欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

APT战争中脚本攻击的兵法之道

来源:本站整理 作者:佚名 时间:2019-04-04 TAG: 我要投稿


 
孙子曰:“兵者,国之大事,死生之地,存亡之道,不可不察也。”尽管处于和平年代,网络世界却硝烟弥漫。请你回答以下360安全大脑提供的自测题,看看你能在这场“战争”中“幸存”吗?

以上问题,如果你有一个以上的回答是“是”的话,那么360安全大脑强烈建议你认真学习本文!
有一天,安妹儿做了一个可怕的梦……

这是一起由FIN7组织发起的APT攻击。APT-C-11(Carbanak、FIN7)攻击组织是一个跨国网络犯罪团伙。2013年起,该犯罪团伙总计向全球约30个国家和地区的100家银行、电子支付系统和其他金融机构发动了攻击。
此次攻击中,攻击者把OLE对象图标设置为透明并放置到诱导图片对象的上层,当用户双击图片实际点击的是vbs脚本图标!此诡计正是《孙子兵法》中所言:无形,则深间不能窥,智者不能谋。
安妹儿一下从梦中惊醒,“还好是一场梦呀,但是这样的攻击每天都在发生……”
曾今
APT-C-35组织利用vba宏脚本,使用完整的诱饵文档诱骗目标,导致多个商务人士办公设备沦陷。
APT-C-06组织利用vbs脚本漏洞触发shellcode,使用powershell脚本安装后门,导致某机构中招。
APT-C-12组织在LNK文件中设下圈套,利用powershell脚本窃取电脑敏感文件。
… … 等等
360安全大脑发现越来越多的黑客更加倾向于在APT(Advanced Persistent Threat)攻击中利用可执行脚本进行恶意攻击。
 
【脚本攻击特点】
可执行脚本(主要包括但不限于vbs、js、powershell、vba、bat等类型)为何被APT组织频繁使用呢?
环境适应性强。
APT攻击中利用的脚本一般不需要考虑环境、版本差异,基本可以依赖宿主系统自带的组件执行。比如vbs脚本,系统默认会调用wscript组件解析执行。
隐蔽性高。
攻击脚本能够以非磁盘文件的方式在系统中驻留,增强了自身的隐蔽性。比如APT29攻击组织曾使用系统提供的WMI(Windows Management Instrumentation)功能和powershell脚本相结合的方式来实现本地无文件的持久化后门。
脚本语言灵活性高,功能多样,静态检测难度大。
脚本语言类型众多且灵活性高,既能实现跟PE一样的各种功能,比如文件下载、RAT等,又能叠加复杂的加密、混淆,导致杀毒引擎的静态查杀难度大。
脚本开发成本和周期短,开源项目的利用门槛低。
脚本文件可读性高,开源攻击脚本项目众多,有些只需要更改脚本的远控C&C,混淆后就可以投递。摩柯草组织就曾使用过开源的Invoke-Shellcode.ps1脚本进行攻击。
攻击脚本投放形式多样。
攻击脚本(js、vbs、powershell)既可以直接运行,也可以嵌入网页、lnk文件、Office文档载体中运行。APT攻击者特别喜欢将vba宏代码嵌入Office文档中,再精心构造文档名,结合鱼叉或水坑等攻击方式进行传播,极具欺骗性,很多用户中招。
用户对脚本攻击的防范意识差。
用户通常对可执行程序的防范意识较强,但是对于脚本攻击却知之甚少。在运行诸如sct、ps1等恶意脚本时,用户往往不会产生警惕心理,很容易中招。
孙子曰:“知己知彼,百战不殆”。鉴于越来越多的APT组织选择脚本来作为攻击载荷,360安全大脑总结出几种APT战争中使用脚本的经典“兵法”。
 
【攻守相辅,进退自如】
APT-C-17攻击行动最早可以追溯到2013年1月,主要针对航空航天领域,目的是窃取目标用户敏感数据信息。
下图为APT-C-17攻击行动中下载的某个脚本文件的部分内容:

其实下载的完整脚本主要包括两部分类型,一是js脚本,内容为加密后的PE;二是vbs脚本,这部分内容主要是通过解密js脚本中的数据写入注册表,后调用powershell解密为数据文件cmpbk32.dll、cliconfig32,然后通过系统程序cmdl32.exe加载cmpbk32.dll,该dll会加载cliconfig32,最终加载的cliconfig32为蠕虫病毒。
脚本文件除了攻击动作以外,还实现了防御功能。其在调用powershell执行解密操作时,会检测是否存在”360Tray”进程,比较有意思的是,它只检测了360,没有检测其他杀软了。

 
【攻其无备,出其不意】
黄金鼠组织(APT-C-27)从2014年11月开始针对叙利亚进行了长时间的攻击,在攻击后期使用了大量的vbs/js脚本,并且脚本经过大量混淆,需要多次进行解密。下图为其中一个vbs脚本的部分代码。

将代码去混淆解密后,得到主要代码。

该vbs脚本主要功能是与C&C进行通信,不再是简单的下载文件,而是具备完整的后门功能。PE文件的执行权限被杀毒软件严防死守,采用纯脚本实现与PE一样的远控功能,独辟蹊径,出其不意。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载