吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

搜索
查看: 2673|回复: 33
上一主题 下一主题

[转载] 刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结

[复制链接]
跳转到指定楼层
楼主
我的女神好可爱~ 发表于 2020-3-10 16:21 回帖奖励
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 我的女神好可爱~ 于 2020-3-12 12:27 编辑








刺向巴勒斯坦的致命毒针——双尾蝎 APT 织的攻击活动分析与总结


.前言
双尾蝎APT组织(又名: APT-C-23 ),该组织从 2016 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业    安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。攻击平台主要包括 Windows 与Android :其中针对windows 的平台,其比较常见的手法有投放带有" *.exe "或" *.scr "文件后缀的释放者文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的侦查者(Recon).持久存在的方式也不唯一,一般    通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦查者会收集当前机器  的相关信息包含(系统版本,计算名,杀毒软件信息,当前文件所在路径,恶意软件当前版本),以及其解析   C2 的回显指令,并执行.比如:远程shell,截屏和文件下载。同时根据别的安全厂商的报告,我们也得知该组织拥有于攻击Android  平台的组件,拥有定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC 端后门程序功能包括收集用户信息上传到指定服务器的功能、远程下载文件能力.近日check point 安全厂商披露了该组织自导自演,给以色列士兵手上安装恶意软件的攻击活动.可以从中看出该团伙的攻击设计之巧妙,准备之充分。但最后结果还是被以色列给反制了一波............
Gcow安全团队追影小组于 2019.12 月初开始监测到了双尾蝎APT组织通过投递带有诱饵文件的相关可执行文件针对巴勒斯坦的部门  进行了相应的攻击活动,这些诱饵文件涉及教育,科技,政治等方面的内容,其攻击活动一直持续到了 2020.2 月底.追影小组对该组织进行了一定时间的追踪.遂写成此报告还请各位看官欣赏.

.样本信息介绍以及分析
[size=14.5000pt]1. 样本信息介绍
在本次双尾蝎APT组织针对巴勒斯坦的活动中,Gcow安全团队追影小组一共捕获了 14 个样本,均为
windows 样本,其中 12 个样本是释放诱饵文档的可执行文件, 2 个样本是带有恶意宏的诱饵文档

在这 12 个可执行文件样本中,有 7 个样本伪装成pdf 文档文件,有 1 个样本伪装为word 文档文件,有 2 个样本伪装为rar 压缩文件.有 2 个样本伪装成mp3 , mp4 音频文件

在这 14 个Windows 恶意样本中,其诱饵文档的题材,政治类的样本数量有 9 个,教育类的样本数量有 1 个,

科研类的样本数量有 1 个,未知类的样本数量有 3 个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容)

现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之  中有一些话题是以色列和巴勒斯坦共有的,这里Gcow 安全团队追影小组持该组织主要是攻击巴勒斯坦的观点,若各位看官有更多的证据,欢迎联系我们团队.注意:这里只是一家之言,还请各位看官须知。
那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活  动。注意:因为其他样本的主要逻辑是相同的,所以没有必要枉费笔墨
[size=14.5000pt]1. 样本分析
(1).Define the Internet in government institutionsa.样本信息




[size=8.5000pt]b. 样本分析



通过对样本的分析我们得知了该样本是兼具释放者(Dropper)下载者(Downloader)的功能,释放者(Dropper)主要是用以释放诱饵文档加以伪装以及将自身拷贝到%ProgramData%目录下,并且生成执行该文件的快捷方式并且释放于   

自启动文件夹下,下载者(Downloader)部分主要是通过进行信息收集以及等待C2给予的回显,主要功能有:远程shell,文件下载,屏幕截屏[size=8.5000pt]i. 释放者(Dropper)部分:通过FindResource 函数查找名称为:MyData的资源



通过LockResource 函数锁定资源并且获取资源在内存的地址



通过SizeOfResource 函数通过获取资源的地址计算该资源的长度


通过CreateFile 函数在%temp%目录下释放诱饵PDF文档Define the Internet in government institutions.pdf

通过WriteFile 函数将PDF源数据写入创建的诱饵文档内


通过ShellExecute 函数打开PDF诱饵文档,以免引起目标怀疑

PDF诱饵文档内容如图,主要关于其使用互联网政治类题材样本,推测应该是针对政府部门的活动

同时利用CopyFileA 函数将自身拷贝到%ProgramData% 目录下并且重命名为
SyncDownOptzHostProc.exe

利用CreateFilewW 函数在自启动文件夹下创造指向%ProgramData%\SyncDownOptzHostProc.exe 快捷方式SyncDownOptzHostProc.lnk


[size=8.5000pt]i. 下载者(Downloader)部分:
通过CreateFile 函数创造%ProgramData%\GUID.bin 文件,内部写入对应本机的GUID .当软件再次运行的时候检查自身是否位于%ProgramData% 文件夹下,若不是则释放pdf文档。若是,则释放lnk 到自启动文件夹


.信息收集

1.收集当前用户名以及当前计算机名称,并且读取 GUID.bin 文件中的GUID


再以如下格式拼接信息
当前计算机名称_当前用户名_GUID


将这些拼接好的信息利用base64进行编码,组合成cname 报文


2.通过 GetVersion 函数收集当前系统版本

并且将其结果通过Base64进行编码,组成 osversion 报文




3.通过 WMI 查询本地安装的安全软件被侦查的安全软件包括 360 , F-secure , Corporate , Bitdefender



如果存在的话,获取结果组成av 报文
4.通过 GetModuleFile 函数获取当前文件的运行路径

将当前程序运行路径信息通过base64编码组成aname 报文


5.后门版本号

ver 报文,本次活动的后门版本号为:5.HXD.zz.1201



将版本号通过base64编码组成ver 报文

将这些信息按照如下方式拼接好后,通过Send 方式向URL地址
htp://nicoledotson.icu/debby/weatherford/yportysnr 发送上线报文
cname=&av=&osversion=&aname=&ver=



②.获取指令
通过http://nicoledotson.icu/debby/weatherford/ekspertyza URL获取功能命令(功能为截屏,
远程shell,以及下载文件)

.发送屏幕快照
截取屏幕快照函数

URL地址 http://nicoledotson.icu/debby/weatherford/Zavantazhyty 发送截屏

.远程shell
远程shell主要代码


.文件下载

下载文件,推测应该先另存为base64编码的txt文件再解密另存为为exe文件,最后删除txt文件.由于环境问题我们并没有捕获后续的代码


.删除命令

通过URL http://nicoledotson.icu/debby/weatherford/vydalyty 获取删除指令

此外我们还关联到一个与之相似的样本,诱饵文档与之相同故不再赘述

(2).Employee-entitlements-2020[size=8.5000pt]a. 样本信息


该样本属于包含恶意宏的文档,我们打开可以看到其内容关于财政部关于文职和军事雇员福利的声明,属  于涉及政治类的题材

[size=8.5000pt]b. 样本分析
通过使用olevba dump出其包含的恶意宏代码(如下图所示:)其主要逻辑为:
下载该URL http://linda-callaghan.icu/Minkowski/brown 上的内容到本台机器的%ProgramData%\IntegratedOffice.txt (此时并不是其后门,而且后门文件的base64 编码后的结果)。通过读取IntegratedOffice.txt 的所有内容将其解码后,把数据流写入%ProgramData%\IntegratedOffice.exe 中,并且延迟运
行%ProgramData%\IntegratedOffice.exe 删除%ProgramData%\IntegratedOffice.txt



该样本属于上一个样本中的下载者(Downloader)部分,其还是通过创建 GUID .bin标记感染机器

并且创建指向自身的快捷方式于自启动文件夹中

(3).Brochure-Jerusalem_26082019_pdf[size=8.5000pt]a. 样本信息


通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个PDF 文件

通过CreateFile 函数将文件源数据写入%Temp%\Brochure-Jerusalem_26082019.pdf (诱饵文件)

通过ShellExecute 函数将%Temp%\Congratulations_Jan-7.pdf 打开

该样本关于耶路撒冷归属的话题,属于政治类诱饵文档




b.样本分析
通过FindResource 函数查找资源MYDATA ,通过下图我们可以看出该资源是一个PDF 文件

通过CreateFile 函数将文件源数据写入%Temp%\Directory of Government Services.pdf (诱饵文件)中

通过ShellExecute 函数将%Temp%\Directory of Government Services.pdf 打开

该样本关于政府部门秘书处的话题,属于政治类诱饵文档


诱饵内容对应的官网图片







明天接着搞  一个小时 才搞了 一半


图片57.png (222.54 KB, 下载次数: 0)

图片57.png

图片58.png (400.74 KB, 下载次数: 0)

图片58.png

免费评分

参与人数 10吾爱币 0 热心值 +4 收起 理由
ls0928 + 1 + 1 用心讨论,共获提升!
淋哉哉 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
蜗巨 + 1 用心讨论,共获提升!
LOVERJB + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
tzf1003 + 1 真就盗帖不看防盗链呗?
490694561 -1 老哥是直接把别人的抄过来了?
小飞虫 -1 原连接https://bbs.pediy.com/thread-258020.htm
灵影 -1 图全挂了。。下一个
huzpsb -1 复制粘贴不要忘了换图...
Force_cc + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

推荐
xz00lcunba 发表于 2020-3-10 23:41
https://mp.weixin.qq.com/s/YW1pJ6g0JTRhROtIXjRisA  这里看排版才舒服
推荐
By丿安之若素 发表于 2020-3-10 16:37
3#
偷油贼 发表于 2020-3-10 16:38
4#
鬼魅王子 发表于 2020-3-10 16:41
下次别转了,图都挂了
5#
yanha520 发表于 2020-3-10 16:46
图挂的不要不要的 不知道说个啥。~!还不如
6#
lu_ 发表于 2020-3-10 16:51
你这转的。。。排版不行,图片也没
7#
kirito404 发表于 2020-3-10 16:59
建议重新排版
8#
fnp902003 发表于 2020-3-10 17:04
巴勒斯坦.
9#
kalkinx 发表于 2020-3-10 17:13
我只知道,这个东西是内部交流的。。。
10#
伊吹风子是勇者 发表于 2020-3-10 17:22
重新排版上图吧,你这说的啥啊。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2020-4-4 22:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表