《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 分析蔓靈花APT針對(duì)國(guó)內(nèi)研究機(jī)構(gòu)的攻擊

分析蔓靈花APT針對(duì)國(guó)內(nèi)研究機(jī)構(gòu)的攻擊

2020-10-22
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  背景

  近期,,奇安信安全能力中心捕獲到針對(duì)特定單位群體展開(kāi)的定向攻擊活動(dòng),通過(guò)分析發(fā)現(xiàn)其為“蔓靈花”APT組織,。該組織最早在2016由美國(guó)安全公司Forcepoint進(jìn)行了披露,,并且命名為“BITTER”,。

  蔓靈花(T-APT-17,、BITTER)APT組織是一個(gè)長(zhǎng)期針對(duì)亞洲地區(qū)進(jìn)行攻擊活動(dòng)的APT組織。主要針對(duì)目標(biāo)區(qū)域的政府,、軍工業(yè),、電力、核工業(yè)等單位進(jìn)行攻擊,,試圖竊取敏感數(shù)據(jù),。

  攻擊活動(dòng)分析

  1、攻擊方式

  該組織主要采用魚叉釣魚的方式,,對(duì)相關(guān)目標(biāo)單位的個(gè)人直接發(fā)送嵌入了攻擊誘餌的釣魚郵件,。本次攻擊行動(dòng)中使用的誘餌為rar壓縮包,而壓縮包里攜帶惡意的chm文檔,。本次捕獲的攻擊樣本為“主要指標(biāo)情況說(shuō)明,。chm”后,整體的攻擊流程如下圖所示:

微信圖片_20201022163046.jpg

  2,、功能模塊匯總

微信圖片_20201022163056.jpg

  樣本分析

  msixxxx.tmp為msiexec.exe從網(wǎng)絡(luò)下載的msi安裝包產(chǎn)生的臨時(shí)文件,,該程序?qū)嶋H上為Advanced Installer安裝程序中附帶的文件,17.2.0.0版本的該程序帶有數(shù)字簽名,,文件的數(shù)字簽名信息如下:

微信圖片_20201022163059.jpg

  帶有數(shù)字簽名的白程序,,可以實(shí)現(xiàn)執(zhí)行任意命令,將要執(zhí)行的命令和該文件一起打包為msi格式的安裝包,,再通過(guò)msiexec.exe下載安裝,,即可實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行,完整的攻擊命令如下:

微信圖片_20201022163101.jpg

  通過(guò)這種方式下載的模塊匯總:

微信圖片_20201022163106.jpg

  對(duì)http[:]//webmailcgwip.com/目標(biāo)進(jìn)行分析,,其所關(guān)聯(lián)的載荷能力可能為msass,、msapp、dlhost和msas,。

  dlhost

  該文件的主要功能竊取數(shù)據(jù),,根據(jù)配置信息,會(huì)將特定后綴的文件上傳到72.11.134.216服務(wù)器,,特定的后綴列表為:

  neat(鍵盤記錄模塊的記錄文件使用的擴(kuò)展名),,txt,ppt,,pptx,,pdf,doc,,docx,,xls,xlsx,,zip,,z7,rtf.txt,,apk,,jpg,jpeg,,logins.json,,key3.db。

  包含了瀏覽器密碼,,辦公文檔,,壓縮包,圖像,,手機(jī)應(yīng)用等軟件敏感數(shù)據(jù),。

微信圖片_20201022163109.jpg

  敏感文件上傳,火狐瀏覽器相關(guān)的文件,。

微信圖片_20201022163112.jpg

  msapp模塊

  該模塊由msiexec下載執(zhí)行,,執(zhí)行了以下cmd命令后就退出,功能為通過(guò)MSI安裝程序進(jìn)行遠(yuǎn)程加載執(zhí)行鏈接給定的MSI文件,。

微信圖片_20201022163116.jpg

  msass 模塊

  msass負(fù)責(zé)與c2進(jìn)行通信獲取其他模塊執(zhí)行,,解密后的配置信息如下:

微信圖片_20201022163119.jpg

  獲取主機(jī)名、計(jì)算機(jī)名,、操作系統(tǒng)名,、機(jī)器GUID并發(fā)送到c2。

微信圖片_20201022163124.jpg

  接收控制指令,,從中搜索Yes file,,如果找到Y(jié)es file 則繼續(xù)從其后搜索[] 標(biāo)志,提取其中的字符,。

微信圖片_20201022163127.jpg

  將提取到的字符拼接到url后邊,,同時(shí)也拼接到木馬所在目錄后邊,拼接出的url處下載文件到木馬目錄,,隨后將其重命名為,。exe結(jié)尾的文件名,最后調(diào)用ShellExecuteA執(zhí)行,,完成下載執(zhí)行功能,。

微信圖片_20201022163132.jpg

  msas 模塊

  msas是一個(gè)開(kāi)源項(xiàng)目 DarkAgent進(jìn)行修改的遠(yuǎn)控模塊,保留了該開(kāi)源項(xiàng)目的大部分功能,,如:文件管理,、進(jìn)程管理、命令執(zhí)行,。下面是樣本中的遠(yuǎn)控與 DarkAgent的差異:

微信圖片_20201022163137.jpg

 微信截圖_20201022164545.png

  IOC

  C2

      微信截圖_20201022163149.png

  MD5

  微信截圖_20201022163158.png

  PDB:

 微信截圖_20201022163207.png

  總結(jié)

  蔓靈花組織長(zhǎng)期針對(duì)我國(guó)重要政企部門和敏感單位進(jìn)行定向攻擊,。雖然國(guó)內(nèi)外各安全廠商都曾對(duì)其攻擊活動(dòng)有過(guò)披露,,但卻并未阻止其進(jìn)行攻擊的步伐。

  提醒國(guó)內(nèi)相關(guān)企業(yè)和單位務(wù)必引起重視,,提高警惕,,加強(qiáng)自身安全防御措施,減少不必要的損失,。

  目前,,基于奇安信天擎終端一體化管理系統(tǒng)能針對(duì)此APT攻擊團(tuán)伙做出精準(zhǔn)檢測(cè)與攔截。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。