报告预览

现代“碟中谍”——多国APT组织的杀戮之路（41页）.pdf

编号：83953

PDF 41页 5.70MB 下载积分：VIP专享

下载报告请您先登录！

现代“碟中谍”——多国APT组织的杀戮之路（41页）.pdf

1、现代“碟中谍”多国APT组织的杀戮之路徐智鑫徐智鑫三零卫士木星安全实验室情报分析师目录序言0蓝宝菇/APT-C-12 黑客组织3TA505 黑客组织2APT-32/海莲花黑客组织1PART 00PART 00序言序言什么是APT高级长期威胁（简称：APT），又称高级持续性威胁、先进持续性威胁等，是指隐匿而持久的电脑入侵过程，通常由某些人员精心策划，针对特定的目标。其通常是出于商业或政治动机，针对特定组织或国家，并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素：高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标，并从其

2、获取数据。威胁则指人为参与策划的攻击。PART 01PART 01APT-32/海莲花组织背景海莲花黑客组织是近些年来频繁针对东南亚地区进行攻击的活跃APT组织之一，自从被友商披露后逐渐进入大家的视野，但该组织的攻击活动并没有因为被披露而进入“睡眠期”，而是一直处于“活跃期”。组织来源：疑为越南或越南周边区域攻击地域：中国、柬埔寨、老挝、菲律宾、以及其他东南亚国家攻击目标：能源、高校、海事、金融、政府、科研海莲花黑客组织是非常灵活的黑客组织，擅长使用开源工具或商业工具并将其定制化开发使其变为私有工具，例如知名的商业木马 Cobalt Strike 和开源木马 gh0st。擅于利用多层 she

3、llcode内存加载技术和脚本语言来逃避终端威胁检测。普通宏文档攻击该样本宏代码，首先会把硬编码的数据通过Data变量相加，然后通过Base64解码将解码后的vbs代码，释放到msohtml.log，并判断相应的系统位数，把对应的wscript.exe复制windowsSysWOW64msohtml.exe普通宏文档攻击通过复制的msohtml.exe（wcript.exe）执行msohtml.log脚本，并创建计划任务来维持持久化。普通宏文档攻击msohtml.log脚本会把cs数组里的数据和 372异或解密后并执行。解密后的脚本如图，该脚本的作用是下载指定网址中的海莲花后门并执行，下载地址

4、则是由cs数组里的数据和192异或解密得到。一磅字体文档攻击该钓鱼文档使用新型攻击方式，使用一磅字体在正文中隐藏恶意的攻击代码，（右上）为打开文档时的诱惑图文，（右下）为该文档下一页中隐藏的一磅字体数据，将其放大后（左下）为Base64编码的数据。一磅字体文档攻击接下来我们看该文档的攻击宏，该样本触发宏代码后，首先会执行EI开头的函数，该函数首先将自身Office文档拷贝到Temp下。一磅字体文档攻击GL开头的函数的功能为随机生成字符串，即将文档随机命名后拷贝到Temp目录下。随后修改注册表并禁用宏安全选项。一磅字体文档攻击接着打开Temp下的doc文件。将原本的宏代码移除。并将文本中正数第一

5、段的宏代码插入。一磅字体文档攻击读取的Word正文中的第一段内容，将其插入到宏代码中。进入该函数会看到，首先取段落倒数第五段（也就是正数第一段）数据（共5段，2个空段，3个有hex数据段），从Hex转换为Bin。LS开头的函数的作用是将Hex数据转换为Bin。一磅字体文档攻击随后设置宏的安全性，延时1秒后执行该宏代码的x_N0th1ngH3r3方法。将文本格式清除后，可以看到其中3段是有数据的。其格式为：倒数：空行+脚本+脚本+空行+脚本。正数：脚本+空行+脚本+脚本+空行。第一段正文的脚本x_N0th1ngH3r3方法与之前的类似，以相同的方式写入文档中倒数第三段（正数第三段）的宏代码，并调

6、用x_N0th1ngH3r3方法。第三段正文的脚本该宏代码从x_Noth1ngH3r3开始执行，该段宏代码主要是改写进程内存，将倒数二段（正数第四段）数据复制到内存中去执行，而该段数据则是ShellCode版的海莲花后门。模板注入文档攻击模板注入文档攻击，是近期较为新颖的攻击方式，依托原本的微软功能实现了宏代码云下载，具备无文件的特性以及很好的免杀效果，样本启动后会去指定的服务器拉去指定的模板，存在TargetMode字段则会加载远程模板，如果不存在则加载本地模板。模板注入文档攻击fdsw.png为模板类型，其中包含宏代码，该宏代码首先会根据是否存在syswow64/cmd.exe判断系统是3

7、2位还是64位，并且根据系统位数不同，选择不同的位置写入注册表劫持CSID,被劫持的CSID都为2DEA658F-54C1-4227-AF9B-260AB5FC3543。模板注入文档攻击被劫持的模块是用来播放声音的，随后将文件从Word正文中取出来，经过Base64解码，释放到%appdata%main_background.png目录下。模板注入文档攻击将编码后的数据解码后，我们发现是一个PE格式的文件，该PE文件是32位的dll，我们使用IDA对该PE文件进行分析，发现只实现了一个功能就是dllmain中加载位于0 x10012760处的Shellcode并创建线程执行。模板注入文档攻击在

8、该段ShellCode的ecx+0 xfc8处存放着命令行参数以及一个PE文件。ShellCode首先会将该参数以及PE文件的地址传入SUB_512018函数中，而该函数的功能是在内存中加载传入地址中的PE文件，并将命令行参数传递过去，PE文件根据接收到的命令去执行相关的代码。该EXE的功能为：接收传送过来的URL后，将URL的数据下载到内存中并解密执行。攻击流程打开文档解码vbs代码到msohtml.log复制wscript.exe到windowsSysWOW64msohtml.exe通过复制的msohtml.exe（wcript.exe）执行msohtml.log脚本msohtml.log

9、脚本会把cs数组里的数据和 372异或解密后并执行解密后的脚本作用是下载https:/ base64 解码，释放到%appdata%main_background.png目录下文件是32位的一个dll，并执行dllmain加载位于0 x10012760处的shellcode，并创建线程执行。ShellCode的ecx+0 xfc8处存放着命令行参数，以及一个PE文件。内存加载EXE，将url参数传给EXEEXE会下载URL的数据，并使用DES解密，并在内存加载后门。PART 02PART 02TA505组织背景TA505黑客组织是最早由国外的网络安全公司追踪的网络犯罪组织，主要针对全球金融机构

10、进行攻击活动，进行以窃密或窃取资金为目的经济犯罪活动，该组织近些年活动异常频繁。虽然该组织不属于地缘政治背景的APT组织，但该组织的攻击手法与使用的技术其实已然达到APT的标准，只是针对的目标不同。组织来源：以俄语为主要语言的国家攻击地域：东欧地区攻击目标：银行，学校，商业机构，金融机构TA505黑客组织比较喜欢采用的攻击方式为：鱼叉式钓鱼邮件，并且擅长使用Office的新特性或冷门功能进行宏攻击，如Excel4.0等。使用窗口控件隐藏宏代码该钓鱼文档，和其他文档一样使用迷惑性的图片诱使你启用宏代码。当打开文件时,脚本将访问 URL 并执行下载的文件，但是我们可以看到宏代码中并没有下载相关的代

11、码，其实是被隐藏到窗口控件当中去了。使用Excel4.0宏代码攻击该样本使用同样也是需要点击启用宏来进行攻击，但是当打开宏代码编辑器时却未发现宏代码，经过研究我们发现该文件使用的是Excel4.0的宏代码进行的攻击，随着版本的升级Excel4.0逐渐被VBA取代但为了兼容考虑未取消该功能。使用Excel4.0宏代码攻击样本的宏代码被隐藏在第二张表中，点击取消后即可发现该张表，该表的宏代码会下载http:/169.239.128.169/dynhost的文件保存到%Temp%目录下并执行。下载者后门被下载的是一个Download模块，该模块动态获取API随后判断进行中是否存在杀软，存在即立即退出

12、不执行恶意操作，不存在杀软则判断当前进程是否有管理员权限，有管理员权限则使用服务对后门程序进行持久化，没有管理员权限则使用注册表对后门程序实现驻留。下载者后门当完成初始化的操作后，会尝试连接远程服务器地址，下载被加密的数据，使用RC4算法对数据进行解密，解密完成后创建该后门进程。攻击流程打开文档启用宏代码窗口控件隐藏高危宏代码下载者后门远控后门打开文档启用宏代码Excel4.0宏代码下载者后门远控后门PART 03PART 03蓝宝菇/APT-C-12 组织背景组织来源：亚太地缘政治背景攻击地域：中国攻击目标：科研、教育、政府、贸易、军工、海洋蓝宝菇黑客组织，自2011年开始活跃并持续8年针对

13、我国进行网络间谍活动，就公开数据表明目前该组织的攻击目标主要集中在中国大陆境内，并且该组织偏向攻击教育科研机构，不过该组织被国内友商披露后似乎进入了“休眠期”，就2019年公开资料显示并没有相关攻击活动被披露。蓝宝菇黑客组织所采用的攻击形式主要是使用鱼叉邮件携带二进制可执行文件并以RAR压缩包的形式打包发送，并善于使用脚本类型语言的木马，从攻击形式上来说该组织还会使用一些较为冷门的方式启动后门如(lNK文件)。Lnk文件攻击2018年四月左右该组织发动了一次针对性极强的鱼叉攻击，诱使攻击者打开鱼叉邮件中的LNK文件，从而后台执行恶意的PowerShell木马收集上传用户电脑中的敏感文件，该次攻

14、击使用了较为冷门的LNK文件进行攻击。Lnk文件攻击由于直接在系统中查看会显示不全，我们使用二进制工具查看该LNK文件结构，在特定字段我们可以获取到完整的PowerShell脚本，也可以清楚看到该LNK文件调用了PowerShell的脚本执行器。Lnk文件攻击将拷贝出来的PowerShell脚本格式化下，我们能很清楚的看清该PowerShell脚本，将被Base64编码的数据传入bh0函数并将字符串Base64拼接，调用API将其解码后使用Cmd运行被解密的Powershell脚本。Lnk文件攻击我们将被Base64解码后的脚本格式化，可以清楚看到，bh0函数和之前脚本中的是一样的作用将字符串

15、Base64解码。该脚本首先会打开该Lnk文件并将文件指针定位到lnk结构的最后一行将文件尾部数据使用bh0函数解码后，使用IEX执行该解码后的脚本。Lnk文件攻击这是附加在文件尾部的数据，如果熟悉Base64应该很容易看的出来这是被Base64编码后的数据。将该数据进行解码后发现该数据格式为压缩包+PowerShell。Lnk文件攻击该压缩包的作用是释放迷惑型文档，同时解压除后续需要使用的RAR压缩包软件该软件的数字签名是正常签名，在后续的脚本中可也可以验证该点。Lnk文件攻击这是最后阶段PowerShell脚本，及文件收集木马（脚本）该脚本的主要功能就是收集计算机中的敏感信息并将其使用压缩包后，上传到FTP服务器。攻击流程点击.lnkBase64解码第一阶段PowerShell脚本Base64解码第二阶段PowerShell脚本Base64解码运行.lnk文件末尾的PowerShell脚本（木马功能）释放迷惑文件窃取指定目录的特定类型文件并上传至FTP服务器

友情提示

1、下载报告失败解决办法
2、PDF文件下载后，可能会被浏览器默认打开，此种情况可以点击浏览器菜单，保存网页到桌面，就可以正常下载了。
3、本站不支持迅雷下载，请使用电脑自带的IE浏览器，或者360浏览器、谷歌浏览器下载即可。
4、本站报告下载后的文档和图纸-无水印,预览文档经过压缩，下载后原文更清晰。

本文（现代“碟中谍”——多国APT组织的杀戮之路（41页）.pdf）为本站（小时候）主动上传，三个皮匠报告文库仅提供信息存储空间，仅对用户上传内容的表现方式做保护处理，对上载内容本身不做任何修改或编辑。若此文所含内容侵犯了您的版权或隐私，请立即通知三个皮匠报告文库（点击联系客服），我们立即给予删除！

温馨提示：如果因为网速或其他原因下载失败请重新下载，重复下载不扣分。

上海品茶

现代“碟中谍”——多国APT组织的杀戮之路（41页）.pdf

现代“碟中谍”——多国APT组织的杀戮之路（41页）.pdf