欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对意大利政坛的Pistacchietto网络攻击行动

来源:本站整理 作者:佚名 时间:2019-03-15 TAG: 我要投稿

过去几周,一起新的网络威胁行动搅乱了意大利政坛,该行动被称为“Pistacchietto行动”,Pistacchietto这个名字来自Github上一个疑似涉及此次行动的账户名。研究人员在对该行动初步研究后表示,攻击者似乎是意大利人,因为从文件名和脚本中发现的一些意大利单词(“pistacchietto”、“bonifico”等)可以证明这一点。

图1.服务器所在地。
经过初步分析,Cybaz-Yoroi ZLAB实验室发现该行动有一些独到之处,TTP(Tactics、Techniques、Procedures战术、技术和过程)中也有一些有趣的地方,因此决定进一步挖掘更多与这个神秘黑客相关的样本信息。
技术分析
样本有一定复杂性,它由多个特定的恶意软件组成,目的是攻击电脑和手机等不同的设备。在接下来的几节中,我们将根据样本的体系结构分析其中的一些恶意软件。
MS Windows样本
攻击始于一个简单的伪Java页面,欺骗用户单击链接以更新Java版本。

图2.伪造的更新页面。
更新提示中,显示的要下载的文件名为“window-update.hta”,点击下载后却是一个.bat文件。

将这个.bat文件上传到VirusTotal后,发现它的检出率非常低:只有4个反恶意软件能够检测到它。

图3.初始BAT dropper的检出率。
win.bat文件的源码乍看之下像是由一个脚本小子编写的,因为它含有大量的注释,不过也可能只是一个初稿。该脚本由两部分组成:第一部分负责查询用户的管理权限,第二部分旨在下载其他组件并使用Windows任务调度程序(schtasks)设置持久性。如图所示,第一部分与从Github公共存储库中检索到的代码片段对比如下:

图4.样本代码与Github上发现的代码比较。
第二部分则会检查机器架构,进而下载相应的组件,包括:
· 要执行的新操作的文本文件,来自config01.homepc[. /svc/wup.php?pc=pdf_%computername%
· Windows的NETCAT实用程序,来自config01.homepc[. /win/nc64.exe和config01.homepc[. /win/nc.exe]
· Windows的WGET实用程序,来自config01.homepc[. /win/ WGET .exe和config01.homepc[. /win/wget32.exe
其他恶意组件则来自下列地址:
· config01.homepc[.it/win/get.vbs
· config01.homepc[.it/win/sys.xml
· config01.homepc[.it/win/syskill.xml
· config01.homepc[.it/win/office_get.xml
· config01.homepc[.it/win/woffice.exe
· config01.homepc[.it/win/init.vbs
· config01.homepc[.it/win/winsw.exe

图5.BAT dropper的部分代码。
在代码片段中,有许多经过注释的URL路径,这说明恶意软件仍处于尚未完善的阶段。而在我们的分析期间,此bat文件和一些其他构件也在不断的被更改,比如添加/删除代码行,更改变量名称等,但是服务器URL和通用行为是不变的。这些改动,即使能证明与攻击者的测试用例相关,也会使反恶意程序始终无法检测到文件,因为它的签名每次都在变化。
其他一些以注释方式嵌入到脚本中的URL是:
· hxxps: / / github [.com/pistacchietto/Win-Python-Backdoor/raw/master
· hxxp:/ / verifiche.ddns[.net/ { some_files }
检查存储库时,我们发现一些组件也托管在了config01.homepc [.it / win / location中,因此攻击者可能只是在开发阶段使用该平台,而config01.homepc.it则是真正“生产”恶意软件的服务器。第二条URL——verifiche.ddns [.net在写入时似乎关闭了,它可能是以前旧版本的恶意软件或未来版本中使用的服务器。
下载所有组件后,批处理脚本会将大部分组件植入%windir%文件夹,并且将其中一个核心组件植入C:\ Program Files \ Windows Defender中,之后该脚本通过schtasks注册一些自动任务,以便定期启动恶意组件。

图6.安排后门执行的说明。
下一节将简要分析这些恶意文件。
样本“office_get.xml”

该样本是一个简单的XML文件,定义新计划任务的配置。使用此配置文件创建的任务,其唯一目的是定期执行位于C:\ WINDOWS \ get.vbs中的VisualBasic脚本。

图7.命令嵌入到XML文件中。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载