欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

APT战争中脚本攻击的兵法之道

来源:本站整理 作者:佚名 时间:2019-04-04 TAG: 我要投稿
 
【兵贵神速,以快制胜】
海莲花(APT-C-00)组织主要针对中国政府、科研院所和海事机构等重要领域发起攻击。相关攻击行动最早可以追溯到2011年,期间不仅针对中国,同时还针对其他国家发起攻击。该组织大量使用水坑式攻击和鱼叉式钓鱼邮件攻击,攻击不限于Windows系统,还针对其他非Windows操作系统,相关攻击至今还非常活跃。该组织也善于使用powershell代码。
该组织使用的某powershell代码是开源的项目DKMC的一部分exec-sc.ps1。
该脚本利用powershell提供的机制调用Win32 API来完成shellcode的加载执行。
①首先获取Microsoft.Win32.UnsafeNativeMethods类,通过该类的GetMethod方法获取GetProcAddress函数并进一步获取特定Dll中的特定函数。

②通过System.Runtime.InteropServices调用通过①获取的Win32函数来实现shellcode的加载及执行。

而且该脚本根据指针大小为4还是8来判断操作系统是32位还是64位,方便进行适配。

只需替换该项目的shellcode,然后混淆进行投递即可。兵贵神速,开源脚本项目经过简单的修改就可以投入使用,从而大大缩短攻击样本的开发成本和周期,可以快速出击,借势成事。
 
【兵无常势,因敌而变】
APT-C-20组织,又称Pawn Storm、Sofacy、Sednit、FancyBear和Strontium(中文通常会翻译成魔幻熊)。该组织相关攻击时间最早可以追溯到2007年,主要目标包括国防工业、军队、政府组织和媒体,被怀疑和俄罗斯政府有关,在APT 28攻击过程中,会使用大量0day漏洞,其所使用的恶意代码除了针对Windows、Linux等PC操作系统,还会针对苹果iOS等移动设备操作系统。近年来,该组织也常使用加密vba宏代码进行攻击。
如下是APT-C-20组织利用恶意vba脚本进行攻击,通过钓鱼邮件携带附件的方式进行传播。打开附件会看到宏代码被禁用(这里每个用户设置不一样会有所区别),如若点击选项中的“启用此内容”,电脑就会执行宏代码。

但是分析宏代码时,发现宏代码会加密保护,如下图所示:

加密保护的宏代码,可以使用开源软件OLEtools目录中的OLEvba3进行解密。

解密后脚本的主要功能是从表格中取出加密的PE文件,然后加载执行最终的RAT载荷。

特别需要注意的是Office软件的宏功能在macOS上也能良好运作。360安全大脑曾捕获到跨平台攻击样本“双子星”,该样本使用宏内建的预定义语法兼容了Windows和macOS两种操作系统。相较于直接执行各类脚本进行攻击,将脚本嵌入载体投放的攻击方式则更具变化性的和欺骗性。依据攻击目标,选取不同的载体,不同的脚本,不同的场景,千变万化,防不胜防。
 
【防御建议】
道路千万条,安全第一条。防御不到位,亲人两行泪。
面对有高深谋略的APT脚本攻击,广大用户除了需要提高对脚本攻击的防御意识,更要掌握好360安全大脑给出的几条实用“锦囊妙计”:
第一计:不要随便打开陌生人发来的邮件中的文档;
第二计:安装360安全卫士;
第三计:及时更新系统和浏览器补丁;
第四计:文件显示后缀(具体步骤:我的电脑→“组织”菜单下拉选项→“文件夹和搜索”选项→“查看”选项卡→取消勾选“隐藏已知文件类型的扩展名”);
第五计:Outlook软件关闭附件预览功能;
第六计:Office不要设置默认允许所有宏代码执行。
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载