欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

蓝宝菇(APT-C-12)针对性攻击技术细节揭秘

来源:本站整理 作者:佚名 时间:2018-07-17 TAG: 我要投稿

360公司在2018年7月5日首次对外公开了一个从2011年开始持续近8年针对我国政府、军工、科研、金融等重点单位和部门进行网络间谍活动的高级攻击组织-蓝宝菇(APT-C-12),该组织的活动在近几个月内呈现非常活跃的状态。本文作为前期组织揭露报告的补充,详述蓝宝菇组织在近期攻击活动的技术细节,希望安全业界了解其攻击手法共同完善拼图,输出防御方案联合起来对抗这个国家级的威胁。
鱼叉邮件
2018年4月以来,360安全监测与响应中心和360威胁情报中心在企业机构的协同下发现了一批针对性的鱼叉攻击,攻击者通过诱导攻击对象打开鱼叉邮件云附件中的LNK文件来执行恶意PowerShell脚本收集上传用户电脑中的敏感文件,并安装持久化后门程序长期监控用户计算机。该攻击过程涉及一些新颖的LNK利用方式,使用了AWS S3协议和云服务器通信来偷取用户的敏感资料,在此我们分析并公开整个攻击过程。
360威胁情报中心确认多个政企机构的外部通信邮箱被投递了一份发自boaostaff[@]163.com的鱼叉邮件,钓鱼邮件仿冒博鳌亚洲论坛向攻击对象发送了一封邀请函:

邮件附件被放到163的云附件里,此附件即为攻击者的恶意Payload,这是一个通过RAR打包的快捷方式样本。接下来我们对同一波攻击中的另一个完全相同功能的样本进行详细分析,以梳理整个攻击过程。
附件内容如下:

一旦攻击对象被诱导打开该LNK快捷方式文件,LNK文件便会通过执行文件中附带的PowerShell恶意脚本来收集上传用户电脑中的敏感文件,并安装持久化后门程序长期监控用户计算机。
样本分析
Dropper
附件压缩包内包含一个LNK文件,名字为:《政法网络舆情》会员申请.lnk,查看LNK文件对应的目标如下:

可以看到目标中并没有任何可见字符,使用二进制分析工具查看LNK文件可以看到PowerShell相关的字符串,以及很多Unicode不可见字符:

通过分析LNK文件格式中几个比较重要的结构,完整还原出样本真实执行的恶意目标,其中涉及3个LNK文件格式的重要结构:LinkTargetIDList、COMMAND_LINE_ARGUMENTS和EnvironmentVarableDataBlock。
l LinkTargetIDList,该结构是一个数组,用于标记具体的快捷方式的链接目标,而样本中多个LIST里的元素拼接起来才是快捷方式的具体链接目标:
CLSID_MyComputer\C:\Windows\system32\windOW~1\V1.0\POwersHELl.exe
通过调试可以看到目标路径和LinkTargetIDList拼接出来的结果一致:

l COMMAND_LINE_ARGUMENTS,该选项为目标程序的参数

样本中的目标程序参数则为具体需要执行的PowerShell恶意代码,另外由于在参数中包含了大量的不可显示Unicode字符,从而导致右键打开快捷方式时目标中并不会包含对应的PowerShell代码:

l EnvironmentVarableDataBlock,当链接目标程序涉及到环境变量时会使用

该值设置后会导致具体的快捷方式中的目标被设置为对应的EnvironmentVarableDataBlock值,但是需要注意的是,样本中EnvironmentVarableDataBlock对实际的程序调用并不起作用(删除并不影响最终的样本启动),最终Shell32.dll靠解析LInkTargetIDList数组来启动PowerShell。
Payload(PowerShell脚本)
解密PowerShell脚本
将LNK文件指向执行的PowerShell脚本解密,该PowerShell命名为ps_origin,代码如下:
PowerShell脚本会定位执行LNK文件的最后一行,文件的最后一行如下:

文件最后一行经过Base64编码,解码后的数据为[压缩包+PowerShell脚本]的形式:


将最后的PowerShell脚本解密后如下(名称为ps_start):

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载