首页 安全快讯 正文

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析

研究员近期捕获了一例响尾蛇组织攻击样本,该样本伪装为巴基斯坦-菲律宾相关合同协议,诱导受害者执行,窃取敏感信息。概述响尾蛇(又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对其周边国家政府,军事,能源等领域开展攻击活动,以窃取敏感信息为攻击目的。近日,奇安信威胁情报中心红雨滴团队在日常高价值样本挖掘中,捕获了

研究员近期捕获了一例响尾蛇组织攻击样本,该样本伪装为巴基斯坦-菲律宾相关合同协议,诱导受害者执行,窃取敏感信息


概述

响尾蛇(又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对其周边国家政府,军事,能源等领域开展攻击活动,以窃取敏感信息为攻击目的。

近日,奇安信威胁情报中心红雨滴团队在日常高价值样本挖掘中,捕获了一例响尾蛇组织攻击样本,该样本伪装为巴基斯坦-菲律宾相关合同协议,诱导受害者执行,一旦受害者执行,该样本便会通过公式编辑漏洞执行JS脚本,从而部署其常用的.NET远控木马控制受害者机器,窃取敏感信息。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第1张

样本分析



基本信息

MD5

2ba61596f9ec352eebe6e410a25867f6

文件创建时间

2020-10-15 08:37:00

默认语言

English-UnitedKingdomArabic-Saudi Arabia

文件名

MoU"s.doc

该样本以巴基斯坦菲律宾相关协议为诱饵,内容涉及航空,文化,税收等。执行后,将展示相关内容迷惑受害者。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第2张

详细分析

通过奇安信自研文件深度解析引擎OWL解析发现该样本使用了CVE-2017-11882漏洞,并在其中嵌入名称为1.a的JS脚本文件。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第3张


ShellCode 分析

公式编辑漏洞利用成功后,将加载ShellCode执行,该ShellCode首先获取要使用的API函数字符串。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第4张

初始化相关API函数。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第5张

最终通过RunHTMLApplacation加载执行JS脚本。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第6张

JS脚本文件分析

MD5

3ad3ddc1e8ada7f6a4fe0800b578ee4a

加载执行的JS脚本与响尾蛇组织常用的脚本基本一致,主要功能为解码并内存加载一个.NET dll,其解码方法为base64解码。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第7张

解密变量so的编码数据,解码后的内容如下,其中包含一个可执行文件。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第8张

在后续调用中通过CreateInstance调用加载后的DLL的导出函数Work,并传入合适的参数值。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第9张

StInstaller.dll分析

MD5

5fda277b43aed849b9fb6c5b907e5620

创建时间

星期六, 10.10.2020 16:48:41 UTC

原始文件名

5fda277b43aed849b9fb6c5b907e5620

内存解密加载的DLL名为StInstaller.dll,加载执行后首先初始化远程服务器地址,安装目录等信息。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第10张

将系统目录下的"C:\Windows\syswow64\rekeywiz.exe"拷贝到恶意软件安装目录,并将其设置为注册表自启动项。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第11张

之后开始进行后续恶意软件部署,将在制定的恶意软件目录释放多个文件,部署完成后,恶意软件目录下文件如图所示。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第12张

创建任务名为”UpdateService”的计划任务执行rekeywiz.exe

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第13张

创建的计划任务信息如下。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第14张


Duser.dll分析

HASH

740f61933a0546637bfb552a3c5939ae

时间戳

星期六, 10.10.2020 16:48:33 UTC

rekeywiz.exe执行后,将会尝试加载同目录下的Duser.dll,此攻击方法是响尾蛇组织近年来长期使用的白加黑手法,该dll主要功能为解密加载目录下的tmp文件,解密函数如下。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第15张

解密完成后,加载解密后的DLL文件,并调用其Program.Start().方法。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第16张

远控SystemApp.dll分析

HASH

18c3a87c9bc3c0d57989046f098bfe8d

时间戳

星期日, 11.09.2089 06:59:47 UTC

加载执行的是响尾蛇组织常用的远控DLL,但此次该dll增加了稍许修改,增加了稍许混淆。执行后首先加载资源表自带的Newtonsoft.Json.dll

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第17张

之后从资源中解密初始化相关配置信息

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第18张

然后会尝试读取C:\ProgramData\SyncFiles\Sync文件,如果读取失败则跳入异常处理进行文件写入,写入各种配置信息并进行异或加密存入文件。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第19张

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第20张

初始化结束后,创建两个定时器函数用于执行Rat的主要功能。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第21张

定时器1:主要功能为循环与C2通信,获取指令解析执行。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第22张

该远控具有十个指令功能,如图所示。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第23张

相关指令功能如下:

指令

功能

1

获取系统相关信息,并以Json的格式写入到随机文件名.sif文件中。

2

获取文件列表保存到.flc文件

3

将指定文件以及信息写入.fls文件

4

重写配置信息到Sync文件中

5

更换c2地址

6

更新是否上传文件参数

7

修改想获取的特殊文件类型,最初是office文件后缀

8

设置上传文件大小限制

9

指定上传文件

10

返回

定时器2主要功能为上传获取的信息文件。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第24张

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第25张

溯源关联

奇安信红雨滴团队结合威胁情报中心ALPHA平台,对此次捕获的样本攻击手法,代码等方面关联分析发现,此次攻击活动中使用的代码与响尾蛇组织存在高度相似性。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第26张响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第27张同时,其C2服务器相关信息在威胁情报中心ALPHA平台已有响尾蛇组织相关标签。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第28张

总结

响尾蛇APT组织近年一直高度活跃,其攻击链也较为复杂,采用多层解码内存加载,且其最终恶意dll仍是解密内存加载,并未落地,能一定程度上避开杀软检测。疫情尚未结束,意味着利用疫情的网络攻击活动也并不会就此缩减,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件。做到及时备份重要文件,更新安装补丁。

若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。

目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。

响尾蛇组织利用巴菲双边协议为诱饵的攻击活动分析 信息窃取 安全快讯 APT 安全快讯  第29张

IOC

2ba61596f9ec352eebe6e410a25867f6

3ad3ddc1e8ada7f6a4fe0800b578ee4a

5fda277b43aed849b9fb6c5b907e5620

https://cdn-sop.net/202/wGpm0RzJrMtEAvPiWk2eF4gXwOLYsphJ7KTx4Dyg/-1/13856/a042ecbe


参考链接

https://ti.qianxin.com/blog/articles/the-recent-rattlesnake-apt-organized-attacks-on-neighboring-countries-and-regions/



本文转载自互联网,如有侵权,联系删除

转载请注明本文地址:https://heibai.org.cn/1911.html

相关推荐

发布评论

ainiaobaibaibaibaobaobeishangbishibizuichiguachijingchongjingdahaqiandaliandangaodw_dogedw_erhadw_miaodw_tuzidw_xiongmaodw_zhutouganbeigeiliguiguolaiguzhanghahahahashoushihaixiuhanheixianhenghorse2huaixiaohuatonghuaxinhufenjiayoujiyankeaikeliankouzhaokukuloukunkuxiaolandelinileimuliwulxhainiolxhlikelxhqiuguanzhulxhtouxiaolxhwahahalxhzanningwennonuokpinganqianqiaoqinqinquantouruoshayanshengbingshiwangshuaishuijiaosikaostar0star2star3taikaixintanshoutianpingtouxiaotuwabiweifengweiquweiwuweixiaowenhaowoshouwuxiangjixianhuaxiaoerbuyuxiaokuxiaoxinxinxinxinsuixixixuyeyinxianyinyueyouhenghengyuebingyueliangyunzanzhajizhongguozanzhoumazhuakuangzuohenghengzuoyi
感谢您的支持