APT SideWinder针对南亚某区域的最新攻击活动 – 作者:Knownsec知道创宇

HW期间,为防范钓鱼,即日起FreeBuf将取消投稿文章的一切外部链接。给您带来的不便,敬请谅解~

背景概述

近日NDR团队捕获多起南亚APT组织SideWinder攻击事件。下图为攻击样本下载的截图。

v2-be0fec60f37f8c38ec71ca1e271f742f_720w.png

SideWinder简介

响尾蛇(又称SideWinder,T-APT-04)是一个背景来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府、能源、军事、矿产等领域的机密信息为主要目的。

样本分析

本次捕获到的攻击样本手法与往期相似,即通过带漏洞的RTF文档释放并执行JS脚本:

v2-76b4fa9abf9e8593b657d3237b96d393_720w.png

SideWinder组织惯用手法最明显标志为在一阶脚本中最后动态调用自加载程序o.work函数。

网上关于SideWinder分析文章很多在此不做过多描述,简单说明第一步内存加载o.work变化。

常见o.work调用如下:

v2-7f2dc8802182d54d875f5c6871a761ef_720w.png

v2-dea042129c456dc7dcc27a898d6bfd61_720w.png

Installer.dll/LinkZip.dll/App.dll(o.work)简述

Installer.dll

时间2019

Loader主要分为两部分第一部分为持久化操作(注册表RUN),第二部分为运行后续恶意程序。

Load进行杀软检测,将检测结果拼接发送到服务端。

注:该部操作前提主机中不存在360、avast、avg

v2-12f631a32cf003d97cc4fbfde121cd98_720w.png

持久化操作

v2-72e67b45ce0e22630f32015e6842d6ca_720w.png

程序会将URL中第一个/后5个字节取出替换后续程序中标记{rox}(用于解密后续服务器数据的key)

v2-b2061bdbe80fa7620410483cf0745c70_720w.png

v2-04a519a1385b4b1308dfdfa43cbc8885_720w.png

程序会将URL替换后续程序中标记####

v2-f90aa808e9d29de33300180babe278ce_720w.png

后续程序通过白加黑启动(Duser.dll)

v2-ea9f692a79f84c33ca82ca4e85c74341_720w.png

解密数据key为之前URL的前5个字节

v2-506da9f56b4d3ecca1d799c29902c59e_720w.png

v2-5d7641a129fe0777cc5b605c3be51c5b_720w.png

调用JS执行数据

v2-1e0cf58c16f8a9ee8cda40ae60aeb3e8_720w.png

LinkZip.dll

时间2020

相较于2019年Installer.dll,LinkZip.dll去除了驻留、解密等功能,获取杀软信息由JS脚本进行实现。LinkZip.dll主要完成下载者功能,对加载的数据解压运行。

v2-943ca87d78dee0034daae00e9c8222ae_720w.png

v2-d5289b79ccf77eda8046e21f273dd5f5_720w.png

对捕获的样本分析发现服务端路径存在以下规律:

二阶脚本下载目录

http://xxx/cgi/xxx/xxx/xxx/xxx/file.hta

杀软信息上传目录

http://xxx/plugins/xxx/xxx/true/true/%杀软名称%

后续白加黑(Duser.dll)

App.dll

时间2021

App.dll与LinkZip.dll非常相似,其添加了异常回传、启动Decoy功能。

v2-cc56bd7210925f7f83bbdcb9a2586bf8_720w.png

服务端规律变化:

https://xxx/xxx/x/xxx/x/x/x/xxx/files-xxx/x/

https://xxx/xxx/x/xxx/x/x/x/xxx/files-xxx/x/data?d=%杀软信息%

https://xxx/xxx/x/xxx/x/x/x/xxx/files-xxx/x/data?d=%杀软信息%&e=%异常信息%

后续白加黑(Duser.dll)

总结

19年SideWinder一阶脚本代码未经任何处理,所有字符、C&C、函数名称均为明文;从20年开始SideWinder对一阶脚本进行关键字符加密,在内存加载的O.WORK功能变得更为单一仅保留加载功能去除驻留功能;21年服务器路径特征已发生变化。

来源:freebuf.com 2021-04-12 13:45:20 by: Knownsec知道创宇

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论