表1‑1 攻击活动特征
|
事件要点 |
特征内容 |
|
事件概述 |
白象组织近期网络攻击活动 |
|
攻击目标 |
科研院所等领域目标 |
|
攻击手法 |
钓鱼攻击投递恶意文档,释放木马 |
|
攻击意图 |
窃密 |
|
攻击时间 |
2022年09月 |
2.1 攻击流程分析
图2‑1 跳转到的某科学基金网站
2.2 诱饵文档分析
图2‑2 仿冒“某科学基金”的文档
|
病毒名称 |
Trojan[Exploit]/RTF.Obscure.Gen |
|
原始文件名 |
重大项目领域建议.doc |
|
MD5 |
1e788e54f67fa64af39005af106567b0 |
|
文件大小 |
416 KB (426,613 字节) |
|
文件格式 |
Rich Text Format |
|
创建时间 |
2022-09-27 15:25:00 |
|
最后修改时间 |
|
|
编辑总时间 |
1分钟 |
|
创建者 |
tundra |
|
最后修改者 |
Tony Stark |
图2‑3 ole对象调用的公式编辑器组件
ole对象后续嵌入的Shellcode用于实现恶意功能。
2.3 Shellcode分析
图2‑5 释放mcods.exe
图2‑6 添加注册表自启动项
图2‑7 运行释放的mcods.exe
图2‑8 添加注册表自启动项
2.4 mcods.exe木马分析
表2-2 mcods.exe木马程序
|
病毒名称 |
Trojan/Generic.ASMalwS.2C95 |
|
原始文件名 |
mcods.exe |
|
MD5 |
8328a66d974a5a4aca475270b94a428a |
|
处理器架构 |
I386 |
|
文件大小 |
235 KB (241,592 字节) |
|
文件格式 |
|
|
时间戳 |
2022-09-22 21:37:15+08:00 |
|
编译语言 |
C++ |
2.4.1 窃密能力分析
图2‑10 创建互斥量
图2‑11 对操作系统检测中国时区
图2‑12 收集信息代码
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
图2‑13 木马收集的其他信息
2.4.2 控制能力分析
图2‑14 控制指令8代码
图2‑15 控制指令23代码
表2-4 木马控制指令功能
|
指令代码 |
功能 |
|
0 |
退出 |
|
4 |
上传搜集的文档列表(%temp%edg499.dat)后将其删除,并新建一个BadNews实例 |
|
5 |
上传指定文件 |
|
8 |
上传键盘记录文件(%temp%kpro98.dat) |
|
13 |
上传指定指令的执行结果(%temp%Adb222.tmp) |
|
23 |
上传截图文件(%temp%TPX499.dat)后将其删除 |
|
33 |
从指定的URL下载至文件(%temp%up)并执行 |
图2‑16 搜集后缀名的代码
2.4.3 对抗能力分析
a) 数字签名
图2‑17 数字签名
b) 加密流量数据
图2‑18 流量加密算法的调用
图2‑20 解密流量中的受害主机信息
3.1 木马同源
图3‑1 PaloaltoNetworks报告中对BADNEWS远控功能的描述
3.2 数字证书同源
|
使用者 |
5Y TECHNOLOGY LIMITED |
|
指纹 |
0b26d02a94f4c8e14222a966b005bb7d30b45786 |
|
有效期从 |
2022年3月31日 8:00:00 |
|
有效期到 |
2023年3月16日 7:59:59 |
|
序列号 |
25ba18a267d6d8e08ebc6e2457d58d1e |
本次系列攻击活动共涉及ATT&CK框架中个10阶段的14个技术点,具体行为描述如下表:
表4‑1 近期白象组织攻击活动的技术行为描述表
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
图4‑1 近期白象组织攻击活动对应ATT&CK映射图
附录一:参考资料
https://unit42.paloaltonetworks.com/unit42-patchwork-continues-deliver-badnews-indian-subcontinent/
原文始发于微信公众号(安天集团):白象组织近期网络攻击活动分析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论