太阳集团2138备用网址

  • “12326”民航服务质量监督电话正式开通 2019-04-23
  • 中铁佰和佰樂金婚盛典2017重阳节完美绽放 2019-04-23
  • 保护长江生态环境今年主抓8方面工作——生态环境部部长李干杰回应生态环境保护热点问题 2019-04-23
  • 新疆台办开展走访慰问台商台企活动 2019-04-23
  • 标致301优惠1.5万起 时尚代步经济全面 2019-04-23
  • 欢迎进入红色轨迹党史网站 2019-04-23
  • 【华商侃车NO.28】重磅!为什么315这么多车主维权? 2019-04-23
  • “上会神器”造型各异! 2019-04-23
  • 曾经赫赫有名如今艰难生存:华硕的解药到底在哪儿? 2019-04-23
  • 全国政协常委吴晶倡议:唱响《国歌》 激发爱国情怀【图文】 2019-04-23
  • 首届青运会开幕式文体表演简约而不简单 2019-04-23
  • 中国法学会第八次全国会员代表大会在京开幕 2019-04-23
  • 我是谁?我是海关关员 2019-04-23
  • “立委”南北辅选? 韩國瑜:要看时间 2019-04-22
  • 中国—东盟时装周上演马来西亚设计师婚纱礼服秀 2019-04-22
  • 欢迎来到 黑吧太阳集团2138备用网址 是业内专业的游戏平台,为你提供各式各样的精品游戏,最全的游戏项目,同时还为您提供各种游戏专题游戏攻略人气论坛。

    响尾蛇(SideWinder)APT组织针对南亚的攻击活动披露

    来源:本站整理 作者:佚名 时间:2019-02-28 TAG: 我要投稿

    太阳集团2138备用网址 www.r-island.com 一、概述
    从2017年底到2019年初,腾讯御见威胁情报中心发现一个疑似来自印度的APT攻击组织持续针对巴基斯坦等南亚国家的军事目标进行了定向攻击。腾讯御见威胁情报中心对该组织的攻击活动进行了长期的深入分析,从溯源结果来看,该组织的最早的攻击活动可以追溯到2012年。
    从御见威胁情报中心的分析结果来判断,该组织的背景跟卡巴斯基在2018年第一季度报告中提到的SideWinder组织非常的相似,虽然卡巴斯基并未发布任何该组织的技术细节和报告。我们继续沿用卡巴斯基的命名,命名该组织为"响尾蛇"(SideWinder、T-APT-04)。
    腾讯御见威胁情报中心曾在2018年5月份发布了该组织的技术分析报告,而此后腾讯御见威胁情报中心又多次捕捉到了该组织的攻击活动。并且从分析结果来看,该组织一直在更新他们的攻击技术,以此来躲避安全软件的拦截和查杀。
    二、最新样本技术分析
    1、攻击诱饵分析
    本次攻击诱饵采用CVE-2017-11882漏洞进行攻击,打开后并无任何内容。


    触发漏洞后,会从远程地址http://cdn-do.net/includes/b7199e61/-1/7340/dfd9a1da/final获取hta,然后调用RunHtmlApplication,将命令行中的final.hta执行:

    2、final.hta分析
    final.hta内容如下:


    hta脚本中第一段base64字符串解码后,发现一段c#代码及一个pe文件存储其中。将此pe文件dump出后,发现其名称为PreBotHta.dll:

    PreBotHta.dll为一c# 语言编写的dll文件。Hta脚本会调用DynamicInvoke执行c#代码,最终执行PreBotHta.dll中类函数work (类名为“preBotHta”)
    3、PreBotHta.dll分析
    PreBotHta类中的函数如下图所示:

    Work函数会检查“360”、“avast”、”avg”等杀软是否存在,若存在除上述名称以外的杀毒软件,就上报杀毒软件的名称到http://cdn-do.net/plugins/-1/7340/true/true/;接着会设置开机自启动项“credw1“;最终会将hta中的另一段base64解码解压缩得到Duser.dll,释放路径为“C:\ProgramData\drvr\srvc2”,并利用微软自带的程序credwiz.exe,将Duser.dll给执行起来:

    4、Duser.dll分析
    该dll所有导出函数都指向同一个地址100025f0。木马的核心功能也将从地址开始:



    主要功能是先利用url http://www.microsoft.com测试网络是否连通,接着下载一个js脚本并执行此脚本,下载地址为http://cdn-list.net/KOmJg2XSthl3PRhXnB6xT6Wo967B1n5uGf7SfiBC/-1/7340/b729d30c/css


    由于捕捉到样本时,该服务器已经失效,因此无法继续分析下载回的js。
    三、攻击技术特点
    腾讯御见威胁情报中心对SideWinder的攻击活动进行了持续的跟踪,对该组织的技术特点及变化整理如下:
    攻击诱饵
    该组织的攻击诱饵主要有以下两类:office文档和lnk。

    [1] [2] [3] [4]  下一页

    【声明】:太阳集团2138备用网址(http://www.r-island.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@www.r-island.com,我们会在最短的时间内进行处理。