首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

響尾蛇（SideWinder）在“克什米爾危機(jī)”之后針對(duì)中國(guó)進(jìn)行攻擊

閱讀量：次

概要

近日安恒信息獲取到一批定向攻擊的APT樣本，經(jīng)過(guò)關(guān)聯(lián)分析發(fā)現(xiàn)這批樣本與具有印度背景的境外APT組織響尾蛇（SideWinder）有關(guān)。該樣本使用“保利國(guó)防科技研究中心“內(nèi)容投遞遠(yuǎn)控木馬，是一起針對(duì)我國(guó)的APT攻擊活動(dòng)。

背景

本次發(fā)現(xiàn)的響尾蛇APT組織樣本投放時(shí)間為7月中旬之后，此時(shí)間段內(nèi)中印由于“克什米爾危機(jī)“等事件帶來(lái)的國(guó)界劃分影響，關(guān)系再次開(kāi)始緊張。我們結(jié)合該組織的印度背景，可以確定在“克什米爾危機(jī)“前后，該組織針對(duì)我國(guó)發(fā)起可能帶有政治意圖的攻擊活動(dòng)。

本次攻擊誘餌文檔使用保利集團(tuán)相關(guān)內(nèi)容，保利集團(tuán)是國(guó)務(wù)院國(guó)有資產(chǎn)監(jiān)督管理委員會(huì)監(jiān)管的大型國(guó)有中央企業(yè)，主要經(jīng)營(yíng)通用商品和特種裝備及技術(shù)的進(jìn)出口業(yè)務(wù)，先后引進(jìn)了包括黑鷹直升機(jī)，瑞士防空系統(tǒng)等產(chǎn)品，并且出口了大量的防務(wù)裝備。

此樣本生成時(shí)間在2019年9月12日，中國(guó)和印度軍隊(duì)曾在2019年9月11日左右于靠近班公錯(cuò)北岸的實(shí)際控制線一帶發(fā)生對(duì)峙。

樣本分析

樣本感染流程：

1、誘餌文檔使用CVE-2017-11882執(zhí)行釋放到%temp%路徑下1.a腳本；

2、1.a腳本拷貝白文件write.exe和惡意的PROPSYS.dll，以及加密后的惡意程序主體到“C:\ProgramData\AuthyFiles“路徑并設(shè)置“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”自啟動(dòng)注冊(cè)表項(xiàng)；

3、write.exe是win7系統(tǒng)白文件，啟動(dòng)后會(huì)加載PROPSYS.dll惡意DLL，此DLL會(huì)解密同目錄下“.tmp“結(jié)尾的文件，解密后是木馬本體，開(kāi)始執(zhí)行木馬本體。

誘餌文檔分析

誘餌信息為“保利國(guó)防科技研究中心“的中文文件：

利用漏洞CVE-2017-11882加載嵌入的JS腳本：

腳本階段

腳本經(jīng)過(guò)分析功能為釋放相關(guān)文件到“C:\ProgramData\AuthyFiles”并啟動(dòng)“write.exe“進(jìn)程，進(jìn)入下一階段的白加黑利用：

白加黑利用階段

write.exe會(huì)加載同目錄下的PROPSYS.dll實(shí)現(xiàn)白加黑利用

DLL功能為解密同目錄下的tmp后綴文件并執(zhí)行：

解密手法：

.tmp文件前32字節(jié)為密鑰，后續(xù)字節(jié)通過(guò)異或解密，解密后確為一個(gè)PE格式文件

最終階段

樣本主體是一個(gè)C#竊密木馬，名稱(chēng)SystemApp.dll，竊密木馬整體流程為加載配置、啟動(dòng)信息收集和下載執(zhí)行線程、進(jìn)行一次基本信息收集：

系統(tǒng)信息寫(xiě)入.sif為后綴的文件，文件遍歷結(jié)果寫(xiě)入.flc為后綴的文件，需要上傳的文件寫(xiě)入為后綴的.fls文件，如果寫(xiě)入出錯(cuò)則會(huì)寫(xiě)入.err為后綴的文件。

下載執(zhí)行線程工作如下：

信息收集上傳線程工作，首先上傳幾個(gè)日志/信息文件：

如果需要上傳指定文件則再上傳指定文件：

信息傳輸?shù)募咏饷芊椒ㄍ准雍诶秒A段的PE解密，加密手段：

解密手段：

內(nèi)置硬編碼默認(rèn)CC，也可以從CC端下發(fā)進(jìn)行更改：

關(guān)閉

AI智能體專(zhuān)區(qū)

AI智能體專(zhuān)區(qū)

告警研判和降噪智能體

安全運(yùn)營(yíng)咨詢(xún)服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類(lèi)分級(jí)智能體

API安全智能體

自動(dòng)化滲透測(cè)試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測(cè)智能體

數(shù)據(jù)安全咨詢(xún)服務(wù)智能體

核心安全產(chǎn)品

場(chǎng)景解決方案

Saas產(chǎn)品訂閱專(zhuān)區(qū)

熱門(mén)產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺(tái)最熱

數(shù)據(jù)庫(kù)審計(jì)與風(fēng)險(xiǎn)控制系統(tǒng)推薦

明御防火墻最熱

AI時(shí)代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報(bào)告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測(cè)試

AI應(yīng)急響應(yīng)

AI安全咨詢(xún)

AI代碼審計(jì)

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識(shí)教育解決方案>

響尾蛇（SideWinder）在“克什米爾危機(jī)”之后針對(duì)中國(guó)進(jìn)行攻擊

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營(yíng)咨詢(xún)
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類(lèi)
分級(jí)智能體

API安全
智能體

自動(dòng)化滲透
測(cè)試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測(cè)智能體

數(shù)據(jù)安全咨詢(xún)
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)