js1996官网

20240925181105_9935数字经济的安全基石

申请试用
肚脑虫(Donot)APT组织针对巴基斯坦攻击活动样本分析_2019_js1996官网动态_关于js1996官网_js1996官网信息

首页 > 关于js1996官网 > js1996官网动态 > 2019 > 正文

肚脑虫(Donot)APT组织针对巴基斯坦攻击活动样本分析

阅读量:

1.概要

2019年7月,js1996官网信息析安尝试室跟踪到一批定向攻击巴基斯坦的APT样本,钓饵内容蕴含“巴基斯坦国度银杏妆、“巴基斯坦表交部”等,分析发现这批APT攻击样本与肚脑虫(DoNot)APT组织有肯定的关联。

?

2.布景

肚脑虫APT组织被以为拥有印度布景,是一个重要针对巴基斯坦和克什米尔地域国度机构等领域进行网络间谍活动,以窃取机密信息为主的组织。该组织的攻击载荷使用了多种说话开发,蕴含C++、.NET、Python、VBS 和AutoIt3等。

js1996官网信息通过自界说规定持续监控针对印巴地域的样本投递活动,从2018年中旬到2019年上半旬陆续捕获到疑似肚脑虫APT组织定向攻击的样本。

?

3.样本分析

钓饵文件一

攻击流程

样本文件名: Credit_score.xls ,中文翻译“信誉评分.xls”。样本携带恶意的宏代码。由于3个样本的宏代码齐全一致,攻击过程重要分析样本0108a194e11a2d871f5571108087c05d的行为。

样本习染分为三个步骤,第一步利用office宏病毒开释执行批处置法式,第二步批处置法式开释二进造法式,第三步执行二进造法式实现习染。

20191101093422olxngN

第一阶段

Office 宏病毒源码如下:

20191101093448XIFpvK

启用宏,自动弹框“该文件已败坏”:

20191101093514QYCFPB

主张为从窗体中读取二进造数据写入x6teyst.zip文件,挪用unRafzaizip解压x6teyst.zip数据包,执行zip中的x6teyst.bat批处置文件.

Zip以二进造大局存放于Form中:

20191101093536K1Eafq

第二阶段

批处置文件源码如下:20191101093601IRo6sa

重要主张为创建暗藏文件夹,纪录设备根基信息到win.txt,删除自身原文件并移动到当前用户目录%userprofile%\DriveData\Wins下,创建按时工作BackupData 实现悠久化。

?

第三阶段

x6teyst.txt沉定名为yldss.exe。文件为PE体式,蕴含的证手札息如下:

20191101093650VUW7tZ

假装信息:

20191101093714fUyMvi

开释木马

支持的系统版本为xp及以上

20191101093741kBeCL9

上传本机根基信息,通过Content-Type 来分辨接管的指令。

1.下载文件(Content-Type:application)

20191101093913PmZp6o

20191101093913xQCPka

2.cmd号令执行(Content-Type:cmdline)

20191101093938nGhoYx

3.批处置号令执行(Content-Type:batcmd)

20191101094002emydA4

独有字符串信息:

20191101094027CrKFA9

?

内置远控域名:

20191101094048f1nLYB

回连C&C下载组件,本地蹊径如下。由于分析时组件已下载不到,后续攻击行为无法跟踪。

%userprofile%\\DriveData\\Files\\test.bat

%userprofile%\\DriveData\\Files\\Wuaupdt.exe

一个有意思的细节,判断当前主机说话环境是否为挪威语:

20191101094115KsD01a

以“信誉”、“挪威”、“巴基斯坦”为关键词搜索得到新闻信息:

20191101094153VU68O3

?

钓饵文件二

攻击流程

该钓饵文档内容为空,执行宏代码弹框。

20191101094233x6Z4d3

Cmd 运行bat.bat

201911010942586XNso2

开释bat.bat到C:\\user\%currentuser%\AppData\ 目录。

201911010943265WiCd9

其中kylgr.exe和svchots.exe和友商报路的组件名一致。由于C2不再活跃,组件无法获取。

开释juchek.exe假装java更新法式(真正的java更新法式名是Jusched.exe)。其拥有下载器职能,下载组件开释到DriveData\Files\目录。

20191101094352d7cvPk

开释木马

juchek.exe支持的平台为win7及以上:

20191101094413YtEwde

和yldss.exe对比是统一个模板但分歧版本的样本,两者对比发现yldss.exe重要增长了一些谬误处置:

201911010944341oShkq

远控支持的指令等没有变动:

20191101094500w9t0XF

远控域名unique.fontsupdate.com

201911010945236IRbQA

从win.txt读守信息

20191101094544rFIfzk

拥有的职能蕴含下载器、cmd号令执杏注bat号令执行等。

20191101094607PrTl5b

?

钓饵文件三

20191101094635ZYSzkF

注:NBP - 巴基斯坦国度银行

?

攻击流程

前两个开释bat剧本如下:

20191101094702STPbiF

第三个样本开释bat剧本如下:

20191101094727i7LIQh

后续攻击流程与之前一样,不作详述。

?

开释木马

跟上述两个样本有肯定关联,属于统一个远控模板的分歧版本,参与了反调试部门:

2019110109480305etgl

支持的远控指令没有变动:

20191101094832mdHpuL

内置的远控域名为data-backup.online:

20191101094855TQxsiA

?

4.关联对比

从样本攻击手法分析,这次肚脑虫样本与汗青披露信息相符,关联点蕴含:

1.样本的造作者信息中出现的“Qaatil”,中文翻译“刺客、杀手”,与Donot APT组织存在关联

20191101094927vxGWKD

?

2.宏代码和汗青报路的肚脑虫组织宏代码类似度高

20191101094951JE7u1V

3.使用多种步骤假装合法的利用法式、组织和服务,如Ichecker,java update,AMD update、伪造数字署名

4.样本作者信息频仍出现“Testing”字段,以此揣摩上述样本可能是攻击者仍在测试中的兵器框架。

?

5.IOC

20191101095030OGSj5a

?

6.参考链接

https://www.netscout.com/blog/asert/donot-team-leverages-new-modular-malware-framework-south-asia

由于篇幅关系内容有所精简,需具体汇报请联系邮箱zionlab@dbappsecurity.com.cn

关关

20240102184719_8730

客服在线征询入口,等待与您互换

线上征询
commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用,我们将在24幼时内联系您

联系js1996官网

征询电话:400-6059-110

微信征询
js1996官网信息联系方式
commrr_top
【网站地图】