首頁(yè) > 綜合 > 正文

wmiprvse.exe這是什么進(jìn)程(Orchestrator編排器和插件介紹)

2023-02-24 09:29:47來(lái)源:互聯(lián)網(wǎng)  

卡巴斯基的安全研究人員近日發(fā)現(xiàn)了一個(gè)名為“MATA”的活躍多平臺(tái)惡意軟件框架,該框架功能非常全面,支持Windows、Linux和MacOS等多個(gè)主流平臺(tái),擁有多個(gè)組件,例如加載程序、編排器和插件,全球企業(yè)都在其攻擊“射程”范圍內(nèi)。

在官方博客上,卡巴斯基實(shí)驗(yàn)室(Kaspersky Lab)透露已經(jīng)與威脅情報(bào)門(mén)戶(Threat Intelligence Portal)的客戶共享了MATA的研究信息,主要內(nèi)容如下:

與MATA有關(guān)的第一批工件出現(xiàn)在2018年4月。然后,惡意軟件框架的幕后行為者積極地滲透包括波蘭、德國(guó)、土耳其、韓國(guó)、日本和印度在內(nèi)的全球范圍的企業(yè)實(shí)體。已經(jīng)發(fā)現(xiàn)的受害者中有一家軟件公司、一家電子商務(wù)企業(yè)和一家互聯(lián)網(wǎng)服務(wù)提供商(ISP)。


(資料圖)

通過(guò)對(duì)已知攻擊的分析,研究者弄清楚了該惡意軟件框架的目的。例如,在一個(gè)組織中,惡意行為者使用該框架查詢受害者的數(shù)據(jù)庫(kù),以獲取客戶列表。攻擊者還利用MATA分發(fā)了VHD勒索軟件。

MATA三個(gè)版本(Windows、Linux和MacOS)的主要信息如下:

Windows 版本

Windows 版本 MATA的組件 來(lái)源:卡巴斯基實(shí)驗(yàn)室

MATA的Windows版本由幾個(gè)組件組成,其中包括裝載程序惡意軟件和編排器元素。裝在程序使用硬編碼的十六進(jìn)制字符串調(diào)用加密的有效負(fù)載。此操作為協(xié)調(diào)器加載插件文件并在內(nèi)存中執(zhí)行它們鋪平了道路。這些插件使攻擊者能夠篡改文件,創(chuàng)建HTTP代理服務(wù)器并執(zhí)行其他任務(wù)。

加載器

該加載器采用一個(gè)硬編碼的十六進(jìn)制字符串,將其轉(zhuǎn)換為二進(jìn)制并對(duì)其進(jìn)行AES解密,以獲得有效負(fù)載文件的路徑。每個(gè)加載程序都有一個(gè)硬編碼的路徑來(lái)加載加密的有效負(fù)載。然后,將有效負(fù)載文件進(jìn)行AES解密并加載。

從一個(gè)受感染的受害者那發(fā)現(xiàn)的加載程序惡意軟件中,研究人員發(fā)現(xiàn)執(zhí)行加載程序惡意軟件的父進(jìn)程是“C:\Windows\System32\wbem\WmiPrvSE.exe”進(jìn)程。WmiPrvSE.exe進(jìn)程是“WMI Provider Host進(jìn)程”,通常意味著參與者已從遠(yuǎn)程主機(jī)執(zhí)行了該加載程序惡意軟件,以進(jìn)行橫向移動(dòng)。因此,攻擊者很可能是使用此加載程序來(lái)破壞同一網(wǎng)絡(luò)中的其他主機(jī)。

Orchestrator編排器和插件

研究者在受害者計(jì)算機(jī)上的lsass.exe進(jìn)程中發(fā)現(xiàn)了Orchestrator編排器惡意軟件。該編排器惡意軟件從注冊(cè)表項(xiàng)加載加密的配置數(shù)據(jù),并使用AES算法對(duì)其解密。除非注冊(cè)表值存在,否則惡意軟件會(huì)使用硬編碼的配置數(shù)據(jù)。以下是來(lái)自一個(gè)編排器惡意軟件樣本的配置值示例:

編排器可以同時(shí)加載15個(gè)插件。有三種加載方式:

·從指定的服務(wù)器下載插件

·從指定的磁盤(pán)路徑加載AES加密的插件文件

·從當(dāng)前的MataNet連接下載插件文件

非Windows版本

MATA框架不僅針對(duì)Windows系統(tǒng),而且針對(duì)Linux和macOS系統(tǒng)。Linux版本的MATA在合法的發(fā)行站點(diǎn)上可用,而macOS變體作為木馬兩步驗(yàn)證(2FA)應(yīng)用程序提供。

Linux版本

研究者發(fā)現(xiàn)了一個(gè)包含不同MATA文件和一套黑客工具的軟件包??梢栽诤戏ǖ姆职l(fā)站點(diǎn)上找到該軟件包,這可能表明這是分發(fā)惡意軟件的方式。它包括Windows MATA編排器,用于列出文件夾的Linux工具,用于利用Atlassian Confluence Server(CVE-2019-3396)的腳本,合法的socat工具以及與一組插件捆綁在一起的MATA Orchestrator的Linux版本。中國(guó)安全廠商360的網(wǎng)絡(luò)安全研究院發(fā)布過(guò)有關(guān)該惡意軟件的詳細(xì)博客(/)。

MacOS版本

研究人員還在2020年4月8日發(fā)現(xiàn)了一個(gè)上傳到VirusTotal的攻擊macOS的MATA惡意軟件余本。惡意蘋(píng)果硬盤(pán)鏡像文件是一個(gè)基于開(kāi)源雙因子認(rèn)證應(yīng)用MinaOTP的木馬化macOS應(yīng)用。

木馬化 macOS 應(yīng)用 來(lái)源:卡巴斯基實(shí)驗(yàn)室

與其他跨平臺(tái)惡意軟件類似,macOS MATA惡意軟件也以插件形式運(yùn)行。插件列表與Linux版本幾乎完全相同,但MacOS版本增加了一個(gè)名為“plugin_socks”的插件,該插件與“plugin_reverse_p2p” 類似,負(fù)責(zé)配置代理服務(wù)器。

幕后黑手

MATA的受害者地理分布 來(lái)源:卡巴斯基實(shí)驗(yàn)室

在研究報(bào)告中,卡巴斯基實(shí)驗(yàn)室將MATA惡意軟件平臺(tái)歸因于著名的APT組織Lazarus:

我們?cè)u(píng)估了MATA框架與LazarusAPT組織之間的聯(lián)系。MATA協(xié)調(diào)器使用兩個(gè)唯一的文件名c_2910.cls和k_3872.cls,這些文件名以前僅在幾種Manuscrypt變體中才能看到,包括在US-CERT出版物中提到的樣本(0137f688436c468d43b3e50878ec1a1f)。研究人員指出,由Lazarus發(fā)行的惡意軟件家族Manuscrypt的變體與MATA共享了類似的配置結(jié)構(gòu)。這意味著MATA與Lazarus很可能存在直接關(guān)聯(lián)??ò退够鶎?shí)驗(yàn)室表示,隨著MATA惡意軟件平臺(tái)的發(fā)展,它將繼續(xù)對(duì)其進(jìn)行監(jiān)控。

失陷指標(biāo)

文件哈希(惡意文檔、木馬、電子郵件、誘餌)

Windows加載器

f364b46d8aafff67271d350b8271505a

85dcea03016df4880cebee9a70de0c02

1060702fe4e670eda8c0433c5966feee

7b068dfbea310962361abf4723332b3a

8e665562b9e187585a3f32923cc1f889

6cd06403f36ad20a3492060c9dc14d80

71d8b4c4411f7ffa89919a3251e6e5cb

a7bda9b5c579254114fab05ec751918c

e58cfbc6e0602681ff1841afadad4cc6

7e4e49d74b59cc9cc1471e33e50475d3

a93d1d5c2cb9c728fda3a5beaf0a0ffc

455997E42E20C8256A494FA5556F7333

7ead1fbba01a76467d63c4a216cf2902

7d80175ea344b1c849ead7ca5a82ac94

bf2765175d6fce7069cdb164603bd7dc

b5d85cfaece7da5ed20d8eb2c9fa477c

6145fa69a6e42a0bf6a8f7c12005636b

2b8ff2a971555390b37f75cb07ae84bd

1e175231206cd7f80de4f6d86399c079

65632998063ff116417b04b65fdebdfb

ab2a98d3564c6bf656b8347681ecc2be

e3dee2d65512b99a362a1dbf6726ba9c

fea3a39f97c00a6c8a589ff48bcc5a8c

2cd1f7f17153880fd80eba65b827d344

582b9801698c0c1614dbbae73c409efb

a64b3278cc8f8b75e3c86b6a1faa6686

ca250f3c7a3098964a89d879333ac7c8

ed5458de272171feee479c355ab4a9f3

f0e87707fd0462162e1aecb6b4a53a89

f1ca9c730c8b5169fe095d385bac77e7

f50a0cd229b7bf57fcbd67ccfa8a5147

Windows MATA

bea49839390e4f1eb3cb38d0fcaf897e rdata.dat

8910bdaaa6d3d40e9f60523d3a34f914

sdata.dat

6a066cf853fe51e3398ef773d016a4a8

228998f29864603fd4966cadd0be77fc

注冊(cè)表路徑

HKLM\Software\Microsoft\KxtNet

HKLM\Software\Microsoft\HlqNetHKLM\Software\mthjk

Linux MATA

859e7e9a11b37d355955f85b9a305fec mdata.dat

80c0efb9e129f7f9b05a783df6959812 ldata.dat,mdata.datd2f94e178c254669fb9656d5513356d2 mdata.dat

Linux日志收集器

982bf527b9fe16205fea606d1beed7fa hdata.dat

開(kāi)源Linux SoCat

e883bf5fd22eb6237eb84d80bbcf2ac9 sdata.dat

利用Atlassian Confluence Server的腳本

a99b7ef095f44cf35453465c64f0c70c check.vm,r.vm

199b4c116ac14964e9646b2f27595156 r.vm

macOS MATA

81f8f0526740b55fe484c42126cd8396 TinkaOTP.dmg

f05437d510287448325bac98a1378de1 SubMenu.nib

C2服務(wù)器地址

104.232.71.7:443

107.172.197.175:443

108.170.31.81:443

111.90.146.105:443

111.90.148.132:443

172.81.132.41:443

172.93.184.62:443

172.93.201.219:443

185.62.58.207:443

192.210.239.122:443

198.180.198.6:443

209.90.234.34:443

216.244.71.233:443

23.227.199.53:443

23.227.199.69:443

23.254.119.12:443

67.43.239.146:443

68.168.123.86:443

更多詳細(xì)信息請(qǐng)參考卡巴斯基APT報(bào)告:

MATA:針對(duì)多平臺(tái)的惡意軟件框架:

/

合作電話:18311333376

合作微信:aqniu001

投稿郵箱:editor@aqniu.com

標(biāo)簽:

相關(guān)閱讀

精彩推薦

相關(guān)詞

推薦閱讀