境外APT 组织“响尾蛇”对我国倡议攻击事务呈文
2019-09-06
近日,瑞星清闲钻研院捕获到两起针对中国的APT攻击事务,一路是针对列国驻华大使馆,另一路是针对某科技有限公司驻外代表处。
一、背景介绍
近日,瑞星清闲钻研院捕获到两起针对中国的A�������PT攻击事务,一路是针对列国驻华大使馆,另一路是针对某科技有限公司驻外代表处。攻击者使用Office长途代码执行漏洞(cve-2017-11882)通过垂钓邮件等编制倡议APT攻击,一旦有用户打开垂钓文档,电脑就会被攻击者长途控制,从而被窃取如电脑体系信息、安放步伐、磁盘信息等内部机密数据质料。
据体会,此番倡议APT攻击的是国际知名的“响尾蛇”组织,该组织此前已对巴基斯坦和东南亚列国倡议过屡次攻击,但近两起的APT攻击却频仍指向了中国,一路是假装成国防部国际军事竞争办公室海外军事清闲协作中心,向列国驻华使馆武官发送虚伪邀请函;另一路是针对某科技有限公司驻外代表处的攻击事务,攻击者向该公司驻外代�������表处发送了虚伪的清闲和保密手册。
图:假装成国防部的垂钓文档
据瑞星�������清闲钻研院剖析,尽管这两次攻击对象和内容差异,但通过对攻击者操作的手艺手腕来看,判定与APT组织“响尾蛇”有�����着莫大的关系,该组织以偷取政府,能源,军事,矿产等领域的机密信息为主要目的。这次的攻击事务以虚伪邮件为诱饵,使用Office长途代码执行漏洞(cve-2017-11882),发送与中国驻外使馆与科技类企业相干的垂钓邮件,其目的应以窃取我国重要机密数据、隐私信息及科技钻研手艺为主。
二、攻击流程
图:攻击流程
三、垂钓邮件剖析
(一)诱饵文档一
文档假装成国防部国际军事竞争办公室海外军事清闲协作中心发往列国驻华使馆武官的邀请函。
图:诱饵文档
(二)诱饵文档二
文档内容和某科技有限公司驻外代表处的清闲和保密工作手册修订相干。
图:文档内容
(三)具体剖析
两个诱饵文��������档均在末尾嵌入一个名为“包装步伐外壳对象“的对象,对象属性指向%temp%目录中的1.a文件。所以,打开文������档会在%temp%目录下开释由JaveScript脚本编写的1.a文件。
图:对象属性
接着诱饵文档又使用漏洞CVE-2017-11882触发shellcode执行1.a。
图: shellcode
Shellcode流程如下:
通过异或0x12解密出一个JavaScript脚本,该�����脚本的主要功能是执行%temp%目录下的1.a文����件。
图:JavaScript脚本密文
图:解密后的JavaScript脚本
ShellCode会将公式编辑器的下令行参数改成JavaScript脚本,使用RunHTMLAppli����cation函数����执行将该脚本执行起来。
图:替代下令行
图:执行JavaScript
三、病毒剖析
(一)1.a文件剖析
1.a是通过开源的DotNetToJScript东西天生,主要功能是通过JavaScript脚本内�����存执行.net的DLL文件。该脚本起首解密出StInstaller.dll文件,并反射加载该DLL中的wo������rk函数。Work函数对传进来的参数x(参数1)和y(参数2)停止解密,解密后x为PROPSYS.dll,y为V1nK38w.tmp。
图:1.a脚本内容
(二)StInstaller.dll文件剖析
StInstaller.dll是一个.�������NET步伐,会创建工�����作目录C:\ProgramData\AuthyFiles,然后在工作目录中开释3个文件,分离是PROPSYS.dll,V1nK38w.tmp和write.exe.config,并将体系目录下的写字板步伐(write.exe) 拷贝到该目录中。运行write.exe(白文件)加载同级目录下的PROPSYS.dll(黑文件), 通过白加黑的技能花样运行歹意代码。
图:work函数
以下是具体过程:
1.在work函数中调用xorIt解密函数得到3����个重要设置配备安排数据,分离是工作目录名AuthyFiles,域名 //trans-can.net和设置的注册表键名authy。
图:解密数据
图:xorIt解密函数
2.创建工作目录C:\ProgramData\AuthyFiles,拷����贝体系文件write.exe到工作目录,并将其设置为开机自启动。
图:创建AuthyFiles和write.exe
3.在工作目录中开释一个随机命名的文件V1nK38w.tmp。
4.在工作目录中开释PROPSYS.dll,并更新该文件中接下来要加载步伐的文件名为V1nK3�������8w.tmp。
图:创建PROPSYS.dll
5.将拼接后完备的url链接:
//trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cM������L5rMvr/-1/1291/f8ad26b5写入V1nK38w.tmp文件中。再将该文件操作EncodeData������函数停止加密。
图:创建V1nK38w.tmp文件
图:EncodeData加密函数
6.创成立置配备安排文件write.exe.config,防止差异.NET版本呈现兼容性问题。
图:创建write.exe.config
图:write.exe.config内容
7.执行C:\ProgramData\AuthyFiles\write.exe,调用歹意����的PROPSYS.dll。
图:执行write.exe
(三)PROPSYS.dll文件剖析
操作DecodeData函数对V1nK38w.tmp停止解密,���������解密完后加载执行V1nK38w.tmp。
图:加载执行V1nK38w.tmp
图:DecodeData解密函数
(四)V1nK38w.tmp文件剖析
V1Nk38w.tmp主假如偷取大量信息和领受指令执行。
图:主要举动
1.加载初始设置配备安排,设置配备安排由本钱中的Defa�������ult解��������密得到。设置配备安排内容是网址,上传文件的暂存目录和偷取指定的文件后缀名(doc, docx, xls, xlsx, pdf, ppt, pptx)。
图:加载设置配备安排
图:解密后的Default本钱信息
2.将设置配备安排操作EncodeData函数加密,存于注册表HKCU\Sotfwa�������re\Authy中。
图:在注册表中加密的设置配备安排信息
3.访谒指定地址下载文件执行,优先选择设置配备安排信息中的网址,若是没有则选择�������默认网址://trans-can.net�����/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b。
图:下载数据
4.将偷取的信息整合成文件,文件命名为:随机字符串+特定后缀,数据内容以明文情势存于暂存目录中。
图:偷取信息文件
后缀为.sif的文件主假如存储的是体系信息,安放步伐信息,磁盘信息等。
图:后缀.sif存储的信息
获取的体系信息如下表:
后缀为.fls的文件中。
表:信息记录
图: 后缀.fls的存储信息
后缀为.flc的文件中记录所有盘符的信息和盘符下的目录和文件信息。
攻击者要获取的盘符信息如下表:
攻击者要获取的目录信息如下表:
攻击者要获取的文件信息如下表:
捕获步伐运行异常,将异常信息记录到后缀为.err的文件。
图:捕获异常
5.更新注册表中存储的设置配备安排数据:起首遍历体系找寻和特定后缀雷同的文件,然后从注册表HKCU\Sotfware\Authy读取息争密设置配备安排数据,将找到的文件的名字和途径增补到设置配备安排数��������据中,最后将设置配备安排信息加密继续寄存注册表。
图:找寻特定后缀文件
图:记录要上传的文档途径
图:上传指定后缀文档
6.更新注册表中存储的设置配备安排数据:将上传文件的信息更新到注册表设置配备安排数据中。
图:注册表中解密后的设置配备安排信息
7.将注册表设置配备安排信息中记载的特定后缀文件的数据内容全数压缩上传。
图:上传后缀文件
8.上传暂存目录中后缀为sif,flc,err和fls的文件。
图:上传文件
四、总结
这次两起攻击事务时隔不长,攻击宗旨均指向中国国内敏感领域和相干机构,攻击目��������的以偷取机构内部隐私信息为主,以便制定有针对性的下一步攻击计划。比来揭发的响尾蛇攻击对象多数指向巴基斯坦和东南亚列国,但这两起攻击事务宗旨直指中国,剖明该组织攻击宗旨发生了鼎新,加大了对中国的攻击力度。恰逢今年是我国建国七十周韶华诞,国内相干政府机构和企业单位务需要引起高度器重,增强�������预防法子。
五、预防法子
1.不打开可疑邮件,不下载可疑附件。
此类攻击最起头的入口通常都是垂钓邮件,垂钓邮件十分具有蛊惑性������,因而须要用户进步警惕,企业更是要增强������员工搜集安写意识的培训。
2.布置搜集清闲态势感知、预警体系等网关清闲产品。
网关清闲产品可使用威逼情报追溯威逼举动轨�����迹,辅佐用户停止威逼举动剖析、定位威逼源和目的,追溯攻击的技能������花样和途径,从泉源处置惩罚惩罚搜集威逼,最大范畴内发现被攻击的节点,辅佐企业更快相应和办理。
3.安放有效的杀毒软件,拦截查杀歹意文档和木马病毒。
杀毒软件可拦截歹意��������������文档和木马病毒,若是用户不小心下载了歹意文档,杀毒软件可拦截查杀,阻止病毒运行,护卫用户的终端清闲。
4.及时修补体系补丁和重要软件的补丁。
六、IOC信息
MD5
D83B3586393CAB724519B27B9857A4B2
37166FA93D776147E545AAD7E30B4160
8FD10BD711AB374E8DE9841CF8824758
D4C3963B11E1732E1419ADF5F404E50C
58DE7C0DF5BD677E1A3CDC099019015D
A94BE8863E607DC7988F34F907309916
8444A5850EEBA2824D7C9BAD9189FF7E
url
//trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b5
//trans-can.net/ini/Wsx8Gb5ZtTzzbdquHHtVI2sO9OQpOPRU4jOINehp/31878/1346/cab43a7f
编辑:瑞瑞 浏览:
