freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

敌对分子趁“疫”打劫,云防护终端安全势在必行
  • 关注
敌对分子趁“疫”打劫,云防护终端安全势在必行
2020-02-19 18:49:26

        疫情期间,网络威胁愈演愈烈趋势,其中印度APT组织“摩诃草”,针对我国医疗机构发起APT,通过使用假冒域名” nhc-gov.com “伪装成我国卫生主管单位的域名,诱骗用户主动下载运行的可执行文件;同时利用“新型冠状病毒”主题相关的文档作为诱饵文档,运用鱼叉式钓鱼邮件的方式,攻击我国医疗机构。

       摩诃草组织(APT-C-09),又称HangOver,VICEROY TIGER,The Dropping Elephant,Patchwork,是一个来自南亚地区的境外APT组织。自2013年被曝光以来,已经持续活跃了8年之久,该组织主要针对中国、巴基斯坦等亚洲地区和国家进行网络间谍活动。对中国地区的攻击中,该组织主要针对军事、政府、科研、通讯等机构。 针对此次攻击事件, 网思科平的威胁分析中心进行了详尽的威胁分析——

相关文档

1.《武汉旅行信息收集申请表.xlsm》

图片1.png

2.《卫生部命令.docx》

图片2.png


样本分析

1.《武汉旅行信息收集申请表.xlsm》

1)样本信息

biao1.png

2)分析概况

诱导用户执行宏代码,通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”文件,执行后继续从服务器下载伪装成jpeg文件的后门木马“window.jpeg”。该后门木马主要行为是自拷贝、创建计划任务实现持久化攻击和与C&C服务器通信执行指令。

3)详细分析

下载后门木马

表格中嵌入了恶意宏代码,再通过“scrobj.dll”远程执行“http://45.153.184.67/window.sct”,进而下载伪装成图片的后门木马“window.jpeg”:

表2.png

图片3.png

图片4.png

后门木马自拷贝

后门木马自拷贝到C:\Users\%UserName%\AppData\Roaming\msupdate.exe和C:\Microsoft\msupdate.exe:

图片5.png

创建计划任务

创建计划任务“Microsoft Update”定期执行C:\Microsoft\msupdate.exe,实现持久化攻击:

图片6.png

连接C&C服务器

使用本机UUID在C&C服务器注册,并请求连接任务接口,连接成功以后接收任务指令,把任务指令执行结果再传回C&C服务器:

图片7.png

反向Shell功能

从C&C服务器得到要连接的IP和端口,创建cmd进程通过管道的方式创建反向Shell:

图片8.png

文件上传功能

从C&C服务器得到要上传的FTP服务器的URL,用户名、密码和要上传的文件路径,然后上传文件到服务器:

图片9.png

文件下载功能

从C&C服务器获取要下载文件的URL,然后下载文件到本地:

图片10.png

屏幕快照功能

拍屏幕快照,上传C&C服务器:

图片11.png

2.卫生部命令

1)样本信息

表4.png

2)分析概况  

      诱导用户点击“提交”按钮执行shell.explorer加载对象,下载木马加载器submit_details.exe(链接为https://github.com/nhc***/q*******8/raw/master/submit_details.exe ):表5.png

3)详细分析

检查网络连接

访问 www.baidu.com :

图片12.png

上传本机配置信息到C&C服务器

图片13.png


获取木马下载链接

访问链接https://api.github.com/repos/*****/meeting/contents/s****p/token.txt获取木马的下载链接,但是该文件已经被攻击者删除:

图片14.png


 

溯源分析

       此次攻击所使用的的后门与已披露的摩诃草组织(APT-C-09)所使用的专属后门cnc_client极为相似,其中与C&C服务器通讯所使用的URL格式完全一致,所以可以确定本次攻击就是摩诃草组织所为:

图片15.png图片16.png 

IOC附录

1.MD5:

0b29d2da32cdf3eb11984d85eeda1ce.png

2.Domain:

6b2cffa0167fe05a6a86607bbd0b1e1.png

3. URL:

68724270e918c08d071aff1cf419e7f.png

4. IP:

a535890071c49d4b40ea51236fd0670.png 5. 已知恶意钓鱼文件名称列表:

c10a81c752b48d6bcd0a3c46906fdc8.png

网思科平专家提醒

  1. 收到关于冠状病毒、**、票据等主题的邮件时,不要轻易打开附件文件和链接;
  2. 不要轻易在互联网上下载打开带有“武汉肺炎疫情”,“新型冠状病毒”等相关名称,后缀为exe,scr等类型的可执行文件;
  3. 不要轻易打开不明未知来源的doc、docx、docm、xls、xlsx、.xlsm、pdf、rtf等文档。

                                     

为远程办公提供专有终端防护方案

       在疫情期间,各地医疗机构均派遣医学专家及医护人员支援,他们携带的终端设备因现实条件原因,无法得到有效安全防护,一旦被入侵,APT组织极易侵入各医疗机构内网系统,造成更严重破坏!

图片17.png


        在大灾大难面前,大家众志成城!网思科平履行网安企业的社会责任,向疫情期间所有有远程办公且有安全需求的用户提供安全的SaaS服务,免费为大家终端PC部署天蝎EDR公有云探针,通过云端服务器与端点探针联动,有效保护用户终端安全。

微信图片_20200208210653.png      

       天蝎EDR基于云平台搭建的服务平台,产品的敏捷性、易用性等方面要明显优于传统部署的安全产品。可远程部署,并提供24小时不间断的安全服务,确保移动办公和连接互联网计算机免受高级威胁的入侵,打破安全防御受限于时间和空间的限制。用户终端PC上部署天蝎EDR公有云探针后可有效阻止本次印度APT组织“摩诃草”的攻击,同时有效避免勒索、挖矿病毒、APT木马等恶意程序!

7d3cdc6fee8715d7fa182e788e1774c.png

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者