APT34原型: Glimpse project | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

APT34原型: Glimpse project

申博_行业观察 申博 196次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

APT34 Glimpse project多是停止现在研究人员最相识的的APT 34项目了。研究人员观察到基于文件的C2构造、VBS启动器、PowerShell Payload和dns引擎之上的隐秘信道。

配景

从2014年最先,伊朗黑客构造APT34最先活泼,该构造实行了一系列针对伊朗的进击运动。重要进击目的位于中东地区,重要进击金融、当局、动力、化工、电信和其他行业。

下面重要引见Glimpse project,研究人员以为这能够以为是APT 34的原型。

Glimpse Project

该package中有一个名为Read me.txt的README文件。文件的内容是传授怎样设置nodejs服务器和运转standalone .NET运用的Windows服务器来来掌握受沾染机械。沾染首先是从一个名为runner_.vbs的VBS剧本的滋生最先的,该剧本也是多半闇练的PowerShell payload的运转器。该Powershell payload是一个庞杂的剧本,有很多功用。下图是反殽杂的主轮回:

APT34原型: Glimpse project

Glimpse沾染Payload主轮回

Payload会轮回守候指令,一旦从C2服务器取得敕令,就最先实行特定行动,并经由过程要求基于变量$aa_domain_bb捏造的子域名来相应C2。Payload完成的最重要的函数就是开释和实行其他东西集。事实上,payload是基于DNS 隐秘信道的混合了其他掌握功用的流传模块。

变量 $aa_domain_bb 含有C2作为受权域名服务器的主域名。若是没有来自C2的敕令或行动,受沾染的署理会周期性地ping C2来供应关于受害者机械的基本信息。好比,函数aa_ping_response_bb 会构成一个编码的DNS音讯 ( aa_text_response_bb ),发送末了的IP地点。在这一阶段,有2种通讯体式格局,第一种是来自于子域名天生,好比59071Md8200089EC36AC95T.www.example.com,第2种要领来自于TXT DNS纪录,好比control: 95 – ackNo: 0 – aid: 59071d8289 – action: M  >>>  59071Md8200089EC36AC95T。这两种体式格局的完成都邑照顾分歧的信息。个中最重要的函数是通讯管理器aa_AdrGen_bb,完成掌握层来发送和吸收掌握信息,好比敕令、吸收的字节、文件传输是不是封闭守候。解码的行动生存在变量 aa_act_bb中,以下所示:

APT34原型: Glimpse project

C2. 为新衔接的署理建立Env

M。若是署理已经在C2上注册了,该敕令的作用相似ping,更新其在agent文件夹中的基本信息。若是是第一次衔接到C2,就最先注册,服务端建立一个文件夹和文件情况。如上图所示。

W。这是一个txt要求来列出守候的敕令。注册后实行的第一个C2敕令为1010,内容为”whoami&ipconfig /all”

· D。这是要现实实行的敕令。输入符号的义务并将文件的base64编码的内容发

绕过杀软!SQL Server Transact-SQL的无文件攻击姿势

背景概述 近日,深信服安全团队捕获到一起绕过杀毒软件的无文件攻击事件,被入侵的主机或服务器会被安装Mykings、Mirai、暗云等多种僵尸网络木马及挖矿程序,并且难以彻底清除。经分析排查,该木马通过弱口令爆破SQL Server服务器后,利用sqlserver Transact-SQL存储C#编译恶意代码,通过MSSQL作业定时执行存储过程,在受害主机下载恶意程序。 排查过程 排查主机上的恶意文件、启动项等,发现执行恶意脚本的WMI,功能是下载文件到本地执行:   排查注册表启动项,存在一个BGClients,执行c:\windows\system32\wbem\123.bat,看起来十分可疑: 查看123.bat的内容,其中比较关键的操作是创建了几个隐藏目录,并且通过RegSvr32/Scrobj.dll来执行远程SCT脚本: 顺手逛一下查杀到恶意exe文件的目录,发现两个dvr后缀的文件,打开一看果不其然,包含了用于下载恶意文件的命令:   启动项、注册表、WMI、进程、服务、计划任务都找了一圈,再没发现其他问题,于是把以上发现的问题项统统删除,结案! 那是不可能的。 cab.exe又出现了。 而且手动删掉的一堆乱七八糟全都回来了。 没辙了,只能放大招,通过安装监控,在恶意文件生成的时间节点附近排查监控日志。终于在恶意文件被实时监

· 0。这不是一个txt要求。该要求会让受权DNS相应waiting文件夹中要求的文件。相应A纪录的数据域是捏造的IP地点11.24.237.110,若是waiting文件夹中没有文件运动行动,C2就会相应A纪录,数据域为”24.125.” + fileNameTmp.substring(0, 2) + “.” + fileNameTmp.substring(2, 5);,TTL值为0到360之间的随机数。

· 1。这不是一个txt要求。该要求会使受权DNS服务器举行含有文件内容的回覆。依据RFC4408,它会完成多个相应链来发送大于255个字符的文件。

· 2。这不是一个txt要求。该要求会使受权DNS服务器吸收来自署理的文件。它完成了来自域名要求的庞杂多方链。在发送完一切数据后,署理会发送一个数据局部为COCTabCOCT 的DNS查询。该查询关照C2服务器木马完成了文件内容的发送。

APT34原型: Glimpse project

C2: COCTabCOCT通讯完毕

下图是运转在受控虚拟机情况中的沾染链实例。下面的要求会在子域上完成数据,回覆的IP会给出特定的相应。

10100*9056*****************.33333210100A[.]example[.]com

APT34原型: Glimpse project

Glimpse运转情况

能够看出Glimpse运转情况须要standalone .NET运用,nodeJS服务器运转和供应共有API并生存到署理的要乞降来自署理的效果到名为UID-IP(agent ID)的文件中。Panel会读取这些文件并举行统计和其他行动。下图是C2 panel上的静态设置装备摆设局部:

APT34原型: Glimpse project

C2 Panel硬编码设置

Control Panel重要由2个.net window组件构成。Main Windows是含有Agent ID, Agent IP, Agent Last Online Time, Attacker Comments等信息的衔接的署理列表。当进击者点击选定的署理后,就会挪用 Control Window。事宜onClick代码以下:

controlPanel = new controlPanel(agent.id, agent.ip, agent.lastActivity);
controlPanel.Show();

在初始化完成以后,掌握panel会让进击者写或上传敕令列表或文件到署理。下图是controPanel函数从输入域TextFields中猎取敕令,建立新的文件到文件夹waiting。这类文件的内容会开释到选定的署理并实行。

APT34原型: Glimpse project

C2, controlPanel insert_command 函数

controlPanel供应一些分外的功用来更好地掌握单个或一组署理。研究人员剖析发明newPanel-dbg.exe的编译时候为9/1/2018 at 5:13:02 AM,而导入函数ToggleSwitch.dll的编译时候为9/8/2018 at 8:01:54 PM。

研究人员以为这是一个多模块的进击框架,一方面经由过程DNS通讯信道来通报敕令到目的署理,一方面开辟control panel到DNS通讯体系中。若是将该框架看做一个开辟者,DNS通讯信道运用文件来生存信息和同步行动和署理,因而很多C2被修正来运用它作为通讯信道。很多APT34单位都能够重用它作为通讯信道。匿名用户于2018年8月在PasteBin上泄露了一个powershell署理,停止现在只要不到200小我浏览。而C2编译的时候恰好为2018年7月,运用的开辟和完成手艺也分歧,好比运用了.NET和nodeJS。DNS通讯信道是线性开辟的,有很多功用驱动的编程作风,而standalone C2的开辟运用的是越发庞杂的面向对象的编程要领,进击者将对象agent作为自力署理能够在没有直接掌握的情况下事情。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明APT34原型: Glimpse project
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址