某疑似针对中东地区的APT攻击事件分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:在疑似APT攻击事件的跟踪过程中,遇到过很多难题。多数情况是,这次,它不是你的显在对手,我们不会获得足够多的线索,却偏偏想要满足好奇的欲望,经典的人生三问,用来描述你的对方再恰当不过。我在《阿善师的告白》中听到一句话:凡走过必留下痕迹。这里,我将整理一起疑似APT攻击的事件的探讨,期待真相一步步浮出水面。北京时间2018年12月12日,我们看到野外出现一份名为<Terminals.xls>的样本使用了最新披露的Adobe Flash Player漏洞:CVE-2018-15982,该漏洞影响Flash Pl

前言

在疑似APT攻击事件的跟踪过程中,遇到过很多难题。多数情况是,这次,它不是你的显在对手,我们不会获得足够多的线索,却偏偏想要满足好奇的欲望,经典的人生三问,用来描述你的对方再恰当不过。我在《阿善师的告白》中听到一句话:凡走过必留下痕迹。这里,我将整理一起疑似APT攻击的事件的探讨,期待真相一步步浮出水面。

北京时间2018年12月12日,我们看到野外出现一份名为<Terminals.xls>的样本使用了最新披露的Adobe Flash Player漏洞:CVE-2018-15982,该漏洞影响Flash Player 32.0.0.101之前的多个版本。由于披露时间不到一周,所有一手样本都值得引起警觉。

该样本文档显示的内容是一份海事卫星设备(Inmarsat IsatPhone)清单。样本触发漏洞后,连接远程服务器获取下发指令。

静态分析

样本内容列举了多个模块、价格和数量信息。海事卫星电话常用于船舶与船舶之间、船舶与陆地之间的通信,包括语言通话、数据传输和文件传真。

某疑似针对中东地区的APT攻击事件分析

样本内嵌Flash文件,Flash文件中以明文的形式嵌入恶意指令。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

<putty2.exe>后门程序将自己设置持久化之后立即连接C2接收下一阶段指令执行。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

整理样本中存在的潜在信息:

Path: C:\Users\User\AppData\Local\Temp\Excel8.0\ShockwaveFlashObjects.exd

Path: C:\Program Files\Microsoft Office\Office16\EXCEL.EXE

Path: c:\CVE-2018-15982_PoC.swf

URL: http://190.2.145.149/putty2.exe

PE-Compiler-Stamp:Tue Dec 11 13:06:20 2018 (UTC+8)

XLS-Saved: 12/10/2018 5:13 PM (UTC+8)

溯源追踪

1. 根据C2追溯

根据C2服务器IP地址190.2.145.149,小编并未关联到其它恶意样本。在获取到样本的第一时间,该IP地址上还存在另一个可执行文件:putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9),归属远程登录工具。

根据whois信息显示,IP地址归属一家荷兰的ISP服务提供商。

某疑似针对中东地区的APT攻击事件分析

该ISP服务提供商WorldStream公司主页显示其提供可靠的托管服务。

某疑似针对中东地区的APT攻击事件分析

从IP的历史记录中,小编找到一条非常重要的线索。teamkelvinsecteam于2018年11月25日在RaidForums论坛于 「Leaks」、「Databases」板块公布了该IP存在允许列目录。该用户截图上传了详细的文件列表并备注文件包含:可疑的恶意软件、Email备份和pst文件等等。

某疑似针对中东地区的APT攻击事件分析

IP在7月份搭建了Web集成环境,从9月开始存在压缩文件陆续上传,直至11月22日,文件汇总约逾百G。许多文件直指阿联酋国家石油公司(ENOC)的职员邮件备份。

某疑似针对中东地区的APT攻击事件分析

在这份<Terminals.xls>漏洞文档公开之后,RaidForums论坛的teamkelvinsecteam很快删除了< [Emails] Emirates National Oil Company>这篇帖子。在删除前,小编翻阅了所有评论,大致的留言有:需要联系方式、索取解压密码、期望获得邮件备份以及允许列目录已失效等等。

某疑似针对中东地区的APT攻击事件分析

从缓存中小编截取了两份评论,包含teamkelvinsecteam留下自己的联系邮箱:vipsuscriptionkelvinsecurityv1@protonmail.com。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

2. 根据代码特征追溯

从获得<putty2.exe>样本伊始,小编很快提取样本关键特征和历史样本进行比对。很遗憾的是,小编对历史样本进行比对,对新增样本进行监控,以及多次使用Intezer进行分析,均未能匹配到关联样本。ps.图中最下方,使用Intezer获得与<putty2.exe>唯一的关联样本,经过小编确认,是某位安全研究人员上传的<putty2.exe>的内存dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。

某疑似针对中东地区的APT攻击事件分析

小编对<Terminals.xls>文档提取特征比对历史样本,匹配到十多个疑似样本,分析之后,没有得到有效证据和此次事件所属组织产生强关联。

他们是谁

由于小编在访问IP的时候,只能查看到XAMPP的初始配置页面。首先需要怀疑文件列表的真实性。此处小编并不打算对「Leaks」和「Databases」主题做过多探讨,但是从teamkelvinsecteam的行为记录来看,这些邮件备份文件是存在的。

1. 受害者信息

从公开信息确认其中一名疑似受害者Fardin Malahi的职务为阿联酋国家石油公司人力资源部主管。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

2. 攻击者身份

老实说,到目前为止关于攻击者身份或者隶属组织小编并没有指向性的结论。我们看看安全社区的讨论:威胁情报分析师Drunk Binary认为<Terminals.xls>是APT34(也称:OilRig)组织的钓鱼文档。但是根据之后的讨论,FireEye的研究人员Andrew认为暂不能定性。

某疑似针对中东地区的APT攻击事件分析

根据德国Nextron Systems公司的APT检测产品THOR检测显示<putty2.exe>后门程序归属APT34、APT33组织。从它的规则编写时间来看,除非有内部未公开披露的详实证据命中目标,否者小编认为可以参考,暂不可信。

某疑似针对中东地区的APT攻击事件分析

安全报告呢?在近期ClearSky公司发布的一份安全报告中,约存在2-3页对该事件的详尽描述。在报告中ClearSky认为存在迹象表明,Oilrig组织最有可能在9月或10月渗透进入ENOC网络并部署了横向移动工具。

在其公开报告中,整个关于这一事件的描述都被涂抹覆盖。

某疑似针对中东地区的APT攻击事件分析

回到样本本身,关于该组织为什么要在深度渗透ENOC网络之后,还要重启如此重要的网络基础设施,利用最新的Flash漏洞疑似发起鱼叉攻击。是他们最想要的没有得手还是更换攻击目标?当然可以猜想的故事有很多。但是确定的是,本次利用<Terminals.xls>钓鱼文档发起的攻击时段很短,无论PE编译时间还是文档最后保存时间是否可信,它们都是在最近几天得以准备,迅速发起攻击,然后迅速失效。

尾声

还有更多资料吗?在小编思考等待这些日子中似乎就这么多了。有的资料由于最开始没有备份下来以至在此漏掉许多。至于新的样本,近日野外出现一份和<Terminals.xls>具有相同内容相同特征,但是仅仅利用漏洞弹出计算器的样本<Terminals2.xls>(MD5:954CA41B7367191180A44C7221BB462A),小编对样本分析之后决定不作过多参考,因为只需对<Terminals.xls> 修改几个明文字符便能完成。

某疑似针对中东地区的APT攻击事件分析

其实无论弹计算器的是谁,我们总会知道,在一个半月之后,原始样本并没有被忘记。根据对话和安全报告,大厂早已关注这次事件。

从内容显示的相关行业和泄漏文件直指目标,或多或少我们可以总结出攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼,具备反追查意识,使用新款木马后门,具有一定技术实力背景和多人员分工协作构成犯罪组织特征。

从公开历史网络攻击拓扑图看,中东地区事务牵涉众多。唯愿早日结束纷争。

某疑似针对中东地区的APT攻击事件分析

IOCs

MD5

A51A86A773B7134C2D43BAFC2931E6A4
94715ED2A09A88BE026E8B2BA7C0F9B0
24F7E3422B1DB69289D47F1025DB1598
954CA41B7367191180A44C7221BB462A
28145CE332718337AF59ACA2469784A9
94296CCDD83161D7FB87645591B3D3AF

IP

190.2.145.149

附录

http://190.2.145.149/abdul.khaliq.rar

http://190.2.145.149/ahmed.salem.rar

http://190.2.145.149/ammary@enoc.com.pst

http://190.2.145.149/anishkam@enoc.com.pst

http://190.2.145.149/anvar.helal.rar

http://190.2.145.149/anwar.hussain.rar

http://190.2.145.149/badir@enoc.com.pst

http://190.2.145.149/cstoradmin.rar

http://190.2.145.149/deebu@enoc.com.pst.zip

http://190.2.145.149/faiz.muhammad.rar

http://190.2.145.149/fardin.malahi@enoc.com.pst

http://190.2.145.149/fqahtani@enoc.com.zip

http://190.2.145.149/frederik@enoc.com.pst.zip

http://190.2.145.149/frits@enoc.com.pst.zip

http://190.2.145.149/husamal@enoc.com.pst

http://190.2.145.149/jeevananthan.rar

http://190.2.145.149/mark.burling@eppcouae.com.rar

http://190.2.145.149/marwan.mohd@enoc.com.pst

http://190.2.145.149/matthew.ranson.rar

http://190.2.145.149/sgaladari.pst

http://190.2.145.149/sum.chee.rar

http://190.2.145.149/T.rar

http://190.2.145.149/taleb@enoc.com.pst

*本文作者:小河西村安全研究所,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《某疑似针对中东地区的APT攻击事件分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

如何变得有思想

如何变得有思想

阮一峰 / 人民邮电出版社 / 2014-12-2 / 49.00元

本书为阮一峰博客选集,囊括了作者对各种问题的思考,围绕的主题是试图理解这个世界。本书内容非常广泛,涉及观点、文学、历史、科技、影视等方面。作者在书中对具有深刻意义的文字进行摘录,并且在思索后提出自己独特的观点。书后附有阮一峰诗集。 本书适合喜欢独立思考、热爱读书的读者,对于广大读者具有一定的启发作用。一起来看看 《如何变得有思想》 这本书的介绍吧!

URL 编码/解码
URL 编码/解码

URL 编码/解码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具