伴随新冠疫情在全球范围的爆发,疫情的动态资讯成为我们每天必会定接触到的外界信息,在这种大环境下,我们对疫情主题相关的推送信息警惕性会相对变低。而善于浑水摸鱼,披狼皮装羊的apt组织自然不会放过这种增热点的机会,以“新冠疫情”为主题的apt攻击活动从2月份起就持续不断。
最近,腾讯安全威胁情报中心就捕获到了一起响尾蛇(sidewinder)apt组织以新冠疫情为主题针对巴基斯坦军方的攻击活动。
响尾蛇(sidewinder)是腾讯安全威胁情报中心最早在2018年披露的apt攻击组织,该组织最早的攻击活动可以追溯到 2012 年。该组织主要针对巴基斯坦、中国大陆的政府、军工、军事目标等进行攻击活动。攻击武器库包括pc端、移动端等。
本次攻击的诱饵为一个名为pak_army_deployed_in_country_in_fight_against_coronavirus.pdf.lnk的快捷方式文件:
该lnk文件的基本属性
诱饵的生成时间和其他属性
可以看到攻击者的诱饵生成时间为2019年的6月19日,在vmware虚拟机生成。
执行快捷方式后,会从http://www.d01fa.net/images/d817583e/16364/11542/f2976745/966029e下载hta文件并且执行。
下载回来的hta会对受害设备上的.net进行版本检测,删除除了v2和v4以外的版本,还通过shell指令指定执行的版本,此外,样本之后释放的的rekeywiz.exe.config配置文件目的与之相同,均为防止不同.net版本之前出现兼容性问题。
除了对受害设备.net版本进行版本选择之外,hta文件还会对设备上的杀软进行检测:
之后,会创建一个hta实例,通过url下载第二个hta文件并将之执行,同时释放命名为“pak_army_deployed_in_country_in_fight_against_coronavirus.pdf”的pdf诱饵文档:
释放的诱饵文档为:
可以看到,诱饵内容跟新冠疫情、巴基斯坦军方相关。
第二个hta文件其数据解密方式,以及总体框架与第一个hta文件相同,主要功能是在c:\programdata\创建了一个fontfiles文件夹(包含释放的四个文件:duser.dll、rekeywiz.exe、rekeywiz.exe.config、sohyxy.tmp),利用rekeywiz.exe白文件加载duser.dll黑文件。该白加黑的手法也是sidewinder惯用伎俩。其中tmp文件的文件名为随机字符:
duser.dll为一个加载器,主要目的是对之前释放的sohyxy.tmp文件进行简单的异或解密,然后进行加载:
解密后的systemapp.dll文件,是为最终释放的rat。
该rat的功能跟之前的类似,包括信息收集、文件上传等。
如对用户信息、设备信息、网卡信息、已安装杀软的信息、磁盘驱动设备信息、设备已安装进程信息等进行窃取、收集:
文件上传途径有两种,对应rat在配置模块中的两个等待上传的文件列表,c2通过下发指令修改配置模块,实现对所有文件或指定文件的上传。文件上传:
对c2的下发指令进行分析,可得出以下指令集:
rat会在fontfiles文件夹中新建名为“font”的文件,用于保存c2下发的指令,但指令是经过加密的,经过解密之后,可查看指令明文,而每一次指令下发,原指令数据都会被覆盖,生成新的font文件。
除了发现的以“新冠疫情”为主题的样本以外,我们还发现了sidewinder(响尾蛇)的多个其他攻击活动。
如additional_csd_rebate.pdf.lnk,以向退役军人发放csd回扣卡为主题的进行钓鱼活动:
诱饵文件除了lnk之外,还有使用office漏洞的攻击,如
但是最终执行的payload都大同小异,就不再赘述。
1、建议重要机构网管培训工作人员不要随意打开不明来源的邮件附件,在邮件目的及发件人均未知的情况下,建议不要访问附件。
2、建议企业用户使用腾讯t-sec终端安全管理系统(御点)修补漏洞,及时安装系统补丁,可减少被漏洞攻击的风险,同时注意打开office文档时,避免启用宏代码。
3、推荐企业用户部署腾讯t-sec高级威胁检测系统(御界)对黑客攻击行为进行检测。
腾讯t-sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:
文章出处:
依蓝云计算有限公司
网络版捕鱼游戏 copyright © 2006-2020 uyl.cn. all rights reserved. 依蓝云 真人捕鱼游戏的版权所有