Venomous Bear APT 攻击模拟

admin
admin
admin
138405
文章
113
评论
2025年3月16日22:27:15评论5 views字数 1957阅读6分31秒阅读模式

这是 (Venomous Bear) APT 组织针对美国、德国和阿富汗的攻击模拟,攻击活动至少从 2020 年开始活跃,攻击链从在受感染的机器上安装后门作为服务开始。他们试图通过将服务命名为“Windows 时间服务”来隐藏在雷达下操作,就像现有的 Windows 服务一样。后门可以上传和执行文件或从受感染的系统中窃取文件,后门每五秒钟通过 HTTPS 加密通道联系命令和控制 (C2) 服务器,以检查操作员是否有新命令。我依靠 ‏Cisco Talos Intelligence Group ‏ 来找出进行此模拟的详细信息:https://blog.talosintelligence.com/tinyturla/

Venomous Bear APT 攻击模拟Venomous Bear APT 攻击模拟

攻击者使用类似于 Microsoft Windows 时间服务的 .BAT 文件来安装后门。后门以名为 w64time.dll 的服务动态链接库 (DLL) 的形式出现。描述和文件名使其看起来像一个有效的 Microsoft DLL。一旦启动并运行,它允许攻击者窃取文件或上传并执行它们,从而在需要时充当第二阶段的后门。

1.BAT文件:攻击者使用类似于下面的.bat文件将后门安装为看似无害的假Microsoft Windows时间服务。

2.DLL后门:我开发了一个模拟攻击者在实际攻击中使用的后门。

3.后门监听器:我在这里开发了一个简单的监听器脚本,当它在目标机器上执行时,它会等待来自后门的传入连接。

据思科团队称,他们无法确定该后门在受害者系统上安装的方法。

Venomous Bear APT 攻击模拟Venomous Bear APT 攻击模拟

第一阶段(.BAT文件)

攻击者使用类似于下面的.bat 文件将后门安装为看似无害的假 Microsoft Windows 时间服务,该.bat 文件还在后门使用的注册表中设置配置参数。

Venomous Bear APT 攻击模拟Venomous Bear APT 攻击模拟

我编写了一个与攻击者用来将后门安装为伪造的 Microsoft Windows 时间服务的 .bat 文件相同的文件。

这些命令将 W64Time 服务的各种配置参数添加到注册表中。

reg 添加“HKLMSYSTEMCurrentControlSetservicesW64TimeParameters”/v ServiceDll /t REG_EXPAND_SZ /d “%SystemRoot%system32w64time.dll”/freg 添加“HKLMSYSTEMCurrentControlSetservicesW64TimeParameters”/v Hosts /t REG_SZ /d “REMOVED 5050”/freg 添加“HKLMSYSTEMCurrentControlSetservicesW64TimeParameters”/v Security /t REG_SZ /d “<REMOVED>”/freg 添加“HKLMSYSTEMCurrentControlSetservicesW64TimeParameters”/v TimeLong /t REG_DWORD /d 300000 /freg 添加“HKLMSYSTEMCurrentControlSetservicesW64TimeParameters”/v TimeShort /t REG_DWORD /d 5000 /f

ServiceDll:指定实现服务的DLL。

主机:设置主机和端口(出于安全考虑,已删除值)。

安全:配置安全设置(出于安全考虑删除了该值)。

TimeLong:与时间相关的设置。

TimeShort:另一个与时间相关的设置。

Venomous Bear APT 攻击模拟Venomous Bear APT 攻击模拟

这意味着恶意软件以服务形式运行,隐藏在 svchost.exe 进程中。DLL 的 ServiceMain 启动函数只执行执行操作。

第二阶段(DLL后门)

“在这里,我开发了攻击者在实际攻击中使用的后门的模拟。”

首先,后门从注册表中读取其配置并将其保存在“结果”结构中,然后将其分配给“sConfig”结构。

Venomous Bear APT 攻击模拟Venomous Bear APT 攻击模拟

该后门包含以下组件:

1.服务控制处理程序:注册服务控制处理程序来管理服务的状态。

2.主要恶意软件功能:后门主要逻辑的占位符。

3.配置读取:用实际值的占位符初始化配置。

4.C2 命令检索:模拟从命令和控制(C2)服务器检索命令。

5.命令处理:处理检索到的命令(当前模拟)。

6.服务循环:持续连接C2服务器并处理命令,并进行错误处理和清理。

调整占位符值并根据您的要求添加后门操作和 C2 命令处理的实际逻辑。

Venomous Bear APT 攻击模拟Venomous Bear APT 攻击模拟

第三阶段(Backdoor Listener)

我在这里开发了一个简单的监听器脚本,当它在目标机器上执行时,它会等待来自后门的传入连接。

接受传入连接:当客户端连接时,它会打印客户端的 IP 地址和端口。

发送命令:将命令编码为字节并通过套接字发送。

提示命令:要求用户输入命令发送给连接的客户端。

继续读取,直到不再收到数据。

接收来自客户端的输出:以 4096 字节的块为单位读取数据。

将数据累积到输出变量中。

Venomous Bear APT 攻击模拟Venomous Bear APT 攻击模拟

原文始发于微信公众号(安全狗的自我修养):Venomous Bear APT 攻击模拟

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月16日22:27:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Venomous Bear APT 攻击模拟https://cn-sec.com/archives/3838478.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息