首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

肚腦蟲(chóng)（Donot）APT組織針對(duì)巴基斯坦攻擊活動(dòng)樣本分析

閱讀量：次

1.概要

2019年7月，安恒信息析安實(shí)驗(yàn)室跟蹤到一批定向攻擊巴基斯坦的APT樣本，誘餌內(nèi)容包括“巴基斯坦國(guó)家銀行”、“巴基斯坦外交部”等，分析發(fā)現(xiàn)這批APT攻擊樣本與肚腦蟲(chóng)（DoNot）APT組織有一定的關(guān)聯(lián)。

2.背景

肚腦蟲(chóng)APT組織被認(rèn)為具有印度背景，是一個(gè)主要針對(duì)巴基斯坦和克什米爾地區(qū)國(guó)家機(jī)構(gòu)等領(lǐng)域進(jìn)行網(wǎng)絡(luò)間諜活動(dòng)，以竊取機(jī)密信息為主的組織。該組織的攻擊載荷使用了多種語(yǔ)言開(kāi)發(fā)，包括C++、.NET、Python、VBS 和AutoIt3等。

安恒信息通過(guò)自定義規(guī)則持續(xù)監(jiān)控針對(duì)印巴地區(qū)的樣本投遞活動(dòng)，從2018年中旬到2019年上半旬陸續(xù)捕獲到疑似肚腦蟲(chóng)APT組織定向攻擊的樣本。

3.樣本分析

誘餌文件一

攻擊流程

樣本文件名: Credit_score.xls ，中文翻譯“信用評(píng)分.xls”。樣本攜帶惡意的宏代碼。由于3個(gè)樣本的宏代碼完全一致，攻擊過(guò)程主要分析樣本0108a194e11a2d871f5571108087c05d的行為。

樣本感染分為三個(gè)步驟，第一步利用office宏病毒釋放執(zhí)行批處理程序，第二步批處理程序釋放二進(jìn)制程序，第三步執(zhí)行二進(jìn)制程序?qū)崿F(xiàn)感染。

第一階段

Office 宏病毒源碼如下：

啟用宏，主動(dòng)彈框“該文件已損壞”：

目的為從窗體中讀取二進(jìn)制數(shù)據(jù)寫(xiě)入x6teyst.zip文件，調(diào)用unRafzaizip解壓x6teyst.zip數(shù)據(jù)包，執(zhí)行zip中的x6teyst.bat批處理文件.

Zip以二進(jìn)制形式存放于Form中：

第二階段

批處理文件源碼如下：

主要目的為創(chuàng)建隱藏文件夾，記錄設(shè)備基本信息到win.txt，刪除自身原文件并移動(dòng)到當(dāng)前用戶目錄%userprofile%\DriveData\Wins下，創(chuàng)建定時(shí)任務(wù)BackupData 實(shí)現(xiàn)持久化。

第三階段

x6teyst.txt重命名為yldss.exe。文件為PE格式，包含的證書(shū)信息如下：

偽裝信息：

釋放木馬

支持的系統(tǒng)版本為xp及以上

上傳本機(jī)基本信息，通過(guò)Content-Type 來(lái)區(qū)分接收的指令。

1.下載文件（Content-Type：application）

2.cmd命令執(zhí)行（Content-Type：cmdline）

3.批處理命令執(zhí)行（Content-Type：batcmd）

獨(dú)有字符串信息：

內(nèi)置遠(yuǎn)控域名：

回連C&C下載組件，本地路徑如下。由于分析時(shí)組件已下載不到，后續(xù)攻擊行為無(wú)法跟蹤。

%userprofile%\\DriveData\\Files\\test.bat

%userprofile%\\DriveData\\Files\\Wuaupdt.exe

一個(gè)有意思的細(xì)節(jié)，判斷當(dāng)前主機(jī)語(yǔ)言環(huán)境是否為挪威語(yǔ)：

以“信用”、“挪威”、“巴基斯坦”為關(guān)鍵詞搜索得到新聞信息：

誘餌文件二

攻擊流程

該誘餌文檔內(nèi)容為空，執(zhí)行宏代碼彈框。

Cmd 運(yùn)行bat.bat

釋放bat.bat到C:\\user\%currentuser%\AppData\ 目錄。

其中kylgr.exe和svchots.exe和友商報(bào)道的組件名一致。由于C2不再活躍，組件無(wú)法獲取。

釋放juchek.exe偽裝java更新程序（真正的java更新程序名是Jusched.exe）。其具有下載器功能，下載組件釋放到DriveData\Files\目錄。

釋放木馬

juchek.exe支持的平臺(tái)為win7及以上：

和yldss.exe對(duì)比是同一個(gè)模板但不同版本的樣本，兩者對(duì)比發(fā)現(xiàn)yldss.exe主要增加了一些錯(cuò)誤處理：

遠(yuǎn)控支持的指令等沒(méi)有變化：

遠(yuǎn)控域名unique.fontsupdate.com

從win.txt讀取信息

具有的功能包括下載器、cmd命令執(zhí)行、bat命令執(zhí)行等。

誘餌文件三

注：NBP - 巴基斯坦國(guó)家銀行

攻擊流程

前兩個(gè)釋放bat腳本如下：

第三個(gè)樣本釋放bat腳本如下：

后續(xù)攻擊流程與之前相同，不作詳述。

釋放木馬

跟上述兩個(gè)樣本有一定關(guān)聯(lián)，屬于同一個(gè)遠(yuǎn)控模板的不同版本，加入了反調(diào)試部分：

支持的遠(yuǎn)控指令沒(méi)有變化：

內(nèi)置的遠(yuǎn)控域名為data-backup.online：

4.關(guān)聯(lián)對(duì)比

從樣本攻擊手法分析，此次肚腦蟲(chóng)樣本與歷史披露信息相符，關(guān)聯(lián)點(diǎn)包括：

1.樣本的制作者信息中出現(xiàn)的“Qaatil”，中文翻譯“刺客、殺手”，與Donot APT組織存在關(guān)聯(lián)

2.宏代碼和歷史報(bào)道的肚腦蟲(chóng)組織宏代碼相似度高

3.使用多種方法偽裝合法的應(yīng)用程序、組織和服務(wù)，如Ichecker，java update，AMD update、偽造數(shù)字簽名

4.樣本作者信息頻繁出現(xiàn)“Testing”字段，以此推測(cè)上述樣本可能是攻擊者仍在測(cè)試中的武器框架。

5.IOC

6.參考鏈接

https://www.netscout.com/blog/asert/donot-team-leverages-new-modular-malware-framework-south-asia

由于篇幅關(guān)系內(nèi)容有所精簡(jiǎn)，需詳細(xì)報(bào)告請(qǐng)聯(lián)系郵箱zionlab@dbappsecurity.com.cn

關(guān)閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運(yùn)營(yíng)咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級(jí)智能體

API安全智能體

自動(dòng)化滲透測(cè)試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測(cè)智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場(chǎng)景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門(mén)產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺(tái)最熱

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)推薦

明御防火墻最熱

AI時(shí)代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測(cè)試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計(jì)

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識(shí)教育解決方案>

肚腦蟲(chóng)（Donot）APT組織針對(duì)巴基斯坦攻擊活動(dòng)樣本分析

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營(yíng)咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級(jí)智能體

API安全
智能體

自動(dòng)化滲透
測(cè)試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測(cè)智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)