“白象”仿冒優酷網站,借中印邊境話題再次發起釣魚攻擊
9月29日,雷鋒網從微步線上獲取了一份關於“白象”團伙借中印邊境問題再次發起攻擊的事件分析報告。該報告稱,自該團伙在 2016 年 7 月被Cymmetria、安天、Forcepoint、卡巴斯基、賽門鐵克等多家安全公司曝光後,該團伙的釣魚網站於 8 月 29 日再次上線,並以“中印邊境”為題誘導訪問者下載惡意程式植入後門,繼續對中國目標發起攻擊。
“白象”,又名Patchwork、Dropping Elephant,自2015年12月開始活躍,長期針對中國軍隊、政府等部門開展滲透攻擊,該團伙主要通過釣魚郵件和仿冒網站傳播木馬,木馬載體通常為軍事、政治相關主題的Doc或PPS文件,常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。
2017年5月,微步線上通過一份包含漏洞的 Word 文件發現了“白象”團伙針對中國政府、軍事相關部門的攻擊活動,挖掘出其註冊的大量可疑域名和木馬樣本。有趣的是,就在印度軍隊於8月28日自洞朗撤軍,中印雙方結束了兩個多月的對峙後,該團伙的釣魚網站於 8 月 29 日再次上線,並以“中印邊境”為題誘導訪問者下載惡意程式植入後門,繼續對中國目標發起攻擊。
以下為微步線上提供給雷鋒網(公眾號:雷鋒網)的關於此次攻擊的詳情分析:
-
釣魚網站於2017年8月29日上線,以“中印邊境”為話題構造了仿冒優酷的釣魚頁面,誘導訪問者下載後門程式。
-
木馬使用C++編寫,執行後會再呼叫一段加密後的.Net程式碼,並偽裝成某公司的安全防護軟體,具備較強的隱蔽性和對抗性。
-
木馬啟動後能夠接受遠端控制伺服器任意指令,完全控制受害主機,遠控伺服器目前仍可正常通訊,說明攻擊活動尚在進行中。
本次捕獲的釣魚頁面(www.qzonecn.com)於 2017 年 8 月 29 日上線,系仿冒優酷網的一條新聞視訊,標題為“中國和阿三的邊界問題在洞朗”(未發現優酷網上有類似名稱的視訊),視訊位置顯示“您還沒有安裝flash播放器,請點選這裡安裝”。點選該連結後,會開啟adobe公司官網,卻從另一惡意站點(www.bdarmy.news)下載名為“Adobeflashplayer26_install_ver9.6.0.exe”的可執行程式,製造該程式來自Adobe官網的假象,具備較強迷惑性。如下圖所示:
檢視網站原始碼發現,釣魚連結會先開啟Flash Player 官方下載頁面,再從www.bdarmy.news下載仿冒的“安裝包”程式,以混淆視聽。
檢視該程式的屬性發現,其詳細資訊包含“qiho”、“360”、“Defence”等干擾字元,而原始檔名為“RAT.exe”。
“RAT.exe”在微步線上分析平臺的檢測結果如下:
樣本分析
對“安裝包”程式分析發現,該樣本的主要執行流程如下圖所示:
樣本的具體行為如下:
1.樣本執行後會釋放另外兩個檔案,分別為Microsoft.Win32.TaskScheduler.dll和360-services.exe。
2.Microsoft.Win32.TaskScheduler.dll會在Windows系統中新增一個名為Smart_scan的計劃任務,取“智慧掃描”之義,意在混淆視聽。該任務用來每隔15分鐘執行一次惡意樣本360-services.exe。
3.360-services.exe仿冒了某安全衛士的相關程式,是真正執行惡意行為的樣本。該樣本在分析平臺的檢測結果為:
4. 在釋放這兩個檔案後,樣本將使用Windows自帶的命令列工具CMD執行如下命令,使用ping命令嘗試連線1.1.1.1,並刪除掉釋放樣本自身和Microsoft.Win32.TaskScheduler.dll檔案。
接下來,真正的惡意樣本360-services.exe開始執行。
5.經過分析發現,360-services.exe實際上是一個基於.NET平臺的PE檔案的外殼,該外殼的名稱為.NET Reactor,版本號為4.5-4.7,此保護殼具有較強的反除錯和混淆程式碼等功能。
6. 在對360-services.exe進行脫殼後,我們得到了其中的.NET PE檔案,其模組名稱為“Client.exe”,且該可執行檔案的程式碼已被高強度混淆。
7. 使用反混淆技術對該PE檔案進行處理,成功還原出大部分程式碼。
8. 樣本將通過FindResource函式檢查當前檔案中是否存在“__”資源,若不存在,則說明當前.NET PE並不是由360-services.exe執行起來的,而是被人工剝離出來獨立執行的,因此樣本會將此情況視為自身正在被分析,則直接退出程式,不執行任何惡意行為。
9. 載入PE檔案中的第3個資原始檔的位元組碼,並使用硬編碼的方式建立其他若干陣列。將這些陣列進行一系列的轉換及計算,最終解密得到要執行的位元組碼,並寫入記憶體。
10. 最終開啟後門,連線C&C伺服器,並等待伺服器回覆指令。其中C&C地址為:93.115.94.202,埠號為23558。
關聯分析
研究員對釣魚網站域名檢索發現,其目前指向的IP地址(94.185.82.157)上還存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含“cn”、“pla”、“army”等明顯針對中國的可疑域名,且前文分析的惡意樣本就存放在www.bdarmy.news域名下,因此基本可以斷定相關基礎設施均為“白象”團伙所有。
安全研究人員分析認為,此次攻擊事件出現於印度自洞朗撤軍後,以中印邊境問題為誘餌,且涉及的樣本和域名含有針對中國的元素,符合“白象”團伙的攻擊特點和動機。
相關文章
- 網路釣魚攻擊
- DNS欺騙:網站克隆實現網站釣魚攻擊DNS網站
- 釣魚攻擊防不勝防,該如何預防網路釣魚攻擊?
- 降低網路釣魚攻擊的風險
- 網路釣魚是什麼?網路釣魚攻擊的形式有哪些?
- 郵件釣魚攻擊與溯源
- GoogleTalk被黑客利用發動釣魚攻擊Go黑客
- 多起網路釣魚攻擊借勢新冠疫情!360安全大腦強力攔截
- 網路釣魚攻擊常用方法及防禦措施!
- 再次捕獲!重保期間攔截針對Coremail的釣魚攻擊REMAI
- PhishLabs:金融業的釣魚攻擊大幅增長,入侵現有網站成為釣魚活動首選策略網站
- 伏影實驗室再次發現黑客利用新冠疫情實施釣魚郵件攻擊黑客
- 網路釣魚攻擊常見手段及防範措施!
- 常見網路釣魚攻擊有哪些?如何識別?
- 獵網平臺:雙11釣魚網站攻擊嚴重 粵閩桂慘遭毒手網站
- Radware:防禦現代魚叉式網路釣魚攻擊的方法
- 網路釣魚攻擊常用方法是什麼?如何防護?
- 關注重要的Azure網路釣魚攻擊及對策
- 釣魚篇-網路釣魚
- 打擊釣魚網站 谷歌Chrome即將會警告域名相似的網站網站谷歌Chrome
- 釣魚網站與反釣魚技術剖析(圓桌會議)網站
- 如何防範釣魚網站詐騙?網站
- 揭秘駭客新招:如何利用PDF釣魚攻擊使用者?
- 常見的5種網路釣魚攻擊型別及防禦措施!型別
- 瞭解你的敵人 網路釣魚攻擊的實現過程
- 針對Alexa Top 100站點進行的一次釣魚攻擊分析
- 微信紅包火了,釣魚網站樂了網站
- “!提醒:續購防毒”釣魚網站套路防毒網站
- Trustwave:駭客正在利用人工智慧改進網路釣魚攻擊方式Rust人工智慧
- 谷歌帳戶獲得新的驗證功能 以防止網路釣魚攻擊谷歌
- 境外黑客團隊“白象”突然活躍,針對我國特定單位和個人發起攻擊黑客
- 網站存在被攻擊篡改資料的問題 該如何防止網站被攻擊網站
- APT和釣魚攻擊企業安全面臨的兩大威脅APT
- 釣魚網站與病毒頻發背後 網路支付黑色利益鏈網站
- 釣魚篇-其他釣魚
- 釣魚篇-郵件釣魚
- 網站如何防止攻擊網站
- 一起針對國內企業OA系統精心策劃的大規模釣魚攻擊事件事件