APT34-Glimpse与DNS隧道问题
APT34-Glimpse与DNS隧道问题
背景:
2019年4月18日,某黑客组织使用Lab Dookhtegan假名,在Telegram频道上出售APT34团队的黑客工具,成员信息,相关基础设施,攻击成果等信息,引发业界威胁情报及Red Team领域的安全人员强烈关注。
其中APT34也被称为OilRig (Crambus,“人面马”组织,Cobalt Gypsy),是一个来自于伊朗的APT组织,从2014年开始APT34组织开始活跃,该组织执行了一系列针对伊朗的攻击活动。重点攻击目标位于中东地区,主要攻击针对金融、政府、能源、化工、电信和其他行业。包括阿提哈德航空公司,阿布扎比机场,阿联酋国家石油公司,兰普雷尔能源公司,科威特阿米里迪万湾,阿曼行政法院,阿联酋总理办公室等纷纷中招。
本篇文章,美创安全实验室将为大家分析APT34-Glimpse项目与DNS隧道问题
0x01 DNS隧道简介
DNS 协议是一个分布式的客户机/服务器网络数据库,分布式的原因是:互联网中没有单独 的一个站点能够知道所有的信息。 访问 DNS 是通过地址解析器的应用程序库来完成,在请求 TCP 打开一个连接或是使用 UDP 发送一个单播数据之前,需要知道 ip 地址。 而 DNS 隧道就是通过 DNS 建立起来的一种隧道连接。
0x02 APT34-Glimpse结构分析
Glimpse是一套使用DNS隧道的远控工具,下图为Glimpse文件列表
Agent: 客户端程序
Panel: 工具的图形面板
Server: 服务端程序
Readme.txt: 部署说明文档
runner_.vbs脚本用来启动当前目录下的PowerShell脚本文件,需要配合其他Execution方法去启动执行;
dns.ps1、dns_main.ps1、refineddns_main.ps1三个脚本文件功能基本一致,另外两个文件在dns_main.ps1的基础上做了变量名混淆;
newPanel-dbg.exe是一个C#开发的界面程序,是界面化的木马控制端,包括显示agent上线列表、命令执行、文件上传下载、查看执行结果、切换DNS请求方式、 刷新等功能
sacr.js使用nodejs开发作为服务端提供DNS服务用于与agent的交互;
0x03通信过程
在讲述通信过程之前,先简要说一下DNS协议中几种资源记录类型:
主机记录(A记录)、AAAA记录IPV6解析记录、PTR、CNAME记录、URL转发、服务位置记录、NS记录、TXT记录:
其中A记录指的是将DNS中的域名称对应到IPv4地址,TXT 记录一般是为某条记录设置说明,比如新建了一条 a.example.com 的 TXT 记录,TXT记录内容"this is a test TXT record.",然后用 nslookup -qt=txt a.example.com ,就能看到"this is a test TXT record"的字样。
传输过程如下:
其中Server是控制节点也被称为C2服务器,在server上运行srvr.js可以开启一个DNS服务器,等待来自客户端的连接请求,而Agent是客户端也是被控端。双方的通信是通过DNS隧道A/TXT记录进行命令的分发与命令的执行后的回传。
在美创安全实验室对具体攻击样本的分析后发现,Glimpse采用了PowerShell作为Agent运行代码,且在执行前需要劫持受害者的DNS服务器以进行DNS重定向,从而解析攻击者指定的域名后缀。通过使用特定的算法生成子域名,受害者机器向DNS服务器即C2 Server发送子域名A/TXT记录的DNS查询请求并获取C2提供的IPv4地址从而进行通信。此外,还需要通过计划任务的形式让PowerShell脚本定期运行,从C2 Server端获取信息从而执行命令。
0x04对Agent的功能分析
dns_main.ps1与另两个文件的功能相同,只是变量名称替换成了无意义的混淆字符串
dns_main.ps1的功能如下:
- 创建文件夹 % Public % \ Libraries
- 判断文件 % Public % \ Libraries \ Lock是否存在
~若不存在,创建文件并写入当前PoweSshell进程的pid
~若存在,读取文件的创建时间,如果距离现在的时间超过10分钟,那么退出进程并删除lock文件
- 生成一个当前系统的专有标志,写入文件 % Public % \ Libraries \ quid
- 创建以下文件夹
~ % Public % \ Libraries \ files
~ % Public % \ Libraries
~ % Public % \ Libraries \ receivebox
~ % Public % \ Libraries \ sendbox
~ % Public % \ Libraries \ done
- 通过DNS A记录或DNS TXT记录从C2服务器接收控制命令
- 执行命令并回传结果
但我们发现,即使脚本创建了“文件”文件夹,木马程序似乎也没有在代码中使用这些文件夹。特洛伊木马使用“ receivebox”文件夹存储从C2服务器获得的文件,而“ sendbox”文件夹用于存储木马将上传到服务器的文件。
0x05 对Server的功能分析
- 接收Agent发送的伪DNS请求
- 使用本地规则解析Agent信息
伪DNS请求内容格式为:Data . mainData . mainData2 . mainData3,四个部分分别保存不同的内容。
Data部分:
datarand: 记录action和aid,数据位置可变,由reqNoIndex和actionIndex两个值来决定
aid:此数据包的id信息,server端据此生成server目录
action:对应agent行为
0x06 APT34-Glimpse感染过程
感染首先是从客户端上一个名叫runner_.vbs的VBS脚本的繁殖开始的,该脚本也是多数PowerShell payload的运行器。
在控制端运行srvr.js脚本,该PowerShell payload是一个复杂的脚本,首先进行反混淆的主循环
服务端程序在此过程中会在/Glimpse/dns/agentid/目录下创建wait、receive、done、sended、sending等子文件夹,通过这些子目录下的文件读写来实现与agent的通信。
运行此脚本,Payload会循环等待指令,一旦从C2服务器获得命令,就开始执行特定动作,并通过请求基于变量 $aa_domain_bb伪造的子域名来响应C2
Payload实现的最重要的函数就是释放和执行其他工具集。事实上,payload是基于DNS 秘密信道的夹杂了其他控制功能的传播模块。
这里我采用了腾讯云提供的域名解析服务
在客户端运行dns_main.ps1文件,创建/Libraries/路径文件,与服务端连接
Dns_main.ps1中变量 $aa_domain_bb 含有C2作为授权域名服务器的主域名。如果没有来自C2的命令或动作,受感染的代理会周期性地ping C2来提供关于受害者机器的基本信息。
其中最重要的函数是通信管理器aa_AdrGen_bb,实现控制层来发送和接收控制信息,比如命令、接收的字节、文件传输是否关闭等待。解码的动作保存在变量 aa_act_bb中,如下所示:
当服务端成功解析到域名并于客户端产生第一次连接时,会在wait文件夹下创建一个名为10100的文件,执行完毕后转到sended文件夹,指令内容为whoami&ipconfig。
客户端dns_main.ps1程序使用ping mode和text mode两种方式与服务端进行通信,接收服务端的指令并以文件的形式保存到agent目录\receivebox\下,以rcvd为文件名前缀。以文件的末尾字符判断服务端指令并执行相应行为(被控制)
0x07隧道格式
服务端作为伪造的DNS服务器,响应agent的DNS请求并回复指定ip字符串,不同的ip字符串指代不同的通信内容。
ip字符串对应如下:
使用DNS隧道传输原始数据 :
Glimpse中的原始数据传输过程在DNS查询的答案中寻找特定的A记录,如下图所示。木马处理了C2响应中的A记录以获得文件名,该文件名专门在A记录中查找IPv4地址,前两个八位字节为“ 24.125”。该特洛伊木马将此A记录的其余两个八位位组附加到字符串“ rcvd”,并将其用作文件名,以将将来的数据保存到“ receivebox”文件夹中。该IP地址还指示木马将以下DNS A记录视为数据。以下DNS A记录在“。”上分割,并且前三个八位位组中的每一个均被视为数据,而第四个八位位组被用作计数器,以获取正确的数据块。最后,木马寻找A记录“ 1.2.3”作为将提供的数据写入指定文件的信号。
使用DNS隧道传输新数据:
此Glimpse示例具有使用一系列DNS TXT查询从C2服务器获取文件的新方法。此方法遵循与原始方法类似的过程,但是使用DNS TXT结果获取文件名,并将数据写入文件。将数据写入文件系统后,此方法将使用与原始方法相同的命令处理程序,基于文件名的尾随字符来处理文件的内容。
C2可以通过使用DNS A记录“ 99.250.250.199”响应初始信标来启动新的命令处理功能。该脚本将进入一个循环,尝试每隔50毫秒与C2通信,查找一系列带有特定字符的响应,脚本将使用这些响应作为指令来确定如何处理TXT记录的结果,如下图所示。木马将从字符“>”上的C2响应中分离出每个TXT记录,“>”字符左侧的数据用作指令,数据右侧的数据作为数据。
0x08总结
此次泄漏Glimpse项目是多模块的远程控制工具,通过TTPs的分析我们可以大致确认泄漏工具和公开威胁情报当中对OilRig工具集的分析一致,但我们也看到项目文件存在缺失和编码错误(或被篡改)等情况。另外Glimpse项目的成功运行需要配合DNS劫持来完成,操作相对复杂,我们猜测该工具不会被大量滥用。还有值得注意的是DNS信息交互使用文件来存储信息并同步操作,这是一种不同寻常的实现方式,猜测可以实现许多panel同时控制C2。不管怎样此次泄漏或多或少都对红队对手技术模拟、威胁情报等方面提供了极大的价值。
由于此工具的可利用空间极大,威胁程度偏深,具体环境搭建及攻击利用的技术细节没法直接展开来讲,美创安全实验室在此也提醒大家,定期杀毒,检查电脑,尤其确定DNS解析服务器是否正常及hosts文件是否被修改。
APT34-Glimpse与DNS隧道问题相关推荐
- DNS隧道工具dns2tcp
DNS隧道工具dns2tcp 在很多网络环境中,防火墙会限制出站流量,主机往往只能访问外网主机有限的几个端口,如DNS的53端口.这时,就可以通过DNS请求和响应机制,建立通信隧道.Kali Linu ...
- 『DNS隧道工具集合』— iodine
一.入坑必读 1.简介 因为 iodine(碘)的原子序数为53,这恰好是DNS端口号,故取名为iodine. iodine基于C语言开发,分为服务端程序 iodined 和客户端程序 iodine, ...
- 一次误报引发的DNS检测方案的思考:DNS隧道检测平民解决方案
摘自:http://www.freebuf.com/articles/network/149328.html 通过以上分析得出监控需要关注的几个要素:长域名.频率.txt类型.终端是否对解析ip发起访 ...
- DNS隧道之DNS2TCP实现——dns2tcpc必须带server IP才可以,此外ssh可以穿过墙的,设置代理上网...
我自己的命令: server端: dns2tcpd -F -d 1 -f ./dns2tcpd.conf 输出: 09:08:59 : Debug options.c:97 Add resource ...
- DNS隧道之DNS2TCP使用心得教程——是可以用来穿透qiang的,ubuntu下直接apt install dns2tcp...
DNS隧道之DNS2TCP使用心得教程 转自:http://blog.creke.net/750.html DNS2TCP是在上次DNS隧道大检阅时提到的一个DNS隧道. 在2010年6月的更新(也是 ...
- DNS隧道工具汇总——补充,还有IP over DNS的工具NSTX、Iodine、DNSCat
github上有一堆的工具:https://github.com/search?utf8=%E2%9C%93&q=DNS+tunnel+&type= DNS隧道大检阅 研究了一天的DN ...
- DNS隧道工具使用 不过其网络传输速度限制较大
DNS隧道工具使用 http://www.freebuf.com/sectool/112076.html http://netsec.ccert.edu.cn/zhengming/2011/11/01 ...
- dnscat2搭建dns隧道
域名购买网站:https://dcc.godaddy.com/ 购买域名,并且注册网站,应用该模块 安装服务端: apt-get install gem apt-get install ruby-de ...
- 【内网安全-隧道技术】SMB、ICMP、DNS隧道、SSH协议
前言: 介绍: 博主:网络安全领域狂热爱好者(承诺在CSDN永久无偿分享文章). 殊荣:CSDN网络安全领域优质创作者,2022年双十一业务安全保卫战-某厂第一名,某厂特邀数字业务安全研究员,edus ...
最新文章
- 基于EEG的癫痫自动检测: 综述与展望
- jQuery css-dom
- hdu 1075 map
- html输入支付密码样式,基于JS实现类似支付宝支付密码输入框
- by截取字段 group_深入理解 group by【思考点滴】
- 不用图片而用css3实现一些阴影特效
- 比尔·盖茨退出微软公司董事会;苹果 WWDC、微软 Build 大会均改为线上举办;Rust 1.42.0 发布| 极客头条...
- java 走马灯程序,详解微信小程序实现跑马灯效果(附完整代码)
- PyTorch入门(二)从零开始搭建一个神经网络
- polybezier
- android 黑科技软件,一波Android黑科技工具推荐
- proteus仿真micropython_【雕爷学编程】MicroPython动手做(07)——零基础学MaixPy之机器视觉...
- Storm专题一、Storm DRPC 分布式计算
- wireless tools笔记
- 无线计算机通信网络安全,4G通信技术的无线网络安全通信-网络安全论文-计算机论文(7页)-原创力文档...
- java游戏开发入门(十) -粒子特效
- php会员生日祝福,药店会员积分卡 vip客户生日祝福短信
- 基于Wallpaper Engine的html插件罗盘时钟实现及简易桌面替换
- 奔跑吧,程序员:从零开始打造产品、技术和团队
- 网络设备上常用的安全技术