瞒天过海:某APT组织运用鱼叉邮件渗透多个行业偷取敏感数据 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

瞒天过海:某APT组织运用鱼叉邮件渗透多个行业偷取敏感数据

申博_新闻事件 申博 65次浏览 已收录 0个评论

0x0 背景

近日,深信服安然团队经过进程安然感知平台连续跟踪了一个以国内沿海电子制造业、能源行业、大型收支口企业、科研单位等为目标的APT构造,该构造经过进程鱼叉式垂纶邮件,在最近的三个月内中连续对国内起码60余个目标提议针对性的进击。经过进程假造office、pdf图标的PE文件迷惑目标,在目标点击今后,释放出AutoIt脚本执行器,然后将高度殽杂的AutoIt脚本代码传入脚本执行器执行释放Nanocore RAT偷取受害者主机上面的敏感数据并作为跳板举办内网渗透。

0x1 细致理会

该APT构造应用诱饵文档诱应用户点击运转,执行自解压递次,完成进击和木马的释放。在这个进程当中应用一个带有寻常数字签名的AutoIt脚本诠释递次去执行一个加殽杂后的脚本,该脚本会检测当前系统环境“安然”今后才会解密装配.net递次,再对其举办真正的恶意行动,该脚本具有绕过了大多数安然软件的检测才。细致行动见以下细致理会。

 

该APT构造应用[email protected]邮箱所在发送了一个捏构成pdf文档图标的exe文件,并将附件命名为Payment Slip(付款单)以诱使受害者点击运转。为了下落用户的警惕性,该构造同时构造了一个邮箱主题为RE:FWD:PROFORMA INVOICE // OverDue Payment Update(逾期付款更新)用于麻痹受害者。

邮件正文内容以下:

病毒自解压

该病毒伪装为一个PDF文件,诱应用户点击运转,经过进程Exeinfo PE审查可以发明这个样本为一个SFX文件。

在其被双击运转后,会跳过自解压对话框,而且将文件释放到”%temp%\08419794”文件夹下,而且自动执行rml.vbs脚本。

在rml.vbs脚本中,应用WshShell.Run运转dsh.exe pwl=xui。

瞒天过海:某APT组织运用鱼叉邮件渗透多个行业偷取敏感数据

dsh.exe是一个带寻常签名档的Autolt的脚本诠释器,用于执行.au3脚本。

pwl=xui是一个300M大小的文件,脚本内中增添了多量无用的诠释,经过进程这类体式款式预防杀软检测出此恶意脚本,这类体式款式可以绕过大多数杀软的检测。

瞒天过海:某APT组织运用鱼叉邮件渗透多个行业偷取敏感数据

为了随意马虎阅读,去掉脚本中的一些无用诠释,取得净化后的脚本以下:

瞒天过海:某APT组织运用鱼叉邮件渗透多个行业偷取敏感数据

该脚本具有以下服从:

1、虚拟机检测

2、禁用UAC计谋

3、禁用任务管理器

4、注册开机自启动递次

5、解密.NET递次

6、启动.NET递次

脚本中间服从

九年后“中国菜刀”依旧锐利:China Chopper三起进击案例剖析

引见 过去发明的要挟常常会跟着时候的推移而逐步退出于民众视野中,但China Chopper却坚持了久长的生命力。 在过去两年的时候里,思科Talos团队观察到China Chopper大批运动的踪影,有数个要挟构造将China Chopper融入到其行动中,这表明,纵然距China Chopper初次发明已过了九年,对部份要挟行动者而言它却依旧能起到症结的作用。本文将挑选其中最活泼的三次行动来

该脚本完成这些服从的原理以下:

1、 虚拟机检测:经过进程揣摸进程名、是否是存在D盘等支配完成反虚拟机检测。

2、禁用UAC计谋:经过进程修改注册表键值禁用UAC计谋。

3、 禁用任务管理器:经过进程修改注册表键值禁用任务管理服从。

瞒天过海:某APT组织运用鱼叉邮件渗透多个行业偷取敏感数据

4、 注册开机自启动递次:经过进程增添注册表自启动项完成开机自启。

5、 解密.net递次:经过进程正则婚配替换、字符颠倒、CryptDecrypt()函数等混合手段解密出递次。

(1)正则婚配替换:

(2)字符颠

(3)CryptDecrypt解密

· 启动.NET递次:查找本机.NET效力装配递次装配.NET效力递次。

NanoCore RAT

NanoCore RAT是在.Net框架中拓荒的,最新版本是“1.2.2.0”。2018年年末,其作者“Taylor Huddleston”被联邦调查局抓获,现于缧绁服刑。该远控可以在受害者的算计机上执行许多恶意支配,比方注册表编辑、进程控制、升级、文件传输、键盘记录、密码偷取等。

根据如今互联网上的一些信息,猎取最新版本的源码仅仅需要$20。

本次经过进程脚本释放出来的.NET递次为nano core client 1.2.2.0版本的远控递次。远程连接的C&C所在为:185.244.31.203;通信端口为8484。

该IP归属地在荷兰绑定了一个meter.ddns.net的域名。

0x3 安然提议

不管进击者的入侵设想是多么的缜密,总会由于技术的限制留下些许千丝万缕,比方软件的植入、网络流量的发作,这些遗迹可以并不足以作为APT进击的证据,但一旦发明,就必须提高警惕,并及时的保存现场,照顾安然相关人员,对疑似感染的主机举办拒却和搜检。同时也要注意一样寻常防范步伐,在思想上和技术上双管齐下:
1、加强人员安然防范熟悉。不要掀开来历不明的邮件附件,关于邮件附件中的文件要慎重运转,如发明脚本或其他可执行文件可先应用杀毒软件举办扫描;

2、升级office系列软件到最新版本,不要随意运转不可信文档中的宏;

3、安排分层控制,完成深度网络安然预防,构建端到端的平面安然防护网络。在网络设计时需要充分考虑终端接入安然、内网安然防护、应用系统安然等多个维度,并根据差异的业务需乞降安然等级举办合理的分区拒却;

4、注意网络数据、系统运转状态的审计和理会。严肃把控系统的访问权限,连续对数据流的收支举办有效的监控,及时更新安然补丁,定时举办安然设置基线的审视和系统安然风险的评价,及时发明可以行动并经过进程通信线路加密、应用层安然扫描与防护、拒却等有效技术手段将可以的安然风险扼杀在摇篮里;

原文所在: https://www.4hou.com/system/20179.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明瞒天过海:某APT组织运用鱼叉邮件渗透多个行业偷取敏感数据
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址