五月婷婷婷之激情综合-亚洲国产香蕉视频欧美-国产蜜臀av在线一区尤物-日韩精品乱码久久久久

數(shù)字經(jīng)濟(jì)的安全基石

首頁 > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

肚腦蟲(Donot)APT組織針對巴基斯坦攻擊活動(dòng)樣本分析

閱讀量:

1.概要

2019年7月,安恒信息析安實(shí)驗(yàn)室跟蹤到一批定向攻擊巴基斯坦的APT樣本,誘餌內(nèi)容包括“巴基斯坦國家銀行”、“巴基斯坦外交部”等,分析發(fā)現(xiàn)這批APT攻擊樣本與肚腦蟲(DoNot)APT組織有一定的關(guān)聯(lián)。

?

2.背景

肚腦蟲APT組織被認(rèn)為具有印度背景,是一個(gè)主要針對巴基斯坦和克什米爾地區(qū)國家機(jī)構(gòu)等領(lǐng)域進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),以竊取機(jī)密信息為主的組織。該組織的攻擊載荷使用了多種語言開發(fā),包括C++、.NET、Python、VBS 和AutoIt3等。

安恒信息通過自定義規(guī)則持續(xù)監(jiān)控針對印巴地區(qū)的樣本投遞活動(dòng),從2018年中旬到2019年上半旬陸續(xù)捕獲到疑似肚腦蟲APT組織定向攻擊的樣本。

?

3.樣本分析

誘餌文件一

攻擊流程

樣本文件名: Credit_score.xls ,中文翻譯“信用評分.xls”。樣本攜帶惡意的宏代碼。由于3個(gè)樣本的宏代碼完全一致,攻擊過程主要分析樣本0108a194e11a2d871f5571108087c05d的行為。

樣本感染分為三個(gè)步驟,第一步利用office宏病毒釋放執(zhí)行批處理程序,第二步批處理程序釋放二進(jìn)制程序,第三步執(zhí)行二進(jìn)制程序?qū)崿F(xiàn)感染。

第一階段

Office 宏病毒源碼如下:

啟用宏,主動(dòng)彈框“該文件已損壞”:

目的為從窗體中讀取二進(jìn)制數(shù)據(jù)寫入x6teyst.zip文件,調(diào)用unRafzaizip解壓x6teyst.zip數(shù)據(jù)包,執(zhí)行zip中的x6teyst.bat批處理文件.

Zip以二進(jìn)制形式存放于Form中:

第二階段

批處理文件源碼如下:

主要目的為創(chuàng)建隱藏文件夾,記錄設(shè)備基本信息到win.txt,刪除自身原文件并移動(dòng)到當(dāng)前用戶目錄%userprofile%\DriveData\Wins下,創(chuàng)建定時(shí)任務(wù)BackupData 實(shí)現(xiàn)持久化。

?

第三階段

x6teyst.txt重命名為yldss.exe。文件為PE格式,包含的證書信息如下:

偽裝信息:

釋放木馬

支持的系統(tǒng)版本為xp及以上

上傳本機(jī)基本信息,通過Content-Type 來區(qū)分接收的指令。

1.下載文件(Content-Type:application)

2.cmd命令執(zhí)行(Content-Type:cmdline)

3.批處理命令執(zhí)行(Content-Type:batcmd)

獨(dú)有字符串信息:

?

內(nèi)置遠(yuǎn)控域名:

回連C&C下載組件,本地路徑如下。由于分析時(shí)組件已下載不到,后續(xù)攻擊行為無法跟蹤。

%userprofile%\\DriveData\\Files\\test.bat

%userprofile%\\DriveData\\Files\\Wuaupdt.exe

一個(gè)有意思的細(xì)節(jié),判斷當(dāng)前主機(jī)語言環(huán)境是否為挪威語:

以“信用”、“挪威”、“巴基斯坦”為關(guān)鍵詞搜索得到新聞信息:

?

誘餌文件二

攻擊流程

該誘餌文檔內(nèi)容為空,執(zhí)行宏代碼彈框。

Cmd 運(yùn)行bat.bat

釋放bat.bat到C:\\user\%currentuser%\AppData\ 目錄。

其中kylgr.exe和svchots.exe和友商報(bào)道的組件名一致。由于C2不再活躍,組件無法獲取。

釋放juchek.exe偽裝java更新程序(真正的java更新程序名是Jusched.exe)。其具有下載器功能,下載組件釋放到DriveData\Files\目錄。

釋放木馬

juchek.exe支持的平臺為win7及以上:

和yldss.exe對比是同一個(gè)模板但不同版本的樣本,兩者對比發(fā)現(xiàn)yldss.exe主要增加了一些錯(cuò)誤處理:

遠(yuǎn)控支持的指令等沒有變化:

遠(yuǎn)控域名unique.fontsupdate.com

從win.txt讀取信息

具有的功能包括下載器、cmd命令執(zhí)行、bat命令執(zhí)行等。

?

誘餌文件三

注:NBP - 巴基斯坦國家銀行

?

攻擊流程

前兩個(gè)釋放bat腳本如下:

第三個(gè)樣本釋放bat腳本如下:

后續(xù)攻擊流程與之前相同,不作詳述。

?

釋放木馬

跟上述兩個(gè)樣本有一定關(guān)聯(lián),屬于同一個(gè)遠(yuǎn)控模板的不同版本,加入了反調(diào)試部分:

支持的遠(yuǎn)控指令沒有變化:

內(nèi)置的遠(yuǎn)控域名為data-backup.online:

?

4.關(guān)聯(lián)對比

從樣本攻擊手法分析,此次肚腦蟲樣本與歷史披露信息相符,關(guān)聯(lián)點(diǎn)包括:

1.樣本的制作者信息中出現(xiàn)的“Qaatil”,中文翻譯“刺客、殺手”,與Donot APT組織存在關(guān)聯(lián)

?

2.宏代碼和歷史報(bào)道的肚腦蟲組織宏代碼相似度高

3.使用多種方法偽裝合法的應(yīng)用程序、組織和服務(wù),如Ichecker,java update,AMD update、偽造數(shù)字簽名

4.樣本作者信息頻繁出現(xiàn)“Testing”字段,以此推測上述樣本可能是攻擊者仍在測試中的武器框架。

?

5.IOC

?

6.參考鏈接

https://www.netscout.com/blog/asert/donot-team-leverages-new-modular-malware-framework-south-asia

由于篇幅關(guān)系內(nèi)容有所精簡,需詳細(xì)報(bào)告請聯(lián)系郵箱zionlab@dbappsecurity.com.cn

關(guān)閉

客服在線咨詢?nèi)肟?,期待與您交流

線上咨詢
聯(lián)系我們

咨詢電話:400-6059-110

產(chǎn)品試用

即刻預(yù)約免費(fèi)試用,我們將在24小時(shí)內(nèi)聯(lián)系您

微信咨詢
安恒信息聯(lián)系方式