中国南海和东南亚问题相关的网络攻击组织 捕获Patchwork APT攻击
(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun)
如前所述,为了保证攻击者的攻击持续处于活动状态,我们虚构了对攻击者来说非常感兴趣的目标:一位处理安全问题的政府智库人员。
创建欺骗网络
• 首先,创建SMB共享,映射到目标电脑并显示网络备份;
• 其次,把一个运行云端服务的RDP凭据存放于电脑中,同时在远程云端系统中部署欺骗数据,形成蜜罐系统,同时造成正常服务的假象。
蜜罐文件系统
用 RDP凭据引向蜜罐系统
4 一连串的事件(1) 当一个 PowerPoint PPS文件被打开之后,释放有效攻击载荷。即CVE-2014-4114漏洞利用代码(曾用作SandWorm沙虫攻击)。
释放的Driver.inf 文件内容
(2) 主机被以下可执行文件感染:
• sysvolinfo.exe – 执行编译脚本.
• PowerShell 以 HTTPS Meterpreter方式执行攻击脚本 ,同时保持与C2控制服务器连接,发起以下网络请求:
(3) 目标电脑上的文件被攻击者以加密通道方式上传至远程控制服务器,由于Meterpreter的“sstagerverifysslcert”功能 开启,所以我们没有检测到相应的SSL通道;
(4) 攻击者释放第二阶段恶意软件7zip.exe,利用此程序扫描硬盘并连接远程IP地址 212.83.191.156。
(5)7zip.exe复制自身在C:\Windows\SysWOW64\目录下生成netvmon.exe文件,并添加进程序自启动路径,实现长期控制目的。
(6)在最初感染的前三天,攻击者开始对SMB共享文件夹发起访问;
(7)恶意软件开始访问映射共享,并扫描所有固定磁盘驱动器上的文件;
(8)在MazeRunner 系统的第一个警报产生之后,由于诱饵系统的IP地址被内置在RDP凭据文件里,所以,我们看到了攻击者试图利用RDP凭据连接诱饵系统的数据。警报提示攻击发起于
IP 212.129.7.146,整个攻击持续了12分钟;
(9)从我们收到Mazerunner的警报综合受害主机内的RDP连接文件表明,攻击者登录失败了几次,但让我们感兴趣的是,攻击者并没有使用系统密码获取工具Mimikatz。
(10)我们相信以上两起攻击连接发起于同一个攻击源,因为:
• 攻击者用来连接我们蜜罐系统的两个IP地址都属于rev.poneytelecom.euf 域名;
• 内部警报表明,两起攻击连接事件发生在同一天。
攻击发起的网络规划图
5 从攻击者C&C控制服务器中获得的信息我们通过另一个合作伙伴,成功地接手并控制了攻击者的一个C&C服务器,服务器中包含了大量文件:
• 种类多样的PPS文件–用作钓鱼攻击的恶意文件
• 大量的恶意代码包
而且这些钓鱼文件内容都与中国主题或色情性质相关,以下是一些样本文件:
在C&C服务器中,我们还提取到了PPS文件的修改日期,这些日期从2015年12月持续到2016年1月。从日期上可以清晰看出攻击者准备和实施攻击的时间线。
相关文章
- 本文来介绍一下thinkphp官方修复的一个getshell漏洞,框架对控制器没有进行足够的检测导致的一处getshell,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随2018-12-12
记 FineUI 官方论坛discuz所遭受的一次真实网络攻击
这篇文章主要介绍了记 FineUI 官方论坛discuz所遭受的一次真实网络攻击,需要的朋友可以参考下2018-11-30- 这篇文章主要介绍了Linux 下多种反弹 shell 方法,需要的朋友可以参考下2017-09-06
- 这篇文章主要为大家介绍了基于反射的XSS攻击,主要依靠站点服务端返回脚本,在客户端触发执行从而发起Web攻击,需要的朋友可以参考下2017-05-20
- 这篇文章主要介绍了SQL注入黑客防线网站实例分析,需要的朋友可以参考下2017-05-19
- 这里为大家分享一下sql注入的一些语句,很多情况下由于程序员的安全意识薄弱或基本功不足就容易导致sql注入安全问题,建议大家多看一下网上的安全文章,最好的防范就是先学2017-05-19
- 对于目前流行的sql注入,程序员在编写程序时,都普遍的加入防注入程序,有些防注入程序只要在我们提交一些非法的参数后,就会自动的记录下你的IP地址,提交的非法参数和动作等,2017-04-29
- 我们友情进行XSS检查,偶然跳出个小弹窗,其中我们总结了一些平时可能用到的XSS插入方式,方便我们以后进行快速检查,也提供了一定的思路,其中XSS有反射、存储、DOM这三类2016-12-27
- 这篇文章主要介绍了Python 爬虫使用动态切换ip防止封杀的相关资料,需要的朋友可以参考下2016-10-08
- 这篇文章主要介绍了使用爬虫采集网站时,解决被封IP的几种方法的相关资料,需要的朋友可以参考下2016-10-08
最新评论