前言

  蔓灵花(Bitter)是一个被广泛认为来自印度的APT组织,该组织长期针对我国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感数据,具有较强的政治背景。本次分享一个蔓灵花组织针对巴基斯坦“航空领域”的攻击活动样本。该样本使用名为“PAC Advisory Committee Report.doc”的诱饵文档进行攻击。并且使用一个处于失陷状态的巴基斯坦二手交易网站服务器来下发第二阶段载荷。

样本分析

  初始样本是一个包含CVE-2018-0798漏洞的rtf文档,执行后会访问远程服务器并下载名为 “bd.msi” 的安装程序执行。远程服务器(sbss.com[.]pk)是一个巴基斯坦的二手交易网站,该网站疑似遭遇了入侵,属于失陷状态。

远程msi程序下载地址:“https://sbss[.]com.pk/gts/bd.msi

msi程序执行后会根据安装路径释放一个名为 “Tlntslvclnt.exe” 的下载器:

样本执行后会首先从字符串资源中获取窗口名称(“NewProject_2.1”)与类名(“NEWPROJECT_21”),创建Windows窗口后通过自定义算法解密出回连C2(“subscribe.tomcruefrshsvc[.]com”)等字符串数据。

解密算法为异或运算:

创建工作目录:"C:\Users\admin\AppData\Local\Updates",如果当前目录下不存在 "systemlog" 文件,则表示当前是第一次运行。首次运行时样本会通过进程遍历检测是否存在 “avp” 和 “MsMp” 等杀软进程。

然后在系统启动菜单中创建 “update.lnk” 快捷方式文件,用于持久化。

该快捷方式最终会指向如下工作目录中的文件:“C:\Users\admin\AppData\Local\Updates\update.exe”

在工作目录中创建“systemlog”日志文件,写入字符串数据“aa”,然后将自身拷贝到工作目录重命名为“tmp.exe”,执行自拷贝文件后退出当前进程。

第二次执行:

获取系统名称、用户名、系统版本等敏感数据,按如下格式进行拼接:"计算机名&&user=用户名&&OsI=系统版本"

拷贝自身(“tmp.exe”)到工作目录(update.exe)用于持久化,然后循环获取C2对应IP地址,准备执行核心函数:

进入核心函数后首先与C2服务器进行通讯,URL参数中包含用户名、主机名、系统版本等信息。

URL:“/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php

检测服务器返回数据中是否包含由 “主机名+用户名” 组合而成的字符串。然后通过英文状态的单引号 '"' 从数据包中获取待下载后门程序的名称:

第二次回连C2服务器,获取后门程序。URL:“/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】

判断C2返回数据中是否包含 “ZxxZ” 字符串:

创建后门程序写入PE文件数据:

第三次回连C2服务器,返回成功标识。URL:“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】

第四次回连C2服务器, 根据后门程序执行状态,访问不同URL:“/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】

IOC

MD5:

bf1a905e11f4d44de8bd2e0a6f383ed5

2a8ebefc90feb991e3a1f31b0a61f265

cc7ddf9ed230ad4e060dfd0f32389efb

C2:

sbss.com[.]pk

http://sbss.com[.]pk/gts/bd.msi

https://sbss.com].]pk/gts/bd.msi

URL:

subscribe.tomcruefrshsvc[.]com

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/SzWvcxuer/userlog.php

subscribe.tomcruefrshsvc[.]com/VcvNbtgRrPopqSD/WqeC812CCvU/【后门名称】

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=DN-SZxxZ【后门名称】ZxxZ【主机名+用户名】

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=SZxxZ【后门名称】ZxxZ【主机名+用户名】

/VcvNbtgRrPopqSD/SzWvcxuer/sDeRcEwwQaAsSN.php?txt=RN_EZxxZ【后门名称】ZxxZ【主机名+用户名】

【APT】Bitter APT组织针对巴基斯坦航空综合部门攻击活动分析的更多相关文章

  1. FireEye APT检测——APT业务占比过重,缺乏其他安全系统的查杀和修复功能

    摘自:https://zhidao.baidu.com/question/1694626564301467468.html火眼,APT威胁下快速成长 FireEye的兴起开始于2012年,这时段正好迎 ...

  2. WAF——针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入、XSS跨站、Webshell上传、命令注入、非法HTTP协议请求、非授权文件访问等

    核心概念 WAF Web应用防火墙(Web Application Firewall),简称WAF. Web攻击 针对Web应用发起的攻击,包括但不限于以下攻击类型:SQL注入.XSS跨站.Websh ...

  3. 利用WPS 2012/2013 0day针对中国政府部门的定向攻击

    今天早上,我们捕获到一个利用wps 2012/2013 0day针对中国政府部门的钓鱼邮件定向攻击事件. 邮件发件人以2014中国经济形势解析高层报告组委会 标题发出,附件为包含wps2012 0da ...

  4. 针对Web应用的【攻击模式篇】

    攻击模式:主动攻击.被动攻击. 主动攻击是指攻击者通过直接访问Web应用,把攻击代码传入的攻击模式. 具有代表性的攻击:SQL注入攻击和OS命令注入攻击. 被动攻击是指利用圈套策略执行攻击代码的攻击模 ...

  5. 针对SSL/TLS的拒绝服务攻击以及使用ettercap进行DNS欺骗

    一. thc-ssl-dos 1.简介 (1).SSL 协商加密对性能开销增加,大量握手请求会导致 DOS (2).利用 SSL secure Renegotiation 特性,在单一 TCP 连接中 ...

  6. 【转】针对Android上的ROP攻击剖析

    引言       ROP(Return-oriented programming),即“返回导向编程技术”.其核心思想是在整个进程空间内现存的函数中寻找适合指令片断(gadget),并通过精心设计返回 ...

  7. 针对yarn的8088端口攻击

    参考: https://www.wangbokun.com/%E8%BF%90%E7%BB%B4/2019/09/02/%E6%8C%96%E7%9F%BF%E7%97%85%E6%AF%92.htm ...

  8. [百家号]APT组织简介2019

    5家新APT组织被披露,2019是“后起之秀”的天下? https://baijiahao.baidu.com/s?id=1621699899936470038&wfr=spider& ...

  9. APT组织跟踪与溯源

    前言 在攻防演练中,高质量的蓝队报告往往需要溯源到攻击团队.国内黑产犯罪团伙.国外APT攻击. 红队现阶段对自己的信息保护的往往较好,根据以往溯源成功案例来看还是通过前端js获取用户ID信息.mysq ...

  10. 基于知识图谱的APT组织追踪治理

    高级持续性威胁(APT)正日益成为针对政府和企业重要资产的不可忽视的网络空间重大威胁.由于APT攻击往往具有明确的攻击意图,并且其攻击手段具备极高的隐蔽性和潜伏性,传统的网络检测手段通常无法有效对其进 ...

随机推荐

  1. React使用高阶组件与Hooks实现权限拦截教程

    导读 高阶组件就是接受一个组件作为参数并返回一个新组件(功能增强的组件)的函数.这里需要注意高阶组件是一个函数,并不是组件,这一点一定要注意,本文给大家分享React高阶组件使用小结,一起看看吧 高阶 ...

  2. GNSS模块

    1. Location服务注册 第一个注册是在 SystemServer 中将 location 服务注册到 ServiceManager中去:第二个注册是在 SystemServiceRegistr ...

  3. Delphi 新语法:匿名函数

    这里的新语法一般指Delphi7不支持的语法. 对于比较简单实现,不需要复用,开发者更喜欢在使用时,原地声明,而没有必要单独声明并实现这个方法. 通过关键字reference来定义一个匿名函数. 下面 ...

  4. linux 创建 挂载 ntfs分区

    格式化为ntf分区 先用fdisk创建分区 格式化 mkfs.ntfs -f /dev/sda2 挂载 zxd@x79:~$ cat /etc/fstab# /etc/fstab: static fi ...

  5. IMX6Ull驱动

    mount -t nfs -o nolock,vers=3 192.168.1.117:/home/book/nfs_rootfs /mnt cat /proc/sys/kernel/printk e ...

  6. JSONObject.parseObject syntax error,expect START WITH { OR [,but actually START WITH error

    JSONObject.parseObject syntax error,expect START WITH { OR [,but actually START WITH error解析JSON出现异常 ...

  7. BUUCTF-[极客大挑战 2019]Http

    一道考察http请求头X-Forwarded-For字段和Referer字段User-Agent字段的题目 一.基础知识 X-Forwarded-For(XFF)又名XFF头 1)概述:X-Forwa ...

  8. 四、配置docker MySQL 修改编码,支持 utf8mb4

    docker 获取 mysql 5.7 版本的镜像. 将docker 里面的 3306 端口映射出来,否则虚拟机外,可能无法访问, 创建 docker 镜像 docker run -itd -p 33 ...

  9. golang_nethttp

    package main import ( "encoding/json" "fmt" "log" "net/http" ...

  10. Python学习笔记组织文件之将一个文件夹备份到一个zip文件

    随笔记录方便自己和同路人查阅. #------------------------------------------------我是可耻的分割线--------------------------- ...