内容简介:2019年4月23日,安天CERT发现响尾蛇(SideWinder)APT组织针对巴基斯坦进行的鱼叉式钓鱼邮件攻击事件。该APT组织疑似来自南亚某国,最早活跃可追溯到2012年,主要针对巴基斯坦等国进行攻击,近两年内被安全厂商披露过多次攻击行动/事件,相关攻击事件见下图。图 1‑1响尾蛇(SideWinder)APT组织近期活动事件时间轴
概述
2019年4月23日,安天CERT发现响尾蛇(SideWinder)APT组织针对巴基斯坦进行的鱼叉式钓鱼邮件攻击事件。该APT组织疑似来自南亚某国,最早活跃可追溯到2012年,主要针对巴基斯坦等国进行攻击,近两年内被安全厂商披露过多次攻击行动/事件,相关攻击事件见下图。
图 1‑1响尾蛇(SideWinder)APT组织近期活动事件时间轴
本次事件的攻击邮件仿冒巴基斯坦信德省(Sindh)警察局向旁遮普省(Punjab)政府相关人士发送一份标题为《警察紧急威胁等级常设作业程序》和《行动准备颜色代码》为主题的邮件,邮件正文与近期南亚热点问题之一反恐怖主义相关,并在附件中包含存在恶意代码的文档“STANDING OPERATING PROCEDURES FOR POLICE EMERGENCY THREAT LEVELS AND COLOR CODES FOR OPERATIONAL READINESS.docx”。攻击者利用两个文档漏洞最终投放木马程序,再通过木马接收远程服务器投放的恶意JS脚本文件执行指定的恶意行为。
图 1‑2针对巴基斯坦人士发送的钓鱼邮件
表1‑1邮件内容翻译
攻击流程
该事件中攻击者使用了两个文档漏洞,通过HTA文件进行初始恶意文件释放和配置,利用白加黑(对可信文件credwiz.exe加载的库文件Duser.dll进行替换)加载恶意载荷并连接远程服务器接收恶意JS脚本,具体攻击流程如图2-1所示:
图2-1 样本执行流程
样本分析
表 3‑1恶意文档标签(邮件附件)
病毒名称 | Trojan[Exploit]/MSWord.CVE-2017-0199 |
---|---|
原始文件名 | STANDING OPERATING PROCEDURES FOR POLICE EMERGENCY THREAT LEVELS AND COLOR CODES FOR OPERATIONAL READINESS.docx |
MD5 | 393497c43c760112714f3bb10f5170d2 |
文件大小 | 13.78 KB |
文件格式 | Document/Microsoft.DOCX[:Word 2007-2012] |
利用漏洞 | CVE-2017-0199 |
VT 首次上传时间 | 2019-04-23 09:49:41 |
VT 检测结果 | 13/60 |
恶意文档执行后会触发 CVE-2017-0199漏洞,显示掩饰文档并从以下链接下载并运行文件main.rtf。 http://www .punjabpolice .gov.pk.standingoperatingprocedureforemergencythreat.cdn-in[.]net/images/5491E413/-1/7384/89dfd89e/main.RTF
恶意文档运行后显示的掩饰文档如图3-1所示:
图 3‑1掩饰文档截图
表 3‑2 main.RTF
病毒名称 | Trojan[Exploit]/RTF.CVE-2017-11882 |
---|---|
原始文件名 | main.RTF |
MD5 | 1fe3d9722db28c2f3291ff176b989c46 |
文件大小 | 3.38 KB |
Document/Microsoft.RTF[:Rich Text Format] | |
利用漏洞 | CVE-2017-11882 |
VT 首次上传时间 | 2019-04-24 15:47:03 |
VT 检测结果 | 25/56 |
main.RTF的样本标签如表3-2所示,该文档运行后会触发CVE-2017-11882漏洞,并从 http://cdn-in [.]net/includes/b7199e61/-1/7384/35955a61/final下载一个hta文件(以下称作final.hta)并执行(见表3-3)。
表 3‑3 final.hta样本标签
病毒名称 | Trojan[Dropper]/Script |
---|---|
原始文件名 | final.hta |
MD5 | 16e561159ee145008635c52a931b26c8 |
文件大小 | 83.62KB |
Script/Netscape.JS[:JavaScript] | |
利用漏洞 | 无 |
VT 首次上传时间 | 2019-04-25 09:16:02 |
VT 检测结果 | 2/58 |
final.hta是一个HTML应用程序,它的运行流程如下:
1. 首先寻找系统文件“C:\Windows\System32\credwiz.exe” 2. 如果找到credwiz.exe,则将它复制到“C:\ProgramData\drvr\srvc2.0\”目录下,并在该目录下写入Duser.dll文件(见图3-2)。
图 3‑2文件释放目录
3. 将“C:\ProgramData\drvr\srvc2.0\credwiz.exe”设为注册表自启动项。
4. 如果前三个步骤都执行成功,则向“ http://cdn-in [.]net/plugins/-1/7384/true/true/”发送一条HTTP GET请求。如果前三个步骤有出错而导致操作终止,则将错误信息附在链接“ http://cdn-in [.]net/plugins/-1/7384/true/true/”的最后,并发送该条请求。
final.hta释放的Duser.dll为病毒文件(样本标签见表3-4),而credwiz.exe是合法的系统文件,credwiz.exe的运行需要导入Duser.dll,攻击者利用这一机制试图绕过安全软件检测。
表 3‑4Duser.dll样本标签
病毒名称 | Trojan[Spy]/Win32.Stealr |
---|---|
原始文件名 | Duser.dll |
MD5 | 21cc890116adcf092d5a112716b6a55f |
文件大小 | 98.5KB |
文件格式 | BinExecute/Microsoft.DLL[:X86] |
时间戳 | 2019-03-14 10:31:27 |
编译语言 | Microsoft Visual C++ |
VT 首次上传时间 | 2019-04-28 03:13:34 |
VT 检测结果 | 21/65 |
credwiz.exe运行后,Duser.dll作为调用文件被导入。Duser.dll运行后,每10分钟向链接 https://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/43e2a8fa/css发送一次GET请求(图3-3),然后解密返回的数据,得到一个JavaScript脚本并运行。(见图3-4)
图 3‑3发送HTTPS请求及解密数据
图 3‑4联网操作
在我们的分析过程中,服务器端返回的JS脚本是用于收集系统信息,然后将这些信息组合成JSON数据格式,通过HTTPPOST请求发送到以下链接(部分收集的信息见图3-5),这种首先进行信息采集的攻击方式在APT攻击中非常普遍,攻击者会根据收到的信息对受害目标进行分析判定后采取进一步行动,如窃取信息、投放其他恶意程序等。
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css
图 3‑5部分收集的信息截图
收集的信息包括:
系统账户信息、操作权限、系统基本信息、硬件信息、网络适配器
反病毒产品列表、已安装的程序、系统进程信息
处理器配置、操作系统信息、时间区域、补丁信息
文件目录列表
小结
响尾蛇(SideWinder)组织是近两年比较活跃的APT攻击组织,该组织的攻击目标主要在巴基斯坦等国,攻击手法采用涉及印度、中国和巴基斯坦军事边界为主题的英文网络钓鱼邮件。该组织十分擅长使用Nday漏洞、 PowerShell、代码混淆技术以及利用开源武器代码,相关报告还提及该组织有针对Android系统的恶意软件。据安全厂商公开资料和地缘关系分析来看,该组织很可能来自南亚某国,目前未发现相关活动与白象等相关威胁行为体的关联,但不排除是同一攻击背景来源方向或新的攻击组织或分支小组。
附录一:IOC
MD5:
549FB138B02C5420D6EA13F7A1A341B0 | EML |
---|---|
393497C43C760112714F3BB10F5170D2 | CVE-2017-0199 |
1FE3D9722DB28C2F3291FF176B989C46 | CVE-2017-11882 |
A1CA53EFDA160B31EBF07D8553586264 | CVE-2017-11882 |
16E561159EE145008635C52A931B26C8 | hta |
21CC890116ADCF092D5A112716B6A55F | Duser.dll |
62606C6CFF3867A582F9B31B018DFEA5 | |
52FA30AC4EDC4C973A0A84F2E93F2432 | |
CE53ED2A093BBD788D49491851BABFFD | |
737F3AD2C727C7B42268BCACD00F8C66 | |
2D9655C659970145AB3F2D74BB411C5D | |
E021A9E4EEA1BF7D494269D20510E82C | |
032D584F6C01CC184BF07CDEC713E74D | |
90E9F50E8E799DD340E09793A49A3521 | |
F44A45E6F6273A7FB3D5CEE145760362 | |
FB362FE18C3A0A150754A7A1AB068F1E | |
423194B0243870E8C82B35E5298AD7D7 | |
81F9EB617A2176FF0E561E34EF9FF503 |
Domain:
cdn-list[.]net | C2 |
---|---|
punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in[.]net | Download URL |
URL:
http://www.punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in [.]net/images/5491E413/-1/7384/89dfd89e/
http://www.punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in [.]net/images/5491E413/-1/7384/89dfd89e/main.RTF
http://www.punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in [.]net/images/5491E413/-1/7384/
http://www.punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in [.]net/images/5491E413/-1/7384/89dfd89e/
http://www.punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in [.]net/images/5491E413/-1/7384/89dfd89e/main.RTF
http://www.punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in [.]net/images/5491E413/-1/7384/
http://cdn-in [.]net/includes/b7199e61/-1/7384/35955a61/final
http://cdn-in [.]net/plugins/-1/7384/true/true/
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4.0.30319
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css
http://cdn-in [.]net/includes/b7199e61/-1/7384/35955a61/final
http://cdn-in [.]net/plugins/-1/7384/true/true/
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4.0.30319
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10
http://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css
https://cdn-list [.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/43e2a8fa/css
*本文作者:antiylab,转载请注明来自FreeBuf.COM
以上所述就是小编给大家介绍的《响尾蛇APT组织针对巴基斯坦的定向攻击事件分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- 响尾蛇(SideWinder)APT组织针对南亚国家的攻击活动披露
- 响尾蛇APT组织针对巴基斯坦的定向攻击事件分析
- 疑似响尾蛇APT组织利用冠状病毒相关信息传播恶意lnk文件
- 什么是CSRF攻击、什么是XSS攻击、什么是SQL输入攻击,如何防御攻击
- 对比DoS攻击与DDoS攻击
- 攻击云计算环境的8种攻击矢量
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。