更新就被种马,Notepad++遭国家级黑客流量劫持

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

    根据Notepad++的官方维护人员透露,其更新服务器遭到国家级黑客流量劫持,将前往notepad-plus-plus.org的更新流量重定向到恶意服务器。被入侵的基础设施是托管服务提供商的服务器,并不是notepad++本身代码的漏洞。问题的根源主要在于更新程序验证下载更新文件的完整性和真实性的逻辑有漏洞,允许攻击者拦截更新客户端和更新服务器之间的网络流量,从而欺骗工具下载不同的二进制文件。

 目前总共发现有三条攻击链, 第一条攻击链源于地址:

http://45.76.155.202/update/update.exe, 攻击过程由一名受害用户在Notepad++论坛中提交,如图:

第二条攻击链仍然从URL:

http://45.76.155.202/update/update.exe

进行恶意程序分发,程序运行后会在 %APPDATA%\Adobe\Scripts目录下释放四个文件:alien.dll、lua5.1.dll、script.exe、alien.ini, 在这四个文件中,除了alien.ini,其余文件全部都是合法的。alien.ini实际上是一个lua脚本，内容如下:

这段Lua脚本是一个典型的进程内shellcode注入与执行流程,总共分为5个步骤。

步骤1: 加载kernel32 / user32 , 获取内存与回调类API。

步骤2:执行函数:

VirtualAlloc(0,len,0x3000,0x40),分配可执行内存。

步骤3:调用VirtualLock(ptr,len),锁页,避免换出。

步骤4:调用RtlMoveMemory(ptr,scc,len),将Shellcode写入该内存。

步骤5:执行EnumWindowStationsW(ptr,0),通过“回调”机制执行ptr处的shellcode。

黑客的第三条攻击链源自:

http://45.32.144.255/update/update.exe, 

这次的恶意程序跟之前有所不同,不再发送系统信息给攻击者,而是在

%appdata%\Bluetooth\

目录下释放了三个文件:

BluetoothService.exe、log.dll和BluetoothService，

其中BluetoothService.exe是一个合法的可执行程序,log.dll是一个恶意的dll, BluetoothService是一个经过加密的shellcode。这种执行链依赖于 log.dll文件的侧加载，该文件负责将加密的 BluetoothService shellcode 加载到 BluetoothService.exe 进程中。

以下是收集到的所有的IOC和C2资源:

(1).用于恶意Notepad++更新部署的URL:

http://45.76.155[.]202/update/update.exe

http://45.32.144[.]255/update/update.exe

http://95.179.213[.]0/update/update.exe

http://95.179.213[.]0/update/install.exe

http://95.179.213[.]0/update/AutoUpdater.exe

(2).系统信息上传URL:

http://45.76.155[.]202/list

https://self-dns.it[.]com/list

(3).Metasploit 下载器用于部署Cobalt Strike 信标的URL:

https://45.77.31[.]210/users/admin

https://cdncheck.it[.]com/users/admin

https://safe-dns.it[.]com/help/Get-Start

(4).恶意Notepad++更新器传递的Cobalt Strike信标使用的URL:

https://45.77.31[.]210/api/update/v1

https://45.77.31[.]210/api/FileUpload/submit

https://cdncheck.it[.]com/api/update/v1

https://cdncheck.it[.]com/api/Metadata/submit

https://cdncheck.it[.]com/api/getInfo/v1

https://cdncheck.it[.]com/api/FileUpload/submit

https://safe-dns.it[.]com/resolve

https://safe-dns.it[.]com/dns-query

(5).其它相关URL:

https://api.skycloudcenter[.]com/a/chat/s/70521ddf-a2ef-4adf-9cf0-6d8e24aaa821

https://api.wiresguard[.]com/update/v1

https://api.wiresguard[.]com/api/FileUpload/submit

http://59.110.7[.]32:8880/uffhxpSy

http://59.110.7[.]32:8880/api/getBasicInfo/v1

http://59.110.7[.]32:8880/api/Metadata/submit

http://124.222.137[.]114:9999/3yZR31VK

http://124.222.137[.]114:9999/api/updateStatus/v1

http://124.222.137[.]114:9999/api/Info/submit

https://api.wiresguard[.]com/users/system

https://api.wiresguard[.]com/api/getInfo/v1

(全文完)