官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
近日,checkpoint报道了一个针对中东地区进行攻击的APT组织最新活动,该组织于去年被talos报道过。
相关链接:https://blog.talosintelligence.com/2017/06/palestine-delphi.html
该APT组织目前暂无命名,此次安全事件被checkpoint命名为大爆炸行动,下面将对该组织在此次行动中涉及的技术手段进行简单分析。
该行动实施过程主要通过投放自解压文件的方式进行,自解压文件名为التقرير الإعلامي الشهري,意思为每月媒体报道。自解压文件中含有一个正常的文档以及恶意软件。
正常文档打开后,可以看到一个带有巴勒斯坦政治和国家指导委员会徽标的Word文档。该文件假装是一份新闻报道,其中包含实际上从各种巴勒斯坦新闻网站复制的新闻标题。
文档属性标题的名字سيادة العقيد /عصام أبو عوكل是指导委员会办公室行政长官的名字,创建日期为3月29日,这也对应上文档名称为 29-3.doc 。
投递手法与去年具有相似性,去年该组织也是采用压缩包的形式进行投放,压缩包后缀为 r10 ,亲测该后缀的压缩包可以打开。
此前该组织投放的恶意软件被取名为Micropsia,本次行动中,其使用的为升级版本,下面将对其中一个样本进行简单分析。
样本名为Win Graphic Driver
运行后会释放一个vbs脚本到桌面,用于系统驻留
其他的样本也类似
之后便开始收集主机信息和杀软列表,并将主机名和用户名进行base64编码后,发送通讯报文格式如下
name=%s&os=%s&appname=%s&av=%s
如报文所示,其会根据接收的BMW_x[%d] ,去执行响应的操作。这里很明显是指宝马的意思
{"BMW_x5":"False","BMW_x4":"False","BMW_x3":"False","BMW_x2":"False","BMW_x1":"False","BMW_x6":"False","BMW_x7":"False","BMW_x8":"False"}
而一个名为Interenet Assistant,报文也是此类格式,但不同的是,这里的字段采用了电视剧《Resurrection: Ertugrul》里面的演员名字
"Penny":"True","Wolowitz_Helberg":"False","Celal_Al":"False","runfile":"False","Nayyar_Sonmez":"False","Koothrappali":"False","Bialik_Gokhan":"False","Hofstadter":"False","Parsons_Sheldon":"False","Reshad_Strik":"False","Pinar8":"False","Mehmet7":"False","Bahar6":"False"
代码结构和触发条件也几乎一致。
下列为各个字段的含义,有的字段由于样本中没有该模块因此暂不知道作用,可以确定还有样本是支持这些模块的。
| Penny | 获取受感染计算机的屏幕截图并将其发送到服务器 |
|---|---|
| Wolowitz_Helberg | 枚举正在运行的进程,将其名称及其ID保存在“sat.txt”中,并将该文件发送到服务器 |
| Celal_Al | 发送具有特定扩展名的文档列表。扩展名为:doc,docx,odt,xls,xlsx,ppt,pptx,accdb,accde,mdb,pdf,csv |
| Runfile | 运行文件,从服务器接收进程名称和文件类型 |
| Nayyar_Sonmez | 从给定的URL下载带有“.txt”扩展名的文件,将扩展名更改为“.exe”并运行它 |
| Koothrappali | 记录有关系统的详细信息并将其发送到服务器 |
| Bialik_Gokhan | 重新启动系统 |
| Hofstadter | 按名称终止进程 |
| Parsons_Sheldon | 从启动文件夹中删除有效内容并删除实际文件 |
| Reshad_Strik | 发送受感染计算机上找到的分区列表 |
| Pinar8 | 配置文件有该字段但样本并没有这个模块 |
| Mehmet7 | 配置文件有该字段但样本并没有这个模块 |
| Bahar6 | 配置文件有该字段但样本并没有这个模块 |
而去年报告中提及的通讯报文如下
与本次攻击事件的报文进行比较,可以看出极为相似。
报告中还提及了一下攻击者的英文水平,因此我顺便将几个样本的释放路径提取后,如下所示:
C:\ProgramData\Interenet Assistant\Interenet Assistant.exe
C:\ProgramData\Win Graphic Driver\Win Graphic Driver.exe
C:\Users\admistrator\AppData\Local\Temp\DriverInstallerU.exe
其中可以看见,Interenet Assistant具有明显的拼写错误,因此根据这个文件名,可以发现该组织另一个与其同名的样本。
除了文件名外,还有独特的语法拼写,可以参考他们的C&C服务器首页,如,Probably the most Music Site in the world!
还有一些很迷的模板特征,Contact@namylufy.com, made with love ,这些实际都可以作为特征去看有哪些网站也是这个组织的人写的。
还有一个网站访问后是一个音乐播放器,会循环播放几首歌曲。
最后,报告还称该组织与APT组织Gaza Cybergang有关,然后我翻看了一下过去该组织的报告,除了文件内容和攻击目标外,并没有发现更确凿的证据指向,在此提供些许资料,抛砖引玉一下。
APT组织Gaza Cybergang,该组织在2012年首次被发现,他们改进并开发了一些定制的恶意软件比如DownExecute,、XtremeRAT、 MoleRAT以及 DustSky (NeD Worm)。除此外还会使用一些常见的远控,如Poison ivy、Nano Core、 DarkComet、Spy-Net。
而该组织最近一次行动Operation DustSky是在2016年初进行的,其攻击目标主要是以色列、埃及、沙特阿拉伯以及伊拉克,方法是一般是鱼叉式网络钓鱼活动,还有使用.NET环境下的恶意软件程序DustSky进行网络攻击。
此后,在2016年4月又开始对以色列一些新目标进行攻击。当然在这段时间里,其组织也在利用c++语言重写编写恶意软件来提高病毒程序感染能力,甚至为了躲避安全公司的检测,组织还转移了目标——由以色列转向美国。
Gaza Cybergang组织相关链接:
[0] https://securelist.com/gaza-cybergang-wheres-your-ir-team/72283/
[1] https://securelist.com/gaza-cybergang-updated-2017-activity/82765/
[2] https://www.anquanke.com/post/id/86549
Big Bang行动相关IOC
a210ac6ea0406d81fa5682e86997be25c73e9d1b
994ebbe444183e0d67b13f91d75b0f9bcfb011db
74ea60b4e269817168e107bdccc42b3a1193c1e6
511bec782be41e85a013cbea95725d5807e3c2f2
9e093a5b34c4e5dea59e374b409173565dc3b05b
C&C服务器
lindamullins[.]info
spgbotup[.]club
namyyeatop[.]club
namybotter[.]info
sanjynono[.]website
exvsnomy[.]club
ezofiezo[.]website
hitmesanjjoy[.]pro
URL格式特征
/api/serv/requests/{base64编码字符串}
相关链接:
https://research.checkpoint.com/apt-attack-middle-east-big-bang/
- 0 文章数
- 0 关注者