出品:ProofPoint
翻译:神州网云(北京)信息技术有限公司
2018-01-31
公司核心团队具有10年以上的高级威胁检测领域经验,核心人员从2007年至今独立发现多起影响巨大的高级威胁事件,是业内少有的具备一线APT对抗经验和案例的知名团队。目前公司主要提供针对高级威胁防御相关的系列产品和解决方案。创新性的将特征监测、行为分析、全流量深度分析、取证、威胁情报、大数据分析等技术进行综合应用,提供了基于云架构的高级威胁检测方案,并在项目中成功进行应用和验证,取得了显著的效果。
公司获得国家高新技术企业认证、ISO9001质量管理系统认证、安全集成服务资质认证及国家保密局涉密信息系统产品认证。同时与中国科学院签订了高新技术产学研合作协议、作为创始单位与国内多家信息安全公司共同创立了国内首个威胁情报联盟——烽火台威胁情报联盟。神州网云(北京)信息技术有限公司于威海、常州、武汉、广州成立分公司,并成立北岛安全研究院和网云安全学院。
神州网云(北京)信息技术有限公司旗下产品:全流量高级威胁检测+威胁情报:集特征监测、行为分析、全流量深度分析、取证、威胁情报、大数据分析等技术为一体的高级威胁检测与分析系统。可以在更广的领域和范围进行网络信息安全事件的事前警示、事中发现、事后溯源。还原的相关网络行为及报警线索自动留存6个月以上,为分析人员提供安全事件的全方位大纵深态势感知、分析定性与电子取证能力。
本报告为美国ProofPoint公司的研究,神州网云的翻译作品,仅供技术讨论,不代表神州网云的观点,亦不承担相应责任。原文链接如下:https://www.proofpoint.com/sites/default/files/pfpt-us-wp-north-korea-bitten-by-bitcoin-bug.pdf
【摘要】
活动时间至少可以追溯到2009年,拉撒路集团一直是最具破坏性、成功和影响深远的受国家—政府赞助的组织之一。2013年3月20日韩国遭受攻击,2014年索尼电影公司遭受黑客入侵,2014年成功盗窃孟加拉银行8100万美元,也许最著名的是今年的WannaCry勒索软件袭击事件及该事件的全球影响,这一系列事件的罪魁祸首都是该集团。拉撒路集团被世界各地的信息安全行业、执法机构和情报机构等众多组织广泛认为是由朝鲜国家发起的威胁。
拉撒路集团的工具、恶意植入和漏洞利用武器等的使用非常广泛,并且也是在不断发展中的。此前,他们已经使用分布式拒绝服务攻击(DDoS)的僵尸网络、数据擦除(Wiper)恶意软件暂时使公司瘫痪,以及使用针对SWIFT银行系统的成熟恶意软件窃取数百万美元。在本报告中,我们描述和分析了一个新的且目前尚未披露的拉撒路集团工具集的子集,该工具集广泛针对与加密货币相关的个人、公司和组织。
这个被称为PowerRatankba的新工具集的威胁载体包括高度针对性的使用链接和附件的钓鱼攻击活动,以及大规模的电子邮件钓鱼攻击活动,这些攻击活动均针对与加密货币相关的个人及公司账户。同时,我们的发现可能是首个针对销售终端系统(POS)的盗窃信用卡数据框架的国家/地区实例的公开记录,在该实例中使用了与PowerRatankba联系紧密的恶意软件变体。
拉撒路集团的攻击日趋以经济利益为目的,似乎正在通过加密货币日益增长的热潮和疯涨的价格获利。Proofpoint的研究人员已经发现了一些多级攻击,它们使用加密货币诱饵来使具有复杂后门和恶意监控软件的受害者感染。然后受害者感染的包括Gh0st RAT在内的其他恶意软件,窃取加密货币钱包和交易,使拉撒路集团能够利用比特币和其他加密货币获利。在一系列的攻击中我们还发现,这似乎是第一个公开记录的一个针对盗窃信用卡数据的销售终端系统(POS)框架的国家—政府实例。而且,将攻击销售终端系统的时间安排在假日购物季时期,增大了潜在的经济损失。
【简介】
众所周知,拉撒路集团有针对性地成功入侵了几家知名的电子货币公司和交易所。根据这些入侵行为,执法机构怀疑该集团如今已经获得了价值近1亿美元的加密货币。根据我们在“归因”部分提供的证据,我们推测,以前报告的针对加密货币组织的许多行动实际上是由拉撒路集团的间谍团队进行的。此外,我们推断,时至今日,许多拉撒路集团的传统经济目标团队已经暗中积攒了大量的财富,他们进行攻击行动,为他们大量的各种加密货币的储备添砖加瓦。
针对2016年底和2017年初发生的银行业和金融业的几次水坑攻击中,其第一阶段下载植入名为Ratankba的恶意软件。这些事件中,拉撒路集团主要使用Ratankba作为侦察工具,趋势科技的工作人员将其它形容为“地形测绘工具”。在本报告中,我们详细介绍了一种名为PowerRatankba的新型恶意植入软件,PowerShellank是一种基于PowerShell的恶意软件变体,这与原来的恶意植入软件Ratankba非常相似。我们相信,鉴于Ratankba在今年早些时候被公开曝光披露,PowerRatankba很可能成为拉撒路集团严格的经济目标团队的替代品,以填补Ratankba留下的空缺。
在本报告中,我们首先提供与恶意活动相关的事件的简要时间线。接下来,我们描述了拉撒路集团用PowerRatankba感染受害者的各种传递方法(图1)。然后,我们详细介绍PowerRatankba的内部工作原理,以及如何利用它来使受害者提供一个功能更强大的后门(图1)。接下来,我们将分享有关韩国POS新威胁的细节,我们称之为RatankbaPOS(图1)。最后,我们将解释将攻击行为认定为拉撒路集团的高信度推断。
图1 PowerRatankba从受害者到拉撒路集团的活动流程
PowerRatankba的下载器
- 一种名为PowerSpritz的新型Windows下的下载器执行程序;
- 一种恶意Windows快捷方式文件(LNK);
- 使用两种不同的技术的多个恶意HTML帮助文件(CHM);
- 多个JavaScript(JS)下载器;
- 两个基于宏的Microsoft Office文档;
- 托管在国际化域名基础设施上的两个具有后门的流行的加密货币应用程序,该程序向受害人制造假象,使受害人认为正在浏览正规网站
本次研究中的攻击行为开始于2017年6月30日左右。根据我们的数据,在针对加密货币组织高管的钓鱼攻击中用到了PowerRatankba的变体A。在其他攻击中使用了变体B。我们目前无法得知LNK、CHM以及JS的攻击是如何感染给用户的,但考虑到拉撒路集团的一贯做法,我们推测拉撒路集团通过邮件发送附件或者链接给受害者。在大规模的邮件攻击中,我们又观察到了该组织使用了以比特币黄金(BTG)以及Electrum钱包为主题的邮件进行钓鱼来发送恶意程序PowerRatankba。我们根据攻击的情况整理了下图,但具体的攻击日期不确定,我们根据首次攻击的观测以及元数据进行了估计。
图2 攻击的时间线最终与PowerRatankba相关
PowerSpritz
PowerSpritz是一个Windows可执行程序,它使用少见的Spritz加密算法(关于Spritz算法执行的相关分析见“归因”部分)来隐蔽其攻击载荷(Payload)和恶意PowerShell命令,另据观察,攻击者通过使用TinyCC短链接服务来跳转和托管PowerSpritz攻击载荷。早在2017年7月初,Twitter上有人分享了他们发现的利用假冒Skype更新来诱骗用户点击的攻击证据,该假冒更新为短链接hxxps://skype.2[.]vu/1,点击之后链接会重定向到托管攻击载荷的服务器hxxp://201.211.183[.]215:8080/update.php?t=Skype&r=update,由此实现攻击载荷运行。
之后,我们还发现了多个传播PowerSpritz的短地址跳转,如假冒Telegram的:
hxxp://telegramupdate.2[.]vu/5->hxxp://122.248.34[.]23/lndex.php?t=Telegram&r=1.1.9
以及假冒Skype的:
hxxp://skypeupdate.2[.]vu/1->hxxp://122.248.34[.]23/lndex.php?t=SkypeSetup&r=mail_new
hxxp://skype.2[.]vu/k -> unknown
有部分PowerSpritz攻击载荷托管于Google Drive上;然而,我们无法确定该服务是否真的被用于在真实环境(in-the-wild,ITW)中传播有效载荷。
PowerSpritz利用Spritz加密算法并以“Znxkai@ if8qa9w9489”为密码加密有效的Skype或Telegram安装程序。然后PowerSpritz将有效的Skype或Telegram安装程序写入磁盘,并通过句柄GetTempPathA或GetTempFileNameA来获取程序安装目录或者安装程序名称。然后这些含有病毒的安装程序则欺骗用户,使用户认为他们下载的是正规的软件。最终,PowerSpritz会以相同的加密密码执行PowerShell命令,下载PowerRatankba的初始阶段部署程序:(见图4)
图4 PowerSpritz PowerShell编码以及解码的输出脚本
上图中可以看到,PowerSpritz还会从地址hxxp://dogecoin.deaftone[.]com:8080/mainls.cs获取一个Base64加密脚本,脚本执行后,又会从另一地址hxxp://vietcasino.linkpc[.]net:8080/search.jsp实现PowerRatankba的命令控制(C&C):(见图5)
恶意Windows快捷方式(LNK)文件
在防病毒扫描服务上发现伪装成PDF文档的lnk文件。 意的“Scanned Document Part 1.pdf.lnk”lnk文件与名为“Scanned Document Part 2.pdf”的损坏的pdf一起被压缩在名为“Scanned Documents.zip”(图6)的zip文件中。目前还不清楚PDF文件是否被故意篡改,以增加目标打开恶意LNK文件的机会,或者是攻击者无意中使用了损坏的文件。我们尚未得知如何在实际环境中使用lnk或压缩的zip文件进行攻击。
恶意lnk使用已知的AppLocke通过TinyURL短链接hxxp://tinyURL[.]com/y9jbk8cg(见图7)来跳转并检索其攻击载荷。短链接地址跳转到hxxp://201.211.183[.]215:8080/pdfviewer.php?o=0&t=report&m=0。在本次分析中C&C服务器不再返回攻击载荷。但在PowerSpritz攻击中使用了相同的IP。根据相同的C&C使用以及类似的URL结构,虽然不是很肯定,但我们推测lnk文件的攻击也会通过PowerSpritz来部署PowerRatankba。
恶意HTML帮助文件(CHM)
据我们数据发现,在10月、11月和12月期间,受害者曾将多个恶意CHM文件上传到了多家防病毒扫描服务中。为了能够理清CHM文件使用的时间表,我们检视了压缩的zip元数据。但我们无法确定这些感染攻击是如何在真实环境中感染受害者的。使用的恶意CHM文件包括:
- 一个写得相当混乱的,用来创建浪漫意味网站的帮助指南文件(图8-1)
- 来自Orient Exchange Co交易公司名为ALCHAIN区块链技术的文档(图8-2)
- 开发首次代币发行平台(ICO)的协助要求(图8-3)
- Falcon加密货币首次代币发行平台(ICO)白皮书(图8-4)
- 加密货币交易平台的开发应用要求(图8-5)
-
电子邮件营销软件协助要求(图8-6)
图8 诱使用户感染PowerRatankba的chm文件
所有的CHM文件都使用众所周知的技术来创建一个能够执行恶意代码的快捷方式对象,然后通过“x.Click()”函数自动点击该快捷方式对象。在CHM中使用了两种不同的方法来检索攻击负载。
这些恶意CHM文件都使用了短地址来执行相应恶意代码,并配合两种技术方式来获取远程Payload。第一种方式为使用VB脚本(见图9)和BITSAdmin(见图10)工具,首先从远程地址hxxp://www.businesshop[.]net/hide.gif获取下载脚本,之后,该下载脚本被保存为C:\windows\temp\PowerOpt.vbs,一旦此脚本被执行,将会从远程地址hxxp://158.69.57[.]135/theme.gif下载PowerShell命令,并保存为C:\Users\Public\Pictures\opt.ps1,以实现PowerRatankba加载。
图9 嵌入chm文件中用来下载VBScript PowerRatankba下载器的恶意代码
图10 BITSAdmin通过HTTP来检索攻击载荷
第二种方法直接在CHM中使用PowerShell下载类似的基于VBScript的PowerRatankba下载器(见图11)。类似的VBScript执行命令被用来调用PowerShell的下载串来直接从hxxp://92.222.106[.]229/theme.gif执行攻击载荷。
图11 chm文件中使用PowerShell来检索PowerRatankba下载器的VBS脚本
5_6283065828631904327.chm(030b4525558f2c411f972d91b144870b388380b59372e1798926cc2958242863)包含着名的未使用的代码段,以及指向解压缩的doc.htm文件(见图12)中的RFC1918私人IP地址的代码。未使用的代码的第一部分由更传统的PowerShell命令组成,该命令从hxxp://192.168.102[.] 21/power.ps1下载脚本。下一个代码块添加一个混淆技术(也存在于其他相关的CHM中),其中引号被替换为“*”字符。此混淆代码从相同的RFC1918地址下载PowerShell攻击载荷,但是从不同的URL:hxxp://192.168.102[.]21/pso.ps1。我们推测,这可能是作者使用本地环境开发恶意CHM的痕迹,而不是使用从不相关的chm、工具或其他恶意攻击载荷中窃取的代码。此外,另一块注释代码中含有执行VBScript文件“C:\Users\dolphinePC\Downloads\run_32.vbs”的文字。这可能是开发者的环境含有一个用户名可能为dolphinePC的线索。最后,PowerRatankba.B植入与aa.ps1一样嵌入到相同的chm文件中,并且配置有92.222.106[.]229和158.69.57[.]135的C&C服务器。
图12 5_6283065828631904327.chm文件中的代码
作为chm攻击的最后一个注记,以下三个样本包含了robert_mobile@gmail[.]com或robert_mobile@mail[.]com的电子邮件地址,我们认为这与攻击者相关:
- 772b9b873100375c9696d87724f8efa2c8c1484853d40b52c6dc6f7759f5db01
- 6cb1e9850dd853880bbaf68ea23243bac9c430df576fa1e679d7f26d56785984
- 9d10911a7bbf26f58b5e39342540761885422b878617f864bfdb16195b7cd0f5
JavaScript下载器
在11月,我们观察到有托管在受攻击者控制的服务器上的含有JavaScript下载器的zip压缩文件。我们尚未得知这些文件是否感染受害人以及这些文件感染受害人的方式。对文件的命名和检索的诱饵pdf文档提供了一些关于诱饵性质的线索。这些恶意ZIP文件的主题为Coinbase、Bithumb和Falcon Coin等等加密货币交易所。
这些恶意文件中都包含了通过JavaScript加密混淆器编码(见图13)的一个JavaScript下载器程序。去混淆之后(见图14),恶意下载程序的逻辑非常简单。首先,一个混淆的PowerRatankba.B PowerShell脚本从一个伪造的图像URL下载,例如:hxxp://51.255.219[.]82/theme.gif。接下来,将PowerShell脚本保存到C:\Users\Public\Pictures \opt.ps1,然后执行。
图14 去混淆的falconcoin.js带有PowerRatankba及诱饵pdf的URL
基于宏的Office恶意文档
我们发现基于宏的一个Word文档(b3235a703026b2077ccfa20b3dabd82d65c6b5645f7f1
5e7bbad1ce8173c7960)和一个Excel电子表格,其中Word文档是名为“report phishing.doc”(钓鱼攻击报告.doc)的美国国税局(IRS)内容的主题附件,该钓鱼邮件假冒“钓鱼攻击警告”邮件,并以@mail.com地址发送。讽刺的是,发件人地址被伪造为phishing@irs.gov(见图16),且邮件内容(见图17)也像是从IRS官网网页复制过来的:
恶意文档通过宏从hxxp://198.100.157[.]239/hide.gif(见图18)下载PowerRatankba VBScript脚本,保存为C:\Users\Public\Pictures\opt.vbs。并通过wscript.exe运行恶意脚本,从hxxp://198.100.157[.]239/theme.gif下载PowerRatankba.B,并保存为C:\Users\Public\Pictures\opt.ps1,然后通过powershell.exe运行。
另一个恶意宏文档为bithumb.xls,它伪装为比特币交易公司Bithumb的内部文档(见图19),该文档被压缩在 Bithumb.zip中,并和名为“About Bithumb.pdf”(见图20)的诱饵文档一起被发送。
该恶意XLS文档宏中包含了一个Base64编码的PowerRatankba下载脚本(不同于通过HTTP从C&C控制命令服务器中检索,见图21),它首先会存入磁盘c:\Users\Public\Documents\Proxy.vbs,然后通过wscript.exe运行脚本,从hxxp://www.energydonate[.]com/images/character.gif获取PowerRatankba脚本,并保存为C:\Users\Public\Documents\ProxyAutoUpdate.ps1。
含有后门的加密货币应用安装程序
最近,大量钓鱼邮件以假冒加密货币程序下载或更新的网站页面为手段发起攻击,假冒页面为正版软件网站的镜像,而且大多版本更新下载都指向官网地址,只有Windows版本下载更新指向架设在攻击者网站的恶意程序,这些程序都是含后门的恶意更新,其中内置了下载PowerRatankba植入程序的Python代码命令。
其中一例攻击样本为一个伪装为比特币黄金(BTG)钱包应用,引诱受害者访问一个国际化域名网站(见图22)。恶意邮件被发送给受害者,其中含有假冒恶意网站hxxps://xn--bitcoingld-lcb[.]org/,邮件内容中又内置了一个与合法比特币黄金官网(https://bitcoingold.org/)相似的恶意网站hxxps://bitcoingöld[.]org,注意后面网站字母o上多了两点ö(见图23)。这些邮件的发送时间在2017年10月10日至16日之间。钓鱼邮件的部分发件地址为info@xn--bitcoingod-8yb[.]com、info@xn--bitcoigold-o1b[.]com和tech@xn--bitcoingld-lcb[.]org。
非常感谢RiskIQ的Yonathan Klijnsma(@ydklijnsma),他帮助使我们能够分析xn-bitcoingldlcb[.]org中某个托管恶意软件的网页的历史痕迹。在痕迹中,插入了一个额外的文字和一个按钮来代替BTG标志。该按钮使用JavaScript从hxxps://bitcoingöld[.]org/bitcoingold下载攻击载荷。(IDN:xn-bitcoingld-1cb[.]org)(见图24)。其他差异可能是自恶意攻击以来正版网站(见图25)发生变化的结果。
点击该链接后,会自动从恶意网站bitcoingöld下载hxxps://bitcoingöld[.]org/bitcoingold.exe的Payload。在此次分析中,点击该链接后没有返回任何内容。另外,我们还从第三方病毒检测服务中发现了其它伪装为ElectronGold-1.1.1.exe(eab612e333baaec0709f3f213f73388607e495d8af9a2851f352481e996283f1))和ElectronGold-1.1.exe(b530de08530d1ba19a94bc075e74e2236c106466dedc92be3abdee9908e8cf7e)恶意Payload程序。
另一例攻击样本为,伪装为Electrum的假冒更新,并会指向与Electrum合法官网(https://electrum.org/)相似的假冒网站(https://electrüm.org/,见图26)。根据我们的观测,本案中的电子邮件使用不同@mail.com电子邮件地址发送的,至少部分电子邮件是在2017年11月18日至21日之间发送的。标题为“New Electrum Wallet Released”(新Electrum钱包发布)的邮件被用来欺骗受害者,使受害者认为他们需要下载Electrum的更新才能使用Segwit2X和Bitcoin Gold。如果受害者点击了恶意链接,他们就会看到Electrum官方网站的正常版本(见图27)。
上图红框下载链接最终会从另一恶意网站下载hxxps://xn--electrms2a[.]org/electrum-3.0.3.exe(见图28),其为含有后门的PowerRatankba下载程序。
图29
含有后门的installwizard.py的脚本对比。左:BTG,右:Electrum
BTG活动配置为从hxxp://www.btc-gold[.]us/images/top_bar.gif下载VBScript,同时将下载的脚本保存到C:\Users\Public\Documents\diff.vbs。我们无法检索到这个文件,但我们怀疑PowerRatankba的变种会根据其他的攻击活动进行下载。
伪装成Electrum的攻击活动被类似地配置为下载VBScript;然而,在这种情况下,我们能够分析下载的攻击载荷。含有后门的installwizard.py从hxxp://trade.publicvm[.]com/images/top_bar.gif下载脚本(请参阅“归因”部分以获取更多信息),同时将下载的脚本保存到C:\Users \Public\Documents\Electrum_backup.VBS。下载的Electrum_backup.vbs是一个PowerRatankba下载器,其目标URL为hxxp://trade.publicvm[.]com/images/character.gif,最终发送了一个PowerRatankba的植入程序,其中包含trade.publicvm[.]com的C&C。
植入程序的描述和分析
这些攻击中的三个关键的植入程序被用于不同的地方。下面详细描述这三种植入程序以及其具体变化——PowerRatankba、Gh0st RAT和RatankbaPOS。
PowerRatankba描述
PowerRatankba与Ratankba作用相同:作为第一阶段网络侦察工具,并对感兴趣的目标部署后续植入程序。与其前身类似,PowerRatankba利用HTTP进行C&C通信。
执行后,PowerRatankba首先通过BaseInfo HTTP POST方式(见图30),将包含计算机名称、IP、操作系统启动时间和安装日期、系统语言等感染设备详细信息发送到C&C服务器上。另外,PowerRatankba针对端口139、3389和445的打开/关闭/过滤,都有相应的进程执行列表,并且变体PowerRatankba.B还会通过WMIC命令执行输出(见图31)。
BaseInfo HTTP POST的回传命令只有轻微的变化,例如PowerRatankba.A使用“tasklist/svc”检索进程列表,而PowerRatankba.B使用“tasklist”。
PowerRatankba.A描述
在最初的C&C检入之后,PowerRatankba.A发出What HTTP GET请求(见图32)以从C&C服务器检索命令。所有PowerRatankba.A HTTP请求都包含一个随机生成的数字UID,这个数字UID通过HTTP URL参数u传递。
该变体接收命令并以明文形式发送响应。这个变体只有四个命令(见表1),包括睡眠,退出和两个不同的执行代码功能。
表1 PowerRatankba.A C&C命令
| 命令 | 描述 |
| success | 睡眠并在睡眠后发送请求 |
| killkill | 退出 |
| Execute | 从提供的URL下载攻击载荷,并通过内存注入执行 |
| DownExec | 从提供的URL下载攻击载荷,保存到磁盘,然后执行 |
PowerRatankba.B C&C描述
与其前身类似,PowerRatankba.B在初始检入后向C&C服务器发出What HTTP请求。这个变体不使用数字UID,而是使用受感染设备的双Base64编码的MAC地址(见图33)。 
来自C和C的命令仍然是明文,但是除了interval之外的所有命令的命令参数都使用“Casillas”作为密钥和初始化向量(IV)进行DES加密,然后使用Base64编码加密。cmd命令的响应是唯一发送到C&C的被DES加密的数据,而从受感染设备发送到C&C的所有其他网络流量都是明文或Base64编码的。
几个新的命令被添加到这个变体(见表2),而Execute和DownExec被替换。命令exe最终更改为inj,而功能保持不变。此外,一些较早的变体并不包含下面列出的所有命令,但是后门的整体功能基本保持不变,因此根据本研究的目的,所有使用DES加密的变体都被认为是变种PowerRatankba.B。
表2 PowerRatankba.B C&C命令
| 命令 | 描述 |
| success | 睡眠并在睡眠后发送请求 |
| killkill | 退出 |
| interval | 修改睡眠时长 |
| cmd | 使用“cmd.exe/c $cmdInst”执行命令。命令响应经DES加密和Base64编码被发送回C&C |
| cf_sv | 用带有所提供的服务器位置和预先确定的URI的文件替换SCH,VBS,PS1文件 |
| rrr | 从提供的URL下载攻击载荷,写入C:\Users\Public\Documents\000.exe,然后执行攻击载荷 |
| exe或inj | 从提供的URL下载攻击载荷,使用Invoke-ReflectivePEInjection注入进程内存 |
PowerRatankba的持久驻留方式
为了实现持久驻留,PowerRatankba.A会将一个JS文件appView.js保存到受害者的系统启动开始菜单中,每当受害者帐户登录系统时,该文件就会自动执行。持久化文件appView.js(见图34)中包含XOR编码的PowerShell脚本,用于从硬编码URL中检索Base64编码的PowerShell命令,如URL地址脚本hxxp://macintosh.linkpc[.]net:8080/mainls.cs中,包含的XOR密钥为”ZWZBGMINRQLUSVTGHWVYANJHTVUHTLTUGKOHIYOXQEFEIPHNGACNKMBWGRTJIHRANIIZJNNZHVF”。 
PowerRatankba.B根据当前感染账户是否具备管理员权限而存在两种持久化技术,它会首先通过命令“whoami /groups | findstr /c:”S-1-5-32-544” | findstr /c: ”Enabled group” && goto:isadministrator”检查当前用户权限,如果当前用户是管理员权限,则会从硬编码URL地址下载PowerShell脚本,并保存为C:/Windows/System32/WindowsPowerShell/v1.0/Examples/detail.ps1,最终会创建一个系统计划任务,实现在启动菜单中植入恶意程序下载脚本;如果当前用户不是管理员权限,则会从硬编码URL地址中下载一个VB脚本,并保存到用户系统启动菜单中,如 PwdOpt.vbs或ProxyServer.vbs。
PowerRatankba.B第二阶段—植入Gh0st RAT
PowerRatankba.B会向多种运行加密货币的应用设备中植入Gh0st远程控制木马工具(RAT)。Gh0st RAT使用exe/inj命令(见图35)执行内存注入,经DES解密后发现,其反弹指向地址为 hxxp://180.235.133[.]235/img.gif(见图36)。
图36中假冒的gif图片实际为一个Base64编码的加密器,它会把Gh0st远控加密作为最终Payload部署,并实现AES在CBC模式下的加密,该加密符合NIST Special Publication 800-38A加密标准,AES加密密钥为“2B7E151628AED2A6ABF7158809CF4F3C”,AES初始值(IV)为“000102030405060708090A0B0C0D0E0F”(见图37)。
经过解密的Gh0st植入程序是具有RFC18魔术字节的定制变体(见图38)。这个变种很可能基于Gh0st/PCRat的3.4.0.0版,但是我们认为它的作者可能已经给他们的植入程序一个内部版本1.0.0.1,如在解压缩的C&C初始检入(以及二进制文件中的硬编码)(见图39)中可以看到。
3.4.0.0版本中很多代码保持不变,包括Zlib压缩的使用以及多年来在无数Gh0st RAT样本中观察到的臭名昭著的\x78\x9c默认Zlib压缩头部字节(见图40)。
Gh0st RAT的目的
在我们的研究过程中,我们发现在PowerRatankba的长期沙盒爆轰中并未运行与加密货币相关的应用程序,从未感染过第二阶段种植体。这可能表明,PowerRatankba运营商只对各种加密货币的设备所有者感兴趣。有一次,RFC18 Gh0st RAT在最初感染的二十分钟内被传送到PowerRatankba.B感染的设备。通过分析C&C流量日志,我们推断,拉撒路行动者几乎立即检视受感染设备的屏幕,然后继续接管完整的远程控制,使他们能够与受感染设备上的应用进行交互,包括受密码保护的比特币钱包应用。
疯狂购物:了解RatankbaPOS
除了疯狂掠夺数百万美元的加密货币之外,我们还发现 Lazarus 在韩国开展了针对销售终端系统(POS)的数据窃取。零售业的销售额在11月和12月达到顶峰,POS也自然而然成为了犯罪分子的目标。其利用程序RatankbaPOS很可能是首个被发现的,针对POS的国家级黑客框架程序 。我们对RatankbaPOS的传播部署暂不清楚;但基于其与C&C共享PowerRatankba植入程序,我们假设拉撒路运营商渗透至少一个组织的网络利用PowerRatankba部署后期植入程序(包括使用RFC18 Gh0ST RAT的可能性)最终部署RatankbaPOS。基于文件以明文方式托管在C&C上,而不是Base64编码的事实,我们推断说RatankbaPOS更有可能部署在PowerRatankba以外的后期植入程序中。
RatankbaPOS分析
RatankbaPOS是通过一个进程注入程序进行部署,借此能够持久地自我安装,然后检查一个C&C的更新或命令自我删除,将RatankbaPOS植入磁盘,最后搜索目标POS进程和模块进行注射,并最终盗窃POS数据。
一开始,它会使用自己的模块名称来创建注册表键HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run\igfxgpttray以实现持久化驻留,然后以“Nimo Software HTTP Retriever 1.0”(见图41)为用户代理(UA)信息,向固定编码的URL——hxxp://www[.]webkingston[.]com/update.jsp?action=need_update发起HTTP命令请求,实现管理控制(自我删除、移除永久化驻留功能的注册表键或者升级植入程序)。如果C&C端无回应,则RatankbaPOS会进行进程注入。
RatankbaPOS在执行进程注入时,首先会对进程列表创建一个CreateToolhelp32Snapshot快照,然后其植入器/感染器会以不区分大小写的方式在其中搜索名为xplatform.exe的进程(我们推测这与Tobesoft公司的XPLATFORM UI/UX设计软件相关),如果有匹配进程,则会对该进程创建一个模块列表快照TH32CS_SNAPMODULE,然后使用Module32First和Module32Next迭代已加载的模块,同时通过向任何大写字母添加0×20将其转换为小写字母的方式,搜索对比目标线程为ksnetadsl.dll(见图42),我们推测该线程与韩国KSNET POS产品相关。然后会开始检验ksnetadsl.dll的文件大小是否是98,304字节(见图42),如果匹配成功,则返回xplatform.exe的进程号PID。最终,RatankbaPOS将以c:\windows\temp\hkp.dll形式写入磁盘,而hkp.dll将会通过LoadLibraryA和CreateRemoteThread注入到进程xplatform.exe中(见图43)。
RatankbaPOS将首先勾住(hook)KSNETADSL.dll模块,偏移量为0xB146(见图44)。有趣的是,RatankbaPOS代码中有名为1000B146的导出函数来检查KSNETADSL.dll,这看起来像一个不寻常的导出名称,但是这个代码将永远不会被使用,因为“!strcmp(“1000B146”,“1000B146”)”这个语句的结果永远是真。所以我们假设这个功能是被错误地加入到编码中或者以前用于调试的。RatankbaPOS还会将日志消息记录到存储在c:\windows\temp\log.tmp中。
在逆推过程中,我们开始反求KSNETADSL.dll模块;但是,我们只能找到两个文件大小为98,304字节的模块:
f2f6b4770718eed349fb7c77429938ac1deae7dd6bcc141ee6f5af9f4501a695
6c8c801bb71b2cd90a2c1595092358e46cbfe63e62ef6994345d6969993ea2d6
在分析了上面两个KSNETADSL.dll模块之后,我们的初步评估是,这两个模块都不是RatankbaPOS的正确目标。我们至少可以深入了解KSNETADSL.dll的用途,KSNETADSL.dll似乎是用来处理KSNET相关POS框架系统的加密和解密信用卡号码(见图45)。对RatankbaPOS进一步的分析,尤其是C&C的代码的使用,揭示了这种植入程序的潜在目的。
图45 显示KSNET模块与CARD_NO注册表项交互的屏幕截图
在RatankbaPOS的代码中,只有一个HTTP POST请求被用于与C&C的通信,即通过CreateThread调用的钩子句柄(DoC2,见图46)。
图46 钩子句柄程序为C&C创建新线程,然后挂起KSNETADSL.dll
我们对C&C通信的分析揭示了一些关于被泄露数据的线索。最初,植入程序使用strchr命令从KSNETADSL.dll的钩子接收的字符串数据中找到第一个“=”。接下来,从“=”位置之前的16个字节开始的37个字节被复制到一个缓冲区。最后,将该缓冲区与在RatankbaPOS执行开始时创建的替换缓冲区进行比较(见图47)。替换算法使用在“E”填充的缓冲区中从偏移量0x30-0x39开始的值来将“0-9”的ASCII值替换为“ZCKOADBLNX”以及在偏移0x3D处用于将ASCII“=”替换为“Y”。因此,值“0-9”将被模糊为“ZCKOADBLNX”,而“=”将被模糊为“Y”(见图48)。
图47 RatankbaPOS创建的缓冲区的混淆替换
图48 内存中的混淆替换缓存
根据我们在网上找到的文档,RatankbaPOS可能会在“=”后的16个字节中追踪明文跟踪数据,在等号后是以“99”开头的加密的POS相关数据(见图50)。根据该文件,这是一个加密形式的跟踪数据。鉴于此,此活动可能会针对SoftCamp POS相关软件应用程序、框架或设备。如果我们的猜测是正确的,并且值“99”总是在等号“=”后面,那么可能通过在HTTP POST请求的客户端主体中从偏移量16开始搜索字符串“YXX”来找到网络流量中的渗透数据。然而,为了减少误报,需要有更多的逻辑性,但这种猜测为检测提供了更多的选择。
RatankbaPOS的目标区域
基于RatankbaPOS针对韩国软件供应商的POS框架的事实,包括泄露数据与POS数据相匹配的线索,我们高度怀疑此威胁主要针对在韩国的设备。
归因于拉撒路集团的证据
归因是一个有争议的话题,可以说是情报分析师面临的最困难的任务之一。然而,根据我们的研究,我们以高度的信心进行推断,我们得到的信息是,本研究中讨论的行动的罪魁祸首是拉撒路集团,幕后黑手就是朝鲜。
考虑到有争议和困难的任务,我们提供一些关键部分和重叠部分的总结,以验证我们的推断。下面详细讨论的主要原因是加密,混淆,功能,代码重叠,引诱和C&C。
加密
2016年10月,拉撒路集团实施了一项大规模的行动,据称该行动攻击了波兰至少20家银行以及世界其他国家的银行。BAE系统公司、卡巴斯基、ESET、趋势科技和赛门铁克已经详细记录了这些攻击。上述公司将把这系列攻击归因为拉撒路集团,攻击的幕后黑手是朝鲜的说法在整个行业中被广泛接受。据我们所知,尚未公开记录的是2016年末至2017年初银行事件中一些植入程序所使用的Spritz加密算法背后的具体情况。
Spritz被描述为由罗纳德•李维斯特(Ronald Rivest)和雅克布•舒尔特(Jacob Schuldt)设计的海绵状RC4类流密码。Github上存在Spritz的多个实现,比如用C和Python这样的语言编写。任何研究拉撒路集团的Spritz版本的人都会很快发现,前面提到的两个实现都不能成功解密银行相关植入程序中的隐藏攻击载荷,也不能解决PowerSpritz的合法安装程序攻击载荷和恶意PowerShell命令。
拉撒路集团使用Spritz的问题或者可能的特点可以在Spritz原始说明文档的第五页中找到(见图51)。它指出,加密算法中的加减法可以被替换为异或运算(XOR),这种变种加密被称为Spritz-xor。
我们检查了在2016年末和2017年初的水坑攻击中用于入侵银行的一种原始植入程序中拉撒路集团使用的Spritz加密,很明显,他们实际上已经应用了Spritz-xor而不是普通的Spritz算法(见图52)。
PowerSpritz采用与先前被归为萨拉路集团所使用的植入程序中相同的Spritz-xor应用(见图53)。我们推断,由于在真实环境的传播中是用Spritz的使用极为罕见,除了与标准应用的偏差版本之外,不太可能出现不同的威胁行动者也在使用这个算法的情况。
编码混淆
今年早些时候,攻击者在针对韩国的数起水坑攻击中,利用了M2Soft的ActiveX 0day漏洞来发送与拉撒路有联系的FBI-RAT和Charon植入程序,这些攻击中的一些技术与JS下载器和PowerRatankba的CHM线索重叠。在M2Soft exploit和PowerRatankba JS下载器中都利用了同一种JS编码混淆技术,这种技术是用掩码字符串把其十六进制值替换在形为_0x[a-f0-9]{4}的数组中(见图54)。
功能对比
原始Ratankba植入程序的几个特征与PowerRatankba和RatankbaPOS相比是相似或相同的。此外,在各种拉撒路集团的工具集会在c:\windows\temp\中存储植入程序和运行日志。下面显示了类似功能的简要概述(见表3),而每个重叠的详细描述可以在下面找到。
功能 Ratankba PowerRatankba RatankbaPOS M2Soft 漏洞 FEIB扩展器
JSP C&C相似性 X X X
使用命令:success,killkill X X
循环睡眠时长为15分钟 X X
使用路径c:\windows\temp\ X X X X
首先考虑所有Ratankba,PowerRatankba和RatankbaPOS中使用的C&C协议。Ratankba最初发布到C&C以泄露被入侵的系统信息时,使用与PowerRatankba相同的BaseInfo参数。此外,Ratankba样本(bd7332bfbb6fe50a501988c3834a160cf2ad948091d83ef4de31758b27b2fb7f)利用list.jsp的C&C,而RatankbaPOS利用相同的URIfile名称涉嫌传输泄露信用卡信息给C&C。其次,Ratankba支持的命令包括success和killkill,其功能与PowerRatankba命令相同。此外,在Ratankba和RatankbaPOS的植入器中均使用900秒(15分钟)的睡眠循环(见图55,56)。
最后,在进一步分析混淆部分中讨论的M2Soft攻击的时候,在去混淆的JS中发现了一个熟悉的目标目录C:\windows\temp\(见图57,58)。在PowerRatankba CHM攻击期间,RatankbaPOS用于记录和植入存储以及台湾远东国际商业银行(FEIB)攻击行动中的扩展器中也使用这个目标目录。
代码重叠
在2017年10月3日前后,拉撒路集团以窃取金钱为目的,通过SWIFT系统入侵了台湾远东国际商业银行(FEIB),攻击活动中的一个植入程序(9cc69d81613285352ce92ec3cb44227af5daa8ad4e483ecc59427fe23b122fce)被作为加载器和扩展器使用,并被写入到c:\windows\temp\目录下,该目录也被RatankbaPOS等多个拉撒路集团的植入程序用来存储植入程序和运行日志,而且,RatankbaPOS和FEIB攻击事件植入的扩展器(spreader)之间有多处相同代码,其中两者进行持久化驻留的注册表创建代码相同(见图59)。
诱饵程序
PowerRatankba JS下载器诱饵中的内容(transaction.js下载的transaction.pdf)之前在拉撒路的一系列攻击中使用,据我们所知,这些技术传统上被用于间谍活动,而不是用于经济目的攻击。该攻击发生在2017年8月4日,拉撒路集团使用一份恶意的Microsoft Office Excel文档来冒充一名韩国国家警察。恶意的Excel附件使用了一个基于宏的VBScript XOR植入技术,该技术已经在公开的文档中有详细的记录。
这个攻击中使用的文件被命名为비트코인거래내역.xls(b46530fa2bd5f9958f664e754ae392dc400bd3fcb1c5adc7130b7374e0409924),文件名的意思是“比特币交易历史”。使用基于宏的VBScript XOR植入技术,通过C&C(www.unsunozo[.]org)将CoreDn下载器植入程序植入磁盘。与PowerRatankba攻击行为相关的重叠可以在Excel电子表格使用的诱饵中找到(见图60)。在“最终比特币地址”部分之后突出显示的交易与PowerRatankba中的诱饵transaction.pdf中开头的交易相匹配。
需要说明的是,这种使用VBScript XOR的宏技术历来被用于与间谍活动密切相关的攻击,而不是直接的经济目的,例如针对美国防务承包商员工的攻击。这种行为可能提供了一个线索,那就是朝鲜为了通过非法手段来采购货币,可能是由于对该政权的经济制裁。这可能表明,历史上进行间谍活动的拉撒路团队的任务已经发生了重大转变。此外,多个攻击活动中使用的VBScript XOR宏技术代码直接与PowerRatankba相同,有些攻击事件代码甚至在一周之内发生雷同,这可能间接说明,有多个朝鲜国家黑客团队在针对不同目标执行攻击任务。这个推测与其他公司的猜测相吻合(例如卡巴斯基在Bluenoroff上的出色文章)。
C&C
在台湾远东国际商业银行(FEIB)攻击事件后,台湾金融安全资讯账户mickeyfintech在Facebook发布了攻击事件的技术调查报告(见图61),其中曝光了攻击者的使用域名trade.publicvm[.]com,该域名曾多次被用于PowerRatankba的C&C控制端,由于我们还无法确定该域名是否由Lazarus Group控制并发起了针对FEIB的攻击,所以该证据仅当参考。
【总结】
这份报告已经报告了拉撒路集团不断增长的攻击工具库中的几个新武器,包括各种不同的攻击媒介,一个新的PowerShell植入程序和Gh0st RAT变种,以及新出现的针对韩国POS设备的威胁。除了深入了解拉拉撒路新使用的工具集之外,这项研究还有两个关键点:
分析国家行为者的经济动机,突出了国家发起攻击经常被忽视或低估的方面;在这种情况下,我们能够区分拉撒路内部有经济动机的团队的行动与最近被报道的间谍和干扰团队的行动。
这个小组现在看起来是针对个人而不仅仅是组织:个人是较容易的目标,往往缺乏资源和知识来保护自己;这个小组同时为国家资助的威胁攻击者的工具包提供新的货币化途径。
而且,加密货币价值的爆炸性增长和高峰假期购物季节时期,新的POS恶意软件的出现,都提供了一个有趣的例子,说明一个由国家资助的攻击者是如何跟随这些钱的,以及增加了从个人和组织直接盗窃的行动。而我们经常观察到的行为是其他高级长期威胁(APT)参与者针对金融机构进行间谍活动。
【报告贡献者】
Proofpoint
Kafeine (@kafeine)
Matthew Mesa (@mesa_matt)
Kimberly (@StopMalvertisin)
James Emory (@sudosev)
外部人员
Malc0de (@malc0de)
Adam (@infosecatom)
Jacob Soo (@_jsoo_)
我们要感谢Yonathan Klijnsma(@ydklijnsma)和RisqIQ(@RiskIQ)通过共享数据和协助一些基础设施分析来支持这项研究。
hxxp://skype.2[.]vu/1
hxxp://skype.2[.]vu/k
hxxp://skypeupdate.2[.]vu/1
hxxp://telegramupdate.2[.]vu/5
hxxps://doc-00-64-docs.googleusercontent[.]com/docs/securesc/ha0ro937gcuc7l7deffksulhg5h7mbp1/39cbphg8k5qve4q5rr6nonee1bueiu8o/1499428800000/13030420262846080952/*/0B63J1WTZC49hX1JnZUo4Y1pnRG8?e=download
hxxps://drive.google[.]com/uc?export=download&id=0B63J1WTZC49hdDR0clR3cFpITVE
hxxp://201.211.183[.]215:8080/update.php?t=Skype&r=update
hxxp://122.248.34[.]23/lndex.php?t=SkypeSetup&r=mail_new
hxxp://122.248.34[.]23/lndex.php?t=Telegram&r=1.1.9
PowerSpritz的哈希值
cbebafb2f4d77967ffb1a74aac09633b5af616046f31dddf899019ba78a55411
9ca3e56dcb2d1b92e88a0d09d8cab2207ee6d1f55bada744ef81e8b8cf155453
5a162898a38601e41d538f067eaf81d6a038268bc52a86cf13c2e43ca2487c07
PowerSpritz的C&C
hxxp://dogecoin.deaftone[.]com:8080/mainls.cs
hxxp://macintosh[.]linkpc[.]net:8080/mainls.cs
Microsoft Compiled HTML Help (CHM)的哈希值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 Compiled HTML Help (CHM)的C&C
hxxp://92.222.106[.]229/theme.gif
hxxp://www.businesshop[.]net/hide.gif
MS Shortcut Link (LNK)的哈希值
beecb33ef8adec99bbba3b64245c7230986c3c1a7f3246b0d26c641887387bfe
8f0b83d4ff6d8720e134b467b34728c2823c4d75313ef6dce717b06f414bdf5c
MS Shortcut Link (LNK)的C&C
hxxp://tinyurl[.]com/y9jbk8cg
hxxp://201.211.183[.]215:8080/pdfviewer.php?o=0&t=report&m=0
JavaScript的哈希值
e7581e1f112edc7e9fbb0383dd5780c4f2dd9923c4acc09b407f718ab6f7753d
7975c09dd436fededd38acee9769ad367bfe07c769770bd152f33a10ed36529e
100c6400331fa1919958bed122b88f1599a61b3bb113d98b218a535443ebc3a7
8ff100ca86cb62117f1290e71d5f9c0519661d6c955d9fcfb71f0bbdf75b51b3
97c6c69405ed721a64c158f18ab4386e3ade19841b0dea3dcce6b521faf3a660
41ee2947356b26e4d8aca826ae392be932cd8800476840713e9b6c630972604f
25f13dca780bafb0001d521ea6e76a3bd4dd74ce137596b948d41794ece59a66
JavaScript的C&C
hxxp://51.255.219[.]82/files/download/falconcoin.zip
hxxp://51.255.219[.]82/theme.gif
hxxp://51.255.219[.].82/files/download/falconcoin.pdf
hxxp://apps.got-game[.]org/images/character.gif
hxxp://apps.got-game[.]org/files/download/transaction.pdf
hxxp://www.energydonate[.]com/files/download/bithumb.zip
hxxp://www.energydonate[.]com/images/character.gif
hxxp://www.energydonate[.]com/files/download/bithumb.pdf
MS Office Doc文件的哈希值
b3235a703026b2077ccfa20b3dabd82d65c6b5645f7f15e7bbad1ce8173c7960
b9cf1cba0f626668793b9624e55c76e2dab56893b21239523f2a2a0281844c6d
972b598d709b66b35900dc21c5225e5f0d474f241fefa890b381089afd7d44ee
MS Office Doc文件的C&C
198.100.157[.]239
hxxp://www.energydonate[.]com/files/download/Bithumb.zip
hxxp://www.energydonate[.]com/images/character.gif
PyInstaller的哈希值
b530de08530d1ba19a94bc075e74e2236c106466dedc92be3abdee9908e8cf7e
eab612e333baaec0709f3f213f73388607e495d8af9a2851f352481e996283f1
eb372423e4dcd4665cc03ffc384ff625ae4afd13f6d0589e4568354be271f86e
PyInstaller托管或Email的IDNA
xn--bitcin-zxa[.]org
xn--electrm-s2a[.]org
xn--bitcingold-hcb[.]org
xn--bitcoigold-o1b[.]com
xn--bitcoingld-lcb[.]com
xn--bitcoingld-lcb[.]org
xn--bitcoingod-8yb[.]com
xn--btcongold-54ad[.]com
xn--btcongold-g5ad[.]com
疑似相关的IDNA
xn--6fgp[.]com
xn--bitcingold-5bb.[]com
xn--bitcingold-jbb[.]com
xn--bitcingold-t3b[.]com
xn--bitcoingol-4kb[.]com
xn--bitoingold-1ib[.]com
xn--btcoingold-v8a[.]com
xn--bitcoingldwallet-twb[.]org
PyInstaller的C&C
hxxp://www.btc-gold[.]us/images/top_bar.gif
hxxp://trade.publicvm[.]com/images/top_bar.gif
PowerRatankba的哈希值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的C&C
51.255.219[.]82
144.217.51[.]246
158.69.57[.]135
198.100.157[.]239
201.139.226[.]67
92.222.106[.]229
apps.got-game[.]org
trade.publicvm[.]com
www.businesshop[.]net
vietcasino.linkpc[.]net
相关的未知目的的C&C
coinbases[.]org
africawebcast[.]com
bitforex.linkpc[.]net
macintosh.linkpc[.]net
coinbroker.linkpc[.]net
moneymaker.publicvm[.]com
RFC18 Gh0st RAT
3a856d8c835232fe81711680dc098ed2b21a4feda7761ed39405d453b4e949f6
RFC18 Gh0st RAT的下载地址
hxxp://180.235.133[.]235/img.gif
hxxp://180.235.133[.]121/images/img.gif
RFC18 Gh0st RAT的C&C
180.235.133[.]235:443
180.235.133[.]121:443
51.255.219[.]82:443
158.69.57[.]135:443
RatankbaPOS的真实环境
hxxp://www.webkingston[.]com/top.gif
RatankbaPOS的哈希值
b66624ab8591c2b10730b7138cbf44703abec62bfc7774d626191468869bf21c
79a4b6329e35e23c3974960b2cecc68ee30ce803619158ef3fefcec5d4671c98
d334c40b42d2e6286f0553ae9e6e73e7e7aaec04a85df070b790738d66fd14fb
2b05a692518a6102c540e209cb4eb1391b28944fdb270aef7ea47e1ddeff5ae2
RatankbaPOS载入器的C&C
hxxp://www.webkingston[.]com/update.jsp?action=need_update
RatankbaPOS发送泄露数据的C&C
hxxp://www.energydonate[.]com/list.jsp?action=up
hxxp://online-help[.]serveftp[.]com/list.jsp?action=up
ET以及ETPRO Suricata/Snort签名
2824864,ETPRO TROJAN Ratankba Recon Backdoor/Module CnC Beacon 1
2828904,ETPRO TROJAN RatankbaPOS Dropper CnC Checkin M1
2828905,ETPRO TROJAN RatankbaPOS Dropper CnC Checkin M2
2828906,ETPRO TROJAN RatankbaPOS CnC Checkin
2828921,ETPRO TROJAN PowerRatankba DNS Lookup 1
2828922,ETPRO TROJAN PowerRatankba DNS Lookup 2
2828923,ETPRO TROJAN PowerRatankba DNS Lookup 3
2828924,ETPRO TROJAN PowerRatankba DNS Lookup 4
2828925,ETPRO TROJAN PowerRatankba DNS Lookup 5
2828926,ETPRO TROJAN PowerRatankba DNS Lookup 6
2828927,ETPRO TROJAN PowerRatankba DNS Lookup 7
2828928,ETPRO TROJAN PowerRatankba DNS Lookup 8
2828929,ETPRO TROJAN PowerRatankba DNS Lookup 9
2828930,ETPRO TROJAN PowerRatankba DNS Lookup 10
2828931,ETPRO TROJAN PowerRatankba DNS Lookup 11
2828932,ETPRO TROJAN PowerRatankba DNS Lookup 12
2828933,ETPRO TROJAN PowerRatankba DNS Lookup 13
2828934,ETPRO TROJAN PowerRatankba DNS Lookup 14
2828935,ETPRO TROJAN PowerRatankba DNS Lookup 15
2828936,ETPRO TROJAN PowerRatankba DNS Lookup 16
2828937,ETPRO TROJAN PowerRatankba DNS Lookup 17
2828938,ETPRO TROJAN PowerRatankba DNS Lookup 18
2828939,ETPRO TROJAN PowerRatankba DNS Lookup 19
2828940,ETPRO TROJAN PowerRatankba DNS Lookup 20
2828941,ETPRO TROJAN PowerRatankba DNS Lookup 21
2828942,ETPRO TROJAN PowerRatankba DNS Lookup 22
2828943,ETPRO TROJAN PowerRatankba DNS Lookup 23
2828944,ETPRO TROJAN PowerRatankba DNS Lookup 24
2828945,ETPRO TROJAN PowerRatankba DNS Lookup 25
2828946,ETPRO TROJAN PowerRatankba DNS Lookup 26
2828947,ETPRO TROJAN PowerRatankba DNS Lookup 27
2828948,ETPRO TROJAN PowerRatankba DNS Lookup 28
2828949,ETPRO TROJAN PowerRatankba DNS Lookup 29
2828950,ETPRO TROJAN PowerRatankba DNS Lookup 30
2828951,ETPRO TROJAN PowerRatankba DNS Lookup 31
2828952,ETPRO TROJAN PowerRatankba DNS Lookup 32
2828953,ETPRO TROJAN PowerRatankba DNS Lookup 33
2828971,ETPRO TROJAN RatankbaPOS POS Exfiltration
关于PROOFPOINT
下一代网络安全公司Proofpoint,Inc.(纳斯达克股票代码:PFPT)使组织团体能够保护员工的工作方式免受高级威胁和合规风险的侵害。Proofpoint帮助网络安全专业人员保护他们的用户免受针对他们的高级攻击(通过电子邮件、移动应用和社交媒体),保护人们创造的关键信息,并为他们的团队提供正确的智能和工具,以便在事情出现意外时迅速做出反应。各种规模的领先企业(包括“财富”100强中的50%以上)都采用Proofpoint的解决方案,这些解决方案是为当今的移动和社交IT环境而构建的,并利用云的强大功能和大数据驱动的分析平台打击现代的先进威胁。