响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

申博_新闻事件 申博 125次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

1、概述

2019年4月23日,安天CERT发明响尾蛇(SideWinder)APT构造针对巴基斯坦举行的鱼叉式垂纶邮件进击事宜。该APT构造疑似来自南亚某国,最早活泼可追溯到2012年,重要针对巴基斯坦等国举行进击,近两年内被平安厂商表露过屡次进击行动/事宜,相干进击事宜见下图。

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图 1‑1响尾蛇(SideWinder)APT构造近期运动事宜时候轴

本次事宜的进击邮件仿冒巴基斯坦信德省(Sindh)警员局向旁遮普省(Punjab)当局相干人士发送一份标题为《警员紧要要挟品级常设功课顺序》和《行动预备颜色代码》为主题的邮件,邮件正文与近期南亚热点问题之一反恐怖主义相干,并在附件中包罗存在歹意代码的文档“STANDING OPERATING PROCEDURES FOR POLICE EMERGENCY THREAT LEVELS AND COLOR CODES FOR OPERATIONAL READINESS.docx”。进击者应用两个文档破绽终究投放木马顺序,再经由过程木马吸收长途服务器投放的歹意JS剧本文件实行指定的歹意行动。

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图 1‑2针对巴基斯坦人士发送的垂纶邮件

表 1‑1邮件内容翻译

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

2、进击流程

该事宜中进击者运用了两个文档破绽,经由过程HTA文件举行初始歹意文件开释和设置装备摆设,应用白加黑(对可托文件credwiz.exe加载的库文件Duser.dll举行替代)加载歹意载荷并衔接长途服务器吸收歹意JS剧本,详细进击流程如图2-1所示:

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图2-1 样本实行流程

3、样本剖析

表 3‑1歹意文档标签(邮件附件)

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

歹意文档实行后会触发CVE-2017-0199破绽,显现掩盖文档并从以下链接下载并运转文件main.rtf。http://www.punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in[.]net/images/5491E413/-1/7384/89dfd89e/main.RTF

歹意文档运转后显现的掩盖文档如图3-1所示:

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图 3‑1掩盖文档截图

表 3‑2 main.RTF

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

main.RTF的样本标签如表3-2所示,该文档运转后会触发CVE-2017-11882破绽,并从http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/final下载一个hta文件(以下称作final.hta)并实行(见表3-3)。

表 3‑3 final.hta样本标签

导致数据库凭据泄露:详细分析Jenkins Swarm、Ansible、GitLab插件信息泄露漏洞(CVE-2019-10309/10300/10310)

一、概述 Jenkins是一个用Java编写的开源自动化服务器。借助一些插件,可以将Jenkins与其他软件集成,例如GitLab。5月7日,Cisco Talos团队公开了其中三个插件的漏洞,这三个插件分别是Swarm、Ansible和GitLab。这些插件中的漏洞均属于信息泄露类型,攻击者借助这些漏洞,可能欺骗上述插件,将Jenkins数据库中的凭据泄露至攻击者控制的服务器。 根据我们的协调漏洞披露政策,Cisco Talos与Jenkins及相关公司进行了合作,以确保这些问题得以彻底解决,并为受影响的客户提供更新。 二、Jenkins Swarm插件XXE信息泄露漏洞(CVE-2019-10309) 在Jenkins自组织的Swarm模块插件3.14版本中,getCandidateFromDatagramResponses()方法存在一个简单的XXE(XML外部实体)漏洞。由于这一漏洞的存在,与Swarm客户端在同一网络上的攻击者可以借助精心构造的响应信息来响应UDP发现请求,从而实现在系统上读取任意文件。 2.1 产品URL https://github.com/jenkinsci/swarm-plugin 2.2 CVSS v3评分 6.1 – CVSS:3.0/AV:A/AC:L/PR:N/UI:N/S:C/C:L/I:N/A:L 2.3 CWE CWE-611  XML外部实体(XXE)引用未进行正确限制 2.4 漏洞详细分析 该漏洞可能允许连接到部署Swarm代理网络中的非特权用户访问代理

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

final.hta是一个HTML应用顺序,它的运转流程以下:

1. 起首寻觅体系文件“C:\Windows\System32\credwiz.exe”

2. 若是找到credwiz.exe,则将它复制到“C:\ProgramData\drvr\srvc2.0\”目次下,并在该目次下写入Duser.dll文件(见图3-2)。

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图 3‑2文件开释目次

3. 将“C:\ProgramData\drvr\srvc2.0\credwiz.exe”设为注册表自启动项。

4. 若是前三个步调都实行胜利,则向“http://cdn-in[.]net/plugins/-1/7384/true/true/”发送一条HTTP GET要求。若是前三个步调有失足而致使操纵停止,则将错误信息附在链接“http://cdn-in[.]net/plugins/-1/7384/true/true/”的末了,并发送该条要求。

final.hta开释的Duser.dll为病毒文件(样本标签见表3-4),而credwiz.exe是正当的体系文件,credwiz.exe的运转须要导入Duser.dll,进击者应用这一机制试图绕过平安软件检测。

表 3‑4 Duser.dll样本标签

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

credwiz.exe运转后,Duser.dll作为挪用文件被导入。Duser.dll运转后,每10分钟向链接https://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/43e2a8fa/css发送一次GET要求(图3-3),然后解密返回的数据,获得一个JavaScript剧本并运转。(见图3-4)

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图 3‑3发送HTTPS要求及解密数据

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图 3‑4联网操纵

在我们的剖析过程当中,服务器端返回的JS剧本是用于收集体系信息,然后将这些信息组合成JSON数据格式,经由过程HTTP POST要求发送到以下链接(局部收集的信息见图3-5),这类起首举行信息收罗的进击方式在APT进击中异常广泛,进击者会依据收到的信息对受益目的举行剖析剖断后接纳进一步行动,如盗取信息、投放其他歹意顺序等。

http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css

响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析

图 3‑5局部收集的信息截图

收集的信息包罗:

· 体系账户信息、操纵权限、体系基本信息、硬件信息、收集适配器

· 反病毒产物列表、已装置的顺序、体系历程信息

· 处理器设置装备摆设、操纵体系信息、时候地区、补钉信息

· 文件目次列表

4、小结

响尾蛇(SideWinder)构造是近两年对照活泼的APT 进击构造,该构造的进击目的重要在巴基斯坦等国,进击手段接纳触及印度、中国和巴基斯坦军事界限为主题的英文收集垂纶邮件。该构造非常善于运用Nday破绽、 PowerShell、代码殽杂手艺和应用开源兵器代码,相干申报还说起该构造有针对Android体系的歹意软件。据平安厂商公然材料和地缘关系剖析来看,该构造极可能来自南亚某国,现在未发明相干运动与白象等相干要挟行动体的联系关系,但不消除是统一进击配景泉源偏向或新的进击构造或分支小组。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明响尾蛇APT构造针对巴基斯坦的定向进击事宜剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址