江苏龙网

  1. 首页 > 资讯 > 科技 > >

大数据&云计算|MATA:攻击多平台的恶意软件框架分析


随着IT和OT的环境变得越来越复杂 , 对手也开始快速挑战其攻击策略 。 近期 , 研究发现了一个恶意软件框架——MATA 。 MATA恶意软件框架可以处理多个不同的组件 , 比如加载器、插件等 。 该框架可以攻击Windows、Linux和macOS操作系统 。
研究人员最早是在2018年4月发现的与MATA相关的特征 。 之后 , 该高级恶意软件框架背后的攻击者使用该框架来入侵全球的企业网络 。 研究人员已经发现确认了多个受害者 。
Windows 版本的 MATA
Windows 版本的 MATA中含有多个组件 。 攻击者使用一个加载器恶意软件来加载加密的下一阶段payload 。 研究人员目前还不确定加载的payload是不是orchestrator恶意软件 , 但是几乎所有的受害者机器上同时都安装了加载器和orchestrator恶意软件 。
大数据&云计算|MATA:攻击多平台的恶意软件框架分析
本文插图

Windows 版本的 MATA组件
加载器
加载器中有一个硬编码的十六进制字符串 , 将其转化为二进制 , 并用AES解密来获取payload文件的路径 。 每个加载器加载加密payload的路径都是硬编码的 。 然后会将payload文件AES解密和加载 。

从受害者机器中的加载器恶意软件中 , 研究人员发现了执行加载器恶意软件的父进程是C:WindowsSystem32wbemWmiPrvSE.exe 进程 。 WmiPrvSE.exe 进程是WMI Provider Host process, 意味着攻击者执从远程主机执行了加载器恶意软件 。
Orchestrator和插件
研究人员发现了受害者机器中的lsass.exe进程的orchestrator 恶意软件 。 该恶意软件从注册表中加载了加密的配置数据 , 并用AES算法解密 。 除非其中存在注册表值 , 恶意软件会使用硬编码的配置数据 。 以下是orchestrator恶意软件样本的配置值示例:
大数据&云计算|MATA:攻击多平台的恶意软件框架分析
本文插图

Orchestrator可以同时加载15种插件 , 加载的方式有3种:
·从指定的HTTP或HTTPS服务器下载插件;
·从指定的磁盘路径加载AES加密的插件文件;
·从当前MataNet 路径下载插件文件 。
恶意软件将基础设施称之为MataNet 。 为实现隐蔽通信 , 攻击者使用了TLS 1.2连接 。 此外 , MataNet节点之间的流量使用随机的RC4 session key加密 。
MATA_Plug_WebProxy.dll插件的Proxy-agent
MATA的非Windows版本
MATA框架不仅攻击Windows系统 , 还攻击Linux和macOS系统 。
Linux版本

研究人员还发现了一个含有不同MATA文件的包 。 该包位于一个合法的分发站点上 , 这也表明了恶意软件的分发方式 。 其中含有一个Windows MATA orchestrator、列出文件夹的Linux工具、利用Atlassian Confluence Server (CVE-2019-3396)漏洞的合法socat工具和一个Linux版本的MATA orchestrator 。
该模块的目的是以daemon的形式运行 。 启动后 , 该模块会读取/var/run/init.pid中的PID来检查是否已经运行 , 检查“/proc/%pid%/cmdline”的文件内容是否等于“/flash/bin/mountd” 。 “/flash/bin/mountd”是标准Linux桌面/服务器安装的路径 。 该路径表明MAT的Linux版本是无硬盘的网络设备 , 比如路由器、防火墙、IoT设备等 。 该模块可以以“/pro” switch运行来跳过“init.pid”检查 。 AES加密的配置保存在$HOME/.memcache 文件中 。 该模块的行为与Windows MATA orchestrator是相同的 。 Linux MATA的插件名和对应的Windows插件如下所示:
macOS版本
研究人员还在2020年4月8日发现了一个上传到VirusTotal的攻击macOS的MATA恶意软件余本 。 恶意苹果硬盘镜像文件是一个基于开源双因子认证应用MinaOTP的木马化macOS应用 。


推荐阅读


上一篇:中年|HID Global 发布Aero 全新控制器平台

下一篇:互联网|2020NEXT|对话MASS:一块硬盘 一个PoC