FiLecoin官网

www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

,

1.概述 

"SideWinder(响尾蛇)"APT组织被以为是一个活跃于南亚区域的APT攻击组织,该组织的主要攻击目的是军事,国防等行业。针对的国家包罗巴基斯坦,阿富汗,中国,孟加拉,尼泊尔等国家。该组织最早在卡巴斯基在2018年的第一季度讲述中被提及,卡巴斯基声称该组织从2012年就最先活跃,然则关于该组织的手艺细节没有公然。值得一提的是,卡巴斯基往后再也没有涉及该组织的相关讲述。一些平安厂商凭证卡巴斯基的季度讲述提到的内容将一些类似的攻击归因于"SideWinder(响尾蛇)"APT组织。

从2019年最先,多家平安厂商宣布了多篇关于"SideWinder(响尾蛇)"APT组织的讲述。这些讲述中提到的攻击行为都有显著的相似之处,使用的恶意软件特征都是相同的。"SideWinder(响尾蛇)"APT组织的攻击一直到现在都是活跃的,它的攻击工具也是不停的改善。我们在剖析一些列的针对印度的攻击时,发现了和"SideWinder(响尾蛇)"APT组织的手艺有相同之处。我们对“"SideWinder(响尾蛇)"APT组织做了深入的剖析,于是就有了这篇文章。

2."SideWinder(响尾蛇)"APT组织相关讲述

  • 2018年4月,卡巴斯基宣布了一篇名为“APT Trends report Q1 2018“的季度讲述。在讲述中提到了一个名为“Sidewinder”的APT组织,该组织主要针对的目的是巴基斯坦的军事部门,从2012年就最先活跃。该组织使用了自己独占的着名破绽的行使方式(例如CVE-2017-11882),在破绽行使执行乐成后释放一个powershell的payload。卡巴斯基声称拥有较少的证据证实这些恶意软件属于一个印度的公司。卡巴斯基没有披露该组织的详细细节。

  • 2018年5月23日,腾讯御见威胁情报中央宣布了一篇名为“SideWinder“响尾蛇”APT组织(T-APT-04):针对南亚的定向攻击威胁"的讲述。这篇讲述形貌“Sidewinder”的APT组织攻击的细节:(1)使用CVE-2017-11882破绽,(2)下载Final.hta文件并执行powershell下令。(3)释放RAT文件并执行。

  • 2019年2月15日,巴基斯坦 *** 宣布了一篇名为:Advisory - Prevention Against Cyber Espionage (Advisory No.3)的通告。在通告里提到新发现一个恶意软件,该恶意软件主要是通过邮件流传。邮件中包罗看起来正常的新闻内容同时包罗了一个可以下载一个ZIP文件的链接。ZIP文件中包罗一个LNK文件,点击运行后会下载HTA文件,然后释放credwiz.exe,duser.dll,bd.hta文件。通告中并没有提及该恶意软件的名字以及攻击者。

  • 2019年2月20日,巴基斯坦 *** 宣布了一篇名为“Advisory - Prevention Against Cyber Espionage (Advisory No.4)"的通告。该通告中提到恶意软件和2月15日的通告中的攻击手法一样,C2有转变。

  • 2019年02月26日,腾讯御见威胁情报中央宣布讲述:“响尾蛇(SideWinder)APT组织针对南亚的攻击流动披露”。这个讲述中提到的恶意软件和巴基斯坦 *** 的通告中的一样。

  • 2019年03月1日,巴基斯坦 *** 部门宣布通告Advisory - Prevention against Cyber Espionage (Advisory No. 8)。在该通告中提到了一个行使CVE-2017-11882破绽的攻击,后续的流程和腾讯提到的“Sidewinder”的APT组织一样。

  • 2019年05月08日,安天宣布一篇名为“响尾蛇APT组织针对巴基斯坦的定向攻击事宜剖析”。在讲述中安天详细的披露了攻击的细节。

  • 2019年8月30日,安恒宣布了“响尾蛇(SIDEWINDER)APT组织针对驻华大使馆的攻击披露"的讲述。该讲述提到了“Sidewinder”APT组织使用了新的攻击手艺。

  • 2019年09月06日,瑞星宣布了名为“境外APT 组织“响尾蛇”对我国提议攻击事宜讲述” 的讲述。

  • 2019年10月18日,瑞星宣布了名为“ 境外APT组织“响尾蛇”再次 对我国提议攻击事宜讲述"的讲述。

  • 2019年10月29日,瑞星宣布了名为“APT组织“响尾蛇”对巴基斯坦攻击事宜讲述"讲述。

  • 2019年11月11日,巴基斯坦 *** 宣布了Prevention Against Indian APT Group Sidewinder (Advisory No. 22)的通告。在这个通告中首次称“a suspected APT group from India“从2019年2月份就最先攻击巴基斯坦的军事, *** 部门。

  • 2020年01月01日,Gcow平安团队宣布了讲述"游荡于中巴两国的魅影——响尾蛇(SideWinder)”讲述。

  • 2020年04月14日,腾讯平安威胁情报中央宣布了一篇名为“响尾蛇(SideWinder)APT组织使用新冠疫情为诱饵的攻击流动剖析”讲述。

  • 2020年04月14日,巴基斯坦的 *** 部门宣布了通告:“Prevention Against Indian APT Group- RattleSnake (Advisory No.5)” 。通告中提到的样本和腾讯在同日宣布的讲述一样。

  • 2020年05月28日,奇安信威胁情报中央宣布讲述:“近期响尾蛇APT组织针对周边国家和区域的攻击流动剖析”。

  • 2020年07月13日,Gcow平安团队宣布讲述"蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年流动总结讲述"

  • 2020年12月09日,趋势科技宣布了讲述“SideWinder Uses South Asian Issues for Spear Phishing, Mobile Attacks",这篇讲述中提到SideWinder APT 组织针对尼泊尔 *** 提议攻击。

  • 2021年6月8日,奇安信情报中央宣布了讲述“SideWinder武器库更新:行使外交政策针对巴基斯坦的攻击流动剖析”。在这篇讲述中,“Sidewinder”APT组织最先对其样本举行代码混淆。


3.“Sidewinder”APT组织的TTPs

"SideWinder(响尾蛇)"APT组织在初始化攻击时时,会向目的发送一个钓鱼邮件。邮件中包罗一个可以下载ZIP文件的链接。下载下来的ZIP文件通常包罗一个LNK文件或者DOC文档。点击这些文件后会下载一个HTA文件,HTA文件会在特定目录释放一个Duser.dll文件。接着将系统文件credwiz.exe拷贝到该目录,为credwiz.exe添加一个自启动项。然后运行credwiz.exe,credwiz.exe会加载Duser.dll。Duser.dll通常是不包罗恶意代码,它会进一步的加载执行其他恶意代码。现在我们考察到"SideWinder(响尾蛇)"APT组织使用的攻击方式大致分为三种:

(1) 类型1

这种类型通常是通过邮件投递一个包罗破绽行使的文档。有的文档是DOCX文件,它行使CVE-2017-0199破绽(实在是模版注入)下载一个RTF文件,RTF文件包罗一个CVE-2017-11882的行使,破绽触发后释放一个名字为fina.hta文件。有的是一个仅仅行使了CVE-2017-11882破绽的RTF文件。

释放的HTA文件包罗两个经由base64编码的字符串:

var ec = 'preBotHta' 声明晰要挪用的的类。so字符串解码后是一个经由序列化的DOTNET模块,它的内部界说了一个preBotHta类。挪用历程如下:

将DOTNET模块拖到dnSpy中可以看到preBotHta的界说如下:

preBotHta类主要功效在函数work中实现,这个函数的界说如下:

work函数首先使用WMI查询当前系统平安中央注册的杀毒软件的名字,若是杀软的名字不是"360","avast","avg",就会将杀软的名字提交给avUrl指向的链接。后续的代码是在一个异常处置块中运行,现代码执行失败时,异常处置历程也会向avUrl指向的链接提交当前系统中杀毒软件的名字。接下来执行如下操作:

  • 在注册表HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run 下添加一个项,以便实现开机启动。文件路径是%ProgramData%\drvr\srvc2\credwiz.exe。

  • 将系统目录下的credwiz.exe拷贝到%ProgramData%\drvr\srvc2\credwiz.exe。

  • 解码dllBase64而且使用gzip解压缩解码后的数据,搜索解压后的数据中特殊标志并使用传进来的参数“url”举行替换。然后将修改的数据写入到%ProgramData%\drvr\srvc2\Duser.dll文件中。

  • credwiz.exe是一个系统文件,它会加载Duser.dll。这里使用的是 DLL Side-loading 方式来执行恶意代码。preBotHta类和Program类中的成员变量copyexe,hijackdllname,instfolder,instpath,program保留了设置信息。

  • Duser.dll 是一个C++开发的模块,它导出多个函数,然则都指向统一个函数。Duser.dll 执行后会准时的从preBotHta.work的第五个参数指定的URL下载javascript剧本,然后挪用javascript的COM组件执行。javascript剧本主要是网络系统的信息,然后上传。

(2) 类型2

这一种攻击方式是在邮件附带一个压缩过的lnk文件,lnk文件伪装成文档。一个典型的lnk如下:

点击lnk文件后,会执行mshta.exe 从https[:]//pmad-fbr.cdn-top.net/images/5512EBB0/4611/1296/20f96e/7044cf2 下载一个HTA文件。这个HTA文件包罗两个经由base64编码的字符串:

da通常是经由gzip压缩和base64编码的文档或者图片。so是一个经由序列化的DOTNOT模块,代码如下:

新2手机管理端网址

www.x2w0000.com)实时更新发布最新最快的新2手机管理端网址、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址。

这个文件的原始名是LinkZip.dll,它只是一个简朴的downloader。函数hta.pink的界说如下:

public void pink(string finalUrl, string avUrl, string doc, string documentName)

 一个对这个函数挪用的例子如下:

  •  首先解码并解压doc字符串,然后写入到一个文件中,文件的名字取决于documentName。然后打开天生的文档,用来诱骗受害者。

  • 打开诱饵文档后,会向服务器提交当前系统中安装的杀软。

  • 接着从finalUrl中下载文件并保留在%temp%\bd.hta中,若是下载失败次数跨越10次,会通过avUrl向C2服务器提交一个"File-not-Written"错误。若是下载乐成会挪用mshta.exe执行bd.hta。

  • bd.hta是一个HTA文件,它会挪用preBotHta的work函数,然后拷贝credwiz.exe,释放Duser.dll。hta类的成员变量finalName,location保留了设置信息。Duser.dll 执行流程和类型1一样。

(3) 类型3

这种类型攻击方式通常是向受害者发送一个包罗CVE-2017-11882破绽行使的文档或者LNK文件,它们执行后释放或者下载执行逻辑相同的HTA文件。这些文件大多是经由混淆和简朴的加密的,一个典型的例子如下

解密后的文件如下:

反序列化后并挪用的模块代码界说如下:

StInstaller.Program.work函数界说如下:

public void Work(string dll22, string dll, string url = "")

 这个函数和preBotHta.work函数的执行流程有些相似,然则有些转变。现在我们考察到有两种类型:

  • 将write.exe拷贝到指定目录,然后在该目录释放propsys.dll,随机名字的暂且文件、ite.exe.config。

  • 将rekeywiz.exe拷贝到指定目录,然后在该目录释放Duser.dll,随机名字的暂且文件、ekeywiz.exe.config。

preBotHta.work使用base64算法解码相关字符串并使用gzip解压,修改数据中设置信息,然后天生propsys.dll或者Duser.dll。设置信息包罗和C2通讯的地址和暂且文件的名。propsys.dll或Duser.dll把这个暂且文件加载到内并解密然后挪用暂且文件的start函数:

释放出来的暂且文件原始名是SystemApp.dll,这个DLL的中的SystemApp.program.start函数会确立两个准时器,一个用于从C2服务器上获取设置更新信息,另一个用于准时上传网络到的信息。更新设置信息的部门代码如下:

 上传网络的信息的代码如下:


4."SideWinder(响尾蛇)"APT组织新的转变

2020年以后,"SideWinder(响尾蛇)"APT组织主要是使用型3的攻击方式。类型1和类型2很少泛起于公然的讲述。类型3使用HTA大多经由简朴的混淆和简朴的加密,然则使用C,开发的DLL文件都没有混淆。将这些DLL文件解码后,使用dnSpy工具可以很轻松的剖析它们。到了2021年有了转变,"SideWinder(响尾蛇)"APT组织最先对这些DLL文件中的函数和变量名字举行混淆。一个典型的例子如下:

![image](https://image.3001.net/images/20210806/1628219023_610ca68f6986157e38eb6.png! *** all)

App.dll相当于类型3中的hta.dll文件,然则若是看这个文件中的函数的名字就会发现差异很大。不少函数原始的名字已经被替换成一些随意组合的字符串。

work函数的界说如下:

public void Work(string EncapsulatedObjectNotifyIterator, string GetDynamicInterpreterObject, string RequestMutatorProgramData, string ProgramRestoreClassShare)

这个函数原本的界说如下:

public void pink(string finalUrl, string avUrl, string doc, string documentName)

以Decompress为例,混淆前和混淆后对好比下:

![image](https://image.3001.net/images/20210806/1628219047_610ca6a7acda1f5a66553.png! *** all)

5.一些有意思的发现

"SideWinder(响尾蛇)"APT组织使用的C&C server 的域名通常包罗"CDN",好比:s3-cdn[.]net、cdn-load[.]net、cdn-dl[.]cn、cdn-dl[.]cn。

我们对SideWinder(响尾蛇)"APT组织使用的域名的子域做了统计,发现了许多有意思的地方:


有的子域被用作了C&C server,有些则没有。多数情形下,子域会显示可能的攻击目的。几个对照典型的例子如下:

  • nadra[.]gov.pk.d-dns.co,巴基斯坦国家数据库和注册治理局 (NADRA)的官网是:nadra[.]gov.pk。

  • pakbj[.]chrom3.net,巴基斯坦驻北京大使馆的官网是:www[.]pakbj.org。

  • myanmarembassy[.]cdn-edu.net,"myanmarembassy"拆开是"myanmar embassy"意即缅甸大使馆。

  • nepalarmy[.]filesrvr.net,尼泊尔陆军的官网是:www[.]nepalarmy.mil.np。

  • myanmarembassy[.]cdn-edu.net,阿富汗外交部的网站是:www[.]mfa.gov.af。

  • fmprc[.]cdn-pak.net,中外洋交部的官网是:www[.]fmprc.gov.cn

www[.]punjabpolice.gov.pk.standingoperatingprocedureforemergencythreat.cdn-in.net中有一个字符串,这个字符串拆开后是"standing operating procedure for emergency threat"。直译过来就是"紧要威胁的尺度处置流程",就是通常说的"平安应急响应"。

theguardian-pk-protest-against-imran-khan.gov-pok.net也很有意思,在卫报的官网上可以找到一个题目为"Pakistan's united opposition protests against Imran Khan's rule"的新闻。

6.总结

从2018年到现在,"SideWinder(响尾蛇)"APT组织活跃了3年的时间。这三年的时间里,该组织不停地改善其攻击工具。该组织的C2一个典型的特点是使用的域名中通常包罗“CDN”或者"gov.pk",固然也有一些破例。其主要是针对 *** 、国防和军工行业感兴趣,涉及的国家大多是在南亚。虽然许多平安厂商通常是凭证地缘政治来判断该组织来自印度,然则现在没有公然的讲述提供确凿证据。


青岛新闻网生活在线声明:该文看法仅代表作者自己,与青岛新闻网生活在线无关。转载请注明:"SideWinder(响尾蛇)"APT组{zu}织演变与(yu)手艺细(xi)节
发布评论

分享到:

【佳木斯新】闻:夜话丨田园<的野菜>
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。