1. e5cc_8哪個參數設定地址
一、 概述
「黑鳳梨」(BlackTech,T-APT-03)是一個長期活躍在亞洲地區的APT組織,其最早的活動可見於2011年,由2017年5月被國外安全公司進行披露。
近期,騰訊御見威脅情報中心抓獲了一例該APT組織的最新攻擊活動,該次攻擊採用office文檔為誘餌進行魚叉攻擊,通過最新的0day漏洞來投遞載荷。載荷為代號為PLEAD的RAT木馬,該木馬主體是可直接執行的二進制代碼(shellcode),精湛短小,非常容易免殺。
從2011年至今,騰訊御見威脅情報中心在跨度長達6年的時間內對該組織進行追蹤,總共捕捉到數百個樣本和c&c域名。
二、 載荷投遞
1、 本次載荷投遞
本次攻擊採用魚叉攻擊的方式,誘餌文件為繁體的攜帶有最新office 0day的文檔:
該惡意文檔內嵌了一個PEPayload,兩個OLE對象,OLE的對象的目的是拉起PE Payload。其中OLE1則包含了0day CVE-2018-0802的漏洞利用程序,OLE 2包含了CVE-2017-11882的漏洞利用程序,這兩個漏洞均位於Microsoft Office的公式編輯器Eqnedt32.exe中。
(1) 漏洞分析
微軟在11月份發布的補丁中,修復了CVE-2017-11882漏洞,通過二進制patch的方式對存在棧溢出的函數和調用者進行了長度校驗,同時對Eqnedt32.exe增加了ASLR防護措施,增加了漏洞利用的難度。CVE-2017-11882棧溢出漏洞存在於Eqnedt32.exe處理公式中字體名字的過程中,由騰訊電腦管家報告的高危漏洞CVE-2018-0802同樣也是一個棧溢出漏洞,也位於Eqnedt32.exe處理公式中字體名字的過程。
1) 關鍵數據結構
漏洞存在於Office的公式編輯器組件Eqnedit.exe(Equation Editor)中。Equation Editor和MathType都是Design Science開發的公式編輯軟體,都採用MTEF(MathType』s Equation Format)格式來存儲公式數據。Equation Editor生成的公式數據匯存放在Office 文檔的一個OLEObject中,該object class為Equation.3,而obj data區存放的是公式的私有數據OLE Equation Objects。OLE Equation Objects包括兩部分,頭部是28位元組的EQNOLEFILEHDR結構,其後則是MTEF數據:
MTEF數據則包括兩部分,一部分是MTEF Header,一部分是描述公式內容的MTEF Byte Stream:
MTEFByte Stream包括一系列的記錄records,每一個record以tagbyte開始,tagbyte的低4位描述該record的類型,高4位描述該record的屬性。
2) 漏洞溢出分析
該漏洞發生在從MTEF Byte Stream中解析Font Record時出現棧溢出。下圖是截獲的樣本中的Font Record二進制數據:
Font Record結構如下:
對照上圖的二進制數據,tag type 是8,tface 為0×0,style為0×1,剩下的則是字體名字。
漏洞發生在sub_421E39函數中,它主要用來初始化一個結構體LOGFONT,該結構體定義如下:
其中字體名字lfFaceName是一個長度為0×20的字元數組。
函數sub_421E39代碼如下:
在sub_421E39函數一開始,調用strcpy復制傳入的字體名字,可以看到在這過程中,沒有任何的長度校驗,如果傳入的字體名字長度超過0×20,那麼這里將會產生溢出。
sub_421E39函數在sub_421774函數中被調用,這是sub_421774函數的部分代碼:
從中可以看到,sub_421E39函數初始化的LOGFONT結構體是保存在棧上的,如果構造足夠長的字體名字,那麼sub_421E39函數裡面的strcpy操作,將會溢出覆蓋掉sub_421774函數的返回地址。
從代碼中另外可以看到,CVE-2017-11882所在的漏洞函數,也同樣會被sub_421774函數調用到。
(2) 漏洞利用分析
1) 觸發漏洞前
在調用sub_421E39前查看當前的調試信息,棧上第一個參數正是字體名字,也是一段精心構造的shellcode。
2) 觸發棧溢出
可以發現棧上的一個返回地址0x1d14e2被修改為了0x1d0025。
由於11月份修補的Eqnedt32.exe中增加了ASLR的防護措施,無法知道當前模塊載入的基地址,但是可以利用相對地址不會改變這個特性,通過棧溢出就可以實現將棧上的地址0x1d14e2改為與其相對偏移0x14BD的一個地址,也即是將0x1d14e2的低16位修改為0×0025。
3) Shellcode
ret跳轉到shellcode:
跳轉到WinExec執行惡意PE:
而%tmp%\DAT9689.tmp是該文檔內嵌並已經釋放出來的一個惡意PE可執行文件。
2、 歷史載荷投遞分析
該組織最常使用魚叉攻擊,採用發內容緊貼熱點話題的誘餌文件進行攻擊。
該組織攻擊者善於偽裝,包括使用文檔類圖標、反轉字元、雙擴展名、漏洞利用等。偽裝方式分布為:
(1) 偽裝成文檔圖標,同正常文檔打包在同一壓縮包中,誘騙點擊
(2) 使用特殊的unicode字元(RTLO)反轉文件名實現偽裝
(3) 使用雙重文件名實現偽裝(不顯示擴展名的情況下極具欺騙性)
(4) 使用漏洞打包成惡意文檔文件
三、 載荷分析
本次攻擊使用的是一個代號為PLEAD的後門程序,該木馬的核心功能以shellcode的形式存在,外殼實現的功能通常是分配一塊內存,並將加密的shellcode解密到該內存中,完成後直接跳轉到相應的內存塊執行。為了對抗安全軟體的查殺,外殼的代碼千變萬化,但核心的shellcode至今只發現了三個差異較大的版本:
版本
大小
出現時間
特點
版本1 6544 2012年 Shellcode中實現注入到ie中執行主功能代碼
版本2 5912 2014年 直接執行主功能函數,去掉了注入ie的代碼
版本3 3512 2015年 去掉了提示字元串等信息,精簡大小
外殼行為分析:
創建互斥量,防止重復運行:互斥量格式為將當前時間格式化為以下格式字元串:
1….%02d%02d%02d_%02d%02d…2,
如1….20180109_0945…2
shellcode存放在局部數組中,極難檢測:
解密演算法如下:
獲取用戶名、計算機名、本機IP地址、系統版本,加密發送到C2,使用http協議:
命令分發:
命令代碼
功能
C 獲取瀏覽器上網代理設置和安裝軟體列表信息
L 獲取本地磁碟列表及類型
E 執行一條命令/文件,並通過管道取得執行結果返回(CMDShell)
P 並從指定URL重新下載文件到指定位置
G 上傳指定文件
D 刪除指定文件
A Sleep 指定時間
四、 總結
隨著「互聯網+」時代的來臨,政府、企業把更多的業務向雲端遷移,各行各業都在構建自己的大數據中心,數據價值凸顯。在這種趨勢下面,根據騰訊御見威脅情報中心的監測數據表明,政府、企業所面臨的APT攻擊變得越來越頻繁和常見。騰訊企業安全針對APT防禦方面提供了多種解決方案,騰訊御界、騰訊御點等產品均可以檢測和防禦本次APT攻擊。
五、 參考資料
https://www.easyaq.com/news/661053968.shtml
http://blog.trendmicro.com/trendlabs-security-intelligence/following-trail-blacktech-cyber-espionage-campaigns/
附錄:IOCs
Hash:
C2:
greeting.hopewill.com
beersale.servebeer.com
pictures.happyforever.com
cert.dynet.com
soo.dtdns.net
rio.onmypc.org
paperspot.wikaba.com
sysinfo.itemdb.com
asus0213.asuscomm.com
firstme.mysecondarydns.com
nspo.itaiwans.com
injure.ignorelist.com
dcns.sonicecation.com
seting.herbalsolo.com
kh7710103.qnoddns.org.cn
zing.youdontcare.com
moutain.onmypc.org
icst.compress.to
twcert.compress.to
festival.lflinkup.net
xuite.myMom.info
avira.justdied.com
showgirls.mooo.com
linenews.mypicture.info
zip.zyns.com
sushow.xxuz.com
applestore.dnset.com
superapple.sendsmtp.com
newspaper.otzo.com
yahoo.zzux.com
microsfot.ikwb.com
facebook.itsaol.com
amazon.otzo.com
cecs.ben-wan.com
av100.mynetav.net
rdec.compress.to
forums.toythieves.com
kukupy.chatnook.com
pictures.wasson.com
moea.crabdance.com
hinet.homenet.org
freeonshop.x24hr.com
blognews.onmypc.org
ametoy.acmetoy.com
usamovie.mylftv.com
timehigh.ddns.info
ikwb55.ikwb.com
dpp.edesizns.com
hehagame.Got-Game.org
wendy.uberleet.com
needjustword.bbsindex.com
front.fartit.com
accounts.fartit.com
177.135.177.54
18.163.14.217
60.249.208.167
220.133.73.13
220.134.10.17
122.147.248.69
220.132.50.81
111.249.102.102
118.163.14.217
59.124.71.29
220.134.98.3
61.219.96.18
114.27.132.233
123.110.131.86
61.58.90.63
122.117.107.178
114.39.59.244
61.222.32.205
60.251.199.226
61.56.11.42
61.58.90.11
123.110.131.86
210.67.101.84
210.242.211.175
211.23.191.4
203.74.123.121
59.125.7.185
59.125.132.175
59.120.169.51
125.227.241.2
125.227.225.181
118.163.168.223
1.170.118.233
dcns.chickenkiller.com
subnotes.ignorelist.com
mozila.strangled.net
boe.pixarworks.com
moc.mrface.com
su27.oCry.com
motc.linestw.com
ting.qpoe.com
blognews.ezua.com
nevery.b0ne.com
jog.punked.us
africa.themafia.info
tios.nsicscores.com
dream.wikaba.com
pcphoto.servehalflife.com
17ublog.1mb.com
effinfo.effers.com
edit.ctotw.tw
tw.chatnook.com
twnic.crabdance.com
asus.strangled.net
furniture.home.kg
newpower.jkub.com
cypd.slyip.com
tabf.garrarufaworld.com
wordhasword.darktech.org
techlaw.linestw.com
techlawilo.effers.com
support.bonbonkids.hk
zany.strangled.net
flog.pgp.com.mx
job.jobical.com
picture.diohwm.com
npa.dynamicdns.org.uk
webmail.24-7.ro
docsedit.cleansite.us
fastnews.ezua.com
INetGIS.faceboktw.com
teacher.yahoomit.com
idb.jamescyoung.com
picture.brogrammer.org
idb.jamescyoung.com
picture.brogrammer.org
movieonline.redirectme.net
formosa.happyforever.com
mirdc.happyforever.com
webey.sbfhome.net
cust.compradecedines.com.ar
cwb.soportetechmdp.com.ar
tw.shop.tm
music.ftp.sh
forums.happyforever.com
專
2. 口袋妖怪藍寶石金手指代碼
1道具只能通過修改在商店裡購買的物品來獲得道具,修改方法如下:
在道吉鎮的商店買物品,選好購買數量後,等服務員問你是否要買下道具時,不要急著按A,先輸入下面這條金手指:03005B72:XX 。XX是物品的代碼(見下表),輸入後買下道具,之後刪除金手指就可以了。
0001 大師球
0002 超力怪獸球
0003 超級球(比怪獸球更厲害些)
0004 怪獸球(普通的球)
0005 砂狐球(砂狐樂園專用球)
0006 觸網球(容易抓水和蟲類的怪獸)
0007 大布斯球(容易抓海底的怪獸)
000d 傷葯(體力恢復20)
000e 解毒葯(恢復毒狀態)
000f 燒傷恢復(恢復燒傷狀態)
0010 解凍葯(恢復凍狀態)
0011 清醒葯(恢復沉睡狀態)
0012 麻痹恢復(恢復麻痹狀態)
0013 恢復葯(全恢復體力與所有狀態)
0014 慢談葯(體力全恢復)
0029 紅玻璃(恢復頹廢狀態,可用無限次)
002a 黑玻璃(不遇野生怪獸)
002b 白玻璃(容易遇野生怪獸)
002c 樹果汁(恢復體力20)
002d 聖是(死亡恢復全部體力,異常狀態恢復)
002e 淺水鹽(看看洞用的道具)
招式機器03:0123
招式機器04:0124
招式機器05:0125
招式機器06:0126