收藏 [登錄/注冊] 歡迎
榕基門戶網及子站
聯系我們
  • 福建榕基軟件股份有限公司
  • 電話:0591-87860988
  • 傳真:0591-87869595
  • 地址:福建省福州市鼓樓區
  •    軟件大道89號
  •    A區15座
  • 郵編:350003
您的當前位置:首頁 > 技術支持 > 安全公告

境外APT組織“響尾蛇”再次 對我國發起攻擊事件報告

一、背景介紹

2019年10月,根據有關情報捕獲到國際知名APT組織“響尾蛇”針對國內政府企業發起的三起攻擊事件。該組織依然利用了Office遠程代碼執行漏洞(cve-2017-11882),通過釣魚郵件等方式發起APT攻擊,用戶一旦中招,就會被攻擊者遠程控制,從而被盜取如電腦系統信息、安裝程序、磁盤信息等內部機密數據資料。

今年“響尾蛇”APT組織活躍頻繁, 在9月份瑞星公司就已捕獲了“響尾蛇”針對各國駐華大使館以及某科技公司的APT攻擊(相關報告:http://it.rising.com.cn/dongtai/19639.html)。此次攻擊事件與上次的APT攻擊手法基本一致,攻擊目標也依然針對國內政府機構與國防科技企業。一起為將偽裝的《中國人民解放軍文職人員條例》的文檔投放至國家政府部門;另一起則針對國內某國防科研企業,向其內部發送帶有惡意軟件的虛假管理文件;還有一起針對國防及軍事等相關部門,向其發送虛假的“第九屆北京香山論壇會議”議程。

通過攻擊者所針對的目標可以看出,國外APT組織是目的性的在擾亂我國政府及國防企業的網絡安全,而“響尾蛇”組織一直以竊取政府,能源,軍事,礦產等領域的機密信息為主要目的,猜測近期頻繁發動的網絡攻擊與我國七十周年大慶及即將召開的國際安全論壇有關,其目的很有可能在于竊取我國重要軍事機密及科研成果,廣大相關部門及企業應加強防范手段,切勿給對方可乘之機。

二、攻擊事件

2.1 誘餌文檔一

事件:“響尾蛇”APT組織針對《中國人民解放軍文職人員》的誘餌文檔文件

文職人員是各國軍事人力支援的重要組成部分,在演習演訓、遠海護航、搶險救災等方面發揮著重要作用。今年文職人員軍隊首次亮相于閱兵盛典,目前尚不能確定“響尾蛇”APT組織此次攻擊是否于今年的國慶閱兵儀式前后之間有所關聯。

圖:誘餌文檔展示

2.2 誘餌文檔二

事件:“響尾蛇”APT組織針對《某國防科技研究中心有限公司》的誘餌文檔攻擊

某國防科技公司是我國軍民科研的重要型中央企業,據上一次APT攻擊事件中所捕獲的文檔獲知在2019年6月“響尾蛇”APT曾針對該公司發起過第一次誘餌文檔攻擊,而本次事件已是“響尾蛇”針對該公司所發起的第二次誘餌文檔攻擊。

圖:誘餌文檔展示

2.3 誘餌文檔二

事件:“響尾蛇”APT組織針對“第九屆北京香山論壇會議”的誘餌文檔攻擊

北京香山論壇,是由中國軍事科學學會主辦的“國際安全合作與亞太地區安全”論壇。目前已逐漸發展成為亞太地區乃至世界地區的重要防務合作會議, 第九屆北京香山論壇即將于2019年10月20日至22日開展, 本屆會議將比以往人員參會規模更大其中更是有國防部長和軍隊總長參與其中。由此推測“響尾蛇”APT組織正企圖通過本屆會議竊取中國與國際各國之間軍事政治等情報。

圖:2.3誘餌文檔展示

三、技術分析

3.1 攻擊流程

三起事件誘餌文檔的攻擊流程如下圖所示:

圖:代碼執行流程

3.2 分析文件:1.a

通過“包裝程序外殼對象”在誘餌文檔的末尾嵌入名稱為1.a的文件。

圖:誘餌文檔的內嵌文件

其中嵌入的1.a是一個JS腳本文件, 攻擊者通過CVE-2017-11882漏洞構造的ShellCode執行1.a腳本。

圖:執行1.a腳本

在JS腳本中硬編碼了一個名稱為StInstaller.dll的.Net模塊, 通過ActiveX調用DLL模塊中的Work函數。

圖:1.a腳本執行.Net模塊

向Work函數傳遞2個經過加密的可執行文件的硬編碼。

圖:執行StInstaller.dll的Work函數

3.3 分析文件:StInstaller.dll

StInstaller.dll中的Work方法, 主要負責解密釋放惡意文件,最終通過白文件write.exe加載實現利用。

通過異或指定的秘鑰解密C&C地址和注冊表等。

圖:運行時異或解密字符串

創建自啟動項:

Software\\Microsoft\\Windows\\CurrentVersion\\Run

Authy C:\ProgramData\AuthyFiles\write.exe

圖:創建自啟動項

在指定位置 C:\\ProgramData下創建AuthyFiles文件夾, 通過GenerateToken(5)生成一個隨機數命名的.tmp文件(如: fXUof4w.tmp)并釋放到AuthyFiles文件夾下, 同時釋放的還有PROPSYS.dll、write.exe.config, 拷貝系統寫字板程序write.exe到AuthyFiles文件夾下。

圖:創建文件夾并釋放文件

通過解密,拼接后的C&C域名如下:

https://trans-can[.]net/ini/wkC5QKtH097s1LGBthHdBgv34ZXvtDH8YeBXboUg/-1/1412/9924a3bb。

圖:域名拼接函數

該服務器域名在解密后寫入到fXUof4w.tmp文件中, 以供最終的木馬模塊連接C&C使用,最終通過Process.Start啟動C:\ProgramData\AuthyFiles\write.exe。

圖:啟動write.exe進程

3.4 分析文件:PROPSYS.dll

Write.exe在執行后將會加載PROPSYS.dll以實現白進程的利用。

圖:白利用的加載

PROPSYS.dll加載fXUof4w.tmp。

圖:加載fXUofw.tmp

3.5 分析文件:fXUof4w.tmp

創建2個計時器定時每隔5s啟動一次。

圖:創建計時器函數

getTimer計時器負責連接攻擊者的C&C服務器, 下載到加密的可執行文件。

圖:連接攻擊者服務器

在通過DecodeData解密后創建任意進程。

圖:創建任意進程

獲取用戶磁盤信息, 其中包括的信息有:磁盤名稱、磁盤類型、磁盤可用空間、磁盤總空間、磁盤卷標等。

圖:竊取磁盤信息

對系統內有效磁盤進行文件遍歷,記錄其中的文件夾與文件的相關信息,其中包括:文件/文件夾名稱、文件/文件夾創建時間、文件/文件夾訪問時間、文件/文件夾屬性。

圖:竊取文件信息

將獲取的磁盤與文件相關信息全部寫入到后綴.flc文件中。

圖:保存用戶信息至本地

從讀取到的全盤文件中獲得攻擊者格外感興趣的文件類型單獨存儲到后綴為.fls的文件中。

圖:竊取特殊文件類型

通過分析該文件可得知攻擊者感興趣的文件都是文檔型文件,其中有:doc、docx、pdf、xls、ppt等文件類型。

圖:.fls文件展示

獲取用戶系統相關信息,將其信息保存到后綴格式.sif文件中。其中概括為:系統權限信息、系統控制管理信息(WMI)、特殊文件路徑信息、磁盤驅動器信息、系統安裝軟件信息。

圖:竊取系統相關信息

通過wmi命名空間訪問系統中的絕大部分資源信息,其中包括:userAccount、computerSystem、antiVirusProduct、antiSpywareProduct、process、processor、operatingSystem、timeZone、quickFixEngineering、network。

圖:訪問wmi

獲取特殊文件夾的相關信息, 所涉及的文件夾有如下:Desktop、Documents、Downloads、Contacts。

圖:竊取特殊文件夾信息

通過注冊表SoftWare\Microsoft\Windows\CurrentVersion\Uninstall獲取安裝程序相關信息, 其中包括:軟件名稱、軟件版本。

圖:竊取軟件安裝信息

最終竊取的所有文件將會存放在%appdata1%\AuthyDat目錄下:

圖:竊密文件的路徑

通過postTimer每隔5s將存儲在磁盤特定目錄中的.sif、.flc、fls、.err文件到攻擊者C&C服務器。

圖:文件上傳

四、總結

“響尾蛇”APT組織今年活動頻繁,瑞星威脅情報中心已多次捕獲其相關攻擊事件,所涉及領域包括政府、軍事、科技等, 攻擊目的以竊取相關機構內部隱私信息為主。國內相關政府機構和企業單位務必要引起重視,加強防御措施。

五、預防措施

1.不打開可疑郵件,不下載可疑附件。

此類攻擊最開始的入口通常都是釣魚郵件,釣魚郵件非常具有迷惑性,因此需要用戶提高警惕,企業更是要加強員工網絡安全意識的培訓

2.部署網絡安全態勢感知、預警系統等網關安全產品。

網關安全產品可利用威脅情報追溯威脅行為軌跡,幫助用戶進行威脅行為分析、定位威脅源和目的,追溯攻擊的手段和路徑,從源頭解決網絡威脅,最大范圍內發現被攻擊的節點,幫助企業更快響應和處理。

3.安裝有效的殺毒軟件,攔截查殺惡意文檔和木馬病毒。

殺毒軟件可攔截惡意文檔和木馬病毒,如果用戶不小心下載了惡意文檔,殺毒軟件可攔截查殺,阻止病毒運行,保護用戶的終端安全。

4.及時修補系統補丁和重要軟件的補丁。

六、IOC

MD5:

F2B0A4FD663DE5169B1D88674DEC803B
DE2521F2CA167A0507AF3EE9BCC9B8E6
BFAD291D000B56DDD8A331D7283685B2
7417AF73CAAA38566BD6CBE5645DA081
549D2310FD2B3F34FF95A86C48DB53D8
497DF762A3A7858C9A68DCBCE24375FC
0B9E948DD5914DEED01A05D86F5C978D

Domain:

https://trans-can[.]net/ini/wkC5QKtH097s1LGBthHdBgv34ZXvtDH8YeBXboUg/-1/1412/9924a3bb


福彩3d跨度走势图300期带连线