技战法(tradecraft):
1.没有两个主机与同一个C2通信,具有相同的恶意软件哈希,具有相同的后门文件名。
2.他们通过.eml文件中的后门传输恶意软件并使用Outlook Express提取,然后以DVD的块大小将exfil发送到受害者组织所在国家/地区的服务器
3.攻击者的后门总是在命令行中使用“密码(通常是4个字符)”来执行(因此阻止了在沙盒中的执行和没有经验的恶意软件分析师),并将配置存储在注册表Key中 - 或复制和重命名一个可执行文件(通常是ping.exe、mtxex.dll),配置在文件的随机位置。从二进制文件外部存储配置的另一个好处 - 如果文件上传到VT - 也无法找到C2服务器
OPSEC错误:
1.奇怪的是 - APT-TY-3在TTPs中犯的错误是在配置注册表键的名称上(他们只用了3-4个),后门程序在UA字符串上有一个错误,而且他们的后门程序有足够常见的模式来编写一个snort规则。
2.对第二阶段C2使用相同的自签名SSL证书 # 大约5年也不是他们最伟大的技术
往期精选
围观
热文
热文
本文始发于微信公众号(天御攻防实验室):天御情报局 | APT-TY-3技战法(tradecraft)和操作安全(OPSEC)错误
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论