白癜风怎么治疗 http://m.39.net/pf/a_7064742.html刺向巴勒斯坦的致命*针——双尾蝎APT组织的攻击活动分析与总结封面-pic1一.前言
双尾蝎APT组织(又名:APT-C-23),该组织从年5月开始就一直对巴勒斯坦教育机构、*事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在年的时候其攻击活动被企业安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。
攻击平台主要包括Windows与Android:
其中针对windows的平台,其比较常见的手法有投放带有"*.exe"或"*.scr"文件后缀的释放者文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的侦查者(Recon).持久存在的方式也不 ,一般通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦查者会收集当前机器的相关信息包含(系统版本,计算名,杀*软件信息,当前文件所在路径,恶意软件当前版本),以及其解析C2的回显指令,并执行.比如:远程shell,截屏和文件下载。
同时根据别的安全厂商的报告,我们也得知该组织拥有于攻击Android平台的组件,拥有定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情报信息;PC端后门程序功能包括收集用户信息上传到指定服务器的功能、远程下载文件能力.
近日checkpoint安全厂商披露了该组织自导自演,给以色列士兵手上安装恶意软件的攻击活动.可以从中看出该团伙的攻击设计之巧妙,准备之充分。但 结果还是被以色列给反制了一波............
Gcow安全团队追影小组于.12月初开始监测到了双尾蝎APT组织通过投递带有诱饵文件的相关可执行文件针对巴勒斯坦的部门进行了相应的攻击活动,这些诱饵文件涉及教育,科技,*治等方面的内容,其攻击活动一直持续到了.2月底.追影小组对该组织进行了一定时间的追踪.遂写成此报告还请各位看官欣赏.
二.样本信息介绍以及分析1.样本信息介绍
在本次双尾蝎APT组织针对巴勒斯坦的活动中,Gcow安全团队追影小组一共捕获了14个样本,均为windows样本,其中12个样本是释放诱饵文档的可执行文件,2个样本是带有恶意宏的诱饵文档
.12——.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2
在这12个可执行文件样本中,有7个样本伪装成pdf文档文件,有1个样本伪装为word文档文件,有2个样本伪装为rar压缩文件.有2个样本伪装成mp3,mp4音频文件
.12——.2双尾蝎APT组织针对巴勒斯坦所投放可执行文件样本的样本类型占比图-pic3
在这14个Windows恶意样本中,其诱饵文档的题材,*治类的样本数量有9个,教育类的样本数量有1个,科研类的样本数量有1个,未知类的样本数量有3个(注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容)
.12——.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4
现在各位看官应该对这批双尾蝎组织针对巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的,这里Gcow安全团队追影小组持该组织主要是攻击巴勒斯坦的观点,若各位看官有更多的证据,欢迎联系我们团队.注意:这里只是一家之言,还请各位看官须知。
那下面追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。注意:因为其他样本的主要逻辑是相同的,所以没有必要枉费笔墨
2.样本分析(1).DefinetheInternetingovernmentinstitutionsa.样本信息样本DefinetheInternetingovernmentinstitutions_pdf.exe文件信息(表格)-pic5样本DefinetheInternetingovernmentinstitutions_pdf.exe文件信息(图片)-pic6b.样本分析
通过对样本的分析我们得知了该样本是兼具释放者(Dropper)与下载者(Downloader)的功能,其释放者(Dropper)主要是用以释放诱饵
文档加以伪装以及将自身拷贝到%ProgramData%目录下,并且生成执行该文件的快捷方式并且释放于自启动文件夹下,而下载者(Downloader)
部分主要是通过进行信息收集以及等待C2给予的回显,主要功能有:远程shell,文件下载,屏幕截屏
i.释放者(Dropper)部分:
通过FindResource函数查找名称为:MyData的资源
FindResource函数查找MyData资源-pic7
通过LoadResource函数加载该资源
LoadResource函数加载资源-pic8
通过LockResource函数锁定资源并且获取资源在内存的地址
LockResource函数锁定资源-pic9
通过SizeOfResource函数通过获取资源的地址计算该资源的长度
SizeOfResource函数获取资源长度-pic10
通过CreateFile函数在%temp%目录下释放诱饵PDF文档DefinetheInternetingovernmentinstitutions.pdf
CreateFile函数创造诱饵PDF文档-pic11
通过WriteFile函数将PDF源数据写入创建的诱饵文档内
诱饵PDF文档源数据-pic12WriteFile函数将PDF文档源数据写入诱饵PDF文档中-pic13
通过ShellExecute函数打开PDF诱饵文档,以免引起目标怀疑
ShellExecute函数打开诱饵PDF文档-pic14
其PDF诱饵文档内容如图,主要关于其使用互联网的*治类题材样本,推测应该是针对*府部门的活动
诱饵PDF文档原文以及翻译-pic15
同时利用CopyFileA函数将自身拷贝到%ProgramData%目录下并且重命名为SyncDownOptzHostProc.exe
CopyFile函数拷贝自身文件并重命名为SyncDownOptzHostProc.exe-pic16
利用CreateFilewW函数在自启动文件夹下创造指向%ProgramData%\SyncDownOptzHostProc.exe的快捷方式SyncDownOptzHostProc.lnk
利用CreateFileW函数创造指向后门文件的快捷方式-pic17指向后门文件的快捷方式于自启动文件夹下-pic18ii.下载者(Downloader)部分:
通过CreateFile函数创造%ProgramData%\GUID.bin文件,内部写入对应本机的GUID.当软件再次运行的时候检查自身是否位于%ProgramData%文件夹下,若不是则释放pdf文档。若是,则释放lnk到自启动文件夹
生成GUID码-pic19创造GUID.bin文件并将生成的GUID码写入-pic20①.信息收集
1.收集当前用户名以及当前计算机名称,并且读取GUID.bin文件中的GUID码
收集username和
转载请注明:http://www.balesitana.com/btfz/5776.html
当前位置: 巴勒斯坦 > 巴勒斯坦发展 > 刺向巴勒斯坦的致命*针双尾蝎APT组
