某疑似针对中东地区的APT攻击事件分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:在疑似APT攻击事件的跟踪过程中,遇到过很多难题。多数情况是,这次,它不是你的显在对手,我们不会获得足够多的线索,却偏偏想要满足好奇的欲望,经典的人生三问,用来描述你的对方再恰当不过。我在《阿善师的告白》中听到一句话:凡走过必留下痕迹。这里,我将整理一起疑似APT攻击的事件的探讨,期待真相一步步浮出水面。北京时间2018年12月12日,我们看到野外出现一份名为<Terminals.xls>的样本使用了最新披露的Adobe Flash Player漏洞:CVE-2018-15982,该漏洞影响Flash Pl

前言

在疑似APT攻击事件的跟踪过程中,遇到过很多难题。多数情况是,这次,它不是你的显在对手,我们不会获得足够多的线索,却偏偏想要满足好奇的欲望,经典的人生三问,用来描述你的对方再恰当不过。我在《阿善师的告白》中听到一句话:凡走过必留下痕迹。这里,我将整理一起疑似APT攻击的事件的探讨,期待真相一步步浮出水面。

北京时间2018年12月12日,我们看到野外出现一份名为<Terminals.xls>的样本使用了最新披露的Adobe Flash Player漏洞:CVE-2018-15982,该漏洞影响Flash Player 32.0.0.101之前的多个版本。由于披露时间不到一周,所有一手样本都值得引起警觉。

该样本文档显示的内容是一份海事卫星设备(Inmarsat IsatPhone)清单。样本触发漏洞后,连接远程服务器获取下发指令。

静态分析

样本内容列举了多个模块、价格和数量信息。海事卫星电话常用于船舶与船舶之间、船舶与陆地之间的通信,包括语言通话、数据传输和文件传真。

某疑似针对中东地区的APT攻击事件分析

样本内嵌Flash文件,Flash文件中以明文的形式嵌入恶意指令。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

<putty2.exe>后门程序将自己设置持久化之后立即连接C2接收下一阶段指令执行。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

整理样本中存在的潜在信息:

Path: C:\Users\User\AppData\Local\Temp\Excel8.0\ShockwaveFlashObjects.exd

Path: C:\Program Files\Microsoft Office\Office16\EXCEL.EXE

Path: c:\CVE-2018-15982_PoC.swf

URL: http://190.2.145.149/putty2.exe

PE-Compiler-Stamp:Tue Dec 11 13:06:20 2018 (UTC+8)

XLS-Saved: 12/10/2018 5:13 PM (UTC+8)

溯源追踪

1. 根据C2追溯

根据C2服务器IP地址190.2.145.149,小编并未关联到其它恶意样本。在获取到样本的第一时间,该IP地址上还存在另一个可执行文件:putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9),归属远程登录工具。

根据whois信息显示,IP地址归属一家荷兰的ISP服务提供商。

某疑似针对中东地区的APT攻击事件分析

该ISP服务提供商WorldStream公司主页显示其提供可靠的托管服务。

某疑似针对中东地区的APT攻击事件分析

从IP的历史记录中,小编找到一条非常重要的线索。teamkelvinsecteam于2018年11月25日在RaidForums论坛于 「Leaks」、「Databases」板块公布了该IP存在允许列目录。该用户截图上传了详细的文件列表并备注文件包含:可疑的恶意软件、Email备份和pst文件等等。

某疑似针对中东地区的APT攻击事件分析

IP在7月份搭建了Web集成环境,从9月开始存在压缩文件陆续上传,直至11月22日,文件汇总约逾百G。许多文件直指阿联酋国家石油公司(ENOC)的职员邮件备份。

某疑似针对中东地区的APT攻击事件分析

在这份<Terminals.xls>漏洞文档公开之后,RaidForums论坛的teamkelvinsecteam很快删除了< [Emails] Emirates National Oil Company>这篇帖子。在删除前,小编翻阅了所有评论,大致的留言有:需要联系方式、索取解压密码、期望获得邮件备份以及允许列目录已失效等等。

某疑似针对中东地区的APT攻击事件分析

从缓存中小编截取了两份评论,包含teamkelvinsecteam留下自己的联系邮箱:vipsuscriptionkelvinsecurityv1@protonmail.com。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

2. 根据代码特征追溯

从获得<putty2.exe>样本伊始,小编很快提取样本关键特征和历史样本进行比对。很遗憾的是,小编对历史样本进行比对,对新增样本进行监控,以及多次使用Intezer进行分析,均未能匹配到关联样本。ps.图中最下方,使用Intezer获得与<putty2.exe>唯一的关联样本,经过小编确认,是某位安全研究人员上传的<putty2.exe>的内存dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。

某疑似针对中东地区的APT攻击事件分析

小编对<Terminals.xls>文档提取特征比对历史样本,匹配到十多个疑似样本,分析之后,没有得到有效证据和此次事件所属组织产生强关联。

他们是谁

由于小编在访问IP的时候,只能查看到XAMPP的初始配置页面。首先需要怀疑文件列表的真实性。此处小编并不打算对「Leaks」和「Databases」主题做过多探讨,但是从teamkelvinsecteam的行为记录来看,这些邮件备份文件是存在的。

1. 受害者信息

从公开信息确认其中一名疑似受害者Fardin Malahi的职务为阿联酋国家石油公司人力资源部主管。

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

某疑似针对中东地区的APT攻击事件分析

2. 攻击者身份

老实说,到目前为止关于攻击者身份或者隶属组织小编并没有指向性的结论。我们看看安全社区的讨论:威胁情报分析师Drunk Binary认为<Terminals.xls>是APT34(也称:OilRig)组织的钓鱼文档。但是根据之后的讨论,FireEye的研究人员Andrew认为暂不能定性。

某疑似针对中东地区的APT攻击事件分析

根据德国Nextron Systems公司的APT检测产品THOR检测显示<putty2.exe>后门程序归属APT34、APT33组织。从它的规则编写时间来看,除非有内部未公开披露的详实证据命中目标,否者小编认为可以参考,暂不可信。

某疑似针对中东地区的APT攻击事件分析

安全报告呢?在近期ClearSky公司发布的一份安全报告中,约存在2-3页对该事件的详尽描述。在报告中ClearSky认为存在迹象表明,Oilrig组织最有可能在9月或10月渗透进入ENOC网络并部署了横向移动工具。

在其公开报告中,整个关于这一事件的描述都被涂抹覆盖。

某疑似针对中东地区的APT攻击事件分析

回到样本本身,关于该组织为什么要在深度渗透ENOC网络之后,还要重启如此重要的网络基础设施,利用最新的Flash漏洞疑似发起鱼叉攻击。是他们最想要的没有得手还是更换攻击目标?当然可以猜想的故事有很多。但是确定的是,本次利用<Terminals.xls>钓鱼文档发起的攻击时段很短,无论PE编译时间还是文档最后保存时间是否可信,它们都是在最近几天得以准备,迅速发起攻击,然后迅速失效。

尾声

还有更多资料吗?在小编思考等待这些日子中似乎就这么多了。有的资料由于最开始没有备份下来以至在此漏掉许多。至于新的样本,近日野外出现一份和<Terminals.xls>具有相同内容相同特征,但是仅仅利用漏洞弹出计算器的样本<Terminals2.xls>(MD5:954CA41B7367191180A44C7221BB462A),小编对样本分析之后决定不作过多参考,因为只需对<Terminals.xls> 修改几个明文字符便能完成。

某疑似针对中东地区的APT攻击事件分析

其实无论弹计算器的是谁,我们总会知道,在一个半月之后,原始样本并没有被忘记。根据对话和安全报告,大厂早已关注这次事件。

从内容显示的相关行业和泄漏文件直指目标,或多或少我们可以总结出攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼,具备反追查意识,使用新款木马后门,具有一定技术实力背景和多人员分工协作构成犯罪组织特征。

从公开历史网络攻击拓扑图看,中东地区事务牵涉众多。唯愿早日结束纷争。

某疑似针对中东地区的APT攻击事件分析

IOCs

MD5

A51A86A773B7134C2D43BAFC2931E6A4
94715ED2A09A88BE026E8B2BA7C0F9B0
24F7E3422B1DB69289D47F1025DB1598
954CA41B7367191180A44C7221BB462A
28145CE332718337AF59ACA2469784A9
94296CCDD83161D7FB87645591B3D3AF

IP

190.2.145.149

附录

http://190.2.145.149/abdul.khaliq.rar

http://190.2.145.149/ahmed.salem.rar

http://190.2.145.149/ammary@enoc.com.pst

http://190.2.145.149/anishkam@enoc.com.pst

http://190.2.145.149/anvar.helal.rar

http://190.2.145.149/anwar.hussain.rar

http://190.2.145.149/badir@enoc.com.pst

http://190.2.145.149/cstoradmin.rar

http://190.2.145.149/deebu@enoc.com.pst.zip

http://190.2.145.149/faiz.muhammad.rar

http://190.2.145.149/fardin.malahi@enoc.com.pst

http://190.2.145.149/fqahtani@enoc.com.zip

http://190.2.145.149/frederik@enoc.com.pst.zip

http://190.2.145.149/frits@enoc.com.pst.zip

http://190.2.145.149/husamal@enoc.com.pst

http://190.2.145.149/jeevananthan.rar

http://190.2.145.149/mark.burling@eppcouae.com.rar

http://190.2.145.149/marwan.mohd@enoc.com.pst

http://190.2.145.149/matthew.ranson.rar

http://190.2.145.149/sgaladari.pst

http://190.2.145.149/sum.chee.rar

http://190.2.145.149/T.rar

http://190.2.145.149/taleb@enoc.com.pst

*本文作者:小河西村安全研究所,转载请注明来自FreeBuf.COM


以上所述就是小编给大家介绍的《某疑似针对中东地区的APT攻击事件分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

High Performance JavaScript

High Performance JavaScript

Nicholas C. Zakas / O'Reilly Media / 2010-4-2 / USD 34.99

If you're like most developers, you rely heavily on JavaScript to build interactive and quick-responding web applications. The problem is that all of those lines of JavaScript code can slow down your ......一起来看看 《High Performance JavaScript》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试