程序员之家 服务器常用软件
快捷导航
您的位置:主页 > 网络安全 > 脚本攻防 >

中国南海和东南亚问题相关的网络攻击组织 捕获Patchwork APT攻击

FreeBuf   发布时间:2016-07-13 10:34:37   作者:佚名   我要评论
南海仲裁这样的闹剧昨天还是宣布了一个可笑的判决,我泱泱大国昨天在海南广东等地派出的各种军队战舰证明这次我们可不是说着玩玩。“若有战,召必回”湿了多少人的眼眶。这边,黑客军团里,也开始借南海问题各种攻击
(福利推荐:【腾讯云】服务器最新限时优惠活动,云服务器1核2G仅99元/年、2核4G仅768元/3年,立即抢购>>>:9i0i.cn/qcloud

(福利推荐:你还在原价购买阿里云服务器?现在阿里云0.8折限时抢购活动来啦!4核8G企业云服务器仅2998元/3年,立即抢购>>>:9i0i.cn/aliyun

3 开始

如前所述,为了保证攻击者的攻击持续处于活动状态,我们虚构了对攻击者来说非常感兴趣的目标:一位处理安全问题的政府智库人员。

创建欺骗网络

• 首先,创建SMB共享,映射到目标电脑并显示网络备份;

• 其次,把一个运行云端服务的RDP凭据存放于电脑中,同时在远程云端系统中部署欺骗数据,形成蜜罐系统,同时造成正常服务的假象。

图片9.png

蜜罐文件系统

图片10.png

用 RDP凭据引向蜜罐系统

4 一连串的事件

(1) 当一个 PowerPoint PPS文件被打开之后,释放有效攻击载荷。即CVE-2014-4114漏洞利用代码(曾用作SandWorm沙虫攻击)。

图片11.png

释放的Driver.inf 文件内容

(2)  主机被以下可执行文件感染:

         • sysvolinfo.exe   – 执行编译脚本.

        • PowerShell 以 HTTPS Meterpreter方式执行攻击脚本 ,同时保持与C2控制服务器连接,发起以下网络请求:



(3)  目标电脑上的文件被攻击者以加密通道方式上传至远程控制服务器,由于Meterpreter的“sstagerverifysslcert”功能 开启,所以我们没有检测到相应的SSL通道;


(4) 攻击者释放第二阶段恶意软件7zip.exe,利用此程序扫描硬盘并连接远程IP地址  212.83.191.156。


(5)7zip.exe复制自身在C:\Windows\SysWOW64\目录下生成netvmon.exe文件,并添加进程序自启动路径,实现长期控制目的。


(6)在最初感染的前三天,攻击者开始对SMB共享文件夹发起访问;


(7)恶意软件开始访问映射共享,并扫描所有固定磁盘驱动器上的文件;


(8)在MazeRunner 系统的第一个警报产生之后,由于诱饵系统的IP地址被内置在RDP凭据文件里,所以,我们看到了攻击者试图利用RDP凭据连接诱饵系统的数据。警报提示攻击发起于


IP 212.129.7.146,整个攻击持续了12分钟;


(9)从我们收到Mazerunner的警报综合受害主机内的RDP连接文件表明,攻击者登录失败了几次,但让我们感兴趣的是,攻击者并没有使用系统密码获取工具Mimikatz。


(10)我们相信以上两起攻击连接发起于同一个攻击源,因为:


           • 攻击者用来连接我们蜜罐系统的两个IP地址都属于rev.poneytelecom.euf 域名;


          •  内部警报表明,两起攻击连接事件发生在同一天。


图片12.png


攻击发起的网络规划图

5 从攻击者C&C控制服务器中获得的信息

 我们通过另一个合作伙伴,成功地接手并控制了攻击者的一个C&C服务器,服务器中包含了大量文件:










•  种类多样的PPS文件–用作钓鱼攻击的恶意文件 
•  大量的恶意代码包










而且这些钓鱼文件内容都与中国主题或色情性质相关,以下是一些样本文件:










2016-07-08_155208.jpg 










在C&C服务器中,我们还提取到了PPS文件的修改日期,这些日期从2015年12月持续到2016年1月。从日期上可以清晰看出攻击者准备和实施攻击的时间线。 










图片13.png 
						
上一页 1 23 下一页 阅读全文

						

						
						

					

					

						
						
					

					

						
					

					

					

						
相关文章

						
					

					

						
					

					
					

						
最新评论

						

					

				  

			  

		  
			

				
			  

		  

	  

	  
	 

		
		
		

		
关注微信公众号
 
		
扫一扫

		

		
	
	 

	

        

            
        




?








 

	






	 





	

http://www.vxiaotou.com