安恆威脅情報中心
疑似Donot APT組織使用最新域名資產進行攻擊活動分析
近期,安恆威脅情報中心在日常威脅狩獵中捕獲到多個Donot APT組織的攻擊活動樣本。該批樣本保持了Donot組織一段時間以來的攻擊作戰風格,在本次攻擊活動中我們發現了屬於該組織的新的域名資產,同時安恆威脅情報中心TI平臺等相關產品已全面支持對該威脅進行精準檢測。
本次捕獲的初始攻擊樣本是一個包含惡意宏代碼的PPT文檔:
Microsoft Office PowerPoint 97-2003 演示文稿 (.ppt)
8638576e6c72f38273ad4a0fee28b5b6
當用戶點擊打開該文檔時,會彈出提示框表明存在宏代碼:
如果用戶忽略該安全提示啟用宏,則包含在文檔中的惡意代碼將會執行,由於文檔中沒有具體的內容,為了迷惑受害者,惡意代碼還會偽裝文件打開失敗的警告信息讓用戶降低警惕。該手法已經在此前Donot APT組織的多次攻擊活動中被使用。
惡意宏代碼主要功能是在用戶%public%\ Music目錄下釋放名為「rihana.exe」的可執行文件,然後創建任務計劃執行:
名為「musudt」的任務計劃會每隔15分鐘重複執行「rihana.exe」程序:
a5a10173289f7fb062a27dc5cc917dda
該程序主要功能為下載器,其執行後會首先獲取用戶名稱、設備名稱以及GUID全局標識符等信息:
隨後解密出C2回連地址:digitalresolve[.]live:
解密算法(對每個加密字符進行 『-3』 運算)如下所示:
回連URL格式如下所示:"/%COMPUTERNAME%~%USERNAME%~%GUID%/ziuriucjiekuiemoaeukjudjkgfkkj"
如果下載成功,惡意文件將以隱藏屬性存儲在同目錄下:
然後新建名為「sidilieicaliei.bat」的批處理文件:
該文件會創建另一個任務計劃程序執行acrobat.dll模塊:
遺憾的是由於C2失效,我們並沒有捕獲到該惡意DLL文件。
本次樣本展現出來的攻擊手法與獵影實驗室此前發布的文章《Donot APT組織針對軍事人員攻擊活動分析》中提到的XLS樣本基本一致,在樣本功能代碼相似度方面也基本相同。
安恆APT攻擊預警平臺能夠發現已知或未知威脅,平臺能實時監控、捕獲和分析惡意文件或程序的威脅性,並能夠對郵件投遞、漏洞利用、安裝植入、回連控制等各個階段關聯的木馬等惡意樣本進行強有力的監測。
同時,平臺根據雙向流量分析、智能的機器學習、高效的沙箱動態分析、豐富的特徵庫、全面的檢測策略、海量的威脅情報等,對網絡流量進行深度分析。檢測能力完整覆蓋整個APT攻擊鏈,有效發現APT攻擊、未知威脅及用戶關心的網絡安全事件。
安恆主機衛士EDR通過「平臺+端」分布式部署,「進程阻斷+誘餌引擎」雙引擎防禦已知及未知類型威脅。
81.17.30.41
digitalresolve.live
c531319309db1a034936e245f6414959
8638576e6c72f38273ad4a0fee28b5b6
8955a1661703b4ae02c293c7c963f843
https://mp.weixin.qq.com/s/3yiiZkYqLNIcsHorudKutA
* 針對海量威脅數據的挖掘,尋找APT攻擊事件;
* 負責熱門的安全事件、最新漏洞的分析,編寫響應的分析報告;
* 研究新的檢測方法,完善產品的檢測能力;
* 協助內部威脅分析平臺建設等。
* 熟悉windows、Linux等平臺調試手段,熟練使用逆向分析工具(如:IDA、WinDbg、OllyDbg等);
* 熟悉C/C++、彙編語言,至少熟悉一門腳本程式語言,能快速完成POC代碼編寫;
* 熟悉病毒、木馬通信原理和常用技術以及常見加密算法等;
* 了解二進位安全漏洞原理,具備獨立漏洞分析能力;
* 了解yara、snort等類似策略編寫;
* 具備大數據挖掘能力,能夠快速對數據進行關聯分析;
* 思路清晰,善於主動思考,有創新、能獨立分析和解決問題,具有良好的溝通能力和團隊合作精神。
* 具有信息安全公司實習、從業經驗;
* 熟悉APT攻擊攻防、威脅狩獵,具備Sandbox開發、殺軟類繞過研究、加殼工具開發經驗;
* 具備多平臺惡意代碼分析經驗(Linux、Android、macOS等);
* 有二進位相關漏洞CVE編號;
* 熟悉Web攻防,了解紅藍對抗相關工具使用以及內部原理,有滲透相關經驗;
* 具備機器學習的相關實戰經驗。
xiaoyi.tu@dbappsecurity.com.cn
平臺地址:https://ti.dbappsecurity.com.cn/