APT-C-12最新攻擊樣本及C&C機(jī)制的實(shí)例分析，很多新手對(duì)此不是很清楚，為了幫助大家解決這個(gè)難題，下面小編將為大家詳細(xì)講解，有這方面需求的人可以來學(xué)習(xí)下，希望你能有所收獲。

網(wǎng)站建設(shè)哪家好，找成都創(chuàng)新互聯(lián)公司！專注于網(wǎng)頁(yè)設(shè)計(jì)、網(wǎng)站建設(shè)、微信開發(fā)、微信小程序定制開發(fā)、集團(tuán)企業(yè)網(wǎng)站建設(shè)等服務(wù)項(xiàng)目。為回饋新老客戶創(chuàng)新互聯(lián)還提供了平陰免費(fèi)建站歡迎大家使用！

背景

繼360公司披露了藍(lán)寶菇(APT-C-12)攻擊組織的相關(guān)背景以及更多針對(duì)性攻擊技術(shù)細(xì)節(jié)后，360威脅情報(bào)中心近期又監(jiān)測(cè)到該組織實(shí)施的新的攻擊活動(dòng)，本文章是對(duì)其相關(guān)技術(shù)細(xì)節(jié)的詳細(xì)分析。

樣本分析

誘餌文件

在APT-C-12組織近期的攻擊活動(dòng)中，其使用了偽裝成"中國(guó)輕工業(yè)聯(lián)合會(huì)投資現(xiàn)況與合作意向簡(jiǎn)介"的誘導(dǎo)文件，結(jié)合該組織過去的攻擊手法，該誘餌文件會(huì)隨魚叉郵件進(jìn)行投遞。

如下圖所示該誘餌文件偽裝成文件夾的圖標(biāo)，執(zhí)行后會(huì)打開包含有誘餌文檔和圖片的文件夾，而此時(shí)實(shí)際的惡意載荷已經(jīng)在后臺(tái)執(zhí)行。

當(dāng)該誘餌文件運(yùn)行時(shí)，其會(huì)解密釋放4個(gè)文件，其中兩個(gè)為上述的誘導(dǎo)文檔和圖片，另外為兩個(gè)惡意的tmp文件。

釋放的惡意tmp文件路徑為：

%temp%\unicode32.tmp

%appdata%\WinRAR\update.tmp

最后通過LoadLibraryW加載釋放的unicode32.tmp文件。

unicode32.tmp

unicode32.tmp為一個(gè)loader，其主要用于加載update.tmp，如下圖所示其通過rundll32.exe加載update.tmp，并調(diào)用其導(dǎo)出函數(shù)jj。

當(dāng)加載了update.tmp后，會(huì)刪除裝載exe程序文件和自身。

update.tmp

該文件為一個(gè)DLL,并有一個(gè)名為jj的導(dǎo)出函數(shù)。

其首先會(huì)對(duì)目標(biāo)主機(jī)進(jìn)行信息收集。

獲取系統(tǒng)版本信息：

調(diào)用CreateToolhelp32Snapshot獲取系統(tǒng)進(jìn)程信息：

調(diào)用GetAdaptersInfo獲取網(wǎng)卡MAC地址：

判斷當(dāng)前系統(tǒng)環(huán)境是32位或64位：

通過注冊(cè)表獲取已安裝的程序信息，獲取的安裝程序信息加上前綴”ISL”格式化：

通過注冊(cè)表獲取DisplayName和DisplayVersion的信息，并將DisplayName 和DisplayVersion格式化為”%s”:{“ND”:”%s”,”DV”:”%s”}。

信息收集后會(huì)首先向遠(yuǎn)程控制服務(wù)器發(fā)送上線信息。

獲取tmp目錄, 創(chuàng)建AdobeNW目錄,并從控制服務(wù)器上下載AdobeUpdate.tmp作為第二階段的載荷，其實(shí)際為一個(gè)DLL文件。

最終調(diào)用rundll32啟動(dòng)DLL文件的導(dǎo)出函數(shù)MainFun，如果進(jìn)程創(chuàng)建成功給服務(wù)器返回信息。

AdobeUpdate.tmp

AdobeUpdate.tmp為DLL文件，其導(dǎo)出方法MainFun由第一階段木馬DLL調(diào)用執(zhí)行。

其首先遍歷%USERPROFILE%\AppData路徑下tmp后綴文件，并刪除。

然后從文件自身尾部讀取配置信息并解密，其格式如下：

加密的配置信息，包括標(biāo)識(shí)ID，控制服務(wù)器地址，加密IV和KEY，以及Mutex信息；

4字節(jié)加密配置信息長(zhǎng)度；

17字節(jié)解密密鑰；

例如上圖所示的解密配置文件的KEY為sobcsnkciatwiffi，其解密算法如下：

解密之后的配置文件如下所示：

查詢HKEY_CURRENT_USER下的MyApp注冊(cè)表查看是否有FirstExec, 通過字符串”no”來判斷該DLL是否是第一次執(zhí)行。

若DLL不為首次執(zhí)行，則輪詢獲取控制服務(wù)器命令，否則遍歷磁盤C：到F：中的文檔文件信息，并保存在temp文件夾下的list_tmp.txt中。

其中查找的文檔類型包括.ppt .pptx .pdf.xls .xlsx .doc .docx .txt .wps .rtf的文檔，將文檔文件路徑、創(chuàng)建時(shí)間以及文件大小信息進(jìn)行保存。

下圖為示例的寫入數(shù)據(jù)格式(文件路徑 創(chuàng)建時(shí)間文件大小)：

并將list_tmp.txt進(jìn)行aes加密后上傳到控制服務(wù)器：

接著設(shè)置注冊(cè)表FirstExec標(biāo)志：

AdobeUpdate.dll木馬實(shí)現(xiàn)了豐富的命令控制指令，其通過訪問控制域名獲取包含有控制命令的文件，并在本地解密解析后執(zhí)行。

其指令以***和對(duì)應(yīng)指令數(shù)字組成，以下為控制指令功能列表：

控制基礎(chǔ)設(shè)施

APT-C-12組織近期活動(dòng)中使用的惡意代碼利用了applinzi.com域名下的二級(jí)域名作為控制域名，該域名為Sina App Engine的云服務(wù)托管。

我們測(cè)試注冊(cè)了SAE的賬戶，其默認(rèn)創(chuàng)建應(yīng)用可以免費(fèi)使用十多天，并支持多種開發(fā)語(yǔ)言的環(huán)境部署。

我們嘗試對(duì)其控制服務(wù)器進(jìn)行連接，但其后臺(tái)處理程序已經(jīng)出錯(cuò)，通過返回的錯(cuò)誤信息我們可以發(fā)現(xiàn)該組織使用Python部署的后臺(tái)應(yīng)用，并使用了flask作為其Web服務(wù)實(shí)現(xiàn)。

SAE控制協(xié)議

該組織針對(duì)SAE的部署應(yīng)用實(shí)現(xiàn)了一套訪問協(xié)議，其分為put，info，get，del四個(gè)功能。

其中put用于上傳文件：

get用于獲取文件：

info用于獲取信息：

del用于刪除文件：

繼360威脅情報(bào)中心發(fā)現(xiàn)該組織利用Digital Ocean云服務(wù)作為命令控制和回傳通信渠道以后，我們又發(fā)現(xiàn)該組織使用國(guó)內(nèi)的云服務(wù)SAE構(gòu)建其控制回傳基礎(chǔ)設(shè)施，利用這種方式一定程度上減少了攻擊利用的成本，也增加了分析回溯的難度。

看完上述內(nèi)容是否對(duì)您有幫助呢？如果還想對(duì)相關(guān)知識(shí)有進(jìn)一步的了解或閱讀更多相關(guān)文章，請(qǐng)關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝您對(duì)創(chuàng)新互聯(lián)的支持。