某APT組織利用魚(yú)叉郵件滲透多個(gè)行業(yè)竊取敏感數(shù)據(jù)的示例分析,相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策�����,為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法�,通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。
海林ssl適用于網(wǎng)站���、小程序/APP���、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場(chǎng)景�����,ssl證書(shū)未來(lái)市場(chǎng)廣闊!成為創(chuàng)新互聯(lián)建站的ssl證書(shū)銷售渠道�,可以享受市場(chǎng)價(jià)格4-6折優(yōu)惠!如果有意向歡迎電話聯(lián)系或者加微信:18980820575(備注:SSL證書(shū)合作)期待與您的合作����!
0x0 背景
深信服安全團(tuán)隊(duì)通過(guò)安全感知平臺(tái)持續(xù)跟蹤了一個(gè)以國(guó)內(nèi)沿海電子制造業(yè)、能源行業(yè)�����、大型進(jìn)出口企業(yè)���、科研單位等為目標(biāo)的APT組織���,該組織通過(guò)魚(yú)叉式釣魚(yú)郵件,在最近的三個(gè)月里面持續(xù)對(duì)國(guó)內(nèi)至少60余個(gè)目標(biāo)發(fā)起針對(duì)性的攻擊��。通過(guò)偽造office、pdf圖標(biāo)的PE文件迷惑目標(biāo)�,在目標(biāo)點(diǎn)擊之后,釋放出AutoIt腳本執(zhí)行器���,然后將高度混淆的AutoIt腳本代碼傳入腳本執(zhí)行器執(zhí)行釋放Nanocore RAT竊取受害者主機(jī)上面的敏感數(shù)據(jù)并作為跳板進(jìn)行內(nèi)網(wǎng)滲透�����。
0x1 詳細(xì)分析
該APT組織使用誘餌文檔誘使用戶點(diǎn)擊運(yùn)行�����,執(zhí)行自解壓程序���,完成攻擊和木馬的釋放。在這個(gè)過(guò)程中使用一個(gè)帶有正常數(shù)字簽名的AutoIt腳本解釋程序去執(zhí)行一個(gè)加混淆后的腳本�����,該腳本會(huì)檢測(cè)當(dāng)前系統(tǒng)環(huán)境“安全”之后才會(huì)解密安裝.net程序���,再對(duì)其進(jìn)行真正的惡意行為����,該腳本具備繞過(guò)了大多數(shù)安全軟件的檢測(cè)能力。具體行為見(jiàn)以下詳細(xì)分析���。
攻擊流程圖
該APT組織使用sales@globaltrade.com郵箱地址發(fā)送了一個(gè)偽造成pdf文檔圖標(biāo)的exe文件��,并將附件命名為Payment Slip(付款單)以誘使受害者點(diǎn)擊運(yùn)行�。為了降低用戶的警惕性�,該組織同時(shí)構(gòu)造了一個(gè)郵箱主題為RE:FWD:PROFORMA INVOICE // OverDue Payment Update(逾期付款更新)用于麻痹受害者。
郵件正文內(nèi)容如下:
病毒自解壓
該病毒偽裝為一個(gè)PDF文件��,誘使用戶點(diǎn)擊運(yùn)行�,通過(guò)Exeinfo PE查看可以發(fā)現(xiàn)這個(gè)樣本為一個(gè)SFX文件���。
在其被雙擊運(yùn)行后�����,會(huì)跳過(guò)自解壓對(duì)話框����,并且將文件釋放到”%temp%\08419794”文件夾下����,并且自動(dòng)執(zhí)行rml.vbs腳本。
在rml.vbs腳本中,使用WshShell.Run運(yùn)行dsh.exe pwl=xui����。
dsh.exe是一個(gè)帶正常簽名檔的Autolt的腳本解釋器,用于執(zhí)行.au3腳本��。
pwl=xui是一個(gè)300M大小的文件����,腳本里面添加了大量無(wú)用的注釋,通過(guò)這種方式防止殺軟檢測(cè)出此惡意腳本���,這種方式可以繞過(guò)大多數(shù)殺軟的檢測(cè)�����。
為了方便閱讀�,去掉腳本中的一些無(wú)用注釋���,得到凈化后的腳本如下:
該腳本具有以下功能:
1����、虛擬機(jī)檢測(cè)
2����、禁用UAC策略
3�、禁用任務(wù)管理器
4��、注冊(cè)開(kāi)機(jī)自啟動(dòng)程序
5���、解密.NET程序
6�、啟動(dòng).NET程序
腳本核心功能
該腳本實(shí)現(xiàn)這些功能的原理如下:
1���、虛擬機(jī)檢測(cè):通過(guò)判斷進(jìn)程名�、是否存在D盤(pán)等操作實(shí)現(xiàn)反虛擬機(jī)檢測(cè)��。
2����、禁用UAC策略:通過(guò)修改注冊(cè)表鍵值禁用UAC策略��。
3���、禁用任務(wù)管理器:通過(guò)修改注冊(cè)表鍵值禁用任務(wù)管理功能���。
4��、注冊(cè)開(kāi)機(jī)自啟動(dòng)程序:通過(guò)添加注冊(cè)表自啟動(dòng)項(xiàng)實(shí)現(xiàn)開(kāi)機(jī)自啟����。
5�、解密.net程序:通過(guò)正則匹配替換、字符顛倒����、CryptDecrypt()函數(shù)等混合手段解密出程序。
(1)正則匹配替換:
(2)字符顛倒
(3)CryptDecrypt解密
6��、啟動(dòng).NET程序:查找本機(jī).NET服務(wù)安裝程序安裝.NET服務(wù)程序����。
NanoCore RAT
NanoCore RAT是在.Net框架中開(kāi)發(fā)的,最新版本是“1.2.2.0”��。2018年年初�����,其作者“Taylor Huddleston”被聯(lián)邦調(diào)查局抓獲���,現(xiàn)于監(jiān)獄服刑���。該遠(yuǎn)控能夠在受害者的計(jì)算機(jī)上執(zhí)行許多惡意操作���,例如注冊(cè)表編輯、進(jìn)程控制����、升級(jí)、文件傳輸���、鍵盤(pán)記錄�����、密碼竊取等�。
根據(jù)目前互聯(lián)網(wǎng)上的一些信息��,獲取最新版本的源碼僅僅需要$20��。
本次通過(guò)腳本釋放出來(lái)的.NET程序?yàn)閚ano core client 1.2.2.0版本的遠(yuǎn)控程序���。遠(yuǎn)程連接的C&C地址為:185.244.31.203;通信端口為8484�。
該IP歸屬地在荷蘭綁定了一個(gè)meter.dDNS.net的域名�。
0x2 安全建議
不管攻擊者的入侵計(jì)劃是多么的縝密�����,總會(huì)由于技術(shù)的限制留下些許蛛絲馬跡�����,譬如軟件的植入�、網(wǎng)絡(luò)流量的產(chǎn)生,這些痕跡可能并不足以作為APT攻擊的證據(jù)����,但一旦發(fā)現(xiàn),就必須提高警惕�����,并及時(shí)的保存現(xiàn)場(chǎng)�����,通知安全相關(guān)人員���,對(duì)疑似感染的主機(jī)進(jìn)行隔離和檢查�����。同時(shí)也要注意日常防范措施�,在思想上和技術(shù)上雙管齊下:
1、加強(qiáng)人員安全防范意識(shí)�����。不要打開(kāi)來(lái)歷不明的郵件附件�,對(duì)于郵件附件中的文件要謹(jǐn)慎運(yùn)行,如發(fā)現(xiàn)腳本或其他可執(zhí)行文件可先使用殺毒軟件進(jìn)行掃描�;
2、升級(jí)office系列軟件到最新版本���,不要隨意運(yùn)行不可信文檔中的宏���;
3、部署分層控制�,實(shí)現(xiàn)深度網(wǎng)絡(luò)安全防御,構(gòu)建端到端的立體安全防護(hù)網(wǎng)絡(luò)�����。在網(wǎng)絡(luò)規(guī)劃時(shí)需要充分考慮終端接入安全����、內(nèi)網(wǎng)安全防護(hù)、應(yīng)用系統(tǒng)安全等多個(gè)維度���,并根據(jù)不同的業(yè)務(wù)需求和安全等級(jí)進(jìn)行合理的分區(qū)隔離�;
4��、重視網(wǎng)絡(luò)數(shù)據(jù)�����、系統(tǒng)運(yùn)行狀態(tài)的審計(jì)和分析�����。嚴(yán)格把控系統(tǒng)的訪問(wèn)權(quán)限����,持續(xù)對(duì)數(shù)據(jù)流的進(jìn)出進(jìn)行有效的監(jiān)控,及時(shí)更新安全補(bǔ)丁�����,定時(shí)進(jìn)行安全配置基線的審視和系統(tǒng)安全風(fēng)險(xiǎn)的評(píng)估,及時(shí)發(fā)現(xiàn)可以行為并通過(guò)通信線路加密��、應(yīng)用層安全掃描與防護(hù)�����、隔離等有效技術(shù)手段將可能的安全風(fēng)險(xiǎn)扼殺在搖籃里����;
5、深信服推出安全運(yùn)營(yíng)服務(wù)�,通過(guò)以“人機(jī)共智”的服務(wù)模式幫助用戶快速擴(kuò)展安全能力,針對(duì)此類威脅安全運(yùn)營(yíng)服務(wù)提供設(shè)備安全設(shè)備策略檢查����、安全威脅檢查、相關(guān)漏洞檢查等服務(wù)���,確保第一時(shí)間檢測(cè)風(fēng)險(xiǎn)以及更新策略�,防范此類威脅�。
6、使用深信服安全產(chǎn)品�,接入安全云腦,使用云查服務(wù)��,開(kāi)啟人工智能引擎S**E及時(shí)檢測(cè)新威脅,防御APT攻擊��。
7�����、使用深信服安全產(chǎn)品���,接入安全云腦,使用云查服務(wù)��,啟用S**E安全智能檢測(cè)引擎殺毒功能可即時(shí)檢測(cè)新威脅��,防御APT攻擊�。
看完上述內(nèi)容,你們掌握某APT組織利用魚(yú)叉郵件滲透多個(gè)行業(yè)竊取敏感數(shù)據(jù)的示例分析的方法了嗎�?如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道�����,感謝各位的閱讀���!
網(wǎng)站名稱:某APT組織利用魚(yú)叉郵件滲透多個(gè)行業(yè)竊取敏感數(shù)據(jù)的示例分析
本文路徑:
http://weahome.cn/article/pijgph.html
重慶分公司
重慶分公司
