美NSA新APT框架曝光,针对俄伊等要害部门

栏目: 服务器 · 发布时间: 6年前

内容简介:安全研究人员发现了一项新的攻击行为, 使用两个攻击框架, 据称是美NSA开发的后门,用以监视俄罗斯、伊朗和埃及的目标。这些工具最初是在2017年3月由影子经纪人( ShadowBrokers )发布的, 称他们来自美国间谍机构,其中包括两个框架: DanderSpritz 和 FuzzBunch。

安全研究人员发现了一项新的攻击行为, 使用两个攻击框架, 据称是美NSA开发的后门,用以监视俄罗斯、伊朗和埃及的目标。

这些 工具 最初是在2017年3月由影子经纪人( ShadowBrokers )发布的, 称他们来自美国间谍机构,其中包括两个框架: DanderSpritz 和 FuzzBunch。

美NSA新APT框架曝光,针对俄伊等要害部门

DanderSpritz-包括 "插件,用以收集情报, 使用利用和检查已经被控制的机器"。FuzzBunch支持不同的实用程序交互和协同工作, 其中含各种功能插件,用以分析数据, 受害者, 利用漏洞, 执行计划任务等等。

DanderSpritz 完全由插件来收集情报、利用漏洞和检查已经控制的机器。它是用 Java 编写的, 它提供了一个类似僵尸网络管理面板的图形窗口界面, 以及像 Metasploit 的控制台接口。它还包括自己的后门和插件, 支持 FuzzBunch 控制的受害者。

DarkPulsar 后门将两个框架链接一起, 与 FuzzBunch 一起利用漏洞, 在 DanderSpritz 执行侦察和窃取数据之前,获得对目标系统的远程访问权限。

"FuzzBunch 和 DanderSpritz 框架的设计是灵活的, 可扩展功能,与其他工具兼容。其中每一个都包含一组针对不同任务设计的插件:  FuzzBunch 插件负责侦察和攻击受害者;DanderSpritz 框架中的插件则管理已感染的受害者。

FuzzBunch 框架中的插件有三文件:

%pluginName%-version.fb

从 XML 复制标头, 并包含插件的 ID。

%pluginName%-version.exe

当 FuZZbuNch 收到命令时, 将启动此可执行文件

%pluginName%-version.xml

此配置文件描述插件的输入和输出参数-参数名称, 类型等;

DarkPulsar 的管理模块, 用于控制一个名为 "sipauth32" 的被动后门, 它提供远程控制,支持以下命令:

Burn 
RawShellcode 
EDFStagedUpload 
DisableSecurity 
EnableSecurity 
UpgradeImplant 
PingPong

美NSA新APT框架曝光,针对俄伊等要害部门

Darkpulsar 有将恶意软件流量嵌入系统协议的能力。支持情况如下:

Msv1_0.dll – for the NTLM protocol, 
Kerberos.dll – for the Kerberos protocol, 
Schannel.dll – for the TLS/SSL protocols, 
Wdigest.dll – for the Digest protocol, and 
Lsasrv.dll –for the Negotiate protocol. 

通过端口445的流量,lsass.exe 中还会出现一对绑定套接字;当 DanderSpritz 通过 PcDllLauncher 插件部署 PeddleCheap 的负载时, 网络活动会显著增加;当与受感染计算机的连接终止时, 网络活动将停止, 且仅 lsass.exe 中的两个绑定套接字的踪迹仍然存在:

美NSA新APT框架曝光,针对俄伊等要害部门

卡巴斯基实验室声称在俄罗斯、伊朗和埃及发现了大约50名受害者, 其中有 Windows Server 2003 和2008的目标系统。俄罗斯 AV 供应商解释说, 受攻击组织与核能、电信、IT、航空航天等部门有关联。

IOCs:

implant – 96f10cfa6ba24c9ecd08aa6d37993fe4

File path – %SystemRoot%\System32\sipauth32.tsp

Registry – HKLM\Software\Microsoft\Windows\CurrentVersion\Telephony\Providers

参考:

https://securelist.com/darkpulsar/88199/

声明:本文来自malwarebenchmark,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如需转载,请联系原作者获取授权。


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

The Shallows

The Shallows

Nicholas Carr / W. W. Norton & Company / 2011-6-6 / USD 15.95

"Is Google making us stupid?" When Nicholas Carr posed that question, in a celebrated Atlantic Monthly cover story, he tapped into a well of anxiety about how the Internet is changing us. He also crys......一起来看看 《The Shallows》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试