境外APT組織「響尾蛇」再次 對我國發起攻擊事件報告

今年「響尾蛇」APT組織活躍頻繁, 在9月份瑞星公司就已捕獲了「響尾蛇」針對各國駐華大使館以及某科技公司的APT攻擊。此次瑞星捕獲的攻擊事件與上次的APT攻擊手法基本一致，攻擊目標也依然針對國內政府機構與國防科技企業。

一、背景介紹

2019年10月，瑞星安全研究院通過瑞星威脅情報系統再次捕獲到國際知名APT組織「響尾蛇」針對國內政府企業發起的三起攻擊事件。該組織依然利用了Office遠程代碼執行漏洞（cve-2017-11882），通過釣魚郵件等方式發起APT攻擊，用戶一旦中招，就會被攻擊者遠程控制，從而被盜取如電腦系統信息、安裝程序、磁碟信息等內部機密數據資料。

 

今年「響尾蛇」APT組織活躍頻繁, 在9月份瑞星公司就已捕獲了「響尾蛇」針對各國駐華大使館以及某科技公司的APT攻擊（相關報告：http://it.rising.com.cn/dongtai/19639.html）。此次瑞星捕獲的攻擊事件與上次的APT攻擊手法基本一致，攻擊目標也依然針對國內政府機構與國防科技企業。一起為將偽裝的《中國人民解放軍文職人員條例》的文檔投放至國家政府部門；另一起則針對國內某國防科研企業，向其內部發送帶有惡意軟體的虛假管理文件；還有一起針對國防及軍事等相關部門，向其發送虛假的「第九屆北京香山論壇會議」議程。

 

通過攻擊者所針對的目標可以看出，國外APT組織是目的性的在擾亂我國政府及國防企業的網絡安全，而「響尾蛇」組織一直以竊取政府，能源，軍事，礦產等領域的機密信息為主要目的，猜測近期頻繁發動的網絡攻擊與我國七十周年大慶及即將召開的國際安全論壇有關，其目的很有可能在於竊取我國重要軍事機密及科研成果，廣大相關部門及企業應加強防範手段，切勿給對方可乘之機。

 

二、攻擊事件

2.1 誘餌文檔一

事件：「響尾蛇」APT組織針對《中國人民解放軍文職人員》的誘餌文檔文件

 

文職人員是各國軍事人力支援的重要組成部分，在演習演訓、遠海護航、搶險救災等方面發揮著重要作用。今年文職人員軍隊首次亮相於閱兵盛典，目前尚不能確定「響尾蛇」APT組織此次攻擊是否於今年的國慶閱兵儀式前後之間有所關聯。

 

圖：誘餌文檔展示

 

2.2 誘餌文檔二

事件：「響尾蛇」APT組織針對《某國防科技研究中心有限公司》的誘餌文檔攻擊

 

某國防科技公司是我國軍民科研的重要型中央企業，據上一次APT攻擊事件中所捕獲的文檔獲知在2019年6月「響尾蛇」APT曾針對該公司發起過第一次誘餌文檔攻擊，而本次事件已是「響尾蛇」針對該公司所發起的第二次誘餌文檔攻擊。

 

圖：誘餌文檔展示

 

 

2.3 誘餌文檔二

事件：「響尾蛇」APT組織針對「第九屆北京香山論壇會議」的誘餌文檔攻擊

 

北京香山論壇，是由中國軍事科學學會主辦的「國際安全合作與亞太地區安全」論壇。目前已逐漸發展成為亞太地區乃至世界地區的重要防務合作會議, 第九屆北京香山論壇即將於2019年10月20日至22日開展, 本屆會議將比以往人員參會規模更大其中更是有國防部長和軍隊總長參與其中。由此推測「響尾蛇」APT組織正企圖通過本屆會議竊取中國與國際各國之間軍事政治等情報。

 

 

圖：2.3誘餌文檔展示

 

三、技術分析3.1 攻擊流程

三起事件誘餌文檔的攻擊流程如下圖所示：

 

 

圖：代碼執行流程

 

3.2 分析文件：1.a

通過「包裝程序外殼對象」在誘餌文檔的末尾嵌入名稱為1.a的文件。

 

圖：誘餌文檔的內嵌文件

 

其中嵌入的1.a是一個JS腳本文件, 攻擊者通過CVE-2017-11882漏洞構造的ShellCode執行1.a腳本。

 

 

圖：執行1.a腳本

 

在JS腳本中硬編碼了一個名稱為StInstaller.dll的.Net模塊, 通過ActiveX調用DLL模塊中的Work函數。

 

圖：1.a腳本執行.Net模塊

 

向Work函數傳遞2個經過加密的可執行文件的硬編碼。

 

 

圖：執行StInstaller.dll的Work函數

 

3.3 分析文件：StInstaller.dll

StInstaller.dll中的Work方法, 主要負責解密釋放惡意文件，最終通過白文件write.exe加載實現利用。

 

通過異或指定的秘鑰解密C&C地址和註冊表等。

 

 

圖：運行時異或解密字符串

 

創建自啟動項：

Software\\Microsoft\\Windows\\CurrentVersion\\Run

AuthyC:\ProgramData\AuthyFiles\write.exe

 

 

圖：創建自啟動項

 

在指定位置 C:\\ProgramData下創建AuthyFiles文件夾, 通過GenerateToken(5)生成一個隨機數命名的.tmp文件(如: fXUof4w.tmp)並釋放到AuthyFiles文件夾下, 同時釋放的還有PROPSYS.dll、write.exe.config, 拷貝系統寫字板程序write.exe到AuthyFiles文件夾下。

 

 

圖：創建文件夾並釋放文件

 

通過解密，拼接後的C&C域名如下：

https://trans-can[.]net/ini/wkC5QKtH097s1LGBthHdBgv34ZXvtDH8YeBXboUg/-1/1412/9924a3bb。

 

圖：域名拼接函數

 

該伺服器域名在解密後寫入到fXUof4w.tmp文件中, 以供最終的木馬模塊連接C&C使用，最終通過Process.Start啟動C:\ProgramData\AuthyFiles\write.exe。

 

 

圖：啟動write.exe進程

 

3.4 分析文件：PROPSYS.dll

Write.exe在執行後將會加載PROPSYS.dll以實現白進程的利用。

 

 

圖：白利用的加載

 

PROPSYS.dll加載fXUof4w.tmp。

 

 

圖：加載放XUofw.tmp

 

3.5 分析文件：fXUof4w.tmp

創建2個計時器定時每隔5s啟動一次。

 

 

圖：創建計時器函數

 

getTimer計時器負責連接攻擊者的C&C伺服器, 下載到加密的可執行文件。

 

 

圖：連接攻擊者伺服器

 

在通過DecodeData解密後創建任意進程。

 

 

圖：創建任意進程

 

獲取用戶磁碟信息, 其中包括的信息有：磁碟名稱、磁碟類型、磁碟可用空間、磁碟總空間、磁碟卷標等。

 

圖：竊取磁碟信息

 

對系統內有效磁碟進行文件遍歷，記錄其中的文件夾與文件的相關信息，其中包括：文件/文件夾名稱、文件/文件夾創建時間、文件/文件夾訪問時間、文件/文件夾屬性。

 

 

圖：竊取文件信息

 

將獲取的磁碟與文件相關信息全部寫入到後綴.flc文件中。

 

 

圖：保存用戶信息至本地

 

從讀取到的全盤文件中獲得攻擊者格外感興趣的文件類型單獨存儲到後綴為.fls的文件中。

 

 

圖：竊取特殊文件類型

 

通過分析該文件可得知攻擊者感興趣的文件都是文檔型文件，其中有：doc、docx、pdf、xls、ppt等文件類型。

 

 

圖：.fls文件展示

 

獲取用戶系統相關信息，將其信息保存到後綴格式.sif文件中。其中概括為：系統權限信息、系統控制管理信息(WMI)、特殊文件路徑信息、磁碟驅動器信息、系統安裝軟體信息。

 

 

圖：竊取系統相關信息

 

通過wmi命名空間訪問系統中的絕大部分資源信息，其中包括：userAccount、computerSystem、antiVirusProduct、antiSpywareProduct、process、processor、operatingSystem、timeZone、quickFixEngineering、network。

 

 

圖：訪問wmi

 

獲取特殊文件夾的相關信息, 所涉及的文件夾有如下:Desktop、Documents、Downloads、Contacts。

 

 

圖：竊取特殊文件夾信息

 

通過註冊表SoftWare\Microsoft\Windows\CurrentVersion\Uninstall獲取安裝程序相關信息, 其中包括：軟體名稱、軟體版本。

 

 

圖：竊取軟體安裝信息

 

最終竊取的所有文件將會存放在%appdata1%\AuthyDat目錄下：

 

 

圖：竊密文件的路徑

 

通過postTimer每隔5s將存儲在磁碟特定目錄中的.sif、.flc、fls、.err文件到攻擊者C&C伺服器。

 

 

圖：文件上傳

 

四、總結

「響尾蛇」APT組織今年活動頻繁，瑞星威脅情報中心已多次捕獲其相關攻擊事件，所涉及領域包括政府、軍事、科技等, 攻擊目的以竊取相關機構內部隱私信息為主。國內相關政府機構和企業單位務必要引起重視，加強防禦措施。

 

五、預防措施

1.不打開可疑郵件，不下載可疑附件。

 

此類攻擊最開始的入口通常都是釣魚郵件，釣魚郵件非常具有迷惑性，因此需要用戶提高警惕，企業更是要加強員工網絡安全意識的培訓

 

2.部署網絡安全態勢感知、預警系統等網關安全產品。

 

網關安全產品可利用威脅情報追溯威脅行為軌跡，幫助用戶進行威脅行為分析、定位威脅源和目的，追溯攻擊的手段和路徑，從源頭解決網絡威脅，最大範圍內發現被攻擊的節點，幫助企業更快響應和處理。

 

3.安裝有效的殺毒軟體，攔截查殺惡意文檔和木馬病毒。

 

殺毒軟體可攔截惡意文檔和木馬病毒，如果用戶不小心下載了惡意文檔，殺毒軟體可攔截查殺，阻止病毒運行，保護用戶的終端安全。

 

4.及時修補系統補丁和重要軟體的補丁。

 

六、IOC

MD5：

F2B0A4FD663DE5169B1D88674DEC803B

DE2521F2CA167A0507AF3EE9BCC9B8E6

BFAD291D000B56DDD8A331D7283685B2

7417AF73CAAA38566BD6CBE5645DA081549D2310FD2B3F34FF95A86C48DB53D8497DF762A3A7858C9A68DCBCE24375FC0B9E948DD5914DEED01A05D86F5C978D

 

Domain：

https://trans-can[.]net/ini/wkC5QKtH097s1LGBthHdBgv34ZXvtDH8YeBXboUg/-1/1412/9924a3bb

猜你喜歡  

國外APT攻破TeamViewer後臺！建議立刻卸載！

流氓！消費者抱怨豐巢誘導收費，存放7小時需打賞才能開櫃！

沒有黑客的大選，選不出好總統！

攜程在手，露宿街頭？在線旅遊平臺故障頻出！

5G預約人數超千萬，套餐白菜價？

突發！海康威視、商湯、曠視等8家科技企業被美列入實體名單！

賣二手硬碟=賣身

小學生發現刷臉取件bug 豐巢緊急下線人臉開鎖功能

掃碼住酒店「被入會」，華住集團收集顧客信息，細思極恐！

大學生黑入網站售賣他人信息，警方：我們來了！

長按關注>>>                                                           

盤它

文章投稿/商務合作

廣告投放/申請入群