遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Gcow安全團隊發表於2020-01-03

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

一.前言:

   Gcow安全團隊追影小組於2019年11月份捕獲到名為SideWinder(響尾蛇)組織針對巴基斯坦的活動,介於該組織主要針對巴基斯坦和中國以及其他東南亞國家,且其於10月份時候針對中國部分國防重要行業進行類似手法的攻擊活動,為了更好了解對手的攻擊手段以及加以防範,團隊將以最近的樣本為契機來總結該組織為期一年的攻擊活動。

   響尾蛇(又稱SideWinder、T-APT-04)是一個背景可能來源於印度的APT組織,該組織此前已對巴基斯坦和東南亞各國發起過多次攻擊, 該組織以竊取政府,能源,軍事,礦產等領域的機密資訊為主要目的。此次的攻擊事件以虛假郵件為誘餌,利用Office遠端程式碼執行漏洞(cve-2017-11882)或者通過遠端模板注入技術載入遠端URL上的漏洞檔案.在針對於巴基斯坦的攻擊中我們發現了Lnk檔案的載荷,其主要驅動是mshta.exe,攻擊者通過各種方式以達到偽裝的目的。

   在我們的樣本捕獲中,我們發現了該組織在這一年之間的變化,其攻擊的手段越來越先進,這對我國的軍事部門當然是一個不容小覷的威脅,所以我們追影小組將帶領各位讀者來回顧該組織的攻擊手法,以及其技術的更迭。

二.樣本分析:

為了方便於各位讀者的理解,筆者畫了一張關於該組織攻擊的流程圖

如下:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

在2019下半年,該組織經常使用該流程針對巴基斯坦和中國的目標進行攻擊

ADVOCATE.docx 利用遠端模板注入技術載入含有漏洞的CVE-2017-11882漏洞RTF文件,使用的這樣載入方式可以繞過防病毒閘道器,增加成功率。當成功載入main.file.rtf檔案後,釋放1.a 到Temp目錄下,觸發漏洞shellcode執行1.a,1.a是一個混淆後的Jscript指令碼檔案,再次釋放Duser.dll檔案 tmp檔案,並拷貝rekeywiz.exe到 C:\ProgramData\DnsFiles目錄下,並執行rekeywiz.exe檔案,帶起Duser.dll,Duser.dll載入tmp檔案.

1.誘餌文件

1).樣本資訊:

  樣本MD5  9b1d0537d0734f1ddb53c5567f5d7ab5
  樣本SHA-1   e127a783870701cdd20a7fc750cad4dae775d362
  樣本SHA-256   f1cdd47f7a2502902d15adf3ac79c0f86348ba09f4a482ab9108ad98258edb55
  樣本型別   Office Open XML 檔案
  樣本名稱   ADVOCATE.docx
  檔案大小  9.02 KB (9232 bytes)

2).分析

     遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

開啟ADVOCATE.docx樣本後,利用遠端模板注入技術遠端載入遠端模板: https://www.sd1-bin.net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

成功開啟後顯示,用掩飾目的文件,如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

2.漏洞文件:

1)樣本資訊:

  樣本MD5   3ee30a5cac2bef034767e159865683df
  樣本SHA-1  c29a1fd54f9f961211e9cd987f90bd8eb0932e45
  樣本SHA-256  f08ccc040c8d8db60f30a6d1026aa6523e97c6cf52b1b30f083a830a0a65a3a9
  樣本型別   富文字檔案
  樣本名稱   main.file.rtf
  檔案大小   1.72 MB (1804038 bytes)

2).分析:

當main.file.rtf載入成功後,會將1.A檔案釋放到當前使用者temp資料夾下面

1.a是嵌入到rtf文件中的OLE Object,如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

通過分析rtf也可以看到

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

預設釋放到 temp資料夾中,如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

1.a檔案通過Shellcode載入起來

(1).Shellcode分析

   shellcode 程式碼 如下圖:

直接在00411874 處下斷點 此處為 ret處,也就是將通過覆蓋ret返回地址,達到任意程式碼執行目的,如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

可以看到esp 值已經被覆蓋為0x18f354,這個就是shellcode入口地址,如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

也可以在rtf 檔案中找到shellcode,如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Shellcode通過獲取RunHTMLApplication來載入惡意js

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

對異或後的js程式碼進行解密,祕鑰是12

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

將執行js的命令列替換其原來的命令列

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

惡意js如下:(讀取1.a檔案的所有內容並且用eval執行)

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

(2).1.a分析

i.樣本資訊

  樣本MD5  4513f65bdf6976e93aa31b7a37dbb8b6
  樣本SHA-1   73ae6cd3913bcfb11d9e84770f532f2490ddef6c
  樣本SHA-256   054a029b378b8bbf5ea3f814a737e9c3b43e124995d05d7dac45a87502bf2f62
  樣本型別   Js指令碼檔案
  樣本名稱   1.a
  檔案大小   878.91 KB (900000 bytes)

ii.分析

通過分析,1.a是一個通過DotNetToJScript成生的Jscript檔案,並且經過混淆過,但是還原後還可以看出來如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

其主要邏輯即為將內建的c# dll解密後記憶體載入其Work函式傳入三個引數

第一個引數是黑dll的資料,第二個引數是同目錄下的tmp檔案資料,第二個引數是混淆的C2地址

通過除錯解密出內建dll檔案的base64編碼

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Base64解密後

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

刪除前面載入部分然後儲存為dll檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

StInstaller.dll

其Work函式是其核心

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

1)       .檢測白名單檔案是否存在,若存在則拷貝到其工作目錄下

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

2)       修改登錄檔新增啟動項以開機啟動,登錄檔的值為拷貝後的白名單檔案路徑

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

3)       釋放對應的惡意dll和tmp檔案以及配置的config檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

4)       .啟動白名單程式

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

通過API Monitor可以直觀看到釋放流程,如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

1.拷貝c:\windows\syswow64\rekeywiz.exe到c:\ProgramData\DnsFiles\rekeywiz.exe下面.

2. 釋放 Duser.dll檔案到C:\ProgramData\DnsFiles\Duser.dll

3. 釋放 xxx.tmp 檔案到 C:\ C:\ProgramData\DnsFiles\xxx.tmp

4. 使用CreatePocess 拉起 rekeywiz.exe

   (3).Duser.dll分析

   i.樣本資訊

  樣本MD5   ff9d14b83f358a7a5be77af45a10d5a2
  樣本SHA-1   612b239ce0ebaf6de6ee8eff1fb2fa2f3831ebd2
  樣本SHA-256   920197f502875461186a9d9fbf5a108f7c13677bbdeae129fbc3f535ace27a6f
  樣本型別   Dll(動態連結庫)檔案
  樣本名稱   Duser.dll
  檔案大小   5.50 KB (5632 bytes)

  ii.分析

Rekeywiz.exe 是一個白名單檔案,存在dll劫持特性,俗稱白加黑如下圖:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

利用rekeywiz.exe 帶起Duser.dll,Duser.dll再將 ***.tmp檔案,此處用***表示隨機檔名,解密後,記憶體載入.net,使其逃避防護軟體查殺.關鍵程式碼如下圖所示:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

選取.tmp檔案的前32位元組當做祕鑰,對後續的位元組進行異或解密後,使用Assembly.Load 載入到記憶體執行。

解密後,發現是一個.net後門程式,如下圖所示:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

(4).SystemApp.dll分析

   i.樣本資訊

  樣本MD5   6162005b9ae5d4a8070bfe5f560b0912
  樣本SHA-1   b4928e4c3a8787e0461e2e78138091134c7f719a
  樣本SHA-256   d8aa512b03a5fc451f9b7bc181d842936798d5facf1b20a2d91d8fdd82aa28b7
  樣本型別   Dll(動態連結庫)檔案
  樣本名稱   SystemApp.dll
  檔案大小   576.00 KB (589824 bytes)

ii.分析

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結start函式

首先載入基礎設定資訊,設定兩個時間回撥函式GET函式,POST函式,通過基礎配置Settings類的屬性來判斷是否需要獲取系統資訊,寫入選擇檔案,最後執行兩個時間回撥函式GET,POST,執行時間是5000秒。

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

LoadSettings函式

通過Settings的settingsFilePath來獲取配置檔案路徑,然後通過Decode函式來載入到記憶體,在返回一個用配置檔案資訊初始化的Settings類,否則返回預設配置

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

基礎配置資訊

其中可以看見預設C2地址:

https://reawk.net/202/OaZbRGT9AZ6rhLMSEWSoFykWnI7FeEbXdgvNvwZP/-1/12571/10255afc     

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

DecodeData函式

Decode函式主要複製加解密資料檔案,就是將檔案的前32位當作key,迴圈異或後面的資料,來解碼出原始檔資料。

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

EnCode函式,也就是加密函式,和Decode函式同理

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Get函式

從配置資訊裡面的c2地址下載資料,通過DecodeData函式解碼後傳入Process執行,

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Process函式上半部分

Process函式主要將傳入的資料檔案解析執行,先申請出一個Loader型別,載入傳入的data,然後將data解base64後,根據解碼出來的資料的第一個byte來選擇需要執行的功能

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Process函式中間部分

函式可執行的主要功能:

1.獲取系統資訊 寫入.sif檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

2.獲取檔案列表 寫入.flc檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

3.獲取指定檔案,先複製移動到.fls

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

4.修改setting

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

5.更新c2地址

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

6.準備上傳檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

7.載入檔案執行

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

8.設定檔案最大尺寸

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

9.下載檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Case功能列舉表格:

  Case值   功能
  1  獲取系統資訊 寫入.sif檔案
  2  獲取檔案列表 寫入.flc檔案
  3  獲取指定檔案,先複製移動到.fls
  4  修改setting
  5  更新c2地址
  6  準備上傳檔案
  7  載入檔案執行
  8  設定檔案最大尺寸
  9  下載檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Process函式下半部分

Process函式執行出現異常就寫入隨機命名.err檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

POST函式上半部分

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

POST函式中間部分

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

POST下半部分

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

POST函式結束部分

把執行寫入的檔案,也就是GET獲取請求執行後的資訊或者程式異常的的資訊寫入的檔案,準備上傳同時刪除寫入的檔案,如果執行報錯依然寫入.err檔案

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

UploadFile函式

通過之前post函式更具檔案的字尾入.sif、.fls、.err等來設定type型別,構造包體,然後發包,也就是我們說的回顯。改後面基本分析結束

後門獲取的資訊表:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

三.活動總結:

1).針對中國的攻擊:

部分誘餌文件如下(介於一些因素這些樣本將不會給出相應的樣本hash)

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

1.a檔案與其攻擊巴基斯坦的樣本有著一定的相似性

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

但是有略微的不同

攻擊中國的樣本直接呼叫ActiveX控制元件物件進行解密

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

而攻擊巴基斯坦的樣本則是通過自實現的解密演算法進行

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

樣本所使用的都是Write.exe與PROPSYS.dll的白加黑組合

其中PROPSYS.dll依舊與上文流程類似

讀取其同目錄下的tmp檔案並且區其前32個位元組作為異或解密的祕鑰

然後將tmp檔案32個位元組後的資料解密後記憶體載入

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

同樣其解密後的後門與上文針對巴基斯坦的後門類似

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

2).對巴基斯坦的活動

SideWinder除了針對中國的目標之外,其還熱衷於針對巴基斯坦的相關在目標,

與針對中國的目標有相同的特點就是Sidewinder組織對巴基斯坦的軍事相關的目標也饒有興趣,並且也會去攻擊政府組織

部分誘餌如下:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

該組織在對巴基斯坦的攻擊活動中使用了壓縮包中帶有lnk的攻擊手法,該手法在針對中國的活動中並沒有很多次的出現。

Lnk載荷

針對於Lnk檔案的載荷,該組織通過使用mshta.exe遠端載入目標hta檔案的手法

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Hta檔案貌似也有NotNetToScript的工具,並且其採用了不同的載入payload的方式

採用wmi的方式收集本地防毒軟體資訊

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

替換掉內建的混淆字串,將檔案解密載入到記憶體中

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

呼叫pink函式

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結 

引數一為下一階段的hta檔案

引數二是收集到的防毒軟體資訊

引數三是被base64加密的doc檔案資訊

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

引數四是doc誘餌檔名稱

記憶體載入的dll名稱為:LinkZip.dll

釋放誘餌文件並開啟,做到偽裝的目的

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

下載下一階段的hta檔案並用mshta.exe執行

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

下一階段hta的程式碼與前文的差不多,利用js載入記憶體執行payload

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

該一類樣本的流程圖如下:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

在另一個樣本中,我們發現了相同的釋放doc的程式碼

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

Mydoc.docx如下

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

以及類似的函式pink

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

但是經過分析

這個的第一個引數為exe檔案的資料

第二個引數為dll檔案的資料

第三個引數是wmic命令收集的防毒軟體資訊

其C#記憶體載入的dll為prebothta.dll

其根據不同的防毒軟體資訊執行不同的策略

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

釋放lnk到啟動資料夾以持久化

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

釋放bat並執行

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

由於該樣本的回連下載的伺服器已經失效,故不能分析

該一類樣本的流程圖如下:

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

六.技術特點以及演進:

注意:該特點不具有普適性,同時裡面給出的時間節點只是在那個時間段內該組織針對目標使用最多的手法,不是代表在那個時間段該組織使用的全部手法,該組織會針對目標的不同進行調整

1) .白加黑的使用

  Exe名稱   Dll名稱   屬性資訊
  Cmdl32.exe   Cmpbk32.dll   Microsoft連線管理器自動下載
  Credwiz.exe   Duser.dll   系統憑據備份和還原嚮導
  Write.exe   Propsys.dll   寫字板程式
  Rekeywiz.exe   Duser.dll   EFS REKEY嚮導

該組織在白加黑的尋找上偏向於尋找系統檔案的白加黑利用,在2018年的活動中主要使用cmdl32.exe+cmpbk32.dll與credwiz.exe+duser.dll的兩種組合,在2019年的活動中新增加了wrte.exe+propsys.dll與rekeywiz.exe與duser.dll的組合

未來估計會有別的新的白加黑組合的出現

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

2)載荷的明文字元的處理方式

該組織在對js指令碼記憶體載入C# dll檔案的時候,採用了字串拼接等手段.其在2019的1月份到10月份通常採用的是base64解密其c# dll的shellcode然後記憶體載入,並且其中呼叫的activexobject都可見,極其方便於分析以及安全軟體的查殺,在11月份到12月份針對巴基斯坦的攻擊活動中,該組織大幅度的對其明文字串進行了混淆,主要採用自編的異或演算法和base64進行解密操作

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

3).漏洞檔案載入js loader的方式

在2019年1月到3月的活動中,該組織主要採用的是通過漏洞載入遠端地址上託管的hta檔案,但在2019年3月到12月的活動中,則採用使用在本地釋放1.a檔案,再載入1.a檔案的js程式碼.其中該組織都會採用命令列替換的方式去載入惡意js

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

4).lnk攻擊載荷載入js loader的方式

該組織對於構造lnk檔案的載荷也是變化多樣,不過其主要是通過使用mshta.exe執行託管於伺服器的遠端hta檔案,不過該組織總是通過不同的手段來掩蓋其執行的策略,比如下圖中的執行start來拉起mshta以及利用lnk的性質來偽裝成ctfmon以欺騙受害者的執行(具體手段請看參考連結中瑞星的報告,這裡就不再贅述)

遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結

六.總結

sidewinder(響尾蛇)組織作為一個迅速進步,以及擁有c++,c#,delphi等後門以及大規模使用js以及開源的工具對其後門進行裝載,使用lnk以及文件載荷。並且其誘餌樣本的大部分檔案都是誘惑力很高的檔案,這種高的誘餌文件會加大人員的受害機率.並且使用系統檔案的白加黑技術和記憶體載入技術與防毒軟體進行對抗。

七.IOCs:

md5:

D2522E45C0B0D83DDDD3FCC51862D48C

1FE3D9722DB28C2F3291FF176B989C46

444438F4CE76156CEC1788392F887DA6

3CD725172384297732222EF9C8F74ADC

C0F15436912D8A63DBB7150D95E6A4EE

C986635C40764F10BCEBE280B05EFE8C

D1C3FA000154DBCCD6E5485A10550A29

B956496C28306C906FDDF08DED1CDF65

A1CA53EFDA160B31EBF07D8553586264

204860CE22C81C6D9DE763C09E989A20

DE7F526D4F60B59BB1626770F329F984

2CB633375A5965F86360E761363D9F2F

5CD406E886BD9444ADEE4E8B62AA56CC

358450E19D38DB77C236F45881DCEBEF

29325CDBDE5E0CF60D277AA2D9BA4537

836419A7A4675D51D006D4CB9102AF9C

A1CA53EFDA160B31EBF07D8553586264

16E561159EE145008635C52A931B26C8

21CC890116ADCF092D5A112716B6A55F

62606C6CFF3867A582F9B31B018DFEA5

52FA30AC4EDC4C973A0A84F2E93F2432

CE53ED2A093BBD788D49491851BABFFD

737F3AD2C727C7B42268BCACD00F8C66

2D9655C659970145AB3F2D74BB411C5D

032D584F6C01CC184BF07CDEC713E74D

FB362FE18C3A0A150754A7A1AB068F1E

423194B0243870E8C82B35E5298AD7D7

81F9EB617A2176FF0E561E34EF9FF503

7E23C62A81D2BFB90EF73047E170DEA8

58B5A823C2D3812A66BBF4A1EBC497D3

5E98EA66670FA34BF67054FB8A41979C

8DA5206BACACD5C8B316C910E214257F

65F66BC372EA1F372A8735E9862095DA

361DFD8F299DD80546BCE71D156BC78E

1B11A5DD12BB6EC1A0655836D97F9DD7

9B1D0537D0734F1DDB53C5567F5D7AB5

3EE30A5CAC2BEF034767E159865683DF

4513F65BDF6976E93AA31B7A37DBB8B6

FF9D14B83F358A7A5BE77AF45A10D5A2

C2:

cdn-in[.]net

urls:

      http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/final

      http://cdn-in[.]net/plugins/-1/7384/true/true/

      http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/final

      http://cdn-in[.]net/plugins/-1/7384/true/true/

msftupdate[.]srv-cdn[.]com

urls:

      hxxps://msftupdate[.]srv-cdn[.]com/cdne/plds/zoxr4yr5KV[.]hta

      hxxps://msftupdate[.]srv-cdn[.]com/fin[.]hta

www[.]google[.]com[.]d-dns[.]co

urls:

      hxxp://www[.]google[.]com[.]d-dns[.]co/includes/686a0ea5/-1/1223/da897db0/final[.]hta

webserv-redir[.]net

urls:

      hxxp://webserv-redir[.]net/includes/b7199e61/-1/5272/fdbfcfc1/final

pmo[.]cdn-load[.]net

urls:

      hxxp://pmo[.]cdn-load[.]net/cgi/5ed0655734/-1/1078/d70cc726/file[.]hta

fb-dn[.]net

urls:

      hxxp://fb-dn[.]net/disrt/fin[.]hta

cdn-edge[.]net

urls:

      hxxp://cdn-edge[.]net/checkout[.]php

      hxxp://cdn-edge[.]net/cart[.]php

      hxxp://cdn-edge[.]net/amount[.]php

ap12[.]ms-update-server[.]net

urls:

      hxxp://ap12[.]ms-update-server[.]net/checkout[.]php

      hxxp://ap12[.]ms-update-server[.]net/cart[.]php

      hxxp://ap12[.]ms-update-server[.]net/amount[.]php

s2[.]cdn-edge[.]net

urls:

      hxxp://s2[.]cdn-edge[.]net/checkout[.]php

      hxxp://s2[.]cdn-edge[.]net/cart[.]phpB

      hxxp://s2[.]cdn-edge[.]net/amount[.]php

webserv-redir[.]net

urls:

      hxxp://webserv-redir[.]net/plugins/-1/5272/true/true/

      hxxp://webserv-redir[.]net/plugins/-1/5272/true/true/done

s12[.]cdn-apn[.]net

urls:

      hxxp://s12[.]cdn-apn[.]net/checkout[.]php

      hxxp://s12[.]cdn-apn[.]net/cart[.]php

      hxxp://s12[.]cdn-apn[.]net/amount[.]php

cdn-do[.]net

urls:

      hxxp://cdn-do[.]net/plugins/-1/7340/true/true/

cdn-list[.]net

urls:

      hxxp://cdn-list[.]net/KOmJg2XSthl3PRhXnB6xT6Wo967B1n5uGf7SfiBC/-1/7340/b729d30c/css

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4[.]0[.]30319

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10

http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css

      http://cdn-in[.]net/includes/b7199e61/-1/7384/35955a61/final

      http://cdn-in[.]net/plugins/-1/7384/true/true/

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/1

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/2

http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/3

http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/v4[.]0[.]30319

http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/4

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/5

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/6

http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/7

      http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/8

               http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/9

               http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css/10

               http://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/134/7e711ada/res/css

               https://cdn-list[.]net/1SdYMUrbdAfpgSt3Gv13U8Jca6qOvI4I2Fa1zSCT/-1/7384/43e2a8fa/css

sd1-bin[.]net

urls:

               https://www.sd1-bin[.]net/images/2B717E98/-1/12571/4C7947EC/main.file.rtf

reawk[.]net

ap1-acl[.]net

八.參考連結

http://it.rising.com.cn/dongtai/19639.html

https://www.antiy.cn/research/notice&report/research_report/20190508.html

https://www.freebuf.com/articles/network/196788.html

http://it.rising.com.cn/dongtai/19658.html

http://it.rising.com.cn/dongtai/19655.html

相關文章