吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 47366|回复: 400
收起左侧

[转载] 境外APT 组织“响尾蛇”对我国发起攻击事件报告

    [复制链接]
qh7120 发表于 2019-9-20 12:54
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 qh7120 于 2019-9-20 12:57 编辑

2019-09-06  一、背景介绍近日,瑞星安全研究院捕获到两起针对中国的APT攻击事件,一起是针对各国驻华大使馆,另一起是针对某科技有限公司驻外代表处。攻击者利用Office远程代码执行漏洞(cve-2017-11882)通过钓鱼邮件等方式发起APT攻击,一旦有用户打开钓鱼文档,电脑就会被攻击者远程控制,从而被盗取如电脑系统信息、安装程序、磁盘信息等内部机密数据资料。据了解,此番发起APT攻击的是国际知名的“响尾蛇”组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击,但近两起的APT攻击却频繁指向了中国,一起是伪装成国防部国际军事合作办公室海外军事安全协作中心,向各国驻华使馆武官发送虚假邀请函;另一起是针对某科技有限公司驻外代表处的攻击事件,攻击者向该公司驻外代表处发送了虚假的安全和保密手册。
图:伪装成国防部的钓鱼文档
据瑞星安全研究院分析,虽然这两次攻击对象和内容不同,但通过对攻击者使用的技术手法来看,断定与APT组织“响尾蛇”有着莫大的关系,该组织以窃取政府,能源,军事,矿产等领域的机密信息为主要目的。此次的攻击事件以虚假邮件为诱饵,利用Office远程代码执行漏洞(cve-2017-11882),发送与中国驻外使馆与科技类企业相关的钓鱼邮件,其目的应以盗取我国重要机密数据、隐私信息及科技研究技术为主。
二、攻击流程
图:攻击流程
三、钓鱼邮件分析(一)诱饵文档一文档伪装成国防部国际军事合作办公室海外军事安全协作中心发往各国驻华使馆武官的邀请函。
图:诱饵文档
(二)诱饵文档二文档内容和某科技有限公司驻外代表处的安全和保密工作手册修订相关。
图:文档内容
(三)详细分析两个诱饵文档均在末尾嵌入一个名为“包装程序外壳对象“的对象,对象属性指向%temp%目录中的1.a文件。所以,打开文档会在%temp%目录下释放由JaveScript脚本编写的1.a文件。
图:对象属性
接着诱饵文档又利用漏洞CVE-2017-11882触发shellcode执行1.a。
图: shellcode
Shellcode流程如下:通过异或0x12解密出一个JavaScript脚本,该脚本的主要功能是执行%temp%目录下的1.a文件。
图:JavaScript脚本密文
图:解密后的JavaScript脚本
ShellCode会将公式编辑器的命令行参数改成JavaScript脚本,利用RunHTMLApplication函数执行将该脚本执行起来。
图:替换命令行
图:执行JavaScript
三、病毒分析(一)1.a文件分析1.a是通过开源的DotNetToJScript工具生成,主要功能是通过JavaScript脚本内存执行.net的DLL文件。该脚本首先解密出StInstaller.dll文件,并反射加载该DLL中的work函数。Work函数对传进来的参数x(参数1)和y(参数2)进行解密,解密后x为PROPSYS.dll,y为V1nK38w.tmp。
图:1.a脚本内容
(二)StInstaller.dll文件分析StInstaller.dll是一个.NET程序,会创建工作目录C:\ProgramData\AuthyFiles,然后在工作目录中释放3个文件,分别是PROPSYS.dll,V1nK38w.tmp和write.exe.config,并将系统目录下的写字板程序(write.exe) 拷贝到该目录中。运行write.exe(白文件)加载同级目录下的PROPSYS.dll(黑文件), 通过白加黑的手段运行恶意代码。
图:work函数
以下是详细过程:1.在work函数中调用xorIt解密函数得到3个重要配置数据,分别是工作目录名AuthyFiles,域名 https://trans-can.net和设置的注册表键名authy。
图:解密数据
图:xorIt解密函数
2.创建工作目录C:\ProgramData\AuthyFiles,拷贝系统文件write.exe到工作目录,并将其设置为开机自启动。
图:创建AuthyFiles和write.exe
3.在工作目录中释放一个随机命名的文件V1nK38w.tmp。4.在工作目录中释放PROPSYS.dll,并更新该文件中接下来要加载程序的文件名为V1nK38w.tmp。
图:创建PROPSYS.dll
5.将拼接后完整的url链接:https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b5写入V1nK38w.tmp文件中。再将该文件使用EncodeData函数进行加密。
图:创建V1nK38w.tmp文件
图:EncodeData加密函数
6.创建配置文件write.exe.config,防止不同.NET版本出现兼容性问题。
图:创建write.exe.config
图:write.exe.config内容
7.执行C:\ProgramData\AuthyFiles\write.exe,调用恶意的PROPSYS.dll。
图:执行write.exe
(三)PROPSYS.dll文件分析使用DecodeData函数对V1nK38w.tmp进行解密,解密完后加载执行V1nK38w.tmp。
图:加载执行V1nK38w.tmp
图:DecodeData解密函数
(四)V1nK38w.tmp文件分析V1Nk38w.tmp主要是窃取大量信息和接收指令执行。
图:主要行为
1.加载初始配置,配置由资源中的Default解密得到。配置内容是网址,上传文件的暂存目录和窃取指定的文件后缀名(doc, docx, xls, xlsx, pdf, ppt, pptx)。
图:加载配置
图:解密后的Default资源信息
2.将配置使用EncodeData函数加密,存于注册表HKCU\Sotfware\Authy中。
图:在注册表中加密的配置信息
3.访问指定地址下载文件执行,优先选择配置信息中的网址,如果没有则选择默认网址:https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b。
图:下载数据
4.将窃取的信息整合成文件,文件命名为:随机字符串+特定后缀,数据内容以明文形式存于暂存目录中。
图:窃取信息文件
后缀为.sif的文件主要是存储的是系统信息,安装程序信息,磁盘信息等。
图:后缀.sif存储的信息
获取的系统信息如下表:
后缀为.fls的文件中。
表:信息记录
图: 后缀.fls的存储信息
后缀为.flc的文件中记录所有盘符的信息和盘符下的目录和文件信息。攻击者要获取的盘符信息如下表:
攻击者要获取的目录信息如下表:
攻击者要获取的文件信息如下表:
捕获程序运行异常,将异常信息记录到后缀为.err的文件。
图:捕获异常
5.更新注册表中存储的配置数据:首先遍历系统找寻和特定后缀相同的文件,然后从注册表HKCU\Sotfware\Authy读取和解密配置数据,将找到的文件的名字和路径补充到配置数据中,最后将配置信息加密继续存放注册表。
图:找寻特定后缀文件
图:记录要上传的文档路径
图:上传指定后缀文档
6.更新注册表中存储的配置数据:将上传文件的信息更新到注册表配置数据中。
图:注册表中解密后的配置信息
7.将注册表配置信息中记载的特定后缀文件的数据内容全部压缩上传。
图:上传后缀文件
8.上传暂存目录中后缀为sif,flc,err和fls的文件。
图:上传文件
四、总结
   此次两起攻击事件时隔不长,攻击目标均指向中国国内敏感领域和相关机构,攻击目的以窃取机构内部隐私信息为主,以便制定有针对性的下一步攻击方案。最近揭露的响尾蛇攻击对象大都指向巴基斯坦和东南亚各国,但这两起攻击事件目标直指中国,表明该组织攻击目标发生了变化,加大了对中国的攻击力度。恰逢今年是我国建国七十周年华诞,国内相关政府机构和企业单位务必要引起高度重视,加强预防措施。
五、预防措施
   1.不打开可疑邮件,不下载可疑附件。此类攻击最开始的入口通常都是钓鱼邮件,钓鱼邮件非常具有迷惑性,因此需要用户提高警惕,企业更是要加强员工网络安全意识的培训。
  2.部署网络安全态势感知、预警系统等网关安全产品。网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
  3.安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文档,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
  4.及时修补系统补丁和重要软件的补丁。

六、IOC信息
MD5
D83B3586393CAB724519B27B9857A4B237166FA93D776147E545AAD7E30B41608FD10BD711AB374E8DE9841CF8824758D4C3963B11E1732E1419ADF5F404E50C58DE7C0DF5BD677E1A3CDC099019015DA94BE8863E607DC7988F34F9073099168444A5850EEBA2824D7C9BAD9189FF7E

url
https://trans-can.net/ini/thxqfLH82tJpLuGANcqTooJQEd6qGYu7cML5rMvr/-1/1291/f8ad26b5https://trans-can.net/ini/Wsx8Gb5ZtTzzbdquHHtVI2sO9OQpOPRU4jOINehp/31878/1346/cab43a7f

免费评分

参与人数 405吾爱币 +363 热心值 +376 收起 理由
尸体上的你 + 1 我很赞同!
念壹 + 1 + 1 我很赞同!
fei8255 + 1 + 1 谢谢@Thanks!
chenshiyiya + 1 + 1 我很赞同!
XDOP + 1 + 1 我很赞同!
wxt666 + 1 + 1 用心讨论,共获提升!
trybest + 1 + 1 我很赞同!
p1Xel + 1 谢谢@Thanks!
wwyc + 1 + 1 鼓励转贴优秀软件安全工具和文档!
cw8888 + 1 + 1 谢谢@Thanks!
JJguai + 1 + 1 我很赞同!
kizzlepc + 1 + 1 谢谢@Thanks!
酒山凡画 + 1 已经处理,感谢您对吾爱破解论坛的支持!
chuyang + 1 + 1 热心回复!
丶贤之 + 1 + 1 热心回复!
在世之在 + 1 热心回复!
xuqian2072 + 1 我很赞同!
risini_1 + 1 + 1 我很赞同!
Looshoop + 1 + 1 我很赞同!
miaomen313 + 1 + 1 各位大神们,祖国需要你们的时候来了。
DeylenX + 1 我很赞同!
根号柃 + 1 + 1 热心回复!
Pj15119158128 + 1 + 1 我很赞同!
dfl975 + 1 热心回复!
字数补丁 + 1 + 1 用心讨论,共获提升!
scb + 1 + 1 用心讨论,共获提升!
卡拉肖克倩 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
抱歉、 + 1 临近国庆....歪果仁有点骚动了...2333
biginner + 1 + 1 用心讨论,共获提升!
Missrainbows + 1 + 1 谢谢@Thanks!
天羽 + 1 用心讨论,共获提升!
一汪黑池 + 1 + 1 谢谢@Thanks!
xy820208 + 1 热心回复!
wxg0564 + 1 + 1 我很赞同!
maobaozhi + 1 + 1 谢谢@Thanks!
岳轻 + 1 + 1 谢谢@Thanks!
sfmax + 1 用心讨论,共获提升!
qq3353558 + 1 + 1 谢谢@Thanks!
aaayy111 + 1 + 1 谢谢@Thanks!
王大大 + 1 + 1 谢谢@Thanks!
洛克公园 + 1 + 1 更换WPS吧
红尘烟雨 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
天一生水 + 1 + 1 热心回复!
876704221 + 1 + 1 我很赞同!
never_gone + 1 + 1 我很赞同!
rangersxiaoyan + 1 + 1 热心回复!
Jahy + 1 我很赞同!
luoyongming123 + 1 + 1 热心回复!
Alivebox + 1 + 1 我很赞同!
玖之一 + 1 + 1 用心讨论,共获提升!
zy92691 + 1 我很赞同!
三寸雨 + 1 + 1 谢谢@Thanks!
qinghuai + 1 + 1 鼓励转贴优秀软件安全工具和文档!
skrboy + 1 + 1 我很赞同!
z小伟style + 1 + 1 谢谢@Thanks!不明觉赞!
松鼠君 + 1 + 1 我很赞同!
YuLoo + 1 我很赞同!
wiserafina + 1 + 1 用心讨论,共获提升!
sky466 + 1 + 1 我很赞同!
guan911520 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
暗香独浮动 + 1 + 1 我很赞同!
zjuner + 1 谢谢@Thanks!
你越哥哥 + 1 鼓励转贴优秀软件安全工具和文档!
wumingshi123 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
老司车开机 + 1 + 1 C#
doushaofei + 1 + 1 热心回复!
z567294 + 1 + 1 用心讨论,共获提升!
新糠虾 + 1 + 1 谢谢@Thanks!
还好我没放弃 + 1 + 1 谢谢@Thanks!
幻丶夕 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
遥望流年 + 1 + 1 热心回复!
o黄花菜o + 1 + 1 我很赞同!
dap + 1 + 1 谢谢@Thanks!
经典柚子 + 1 + 1 谢谢@Thanks!
erss + 1 + 1 我很赞同!
wuaiw + 1 热心回复!
YYabc + 1 我很赞同!
shenny1107 + 1 + 1 我很赞同!
flmdux + 1 + 1 我很赞同!
沉默的菜鸟 + 1 我很赞同!
xwtx + 1 + 1 我很赞同!
asual + 1 鼓励转贴优秀软件安全工具和文档!
xaibin + 1 + 1 谢谢@Thanks!
kejiashan + 1 我很赞同!
斯蒂文霍克 + 1 + 1 我很赞同!
远方呢 + 1 谢谢@Thanks!
ynxppt + 1 + 1 用心讨论,共获提升!
guoruihotel + 1 + 1 谢谢@Thanks!
rainactive + 1 + 1 用心讨论,共获提升!
至今没学会 + 1 我很赞同!
linruo218 + 1 + 1 长见识了,谢谢大佬分析。
sdzdp + 1 帝国主义亡我之心不死
0龙小龙0 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
无痕567 + 1 + 1 不明觉厉,先跪为敬
日常拉肚子 + 1 + 1 我就不相信下面评分的人都是耐心的看完了~
蛋疼王子 + 1 我很赞同!
一缕 + 1 谢谢@Thanks!
猊饕 + 1 + 1 我很赞同!
老太阳Ls + 1 + 1 谢谢@Thanks!
w983254565 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

BeautifulBoy 发表于 2019-9-20 14:18
我最近收到一些色情信息的邮件,只有文字,没有图片,说他的阴道需要滋润云云,然后有个点我打开的按钮,却跳转到其他的网页,很奇怪这几天连续收到好多这种邮件。

免费评分

参与人数 5吾爱币 +5 收起 理由
Dream_Peng + 1 我最近也是,好烦,每天删邮件 怎么处理呢
春睡海棠 + 1 此条评论配合头像食用简直绝了
280260762 + 1 你为什么要点那个点我打开
梦虫 + 1 昨天前天我也收到好多啊。。。。。
1xO2sg + 1 你还打开看了嘛XDDDD

查看全部评分

Doublevv 发表于 2019-9-20 14:16
mela997 发表于 2019-9-20 13:18
我靠,超厉害,难怪最高法把法院的项目都要求服务器物理隔离,禁止接入外网了

免费评分

参与人数 1吾爱币 +1 热心值 +1 收起 理由
金戋夕夕夕夕 + 1 + 1 bang(手枪声)

查看全部评分

xiaopang1233 发表于 2019-9-25 10:58
涉密不上网,上网不涉密
Zaniel_chen 发表于 2019-9-21 09:36
涉密不上网,上网不涉密
KDCOOL 发表于 2019-9-20 13:07
感觉很流批的样子。
zgpo 发表于 2019-9-20 13:04
赞!!!!
vaxxuan 发表于 2019-9-20 13:06
中国的电脑也入侵了吗?
wangjuewapj 发表于 2019-9-20 13:23
厉害了大佬 佩服
qqyyh 发表于 2019-9-20 13:27
有点可怕的。
丿伪面君子 发表于 2019-9-20 13:31
膜拜大佬
Macife 发表于 2019-9-20 13:33
支持,感谢分享
xxj5400 发表于 2019-9-20 13:41
真大佬!!!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 15:31

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表