欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

一起针对蓄电池等制造企业的“蓄力”APT攻击

来源:本站整理 作者:佚名 时间:2017-07-25 TAG: 我要投稿

2017年7月,腾讯安全反病毒实验室发现了一批行为可疑的邮件,收件方的邮箱地址指向一些欧美大型制造业公司,包括机械制造,生物制药,金属经销商以及蓄电池等企业。邮件类型种类也较丰富,有提醒查看付款账单附件,有通知查收6月份发货单,还有进行询价咨询的邮件。邮件发送时间集中在6月到7月10日之前。

 
经过我们的分析,可以确定这是近期一起针对大型企业的APT攻击,目的是窃取商业方面的机密。并且目前国内已发现中招用户。当中招员工点击邮箱附件的文档后,会触发CVE-2017-0199漏洞。该漏洞下载一个hta文件解密运行,进而下载攻击载荷窃取用户隐私,而攻击载荷可接受66多种指令,进行行为监控。下图展示的就是此次APT事件的攻击过程。

 
技术分析
当用户点击附件后,触发了CVE-2017-0199漏洞,此漏洞是今年 发现的一个较新的OFFICE漏洞。在无需用户交互的情况下,打开word就可以通过 hta脚本执行任意代码。

 
下载hta脚本后,是一个被混淆过得代码。

 
通过字符变换后,解密出来发现此vbs会继续下载一个可执行文件。

 
我们登录到存放服务器的站点,发现可以看到服务器上保存的文件。

 

 

 
这里可以看到ERPVXX.exe是病毒通过vbs将要下载的文件。而 Filr.hta则是word文档利用漏洞首先下载的脚本文件。简单看了其他的文件Fila.hta 与YUZLKK.exe是配套的另外一组,sab1.hta与YKKDNL.exe 是另外一组。而从时间上来看,此次分析的这一组合,上传时间是7月9号,应该是 黑客更新的最新版。对比两个版本的exe,新版本删除了某些远控指令

 
able.vbs文件在后文中介绍。
下载ERPVXX.exe后,继续运行。此PE文件是一个 加壳了的AutoIt的可执行文件。脱壳后,提取其 脚本文件,可以看到还是一个高度混淆的脚本。

 
此类型的混淆方式,是一种通用的AutoIt脚本混淆方法。比较重要的函数有A2700004F2C ,主要作用是16进制与字符转换。而$OS则是 关键的一个变量,这是一个数组,去里面的16进制,然后通过A2700004F2C进行 转换,就可以拼接处可阅读的代码。$OS指向了一个字符串,如下图

 
通过对0×4578数据进行了三次解密,最终看到 $OS指向了一个文件。

 
此文件名是由$A2700004F2Csz_函数返回,对此函数解密后发现会在Temp文件夹下生成一个随机文件名。 去此文件夹下取得文件后,对混淆的代码进行解密,最终 获取到了可阅读的脚本,也是此次攻击的关键所在。

 
此文件非常庞大复杂,里面有判断杀软,上报ip 电脑信息,存储了一个pe文件,接受指令进行监控,心跳等功能 。下图展示了病毒与服务器之间的交互。

 
下图是接受指令进行录音,并将数据上传的 功能:

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载