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+IPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。 2) 中期服务:提供3-6个月的风险监控与巡检服务(IPS+TAC+人工服务)。根除风险,确保事件不复发。 3) 长期服务:基金行业业务风险解决方案(威胁情报+攻击溯源+专业安全服务)。

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

Spread the word. Share this post!

Meet The Author

Leave Comment