“奇幻熊”(APT28)组织最新攻击

FreeBuf002018-02-15 23:02:23

近日腾讯御见威胁情报中心在监测Fancy Bear“奇幻熊”组织的攻击活动过程中,发现了其使用的最新攻击样本。下文将详细披露该组织的攻击手法,和各企业一起共同抵御此类高级攻击。

0x1 概况

“奇幻熊”(Fancy Bear,T-APT-12)组织,也被称作APT28, Pawn Storm, Sofacy Group, Sednit或STRONTIUM,是一个长期从事网络间谍活动并与俄罗斯军方情报机构相关的APT组织,从该组织的历史攻击活动可以看出,获取国家利益一直是该组织的主要攻击目的。据国外安全公司报道,该组织最早的攻击活动可以追溯到2004年至2007年期间。

“奇幻熊”(APT28)组织最新攻击(图1:攻击活动时间轴)

腾讯御见威胁情报中心近日检测到该组织利用英国信息服务提供商IHS Markit公司的邮箱账号向罗马尼亚外交部发送钓鱼邮件进行定向攻击。在攻击技术利用方面,该组织使用了最新的白利用技术,白利用程序为证书管理程序certutil.exe。此外,该组织还使用了最新的后门技术,利用UserInitMprLogonScript注册表键值来实现开机自启动。本次攻击中使用的木马为Carberp银行木马的变种,在隐藏网络行为及保护胜利果实方面做出了优化。此前,该组织也曾使用钓鱼邮件及Carberp变种木马对美国政府机构进行攻击。

“奇幻熊”(APT28)组织最新攻击(图2:攻击流程图)

0x2 荷载投递

此次攻击使用了钓鱼邮件进行定向攻击,诱饵邮件主题为《Upcoming Events February 2018》,邮件附件名Upcoming Events February 2018.xls,邮件内容如下图所示。当打开邮件附件中的excel表格时,会发现表格中大部分内容为空,同时会弹出“启用宏”的醒目提示。

“奇幻熊”(APT28)组织最新攻击

(图3:邮件内容)

“奇幻熊”(APT28)组织最新攻击

(图4:启用宏的提示及表格内容为空)

“奇幻熊”(APT28)组织最新攻击

(图5:启用宏后,表格内容显示出来)

一旦点击“启用内容”按钮,电脑就会执行宏代码。分析宏代码时,发现代码被加密保护,破解密码后,可看到宏代码的主要功能是从表格中取出加密的pe文件,再利用微软的签名程序certutil.exe解密此pe文件,最后再执行此解密的pe文件。

“奇幻熊”(APT28)组织最新攻击

(图6:分析宏代码时,弹出输入密码的提示)

“奇幻熊”(APT28)组织最新攻击

(图7:宏代码,功能解释)

“奇幻熊”(APT28)组织最新攻击

(图8:宏代码,功能解释)

“奇幻熊”(APT28)组织最新攻击

(图9:表格中存储的base64加密的pe文件)

上文表格中存储的base64加密的pe文件,会被宏代码存储为N9A6C5T3.txt文件,之后宏代码会利用微软的签名程序certutil.exe对释放的N9A6C5T3.txt(文件名随机生成)文件进行base64解密从而得到木马exe,解密时命令行为”certutil -decode C:\Programdata\N9A6C5T3.txt C:\Programdata\C3E4U3B1.exe”

“奇幻熊”(APT28)组织最新攻击

(图10:释放的文件)

c3e4u3b1.exe执行后会释放cdnver.dll和cdnver.bat到“C:\Users\Administrator\AppData\Local”目录,接着会修改UserInitMprLogonScript注册表的键值为“C:\Users\Administrator\AppData\Local\cdnver.bat”,从而实现开机自启动。 修改完注册表后会利用rundll32.exe 来执行cdnver.dll,命令行为”C:\Windows\System32\rundll32.exe” “C:\Users\Administrator\AppData\Local\cdnver.dll”,#1

“奇幻熊”(APT28)组织最新攻击

(图11:bat中的内容)

“奇幻熊”(APT28)组织最新攻击

(图12:修改的注册表)

0x3 RAT分析

木马的主要功能都集中在cdnver.dll中,此功能主要包括信息收集、上传与下载文件、下载与执行pe、截屏等。在此dll的导出函数cdnver_1中会创建一个线程,木马的主要功能都是从此线程开始。

“奇幻熊”(APT28)组织最新攻击

(图13:导出函数cdnver_1)

Pe中的关键明文字符串同样使用了简单的异或算法加密。

“奇幻熊”(APT28)组织最新攻击

(图14:字符串解密函数)

木马运行后会创建名为“vgekW8b1st6yjzPA9fewB70o7KC” 的互斥对象,还会创建名为“SNFIRNW” 的FileMap对象,方便后续进行进程间通信。在读写FileMap对象时,会对tag进行验证,主要tag有0x1234ABCD、0x0DCBA4321、0x98761234、0x43216789

“奇幻熊”(APT28)组织最新攻击

(图15:创建互斥对象)

“奇幻熊”(APT28)组织最新攻击

(图16:FileMap对象)

“奇幻熊”(APT28)组织最新攻击

(图17:进程间通信时验证tag)

该木马配置了两个c2地址,一真一假,第一个c2的域名为”google.com”。第二个c2为“cdnverify.net”,在传输数据中途会不断地切换两个c2,从而达到隐藏通信的目的。如果通信失败,还会将自身注入进firefox.exe或iexplore.exe等浏览器进程,直接在这些进程里将收集的信息上传到c2,木马还会将c2信息加密后存储在注册表下HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Servers的Domain项中。

“奇幻熊”(APT28)组织最新攻击

(图18:解密出两个c2)

“奇幻熊”(APT28)组织最新攻击

(图19:存储c2)

在通信过程中会读取firefox的配置文件prefs.js中的“network.proxy.http”和”network.proxy.http_port”字段来获取本地代理的地址,进而方便将收集的信息成功传送出去。

“奇幻熊”(APT28)组织最新攻击

(图20:从profiles.ini中获取prefs.js文件的路径)

“奇幻熊”(APT28)组织最新攻击

(图21:查找prefs.js中的proxy相关字段)

注入dll时先使用ZwWriteVirtualMemory等函数将pe文件写进目标进程,再创建远线程将注入dll依赖的dll全部加载,最后再创建远线程开启进程间通信功能。

“奇幻熊”(APT28)组织最新攻击

(图22:注入)

在查找待注入的进程时,直接比较的是进程名的hash值,而不是直接的明文字符串。

Hash进程名
0x0CDCB4E50iexplore.exe
0x70297938firefox.exe
0x723F0158hChrome.exe

“奇幻熊”(APT28)组织最新攻击

(图23:根据进程名hash值进行查找)

该木马会使用HttpSendRequestA等函数进行网络发包,在发上线包时会将当前所有进程名及计算机截屏等信息上传。截屏时使用模拟printscreen按键进行截屏,再从剪贴板取出图像数据。

“奇幻熊”(APT28)组织最新攻击

(图24:发包)

“奇幻熊”(APT28)组织最新攻击

(图25:截屏)

在进行发包时,会将收集的内容存储在“disk”、“ build”、“img”、“id”等标签中,主要标签如下表所示,之后进行加密后,再随机生成url后进行post发包。

标签名含义
ID硬盘序列号,dword
disk磁盘名称
build木马版本号0x9104f000
Img加密成字符串后的截屏bmp文件

“奇幻熊”(APT28)组织最新攻击

(图26:http发包时的明文协议)

“奇幻熊”(APT28)组织最新攻击

(图27:http发包时的明文协议)

“奇幻熊”(APT28)组织最新攻击

(图28:发包时使用的相关标签)

“奇幻熊”(APT28)组织最新攻击

(图29:抓包数据,url为随机生成)

木马使用InternetReadFile函数来接收服务器下发的指令,解密后再进行解析。指令标签主要有Execute、Delete、LoadLib、ReadFile、shell、FileName、PathToSave、Rundll、IP等。

“奇幻熊”(APT28)组织最新攻击

(图30:接收协议)

“奇幻熊”(APT28)组织最新攻击

(图31:服务器response中存在的内容)

“奇幻熊”(APT28)组织最新攻击

(图32:服务器response中存在的内容)

“奇幻熊”(APT28)组织最新攻击

(图33:根据服务器下发的指令创建进程)

0x4 总结

从上文可以看出,此次攻击未使用主流的offfice漏洞,反而使用了office固有的宏技术,但该组织在诱饵制作、诱饵投递、胜利果实回收方面,确实下了一番功夫。目前,腾讯御界高级威胁检测系统基于腾讯反病毒实验室的安全能力,依托腾讯在云和端的大数据,形成了强大且独特的威胁情报和恶意检测模型,凭借基于行为的防护和智能模型两大核心能力,能高效检测未知威胁,并实时阻拦此类钓鱼邮件、恶意宏文档、证书管理程序白利用等攻击方式。

“奇幻熊”(APT28)组织最新攻击

附录(IOCs)MD5:56F98E3ED00E48FF9CB89DEA5F6E11C1 (Upcoming Events February 2018.xls)36524C90CA1FAC2102E7653DFADB31B2(C3E4U3B1.exe)4FD196D9ADD7194E27C2591D30E3A90A(cdnver.bat)2361181C5D9A15EC3D5249DE1985B83D(N9A6C5T3.txt)AA2CD9D9FC5D196CAA6F8FD5979E3F14(cdnver.dll)C2:cdnverify.net151.80.74.167Email:

events@ihsmarkit.com(发信邮箱)

注册表项:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Servers HKEY_CURRENT_USER\Environment\UserInitMprLogonScript

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

“奇幻熊”(APT28)组织最新攻击

0次点赞

  • 支付宝二维码

    用支付宝扫一扫打赏

  • 微信二维码

    用微信扫一扫打赏

  • IDC发布2018年中国制造业十大预测IDC发布2018年中国制造业十大预测全球技术地图创新丨前沿丨科普丨资讯日前,IDC发布了《IDC FutureScape:全球制造业2018预测——中国启示》,报告描述了中国制......

    全球技术地图

    2

    0

    7 天前 20:02:19

  • 与英伟达和英特尔竞争:传亚马逊为Echo定制AI芯片与英伟达和英特尔竞争:传亚马逊为Echo定制AI芯片据美国科技媒体The Information报道,亚马逊已经开始设计定制人工智能芯片,将用于未来的Echo设备,并提升Alexa语音助手的品......

    芯师爷

    0

    0

    7 天前 20:02:19

  • 汉语拼音版勒索病毒现身 解锁需加QQ汉语拼音版勒索病毒现身 解锁需加QQ相信大家对于勒索病毒十分熟悉,但有些不幸遭遇到勒索病毒的用户想要缴纳赎金的时候发现,不仅要阅读英文介绍,还要支付比特币。英文问题可以通过翻译......

    系统之家

    0

    0

    7 天前 20:02:18

  • 波士顿动力新年视频第一发,机器人狗能为朋友开门了!波士顿动力新年视频第一发,机器人狗能为朋友开门了!来源:36氪概要:波士顿动力公司的那只黄色机器人狗SpotMini,你还记得吗?波士顿动力公司的那只黄色机器人狗SpotMini,你还记得吗......

    人工智能学家

    0

    0

    7 天前 20:02:18

  • 2017网安全局态势报告丨大东话安全2017网安全局态势报告丨大东话安全编者按:网络空间安全近年来日渐成为公众关注的焦点,中科院之声特意邀请业内专家“大东”开设“大东话安全”专栏,为大家介绍网络空间安全的方方面面......

    中科院之声

    1

    0

    7 天前 18:02:16

  • CSMOCHANNEL一分钟资讯0213CSMOCHANNEL一分钟资讯0213戳蓝字关注我们哦!1.阿里巴巴发布ET奥运大脑阿里巴巴在现场带来了“云上奥运”的理念,并面向全球发布了基于阿里云的ET奥运大脑。它是面向奥运......

    CSMO创新资讯

    2

    0

    7 天前 18:02:13

  • 用友云:面向企业级应用的与众不同的云用友云:面向企业级应用的与众不同的云从财务软件、ERP软件到发布全新的用友云并上线运营,用友致力于云的转型,带动了业务的高速增长在原有管理软件业务保持增长的同时,2017年用友......

    DOIT

    1

    0

    7 天前 18:02:10

  • 速览|供商资讯(智能硬件与软件)速览|供商资讯(智能硬件与软件)电器微刊行业|深度|视角 Nordic nRF91低功耗蜂窝IoT易于实现蜂窝2018年2月1日,Nordic Semicondu......

    电器微刊

    1

    0

    7 天前 18:02:10

  • 34页PPT解读国家大数据标准34页PPT解读国家大数据标准2017年,我国大数据产业保持高速发展态势,各级政府和企业大力推进,技术创新取得明显突破,大数据应用推进势头良好。展望2018年,大数据产业......

    中国城市中心

    1

    0

    7 天前 17:03:35

  • 想要3D打印又讨厌3D建模过程?交给人工智能技术吧想要3D打印又讨厌3D建模过程?交给人工智能技术吧很多制造商现在都已经开始使用人工智能工具了,可以在不需要事先3D建模的情况下自动完成3D打印部件的设计过程。这就意味着有了人工智能技术的加入......

    3D打印智造网

    1

    0

    7 天前 17:03:31

  • 2018.02.13 | 每日资讯播报2018.02.13 | 每日资讯播报  戳语音,听资讯,享最新动态每日资讯播报20180213来自中国联通微学堂今日头条SK电讯成功进行5G移动基站和虚拟平台联动实验......

    中国联通微学堂

    3

    0

    7 天前 16:02:17

  • 烽火中标2018年中国移动智能家庭网关集采烽火中标2018年中国移动智能家庭网关集采“ 近日,中国移动公布了2018年智能家庭网关集采公开招标结果,烽火中标累计份额超过20%,排名第二。”此次集采的主要产品为类型三智能家庭网......

    飞象网

    1

    0

    7 天前 16:02:16

  • 物联网将去向何方?深度解析2018年四大最热门趋势物联网将去向何方?深度解析2018年四大最热门趋势2017年,物联网技术为传统行业带来了变革的风声和兴奋的议论。这是一场实质性的转变。我们已经能够看到,几乎所有的行业都在投资物联网,而且其中......

    九一智库

    1

    0

    7 天前 15:02:21

  • 腾讯研究院2018新春书单:最值得读的12本书腾讯研究院2018新春书单:最值得读的12本书在这个即将放飞自己的时刻,腾讯研究院为你准备了最值得收藏的一份书单。书单上的每一本书都来自研究院内部研究员的推荐,他们结合自己对过去一年的观......

    腾讯研究院

    0

    0

    7 天前 14:03:03

  • VR之父杰伦·拉尼尔:如何看待VR的未来VR之父杰伦·拉尼尔:如何看待VR的未来虚拟现实(VR)是什么?技术先锋杰伦·拉尼尔(Jaron Lanier)在21个章节、三个附录中给出了52个定义。有些颇有极客色彩:“一种媒......

    电子产品世界

    3

    0

    8 天前 13:02:39

  • 新加坡通过《网络安全法案》,违者罚款10万或两年监禁新加坡通过《网络安全法案》,违者罚款10万或两年监禁更多全球网络安全资讯尽在E安全官网www.easyaq.comE安全2月13日讯 新加坡国会2018年2月5日通过《网络安全法案》,这项法案......

    E安全

    2

    0

    8 天前 13:02:37

  • 【视频】不容错过的2018年云创大数据拜年VCR!【视频】不容错过的2018年云创大数据拜年VCR!云创大数据全体员工向您拜年!祝大家好运连连,狗年旺旺旺!点击下方“阅读原文”了解科技头条APP↓↓↓......

    云创大数据

    1

    0

    8 天前 13:02:36

  • 仅用一台计算机就可DDoS掉任何WordPress网站仅用一台计算机就可DDoS掉任何WordPress网站好像嫌WordPress站点攻击方法还不够多似的,名为巴拉克·塔维利的以色列研究人员公布了仅用一台计算机就可对WordPress站点发起拒绝......

    安全牛

    2

    0

    8 天前 13:02:35

  • 联通混改需要改进管理和提升效率联通混改需要改进管理和提升效率联通发布了限制性股票激励计划及首期授予方案等一系列相关公告,这意味着其混改即将告一段落,在混改后笔者认为其最重要的是进行制度变革和提升效率。......

    柏颖漫谈

    3

    0

    8 天前 13:02:31

  • 一文读懂谷歌旗下无人车公司Waymo:为何能值700亿美元?一文读懂谷歌旗下无人车公司Waymo:为何能值700亿美元?点击上方“腾讯科技”,选择“置顶公众号”关键时刻,第一时间送达来源 / 腾讯科技(ID:qqtech)文 / 陆屿欢迎下载腾讯新闻客户端,关......

    腾讯科技

    1

    0

    8 天前 13:02:30

点击加载更多资讯
  • 最新
  • 最热
  • 推荐
  • 最赞