首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

警惕 | 蔓靈花APT組織使用技術(shù)再曝光

閱讀量：次

最近，安恒研究院獵影威脅追蹤團(tuán)隊(duì)注意到，國(guó)外推特一名安全研究人員曝光了某個(gè)攻擊組織的C&C控制端，其界面類似如下：

經(jīng)過(guò)獵影威脅追蹤團(tuán)隊(duì)分析后，確定該攻擊組織就是Bitter攻擊組織，與我們前幾天披露的《蔓靈花APT組織最新的C#木馬組件揭秘》文章類似，該文章地址：蔓靈花APT組織最新的C#木馬組件揭秘，文章中我們提到的類似組件：

該后臺(tái)地址列舉被攻擊目標(biāo)的IP、電腦名、用戶名、操作系統(tǒng)、第一次回連時(shí)間、最后回連時(shí)間。這些信息的搜集都由主木馬audiodq進(jìn)行搜集，之前關(guān)于該文件的功能描述如下：

其披露的后臺(tái)地址截圖與我們?cè)@取的相關(guān)信息類似：

我們發(fā)現(xiàn)該bitter攻擊組織至少在2018年8月的時(shí)候就已經(jīng)在使用該C&C Panel（控制端）。

C&C控制端功能分析

該C&C控制端主要有2大功能：

1、向被攻擊的目標(biāo)推送惡意的攻擊組件

被控端收到指令時(shí)，木馬下載組件的網(wǎng)絡(luò)通訊截圖：

根據(jù)相應(yīng)的數(shù)據(jù)包結(jié)構(gòu)，我們可以偽裝成已經(jīng)被攻擊成功的目標(biāo)。即，向服務(wù)器發(fā)送相應(yīng)假的數(shù)據(jù)結(jié)構(gòu)，如構(gòu)造類似的結(jié)構(gòu)：

其中

a表示：電腦名
b表示：用戶名
c表示：操作系統(tǒng)

2、移除特定的攻擊目標(biāo)

當(dāng)被攻擊的不是攻擊者關(guān)心的目標(biāo)時(shí)（如：目標(biāo)機(jī)器是沙盒環(huán)境、虛擬機(jī)等類似情況），攻擊者可以通過(guò)去掉該目標(biāo)的方式避免被發(fā)現(xiàn)或分析。

由于該后臺(tái)沒(méi)有竊密功能，它的數(shù)據(jù)竊密功能由其組件完成，其竊密方式分為加密和非加密傳輸兩種方式。

非加密數(shù)據(jù)包類如下
加密數(shù)據(jù)包裝類似如下

其他信息

除了被曝光的該后臺(tái)地址，該攻擊團(tuán)隊(duì)開(kāi)始準(zhǔn)備使用新的的后臺(tái)地址。在上篇APT追蹤文章中，我們提到了黑客使用了新的組件，變種木馬第一次回連獲取下載信息（內(nèi)部解析html文件，解密組件）

第二次就是將相關(guān)信息發(fā)送到服務(wù)器，類似心跳數(shù)據(jù)包更新。其結(jié)構(gòu)類似如下：

防御建議與總結(jié)

企業(yè)應(yīng)當(dāng)注重培養(yǎng)人員安全意識(shí)，不輕易打開(kāi)未知來(lái)源的郵件及附件，不隨意點(diǎn)擊未知鏈接，不隨意打開(kāi)未驗(yàn)證可靠來(lái)源的文檔。及時(shí)為信息系統(tǒng)打好補(bǔ)丁。

部署安恒APT預(yù)警平臺(tái)，安恒APT預(yù)警平臺(tái)能夠發(fā)現(xiàn)已知或未知的威脅，APT預(yù)警平臺(tái)的實(shí)時(shí)監(jiān)控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性，并能夠?qū)︵]件投遞，漏洞利用、安裝植入、回連控制等各個(gè)階段做強(qiáng)有力的監(jiān)測(cè)。結(jié)合安恒威脅情報(bào)系統(tǒng)，可將國(guó)內(nèi)外的威脅數(shù)據(jù)進(jìn)行匯總，并分析整個(gè)攻擊演進(jìn)和聯(lián)合預(yù)警。

獵影威脅分析團(tuán)隊(duì)將持續(xù)關(guān)注網(wǎng)絡(luò)安全動(dòng)態(tài)。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>