怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

申博_安全预警 申博 190次浏览 已收录 0个评论

配景

2019年1月9日,360要挟谍报中央捕获到多个特地为阿拉伯语运用者设想的钓饵文档。垂纶文档为照顾歹意宏的OfficeExcel文档,歹意宏代码终究会开释实行一个C#编写的后门顺序,该后门顺序应用了庞杂的DNS隧道手艺与C2举行通讯并实行指令,且经由历程GoogleDrive API完成文件的上传下载。

360要挟谍报中央经由溯源和联系关系后确认,这是DarkHydrus APT组织针对中东地区的又一次定向进击行为。DarkHydrus APT组织是Palo Alto在2018年7月初次公然表露的针对中东地区政府机构举行定向进击的APT团伙[1]。而在此之前,360要挟谍报中央曾发明并公然过该组织运用SettingContent-ms文件恣意代码实行破绽(CVE-2018-8414)举行在野进击的样本,并举行了详细剖析[2]。

时候线

与DarkHydrusAPT组织相干的时候线以下:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

根据交际收集的反应,对此团伙卡巴斯基内部的跟踪代号为:LazyMeerka。[4] 

样本剖析

Dropper(Macros)

MD5 5c3f96ade0ea67eef9d25161c64e6f3e
文件名 الفهارس.xlsm(indexes. xlsm)
MD5 8dc9f5450402ae799f5f8afd5c0a8352
文件名 الاطلاع.xlsm(viewing. xlsm)

以下剖析均以MD5:5c3f96ade0ea67eef9d25161c64e6f3e的样本为例,钓饵文档是一个OfficeExcel文档,名为الفهارس.xlsm(目标.xlsm)。其内嵌VBA宏,当受害者翻开文档并启用宏后,将自动实行歹意宏代码。

该歹意宏代码的功用为开释WINDOWSTEMP.ps1和12-B-366.txt文件到%TEMP%目次,末了运用regsvr32.exe启动12-B-366.txt文件:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

实际上12-B-366.txt是一个HTA(HTML应用顺序)文件,该文件用于启动开释出来的PowerShell剧本:%TEMP%\\ WINDOWSTEMP.ps1

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

WINDOWSTEMP.ps1剧本内容以下,该PowerShell剧本运用Base64和gzip解码息争紧缩剧本里的content,然后写入到文件:%TEMP%\\OfficeUpdateService.exe,末了运转%TEMP%\\OfficeUpdateService.exe:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

Backdoor(OfficeUpdateService.exe)

MD5 b108412f1cdc0602d82d3e6b318dc634
文件名 OfficeUpdateService.exe
PDB途径 C:\Users\william\Documents\Visual Studio  2015\Projects\DNSProject\DNSProject\obj\Release\DNSProject.pdb
编译信息 Jan 08 14:26:53 2019  Microsoft Visual C# v7.0 / Basic .NET  (managed)

开释实行的后门顺序运用C#编写:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

样本PDB途径信息和其运用的通讯手艺有很强的联系关系性,指导其运用了DNS相干的手艺:

后门顺序运转后会先搜检参数是不是包罗“st:off”和“pd:off”,若是包罗“st:off”则不会写启动项,若是包罗“pd:off”则不会开释PDF文件。随后检测是不是运转在虚拟机、沙箱中,或许是不是被调试等,经由历程这些搜检后终究实行歹意代码:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

写入启动项的耐久化操纵:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

开释钓饵PDF文件:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

实行虚拟机、沙箱检测和反调试等操纵:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

紧接着猎取主机信息:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

然后经由历程DNS隧道发送汇集到的主机信息,个中DNS隧道通讯局部封装到queryTypesTest函数中:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

末了进入敕令分发轮回, 该敕令分发流程起首推断是不是是x_mode形式,若是不是,则经由历程DNS隧道手艺与C2通讯猎取须要实行的指令,不然经由历程HTTP传输数据:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

与C2经由历程DNS隧道竖立通讯,并剖析返回的数据,然后提取指令,末了经由历程taskHandler函数分发指令:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

以下是局部指令截图:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

值得注意的是,^\\$x_mode指令将设置文件上传下载的服务器,服务器地点经由历程DNS隧道猎取:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

个中一个样本指定了服务器为GoogleDrive服务器:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

统统敕令列表以下:

敕令 功用
^kill 完毕线程?历程
^\\$fileDownload 文件下载
^\\$importModule 猎取历程模块
^\\$x_mode 接纳x_mode形式,此形式设置RAT服务器,然后接纳HTTP发送RAT数据
^\\$ClearModules 卸载模块
^\\$fileUpload 文件上载
^testmode 测试某个模块
^showconfig 猎取设置装备摆设信息
^changeConfig 变动设置装备摆设
^slp 就寝一段时候
^exit 退出历程

DNS隧道通讯剖析

DNS隧道通讯手艺是指经由历程DNS查询历程来竖立通讯隧道。该通讯体式格局有极强的隐蔽性,轻易穿透种种流量网关的检测。

完成DNS隧道通讯手艺重要有两种要领:

1.指定DNS服务器完成DNS隧道通讯;

2.经由历程域名供应商供应的接口修正NS纪录,将剖析域名的DNS服务器指定为进击者的DNS服务器,接受域名的DNS剖析要求。

本文所形貌的后门顺序OfficeUpdateService.exe运用的则是第二种体式格局完成DNS隧道通讯,其重要道理为修正木马顺序须要剖析的域名的NS纪录,因为DNS剖析历程会起首实验向NS纪录指定的DNS服务器要求剖析域名,以是NS纪录指定的DNS服务器能收到DNS查询要求和附带的数据。若是域名对应的NS纪录中的DNS服务器是由进击者掌握的,那末进击者就能够经由历程该DNS服务器与木马顺序经由历程DNS查询竖立起特别的通讯渠道。

木马顺序要求的域名列表以下:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

设置NS纪录

NS(Name Server)纪录是域名服务器纪录,用来指定该域名由哪一个DNS服务器来举行剖析。

进击者起首将相干域名的NS纪录修正为了进击者掌握的DNS服务器,进击者指定用于剖析相干域名的NS服务器为:tvs1.trafficmanager.live,tvs2.trafficmanager.live,我们经由历程nslookup能够查询获得:

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

样本再经由历程本机的nslookup顺序向相干域名提交要求,而因为这些域名的NS纪录被指定为了进击者的DNS服务器(tvs1.trafficmanager.live),故nslookup提交的查询信息会被发送给进击者的DNS服务器,然后读取DNS服务器返回的信息举行数据交互。以是样本实际上是在和进击者掌握的DNS服务器举行终究的通讯。

样本运用nslookup剖析域名并附带以下参数:timeout(要求超时时候)、q(DNS要求范例):

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

发送上线要求并猎取实行指令

木马会根据分歧的查询范例,运用分歧的正则表达式去婚配DNS服务器返回的结果数据。

好比实行nslookup并运用查询范例为A举行查询,终究运用以下正则表达式婚配返回的数据结果:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

而样本起首会经由历程向进击者掌握的DNS服务器发送DNS查询要求来发送以后木马的上线ID给进击者。起首猎取以后的历程ID,并与要求查询的域名构成一个二级域名,顺次运用nslookup指定DNS的查询范例发送DNS查询信息:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

接着根据以后DNS要求的范例离别用分歧的正则表达式划定规矩婚配其返回的数据结果,并取取个中的数据:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

我们手动模仿运用TXT查询要求并上传木马ID的历程以下:

起首我们组织一个二级域名:ajpinc.akamaiedge.live,二级域名ajpinc中的a代表第一次要求,末端的c代表末端,a和c之间是编码事后的以后历程ID。然后我们运用nslookup发送该要求,实行的结果以下:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

而木马顺序会运用以下正则表达式来婚配返回的数据结果:

(\\w+).(akdns.live|akamaiedge.live|edgekey.live|akamaized.live)

该正则表达式会婚配上述结果中的ajpinc和ihn字符串,然后将ihn经由历程指定的解码函数解码获得“107”,解码函数以下:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

末了猎取以后的设置装备摆设信息,再经由历程DNS协定传输给进击者掌握的DNS服务器,并延续发送DNS要求,终究离别运用分歧的正则表达式来婚配返回的结果,猎取下一步须要实行的指令。

数据婚配划定规矩

样本重要运用的DNS查询范例以下:

A
AAAA
AC
CNAME
TXT
SRV
SOA
MX

木马会根据分歧的查询范例,运用分歧的正则表达式去婚配进击者的DNS服务器返回的结果数据。

好比实行nslookup并运用查询范例AC获得返回的数据,并运用以下正则表达式婚配返回的数据结果:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

运用查询范例为AAAA获得的数据运用以下正则表达式婚配返回的数据结果:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

运用其他DNS查询范例获得的数据运用以下正则表达式婚配返回的数据结果:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

样本所运用的DNS查询范例及返回数据对应婚配的正则表达式以下:

DNS查询范例 婚配结果的正则表达式
A Address:\\s+(\\d+.\\d+.\\d+.\\d+)
AC ([^r-v\\s]+)[r-v]([\\w\\d+\\/=]+)-\\w+.(<C2DOMIAN>)
AAAA Address:\\s+(([a-fA-F0-9]{0,4}:{1,4}[\\w|:]+){1,8})
CNAME、TXT、SRV、SOA、MX ([^r-v\\s]+)[r-v]([\\w\\d+\\/=]+)-\\w+.(<C2DOMIAN>)和(\\w+).(<C2DOMIAN>)

若是当返回的DNS要求结果中被:

"216.58.192.174|2a00:1450:4001:81a::200e|2200::|download.microsoft.com|ntservicepack.microsoft.com|windowsupdate.microsoft.com|update.microsoft.com"

正则表达式掷中,则代表要求被作废,则不会实行后续的操纵:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

溯源与联系关系

360要挟谍报中央经由历程对样本详细剖析后发明,此次进击的幕后团伙疑似为DarkHydrus APT组织,局部联系关系根据以下。

样本运用DNS隧道举行通讯

与之前Palo Alto表露[2]的木马类似的,都运用了雷同的DNS隧道通讯手艺:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

高度一致的沙箱检测代码和后门功用代码

险些完全一致的虚拟机、沙箱检测代码:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

歹意代码类似度极高,木马功用也高度类似:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

拓展

风趣的是,我们联系关系到某个Twitter用户@darkhydrus2的昵称为SteveWilliams,该用户名与DarkHydrus符合,且昵称williams与此次C#编写的木马顺序的PDB途径又有些联系关系:

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

总结

从近年来的高等进击事宜剖析中能够看出,因为应用Office 0day等破绽举行进击的本钱较高,多半进击者更趋向于应用Office VBA宏实行歹意代码。企业用户应尽能够警惕翻开来源不明的文档,若有须要可经由历程翻开Office文档中的:文件-选项-信托中央-信托中央设置-宏设置,来禁用统统宏代码实行。

怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析

现在,基于360要挟谍报中央的要挟谍报数据的全线产品,包孕360要挟谍报平台(TIP)、天眼高等要挟检测体系、360 NGSOC等,都已支撑对此类进击的准确检测。

IOC

MD5
5c3f96ade0ea67eef9d25161c64e6f3e
8dc9f5450402ae799f5f8afd5c0a8352
b108412f1cdc0602d82d3e6b318dc634
039bd47f0fdb6bb7d68a2428c71f317d
PDB途径
C:\Users\william\Documents\Visual Studio  2015\Projects\DNSProject\DNSProject\obj\Release\DNSProject.pdb
CC地点
0ffice365.life
0ffice365.services
0nedrive.agency
akamai.agency
akamaiedge.live
akamaiedge.services
akamaized.live
akdns.live
azureedge.today
cloudfronts.services
corewindows.agency
edgekey.live
microsoftonline.agency
nsatc.agency
onedrive.agency
phicdn.world
sharepoint.agency
skydrive.agency
skydrive.services
t-msedge.world
trafficmanager.live

[4].https://twitter.com/craiu/status/1083305994652917760

*本文作者:360天眼实验室,转载请说明来自FreeBuf.COM


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明怀疑DarkHydrus APT在中东地区构建有针对性的攻击运动分析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址