91超碰碰碰碰久久久久久综合_超碰av人澡人澡人澡人澡人掠_国产黄大片在线观看画质优化_txt小说免费全本

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

APT-C-12最新攻擊樣本及C&C機制的實例分析

發布時間:2022-01-18 16:33:53 來源:億速云 閱讀:151 作者:柒染 欄目:編程語言

APT-C-12最新攻擊樣本及C&C機制的實例分析,很多新手對此不是很清楚,為了幫助大家解決這個難題,下面小編將為大家詳細講解,有這方面需求的人可以來學習下,希望你能有所收獲。

背景

繼360公司披露了藍寶菇(APT-C-12)攻擊組織的相關背景以及更多針對性攻擊技術細節后,360威脅情報中心近期又監測到該組織實施的新的攻擊活動,本文章是對其相關技術細節的詳細分析。

樣本分析

誘餌文件

在APT-C-12組織近期的攻擊活動中,其使用了偽裝成"中國輕工業聯合會投資現況與合作意向簡介"的誘導文件,結合該組織過去的攻擊手法,該誘餌文件會隨魚叉郵件進行投遞。

如下圖所示該誘餌文件偽裝成文件夾的圖標,執行后會打開包含有誘餌文檔和圖片的文件夾,而此時實際的惡意載荷已經在后臺執行。

APT-C-12最新攻擊樣本及C&C機制的實例分析

當該誘餌文件運行時,其會解密釋放4個文件,其中兩個為上述的誘導文檔和圖片,另外為兩個惡意的tmp文件。

APT-C-12最新攻擊樣本及C&C機制的實例分析

釋放的惡意tmp文件路徑為:

%temp%\unicode32.tmp

%appdata%\WinRAR\update.tmp

最后通過LoadLibraryW加載釋放的unicode32.tmp文件。

APT-C-12最新攻擊樣本及C&C機制的實例分析

unicode32.tmp

unicode32.tmp為一個loader,其主要用于加載update.tmp,如下圖所示其通過rundll32.exe加載update.tmp,并調用其導出函數jj。

APT-C-12最新攻擊樣本及C&C機制的實例分析

當加載了update.tmp后,會刪除裝載exe程序文件和自身。

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

update.tmp

該文件為一個DLL,并有一個名為jj的導出函數。

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

其首先會對目標主機進行信息收集。

獲取系統版本信息:

APT-C-12最新攻擊樣本及C&C機制的實例分析

調用CreateToolhelp32Snapshot獲取系統進程信息:

APT-C-12最新攻擊樣本及C&C機制的實例分析

調用GetAdaptersInfo獲取網卡MAC地址:

APT-C-12最新攻擊樣本及C&C機制的實例分析

判斷當前系統環境是32位或64位:

APT-C-12最新攻擊樣本及C&C機制的實例分析

通過注冊表獲取已安裝的程序信息,獲取的安裝程序信息加上前綴”ISL”格式化:

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

通過注冊表獲取DisplayName和DisplayVersion的信息,并將DisplayName 和DisplayVersion格式化為”%s”:{“ND”:”%s”,”DV”:”%s”}。

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析信息收集后會首先向遠程控制服務器發送上線信息。

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

獲取tmp目錄, 創建AdobeNW目錄,并從控制服務器上下載AdobeUpdate.tmp作為第二階段的載荷,其實際為一個DLL文件。

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

最終調用rundll32啟動DLL文件的導出函數MainFun,如果進程創建成功給服務器返回信息。

APT-C-12最新攻擊樣本及C&C機制的實例分析

AdobeUpdate.tmp

AdobeUpdate.tmp為DLL文件,其導出方法MainFun由第一階段木馬DLL調用執行。

APT-C-12最新攻擊樣本及C&C機制的實例分析

其首先遍歷%USERPROFILE%\AppData路徑下tmp后綴文件,并刪除。

APT-C-12最新攻擊樣本及C&C機制的實例分析

然后從文件自身尾部讀取配置信息并解密,其格式如下:

加密的配置信息,包括標識ID,控制服務器地址,加密IV和KEY,以及Mutex信息;

4字節加密配置信息長度;

17字節解密密鑰;

APT-C-12最新攻擊樣本及C&C機制的實例分析

例如上圖所示的解密配置文件的KEY為sobcsnkciatwiffi,其解密算法如下:

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

解密之后的配置文件如下所示:

APT-C-12最新攻擊樣本及C&C機制的實例分析

查詢HKEY_CURRENT_USER下的MyApp注冊表查看是否有FirstExec, 通過字符串”no”來判斷該DLL是否是第一次執行。

APT-C-12最新攻擊樣本及C&C機制的實例分析

若DLL不為首次執行,則輪詢獲取控制服務器命令,否則遍歷磁盤C:到F:中的文檔文件信息,并保存在temp文件夾下的list_tmp.txt中。

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析

其中查找的文檔類型包括.ppt .pptx .pdf.xls .xlsx .doc .docx .txt .wps .rtf的文檔,將文檔文件路徑、創建時間以及文件大小信息進行保存。

APT-C-12最新攻擊樣本及C&C機制的實例分析

下圖為示例的寫入數據格式(文件路徑 創建時間文件大小):

APT-C-12最新攻擊樣本及C&C機制的實例分析

并將list_tmp.txt進行aes加密后上傳到控制服務器:

APT-C-12最新攻擊樣本及C&C機制的實例分析

接著設置注冊表FirstExec標志:

APT-C-12最新攻擊樣本及C&C機制的實例分析

AdobeUpdate.dll木馬實現了豐富的命令控制指令,其通過訪問控制域名獲取包含有控制命令的文件,并在本地解密解析后執行。

APT-C-12最新攻擊樣本及C&C機制的實例分析

其指令以***和對應指令數字組成,以下為控制指令功能列表:

***1 執行cmd命令
***2 更新AppName配置
***3 文件上傳
***4 文件下載
***5 更新控制域名
***7 上傳文檔文件列表信息
***8 執行dll文件或exe
***9 文件刪除
***10 指定文件列表信息上傳
***11 保留

控制基礎設施

APT-C-12組織近期活動中使用的惡意代碼利用了applinzi.com域名下的二級域名作為控制域名,該域名為Sina App Engine的云服務托管。

APT-C-12最新攻擊樣本及C&C機制的實例分析

我們測試注冊了SAE的賬戶,其默認創建應用可以免費使用十多天,并支持多種開發語言的環境部署。

APT-C-12最新攻擊樣本及C&C機制的實例分析

APT-C-12最新攻擊樣本及C&C機制的實例分析APT-C-12最新攻擊樣本及C&C機制的實例分析

我們嘗試對其控制服務器進行連接,但其后臺處理程序已經出錯,通過返回的錯誤信息我們可以發現該組織使用Python部署的后臺應用,并使用了flask作為其Web服務實現。

APT-C-12最新攻擊樣本及C&C機制的實例分析

SAE控制協議

該組織針對SAE的部署應用實現了一套訪問協議,其分為put,info,get,del四個功能。

其中put用于上傳文件:

APT-C-12最新攻擊樣本及C&C機制的實例分析

get用于獲取文件:

APT-C-12最新攻擊樣本及C&C機制的實例分析

info用于獲取信息:

APT-C-12最新攻擊樣本及C&C機制的實例分析

del用于刪除文件:

APT-C-12最新攻擊樣本及C&C機制的實例分析

繼360威脅情報中心發現該組織利用Digital Ocean云服務作為命令控制和回傳通信渠道以后,我們又發現該組織使用國內的云服務SAE構建其控制回傳基礎設施,利用這種方式一定程度上減少了攻擊利用的成本,也增加了分析回溯的難度。

看完上述內容是否對您有幫助呢?如果還想對相關知識有進一步的了解或閱讀更多相關文章,請關注億速云行業資訊頻道,感謝您對億速云的支持。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

东莞市| 茌平县| 阿鲁科尔沁旗| 丁青县| 凤翔县| 汕头市| 商河县| 廉江市| 五台县| 城步| 彭山县| 阜康市| 蓬安县| 南川市| 宿州市| 察雅县| 天气| 延吉市| 虎林市| 胶南市| 潜江市| 巫山县| 乃东县| 荔波县| 德钦县| 旬阳县| 榆中县| 祥云县| 银川市| 平塘县| 张家港市| 桂林市| 九江县| 寻乌县| 三明市| 松阳县| 榆林市| 巴南区| 福州市| 扶余县| 宁波市|