《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 分析蔓靈花APT針對(duì)國(guó)內(nèi)研究機(jī)構(gòu)的攻擊

分析蔓靈花APT針對(duì)國(guó)內(nèi)研究機(jī)構(gòu)的攻擊

2020-10-22
來(lái)源:關(guān)鍵基礎(chǔ)設(shè)施安全應(yīng)急響應(yīng)中心

  背景

  近期,奇安信安全能力中心捕獲到針對(duì)特定單位群體展開的定向攻擊活動(dòng),通過(guò)分析發(fā)現(xiàn)其為“蔓靈花”APT組織。該組織最早在2016由美國(guó)安全公司Forcepoint進(jìn)行了披露,并且命名為“BITTER”。

  蔓靈花(T-APT-17、BITTER)APT組織是一個(gè)長(zhǎng)期針對(duì)亞洲地區(qū)進(jìn)行攻擊活動(dòng)的APT組織。主要針對(duì)目標(biāo)區(qū)域的政府、軍工業(yè)、電力、核工業(yè)等單位進(jìn)行攻擊,試圖竊取敏感數(shù)據(jù)。

  攻擊活動(dòng)分析

  1、攻擊方式

  該組織主要采用魚叉釣魚的方式,對(duì)相關(guān)目標(biāo)單位的個(gè)人直接發(fā)送嵌入了攻擊誘餌的釣魚郵件。本次攻擊行動(dòng)中使用的誘餌為rar壓縮包,而壓縮包里攜帶惡意的chm文檔。本次捕獲的攻擊樣本為“主要指標(biāo)情況說(shuō)明。chm”后,整體的攻擊流程如下圖所示:

微信圖片_20201022163046.jpg

  2、功能模塊匯總

微信圖片_20201022163056.jpg

  樣本分析

  msixxxx.tmp為msiexec.exe從網(wǎng)絡(luò)下載的msi安裝包產(chǎn)生的臨時(shí)文件,該程序?qū)嶋H上為Advanced Installer安裝程序中附帶的文件,17.2.0.0版本的該程序帶有數(shù)字簽名,文件的數(shù)字簽名信息如下:

微信圖片_20201022163059.jpg

  帶有數(shù)字簽名的白程序,可以實(shí)現(xiàn)執(zhí)行任意命令,將要執(zhí)行的命令和該文件一起打包為msi格式的安裝包,再通過(guò)msiexec.exe下載安裝,即可實(shí)現(xiàn)遠(yuǎn)程命令執(zhí)行,完整的攻擊命令如下:

微信圖片_20201022163101.jpg

  通過(guò)這種方式下載的模塊匯總:

微信圖片_20201022163106.jpg

  對(duì)http[:]//webmailcgwip.com/目標(biāo)進(jìn)行分析,其所關(guān)聯(lián)的載荷能力可能為msass、msapp、dlhost和msas。

  dlhost

  該文件的主要功能竊取數(shù)據(jù),根據(jù)配置信息,會(huì)將特定后綴的文件上傳到72.11.134.216服務(wù)器,特定的后綴列表為:

  neat(鍵盤記錄模塊的記錄文件使用的擴(kuò)展名),txt,ppt,pptx,pdf,doc,docx,xls,xlsx,zip,z7,rtf.txt,apk,jpg,jpeg,logins.json,key3.db。

  包含了瀏覽器密碼,辦公文檔,壓縮包,圖像,手機(jī)應(yīng)用等軟件敏感數(shù)據(jù)。

微信圖片_20201022163109.jpg

  敏感文件上傳,火狐瀏覽器相關(guān)的文件。

微信圖片_20201022163112.jpg

  msapp模塊

  該模塊由msiexec下載執(zhí)行,執(zhí)行了以下cmd命令后就退出,功能為通過(guò)MSI安裝程序進(jìn)行遠(yuǎn)程加載執(zhí)行鏈接給定的MSI文件。

微信圖片_20201022163116.jpg

  msass 模塊

  msass負(fù)責(zé)與c2進(jìn)行通信獲取其他模塊執(zhí)行,解密后的配置信息如下:

微信圖片_20201022163119.jpg

  獲取主機(jī)名、計(jì)算機(jī)名、操作系統(tǒng)名、機(jī)器GUID并發(fā)送到c2。

微信圖片_20201022163124.jpg

  接收控制指令,從中搜索Yes file,如果找到Y(jié)es file 則繼續(xù)從其后搜索[] 標(biāo)志,提取其中的字符。

微信圖片_20201022163127.jpg

  將提取到的字符拼接到url后邊,同時(shí)也拼接到木馬所在目錄后邊,拼接出的url處下載文件到木馬目錄,隨后將其重命名為。exe結(jié)尾的文件名,最后調(diào)用ShellExecuteA執(zhí)行,完成下載執(zhí)行功能。

微信圖片_20201022163132.jpg

  msas 模塊

  msas是一個(gè)開源項(xiàng)目 DarkAgent進(jìn)行修改的遠(yuǎn)控模塊,保留了該開源項(xiàng)目的大部分功能,如:文件管理、進(jìn)程管理、命令執(zhí)行。下面是樣本中的遠(yuǎn)控與 DarkAgent的差異:

微信圖片_20201022163137.jpg

 微信截圖_20201022164545.png

  IOC

  C2

      微信截圖_20201022163149.png

  MD5

  微信截圖_20201022163158.png

  PDB:

 微信截圖_20201022163207.png

  總結(jié)

  蔓靈花組織長(zhǎng)期針對(duì)我國(guó)重要政企部門和敏感單位進(jìn)行定向攻擊。雖然國(guó)內(nèi)外各安全廠商都曾對(duì)其攻擊活動(dòng)有過(guò)披露,但卻并未阻止其進(jìn)行攻擊的步伐。

  提醒國(guó)內(nèi)相關(guān)企業(yè)和單位務(wù)必引起重視,提高警惕,加強(qiáng)自身安全防御措施,減少不必要的損失。

  目前,基于奇安信天擎終端一體化管理系統(tǒng)能針對(duì)此APT攻擊團(tuán)伙做出精準(zhǔn)檢測(cè)與攔截。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。