前言

  蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。本次分享一个蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。

样本分析

  初始样本是一个包含CVE-2018-0798漏洞的rtf文档,执行后会访问远程服务器并下载名为 “bd.msi” 的安装程序执行。远程服务器(sbss.com[.]pk)是一个巴基斯坦的二手交易网站,该网站疑似遭遇了入侵,属于失陷状态。

远程msi程序下载地址:“https://sbss[.]com.pk/gts/bd.msi

msi程序执行后会根据安装路径释放一个名为 “Tlntslvclnt.exe” 的下载器:

样本执行后会首先从字符串资源中获取窗口名称(“NewProject_2.1”)与类名(“NEWPROJECT_21”),创建Windows窗口后通过自定义算法解密出回连C2(“subscribe.tomcruefrshsvc[.]com”)等字符串数据。

解密算法为异或运算:

创建工作目录:"C:\Users\admin\AppData\Local\Updates",如果当前目录下不存在 "systemlog" 文件,则表示当前是第一次运行。首次运行时样本会通过进程遍历检测是否存在 “avp” 和 “MsMp” 等杀软进程。

然后在系统启动菜单中创建 “update.lnk” 快捷方式文件,用于持久化。

该快捷方式最终会指向如下工作目录中的文件:“C:\Users\admin\AppData\Local\Updates\update.exe”

在工作目录中创建“systemlog”日志文件,写入字符串数据“aa”,然后将自身拷贝到工作目录重命名为“tmp.exe”,执行自拷贝文件后退出当前进程。

第二次执行:

获取系统名称、用户名、系统版本等敏感数据,按如下格式进行拼接:"计算机名&&user=用户名&&OsI=系统版本"

拷贝自身(“tmp.exe”)到工作目录(update.exe)用于持久化,然后循环获取C2对应IP地址,准备执行核心函数:

进入核心函数后首先与C2服务器进行通讯,URL参数中包含用户名、主机名、系统版本等信息。

URL:“/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php

检测服务器返回数据中是否包含由 “主机名+用户名” 组合而成的字符串。然后通过英文状态的单引号 '"' 从数据包中获取待下载后门程序的名称:

第二次回连C2服务器,获取后门程序。URL:“/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】

判断C2返回数据中是否包含 “ZxxZ” 字符串:

创建后门程序写入PE文件数据:

第三次回连C2服务器,返回成功标识。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】

第四次回连C2服务器, 根据后门程序执行状态,访问不同URL:“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】

IOC

MD5:

bf1a905e11f4d44de8bd2e0a6f383ed5

2a8ebefc90feb991e3a1f31b0a61f265

cc7ddf9ed230ad4e060dfd0f32389efb

C2:

sbss.com[.]pk

http://sbss.com[.]pk/gts/bd.msi

https://sbss.com].]pk/gts/bd.msi

URL:

subscribe.tomcruefrshsvc[.]com

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】

【APT】Bitter APT组织针对巴基斯坦航空综合部门攻击活动分析的更多相关文章

  1. FireEye APT检测——APT业务占比过重,缺乏其他安全系统的查杀和修复功能

    摘自:https://zhidao.baidu.com/question/1694626564301467468.html火眼,APT威胁下快速成长 FireEye的兴起开始于2012年,这时段正好迎 ...

  2. WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等

    核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...

  3. 利用WPS 2012/2013 0day针对中国政府部门的定向攻击

    今天早上,我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件. 邮件发件人以2014中国经济形势解析高层报告组委会 标题发出,附件为包含wps2012 0da ...

  4. 针对Web应用的【攻击模式篇】

    攻击模式:主动攻击.被动攻击. 主动攻击是指攻击者通过直接访问Web应用,把攻击代码传入的攻击模式. 具有代表性的攻击:SQL注入攻击和OS命令注入攻击. 被动攻击是指利用圈套策略执行攻击代码的攻击模 ...

  5. 针对SSL/TLS的拒绝服务攻击以及使用ettercap进行DNS欺骗

    一. thc-ssl-dos 1.简介 (1).SSL 协商加密对性能开销增加,大量握手请求会导致 DOS (2).利用 SSL secure Renegotiation 特性,在单一 TCP 连接中 ...

  6. 【转】针对Android上的ROP攻击剖析

    引言       ROP(Return-oriented programming),即“返回导向编程技术”.其核心思想是在整个进程空间内现存的函数中寻找适合指令片断(gadget),并通过精心设计返回 ...

  7. 针对yarn的8088端口攻击

    参考: https://www.wangbokun.com/%E8%BF%90%E7%BB%B4/2019/09/02/%E6%8C%96%E7%9F%BF%E7%97%85%E6%AF%92.htm ...

  8. [百家号]APT组织简介2019

    5家新APT组织被披露,2019是“后起之秀”的天下? https://baijiahao.baidu.com/s?id=1621699899936470038&wfr=spider& ...

  9. APT组织跟踪与溯源

    前言 在攻防演练中,高质量的蓝队报告往往需要溯源到攻击团队.国内黑产犯罪团伙.国外APT攻击. 红队现阶段对自己的信息保护的往往较好,根据以往溯源成功案例来看还是通过前端js获取用户ID信息.mysq ...

  10. 基于知识图谱的APT组织追踪治理

    高级持续性威胁(APT)正日益成为针对政府和企业重要资产的不可忽视的网络空间重大威胁.由于APT攻击往往具有明确的攻击意图,并且其攻击手段具备极高的隐蔽性和潜伏性,传统的网络检测手段通常无法有效对其进 ...

随机推荐

  1. 网络负载均衡LVS

    目录 集群负载均衡 一.网络协议原理 1.1 七层模型 什么是协议 1.2 五层模型 1.3 TCP协议 面向连接 表头参数缓存验证 Recv-Q/Send-Q 四元组 TCP三次握手 验证 TCP四 ...

  2. openssl常用操作

    参考:https://www.golinuxcloud.com/openssl-view-certificate/ 查看证书信息 openssl x509 -in server.crt -text - ...

  3. ES6-moudle

    一.基础认知 结合案例体验module: 前面模拟模块是用立即执行的匿名函数,需要把某些通过window暴露出去,所以还是不能消除全局变量 module模块系统需要服务器环境才能正常执行,在html文 ...

  4. java基础(一)~~内存分析

    1.java内存分析 2.2.面向对象内存分析 Java虚拟机的内存可以分为三个区域:栈(stack).堆(heap).方法区(method area): 2.2.1.栈 栈的特点如下: 1.栈描述的 ...

  5. python之目录结构01

    本文档主要是自己学习巩固以及复习之用,主要写些自己的学习体会! 以下为一个简要的目录构: Foo/ |-- bin/ | |-- foo | |-- foo/ | |-- tests/ | | |-- ...

  6. CPU 相关知识

    参考:https://blog.csdn.net/andy572633/article/details/46834155 lscpu 查看到部分CPU不在线 CPU(s) 4 On-line CPU( ...

  7. save an excel csv to a github csv file

    :%s/\t/,/g

  8. Error: (1061, "Duplicate key name 'makerphoto_user_info_email_380c93a0_uniq'")

    django.db.utils.OperationalError: (1061, "Duplicate key name 'makerphoto_user_info_email_380c93 ...

  9. 什么是cache

    什么是cacheTo minimize the quantity of control information stored, the spatial locality property is use ...

  10. VS Code:4个中文乱码问题及解决方法-转载

    https://www.jianshu.com/p/6a2c21cc07bb   1. 背景   凡是编程软件,特别是国外的软件,都有或多或少的中文乱码问题(毕竟程序都是用英文写的).现提出VS Co ...