刺向巴勒斯坦的致命毒針——雙尾蠍 APT 組織的攻擊活動分析與總結
刺向巴勒斯坦的致命毒針——雙尾蠍 APT 組織的攻擊活動分析與總結
一.前言
雙尾蠍APT組織(又名:APT-C-23),該組織從 2016 年 5 月開始就一直對巴勒斯坦教育機構、軍事機構等重要領域展開了有組織、有計劃、有針對性的長時間不間斷攻擊.其在2017年的時候其攻擊活動被360企業安全進行了披露,並且其主要的攻擊區域為中東,其中以色列與巴勒斯坦更受該組織的青睞。
攻擊平臺主要包括 Windows 與Android:
其中針對windows的平臺,其比較常見的手法有投放帶有"*.exe"或"*.scr"檔案字尾的釋放者檔案,在目標使用者開啟後釋放對應的誘餌文件,並且釋放下一步的偵查者(Recon).持久存在的方式也不唯一,一般透過寫入登錄檔啟動項以及釋放指向持久化遠控的快捷方式到自啟動資料夾下.其偵查者會收集當前機器的相關資訊包含(系統版本,計算名,防毒軟體資訊,當前檔案所在路徑,惡意軟體當前版本),以及其解析C2的回顯指令,並執行.比如:遠端shell,截圖和檔案下載。
同時根據別的安全廠商的報告,我們也得知該組織擁有於攻擊Android平臺的元件,擁有定位、簡訊攔截、電話錄音等,並且還會收集文件、圖片、聯絡人、簡訊等情報資訊;PC 端後門程式功能包括收集使用者資訊上傳到指定伺服器的功能、遠端下載檔案能力.近日check point安全廠商披露了該組織自導自演,給以色列士兵手上安裝惡意軟體的攻擊活動.可以從中看出該團伙的攻擊設計之巧妙,準備之充分。但最後結果還是被以色列給反制了一波............
Gcow安全團隊追影小組於2019.12月初開始監測到了雙尾蠍APT組織透過投遞帶有誘餌檔案的相關可執行檔案針對巴勒斯坦的部門進行了相應的攻擊活動,這些誘餌檔案涉及教育,科技,政治等方面的內容,其攻擊活動一直持續到了2020.2月底.追影小組對該組織進行了一定時間的追蹤.遂寫成此報告還請各位看官欣賞.
二.樣本資訊介紹以及分析
1.樣本資訊介紹
在本次雙尾蠍APT組織針對巴勒斯坦的活動中,Gcow安全團隊追影小組一共捕獲了14個樣本,均為windows樣本,其中12個樣本是釋放誘餌文件的可執行檔案,2個樣本是帶有惡意宏的誘餌文件
在這12個可執行檔案樣本中,有7個樣本偽裝成pdf文件檔案,有1個樣本偽裝為word文件檔案,有2個樣本偽裝為rar壓縮檔案.有2個樣本偽裝成mp3,mp4音訊檔案
在這14個Windows惡意樣本中,其誘餌文件的題材,政治類的樣本數量有9個,教育類的樣本數量有1個,科研類的樣本數量有1個,未知類的樣本數量有3個(注意:未知指得是其誘餌文件出現錯誤無法開啟或者其內容屬於無關內容)
現在各位看官應該對這批雙尾蠍組織針對巴勒斯坦的攻擊活動有了一個大概的認識,但是由於這批樣本之中有一些話題是以色列和巴勒斯坦共有的,這裡Gcow安全團隊追影小組持該組織主要是攻擊巴勒斯坦的觀點,若各位看官有更多的證據,歡迎聯絡我們團隊.注意:這裡只是一家之言,還請各位看官須知,那下面追影小組將以一個惡意樣本進行詳細分析,其他樣本採取略寫的方式向各位看官描述此次攻擊活動。注意:因為其他樣本的主要邏輯是相同的,所以沒有必要枉費筆墨
2.樣本分析
(1).Define the Internet in government institutions
a.樣本資訊
| 樣本資訊 | Define the Internet in government institutions(政府機構定義網際網路) |
|---|---|
| 樣本MD5 | 3296b51479c7540331233f47ed7c38dd |
| 樣本SHA-1 | 4107f9c36c3a5ce66f8365140901cd15339aa66c |
| 樣本SHA-256 | d08e7464fa8650e669012056548383fbadcd29a093a28eb7d0c2ba4e9036eb07 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.01 MB (2105856 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2020-01-14 09:58:48 |
b.樣本分析
透過對樣本的分析我們得知了該樣本是兼具釋放者(Dropper)與下載者(Downloader)的功能,其釋放者(Dropper)主要是用以釋放誘餌文件加以偽裝以及將自身複製到%ProgramData%目錄下,並且生成執行該檔案的快捷方式並且釋放於自啟動資料夾下,而下載者(Downloader)部分主要是透過進行資訊收集以及等待C2給予的回顯,主要功能有:遠端shell,檔案下載,螢幕截圖
i.釋放者(Dropper)部分:
透過FindResource函式查詢名稱為:MyData的資源
透過LoadResource函式載入該資源
透過LockResource函式鎖定資源並且獲取資源在記憶體的地址
透過SizeOfResource函式透過獲取資源的地址計算該資源的長度
透過CreateFile函式在%temp%目錄下釋放誘餌PDF文件Define the Internet in government institutions.pdf
透過WriteFile函式將PDF源資料寫入建立的誘餌文件內
透過ShellExecute函式開啟PDF誘餌文件,以免引起目標懷疑
其PDF誘餌文件內容如圖,主要關於其使用網際網路的政治類題材,推測應該是針對政府部門的活動
同時利用CopyFileA函式將自身複製到%ProgramData%目錄下並且重新命名為SyncDownOptzHostProc.exe
利用CreateFilewW函式在自啟動資料夾下創造指向%ProgramData%\SyncDownOptzHostProc.exe的快捷方式SyncDownOptzHostProc.lnk
ii.下載者(Downloader)部分:
透過CreateFile函式創造%ProgramData%\GUID.bin檔案,內部寫入對應本機的GUID.當軟體再次執行的時候檢查自身是否位於%ProgramData%資料夾下,若不是則釋放pdf文件。若是,則釋放lnk到自啟動資料夾
①.資訊收集
1.收集當前使用者名稱以及當前計算機名稱,並且讀取GUID.bin檔案中的GUID碼
再以如下格式拼接資訊
當前計算機名稱_當前使用者名稱_GUID碼
將這些拼接好的資訊利用base64進行編碼,組合成cname報文
2.透過GetVersion函式收集當前系統版本
並且將其結果透過Base64進行編碼,組成osversion報文
3.透過WMI查詢本地安裝的安全軟體
被偵查的安全軟體包括360,F-secure,Corporate,Bitdefender
如果存在的話,獲取結果組成av報文
4.透過GetModuleFile函式獲取當前檔案的執行路徑
將當前程式執行路徑資訊透過base64編碼組成aname報文
5.後門版本號ver報文,本次活動的後門版本號為:5.HXD.zz.1201
將版本號透過base64編碼組成ver報文
將這些資訊按照如下方式拼接好後,透過Send方式向URL地址htp://nicoledotson.icu/debby/weatherford/yportysnr傳送上線報文
cname=&av=&osversion=&aname=&ver=
②.獲取指令
透過http://nicoledotson.icu/debby/weatherford/ekspertyza URL獲取功能命令(功能為截圖,遠端shell,以及下載檔案)
③.傳送螢幕快照
擷取螢幕快照函式
向URL地址http://nicoledotson.icu/debby/weatherford/Zavantazhyty傳送截圖
④.遠端shell
遠端shell主要程式碼
向URL地址http://nicoledotson.icu/debby/weatherford/pidnimit傳送shell回顯
⑤.檔案下載
下載檔案,推測應該先另存為base64編碼的txt檔案再解密另存為為exe檔案,最後刪除txt檔案.由於環境問題我們並沒有捕獲後續的程式碼
⑥.刪除命令
透過URLhttp://nicoledotson.icu/debby/weatherford/vydalyty獲取刪除指令
此外我們還關聯到一個與之相似的樣本,誘餌文件與之相同故不再贅述
| 樣本資訊 | Internet in government(網際網路在政府機構) |
|---|---|
| 樣本MD5 | 20d21c75b92be3cfcd5f69a3ef1deed2 |
| 樣本SHA-1 | fd20567190ef2920c5c6c449aeeb9fe75f7df425 |
| 樣本SHA-256 | 23aa2347bf83127d40e05742d7c521245e51886f38b285be7227ddb96d765337 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.01 MB (2106880 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2020-01-20 12:09:44 |
(2).Employee-entitlements-2020
a.樣本資訊
| 樣本資訊 | Employee-entitlements-2020(員工權益-2020) |
|---|---|
| 樣本MD5 | 91f83b03651bb4d1c0a40e29fc2c92a1 |
| 樣本SHA-1 | c1cfc6bbd8ce0ce03d7cd37c68ee9e694c582aef |
| 樣本SHA-256 | b33f22b967a5be0e886d479d47d6c9d35c6639d2ba2e14ffe42e7d2e5b11ad80 |
| 樣本型別 | MS Word 文件 帶有惡意宏 |
| 樣本大小 | 43.00 KB (44032 bytes) |
| 樣本創造時間 | 2020-01-20 09:10:00 |
| 最後儲存時間 | 2020-01-20 10:11:00 |
| 最初上傳時間 | 2020-01-22 08:41:44 |
該樣本屬於包含惡意宏的文件,我們開啟可以看到其內容關於財政部關於文職和軍事僱員福利的宣告,屬於政治類題材樣本
b.樣本分析
透過使用olevba dump出其包含的惡意宏程式碼(如下圖所示:)
其主要邏輯為:下載該URLhttp://linda-callaghan.icu/Minkowski/brown上的內容到本臺機器的%ProgramData%\IntegratedOffice.txt(此時並不是其後門,而且後門檔案的base64編碼後的結果)。透過讀取IntegratedOffice.txt的所有內容將其解碼後,把資料流寫入%ProgramData%\IntegratedOffice.exe中,並且延遲執行%ProgramData%\IntegratedOffice.exe刪除%ProgramData%\IntegratedOffice.txt
| 樣本資訊 | IntegratedOffice.exe |
|---|---|
| 樣本MD5 | e8effd3ad2069ff8ff6344b85fc12dd6 |
| 樣本SHA-1 | 417e60e81234d66ad42ad25b10266293baafdfc1 |
| 樣本SHA-256 | 80fb33854bf54ceac731aed91c677d8fb933d1593eb95447b06bd9b80f562ed2 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 1.95 MB (2047488 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2020-01-22 12:29:16 |
該樣本屬於上一個樣本中的下載者(Downloader)部分,其還是透過建立GUID.bin標記感染機器
並且建立指向自身的快捷方式於自啟動資料夾中
剩下的收集資訊並且等待回顯資料的操作都與上文中提到的相同故此不再贅述
(3).Brochure-Jerusalem_26082019_pdf
a.樣本資訊
| 樣本資訊 | Brochure-Jerusalem_26082019_pdf(手冊-耶路撒冷) |
|---|---|
| 樣本MD5 | 46871f3082e2d33f25111a46dfafd0a6 |
| 樣本SHA-1 | f700dd9c90fe4ba01ba51406a9a1d8f9e5f8a3c8 |
| 樣本SHA-256 | 284a0c5cc0efe78f18c7b9b6dbe7be1d93da8f556b432f03d5464a34992dbd01 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.27 MB (2376192 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970/1/1 1:00 (100%造假) |
| 最初上傳時間 | 2020-02-16 07:08:10 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個PDF檔案
透過CreateFile函式將檔案源資料寫入%Temp%\Brochure-Jerusalem_26082019.pdf(誘餌檔案)中
透過ShellExecute函式將%Temp%\Brochure-Jerusalem_26082019.pdf開啟
該樣本關於耶路撒冷的話題,屬於政治類誘餌文件
之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(4).Congratulations_Jan-7_78348966_pdf
a.樣本資訊
| 樣本資訊 | Congratulations_Jan-7_78348966_pdf(恭喜7月) |
|---|---|
| 樣本MD5 | 09cd0da3fb00692e714e251bb3ee6342 |
| 樣本SHA-1 | 82d425384eb63c0e309ac296d12d00fe802a63f1 |
| 樣本SHA-256 | 4be7b1c2d862348ee00bcd36d7a6543f1ebb7d81f9c48f5dd05e19d6ccdfaeb5 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.17 MB (2270720 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2020-01-22 19:22:17 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個PDF檔案
透過CreateFile函式將檔案源資料寫入%Temp%\Congratulations_Jan-7.pdf(誘餌檔案)中
透過ShellExecute函式將%Temp%\Congratulations_Jan-7.pdf開啟
該樣本關於耶路撒冷歸屬的話題,屬於政治類誘餌文件
之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(5).Directory of Government Services_pdf
a.樣本資訊
| 樣本資訊 | Directory of Government Services_pdf(政府服務目錄) |
|---|---|
| 樣本MD5 | edc3b146a5103051b39967246823ca09 |
| 樣本SHA-1 | 9466d4ad1350137a37f48a4f0734e464d8a0fef2 |
| 樣本SHA-256 | 0de10ec9ec327818002281b4cdd399d6cf330146d47ac00cf47b571a6f0a4eaa |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 3.10 MB (3254272 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2019-12-09 22:25:47 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個PDF檔案
透過CreateFile函式將檔案源資料寫入%Temp%\Directory of Government Services.pdf(誘餌檔案)中
透過ShellExecute函式將%Temp%\Directory of Government Services.pdf開啟
該樣本關於政府部門秘書處的話題,屬於政治類誘餌文件
誘餌內容對應的官網圖片
之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(6).entelaqa_hamas_32_1412_847403867_rar
a.樣本資訊
| 樣本資訊 | entelaqa_hamas_32_1412_847403867rar(entelaqa哈馬斯) |
|---|---|
| 樣本MD5 | 9bb70dfa2e39be46278fb19764a6149a |
| 樣本SHA-1 | 98efcce3bd765d96f7b745928d1d0a1e025b5cd2 |
| 樣本SHA-256 | 094e318d14493a9f56d56b44b30fd396af8b296119ff5b82aca01db9af83fd48 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 5.55 MB (5822464 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2019-12-16 21:05:24 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個RAR檔案
透過CreateFile函式將檔案源資料寫入%Temp%\Entelaqa32.rar(誘餌檔案)中
透過ShellExecute函式將%Temp%\Entelaqa32.rar開啟
該樣本關於哈馬斯的話題,屬於政治類誘餌文件
(7).final_meeting_9659836_299283789235_rar
a.樣本資訊
| 樣本資訊 | final_meeting_9659836_299283789235_rar(最終會議) |
|---|---|
| 樣本MD5 | 90cdf5ab3b741330e5424061c7e4b2e2 |
| 樣本SHA-1 | c14fd75ccdc5e2fe116c9c7ba24fb06067db2e7b |
| 樣本SHA-256 | 050a45680d5f344034be13d4fc3a7e389ceb096bd01c36c680d8e7a75d3dbae2 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 4.02 MB (4220416 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2019-12-21 09:07:07 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個rar檔案
透過CreateFile函式將rar檔案源資料寫入%Temp%\jalsa.rar(誘餌檔案)中
透過ShellExecute函式將%Temp%\jalsa.rar開啟
其誘餌檔案的內容與第十二屆亞洲會議有關,其主體是無條件支援巴勒斯坦,可見可能是利用亞洲會議針對巴勒斯坦*的活動,屬於政治類題材的誘餌樣本
之後的行為就和之前的如出一轍了,在此就不必多費筆墨
(8).Meeting Agenda_pdf
a.樣本資訊
| 樣本資訊 | Meeting Agenda_pdf(會議議程) |
|---|---|
| 樣本MD5 | a7cf4df8315c62dbebfbfea7553ef749 |
| 樣本SHA-1 | af57dd9fa73a551faa02408408b0a4582c4cfaf1 |
| 樣本SHA-256 | 707e27d94b0d37dc55d7ca12d833ebaec80b50decb218a2eb79565561a807fe6 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.03 MB (2129920 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2020-01-29 11:08:26 |
b.樣本分析
透過CreateFile函式將檔案源資料寫入%Temp%\Meeting Agenda.pdf(誘餌檔案)中
透過ShellExecute函式將%Temp%\Meeting Agenda.pdf開啟
但由於其塞入資料的錯誤導致該Meeting Agenda.pdf檔案無法正常開啟故此將該樣本歸因到未知類題材樣本,之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(9).Scholarships in Serbia 2019-2020_pdf
a.樣本資訊
| 樣本資訊 | Scholarships in Serbia 2019-2020(塞爾維亞獎學金2019-2020) |
|---|---|
| 樣本MD5 | 8d50262448d0c174fc30c02e20ca55ff |
| 樣本SHA-1 | 342aace73d39f3f446eeca0d332ee58c08e9eef5 |
| 樣本SHA-256 | 00bc6fcfa82a693db4d7c1c9d5f4c3d0bfbbd0806e122f1fbded034eb9a67b10 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.13 MB (2233856 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2020-02-24 05:18:55 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個PDF檔案
透過CreateFile函式將檔案源資料寫入%Temp%\Scholarships in Serbia 2019-2020.pdf(誘餌檔案)中
透過ShellExecute函式將%Temp%\Scholarships in Serbia 2019-2020.pdf開啟
該樣本關於巴勒斯坦在塞爾維亞共和國獎學金的話題,屬於教育類誘餌文件
誘餌內容對應的官網圖片
之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(10).تقرير حول أهم المستجدات_347678363764
a.樣本資訊
| 樣本資訊 | تقرير حول أهم المستجدات_347678363764(報告最重要的事態發展) |
|---|---|
| 樣本MD5 | 9bc9765f2ed702514f7b14bcf23a79c7 |
| 樣本SHA-1 | 7684cd1a40e552b22294ea315e7e208da9112925 |
| 樣本SHA-256 | 4e77963ba7f70d6777a77c158fab61024f384877d78282d31ba7bbac06724b68 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.02 MB (2120704 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970-01-01 1:00 (100%造假) |
| 最初上傳時間 | 2020-01-02 11:59:19 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個docx檔案
透過CreateFile函式將docx檔案源資料寫入%Temp%\daily_report.docx(誘餌檔案)中
透過ShellExecute函式將%Temp%\daily_report.docx開啟
從誘餌樣本中的內容我們可以看出其關於巴勒斯坦態勢的問題,屬於政治類題材樣本
之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(11).asala-panet-il-music-live-892578923756-mp3
a.樣本資訊
| 樣本資訊 | asala-panet-il-music-live-892578923756-mp3(Asala Panet現場音樂) |
|---|---|
| 樣本MD5 | 1eb1923e959490ee9f67687c7faec697 |
| 樣本SHA-1 | 65863efc790790cc5423e680cacd496a2b4a6c60 |
| 樣本SHA-256 | b42d3deab6932e04d6a3fb059348e608f68464a6cdc1440518c1c5e66f937694 |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.47 MB (2592256 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970/1/1 1:00 (100%造假) |
| 最初上傳時間 | 2020-02-26 06:53:36 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個unknown檔案
透過CreateFile函式將檔案源資料寫入%Temp%\asala.mp3(誘餌檔案)中
透過ShellExecute函式將%Temp%\asala.mp3開啟
歌曲挺好聽的,但是我們也不知道啥意思,將其歸屬於未知類題材樣本
之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(12).artisan-video-5625572889047205-9356297846-mp4
a.樣本資訊
| 樣本資訊 | artisan-video-5625572889047205-9356297846-mp4(工匠影片) |
|---|---|
| 樣本MD5 | 4d9b6b0e7670dd5919b188cb71d478c0 |
| 樣本SHA-1 | 599cf23db2f4d3aa3e19d28c40b3605772582cae |
| 樣本SHA-256 | 83e0db0fa3feaf911a18c1e2076cc40ba17a185e61623a9759991deeca551d8b |
| 樣本型別 | Win32 EXE GUI程式 |
| 樣本大小 | 2.09 MB (2187264 bytes) |
| 編寫語言 | Pascal |
| 編譯器資訊 | Free Pascal Compiler v.3.0.4 [2019/10/27] for i386 |
| 時間戳 | 1970/1/1 1:00 (100%造假) |
| 最初上傳時間 | 2019-12-11 19:25:41 |
b.樣本分析
透過FindResource函式查詢資源MYDATA,透過下圖我們可以看出該資源是一個unknown檔案
透過CreateFile函式將檔案源資料寫入%Temp%\artisan-errors.mp4(誘餌檔案)中
透過ShellExecute函式將%Temp%\artisan-errors.mp4開啟
該樣本偽裝成影片丟失的404訊號,沒有實際參考價值,故歸入未知類題材樣本
之後的行為就和之前的如出一轍了,在此就不必多費筆墨。
(13).السيرة الذاتية منال1
a.樣本資訊
| 樣本資訊 | السيرة الذاتية منال1(傳記手冊1) |
|---|---|
| 樣本MD5 | 817861fce29bac3b28f06615b4f1803f |
| 樣本SHA-1 | 817394d48cbb3cdc008080b92a11d8567085b189 |
| 樣本SHA-256 | 4a6d1b686873158a1eb088a2756daf2882bef4f5ffc7af370859b6f87c08840f |
| 樣本型別 | MS Word 文件 帶有惡意宏 |
| 樣本大小 | 71.50 KB (73216 bytes) |
| 樣本創造時間 | 2020-02-02 12:26:00 |
| 最後儲存時間 | 2020-02-02 12:26:00 |
| 最初上傳時間 | 2020-02-02 12:52:19 |
b.樣本分析
其誘餌內容關於在東耶路撒冷(巴勒斯坦)的阿布迪斯大學秘書,屬於大學科研類題材的誘餌文件
同時其包含的惡意宏程式碼如圖所示,由於我們並沒有能成功獲得下一步的載荷,故沒法進行下一步的分析。不過推測其大致功能應該與上文相同
三.組織關聯與技術演進
在本次活動中,我們可以清晰的看到雙尾蠍APT組織的攻擊手段,同時Gcow安全團隊追影小組也對其進行了一定的組織關聯,並且對其技術的演進做了一定的研究。下面我們將分為組織關聯與技術演進這兩部分內容進行詳細的敘述。
注意:下文中的時間段僅僅為參考值,並非準確時間。由於在這一時間段內該類樣本較多,故此分類。
1.組織關聯
(1).樣本執行流程基本相似
我們根據對比了從2017到2020年所有疑似屬於雙尾蠍APT組織的樣本,(注意:這裡比對的樣本主要是windows平臺的可執行檔案樣本).在2017年到2019年的樣本中我們可以看出其先在臨時資料夾下釋放誘餌檔案,再開啟迷惑受害者,再將自身複製到%ProgramData%下.建立指向%ProgramData%下的自複製惡意檔案的快捷方式於自啟動資料夾.本次活動與2018年2019年的活動所使用樣本的流程極為相似.如下圖所示.故判斷為該活動屬於雙尾蠍 APT組織。
(2).C&C中存在名人姓名的痕跡
根據checkpoint的報告我們得知,該組織樂於使用一些明星或者名人的名字在其C&C伺服器上.左圖是checkpoint安全廠商揭露其針對以色列士兵的活動的報告原文,我們可以看到其中含有Jim Morrison,Eliza Dollittle,Gretchen Bleiler等名字.而右圖在帶有惡意宏文件的樣本中,我們發現了其帶有Minkowski這個字元.透過搜尋我們發現其來源於Hermann Minkowski名字的一部分,勉強地符合了雙尾蠍APT組織的特徵之一.
2.技術演進
(1).在編寫語言上的演進
根據360的報告我們可以得知雙尾蠍APT組織在2016年到2017年這段時間內該組織主要採用了VC去編寫載荷.再到2017年到2018年這段時間內該組織主要是以Delphi來編寫其偵查者(Recon),根據Gcow安全團隊追影小組的跟蹤,該組織在2018年到2019年這段時間內也使用了Delphi編寫的惡意載荷。與2017年到2018年不同的是:2017年到2018年所採用的編譯器資訊是:Borland Delphi 2014XE6。而在2018年到2019年這個時間段內採用的編輯器資訊是:Borland Delphi 2014XE7-S.10。同時在本次活動中該組織使用Pascal語言來編寫載荷。可見該組織一直在不斷尋求一些受眾面現在越來越小的語言以逃脫殺軟對其的監測。
(2).編譯時間戳的演進
根據360的報告我們可以得知雙尾蠍APT組織在2016年到2018年這個時間段中,該組織所使用的惡意載荷的時間戳資訊大部分時間集中位於北京的下午以及第二天的凌晨,屬於中東地區的時間。而在2019年7月份捕獲的雙尾蠍APT組織樣本中該組織的編譯戳為2019.7.14 11:08:48而在本次活動所捕獲的樣本中我們發現該組織將編譯時間戳統一改為:1970.1.1 1:00,也就是置0.透過偽造時間戳以阻斷安全人員的關聯以及對其的地域判斷
(3).自複製方式的演進
雙尾蠍APT組織在2017年到2019年的活動中,擅長使用copy命令將自身複製到%ProgramData%下.而可能由於copy指令的敏感或者已經被各大安全廠商識別。在2019年7月份的時候.該組織恢復了之前採用CopyFilewindows API函式的方式將自身複製到%ProgramData%下
(4).持久化方式的演進
根據360的報告,我們可以得知雙尾蠍APT組織在2016年到2017年的活動之中,主要採用的是修改登錄檔新增啟動項的方式進行許可權的持久化存在。而根據追影小組的捕獲的樣本,我們發現在2017年到2018年的這段時間內該組織使用擁有白名單Shortcut.exe透過命令列的方式在自啟動資料夾中新增指向自複製後的惡意檔案的快捷方式。而在本次活動中,該組織則採用呼叫CreateFile Windows API函式的方式在自啟動資料夾中建立指向自複製後惡意檔案的快捷方式以完成持久化存在
(5).C&C報文的演進
為了對比的方便,我們只對比雙尾蠍APT組織2018年到2019年的上半年的活動與本次活動的C&C報文的區別。如圖所示下圖的左上是本次活動的樣本的C&C報文,右下角的是2018年到2019年上半年活動的樣本的C&C報文。透過下面所給出的解密我們可以得知兩個樣本所向C&C收集併傳送的資訊基本相同。同時值得注意的是該組織逐漸減少明文的直接傳送收集到的注意而開始採用比較常見的透過Base64的方式編碼後在傳送。同時在ver版本中我們發現:2018年到2019年上半年的樣本的後門版本號為:1.4.2.MUSv1107(推測是2018.11.07更新的後門);而在本次活動中後門版本號為:5.HXD.zz.1201(推測是2019.12.01號更新的後門),由此可見該組織正在隨著披露的增加而不斷的進行後門的更迭。
四.總結
1.概述
Gcow安全團隊追影小組針對雙尾蠍APT組織此次針對巴勒斯坦的活動進行了詳細的分析並且透過繪製了一幅樣本執行的流程圖方便各位看官的理解
該組織擁有很強的攻擊能力,其載荷涵蓋較廣(Windows和Android平臺).並且在被以色列進行導彈物理打擊後快速恢復其攻擊能力.對巴勒斯坦地區進行了一波較為猛烈的攻勢,同時我們繪製了一幅本次活動之中樣本與C&C的關係圖
透過之前的分析我們發現了該組織擁有很強的技術對抗能力,並且其投放的樣本一直圍繞著與巴勒斯坦和以色列的敏感話題進行投放,我們對其話題關鍵字做了統計,方便各位看官瞭解
2.處置方案:
刪除檔案
%TEMP%\*.pdf(*.mp3,*.mp4,*.rar,*.doc) [誘餌文件] %ProgramData%\SyncDownOptzHostProc.exe [偵查者主體檔案] %ProgramData%\IntegratedOffice.exe[偵查者主體檔案] %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\SyncDownOptzHostProc.lnk [指向偵查者主體檔案的快捷方式用於許可權維持] %ProgramData%\GUID.bin [標記感染]
3.結語
透過本次分析報告,我們相信一定給各位看官提供了一個更加充分了解該組織的機會.我們在前面分析了該組織的技術特點以及對該組織實施攻擊的攻擊手法的演進進行了詳細的概述。同時在後面的部分我們也會貼出該組織最新活動所使用樣本的IOCs供給各位感興趣的看官交流與學習.同時我們希望各位看官如果有其他的意見歡迎向我們提出.
五.IOCs:
MD5:
| 樣本MD5 | 樣本檔名 |
|---|---|
| a7cf4df8315c62dbebfbfea7553ef749 | Meeting Agenda_pdf.exe |
| 91f83b03651bb4d1c0a40e29fc2c92a1 | Employee-entitlements-2020.doc |
| 09cd0da3fb00692e714e251bb3ee6342 | Congratulations_Jan-7_78348966_pdf.exe |
| 9bc9765f2ed702514f7b14bcf23a79c | 7تقرير حول أهم المستجدات_347678363764.exe |
| 3296b51479c7540331233f47ed7c38dd | Define the Internet in government institutions_pdf.exe |
| e8effd3ad2069ff8ff6344b85fc12dd6 | integratedoffice.exe |
| 90cdf5ab3b741330e5424061c7e4b2e2 | final_meeting_9659836_299283789235_rar.exe |
| 8d50262448d0c174fc30c02e20ca55ff | Scholarships in Serbia 2019-2020_pdf.exe |
| 817861fce29bac3b28f06615b4f1803f | السيرة الذاتية منال1.doc |
| edc3b146a5103051b39967246823ca09 | Directory of Government Services_pdf.exe |
| 20d21c75b92be3cfcd5f69a3ef1deed2 | Internet in government_984747457_489376.exe |
| 4d9b6b0e7670dd5919b188cb71d478c0 | artisan-video-5625572889047205-9356297846-mp4.exe |
| 9bb70dfa2e39be46278fb19764a6149a | entelaqa_hamas_32_1412_847403867_rar.exe |
| 1eb1923e959490ee9f67687c7faec697 | asala-panet-il-music-live-892578923756-mp3.exe |
| 46871f3082e2d33f25111a46dfafd0a6 | Brochure-Jerusalem_26082019_pdf.exe |
URL:
http[:]//linda-callaghan[.]icu/Minkowski/brown
http[:]//linda-callaghan[.]icu/Minkowski/microsoft/utilities
http[:]//nicoledotson[.]icu/debby/weatherford/yortysnr
http[:]//nicoledotson[.]icu/debby/weatherford/Zavantazhyty
http[:]//nicoledotson[.]icu/debby/weatherford/Ekspertyza
http[:]//nicoledotson[.]icu/debby/weatherford/Vydalyty
http[:]//nicoledotson[.]icu/debby/weatherford/pidnimit
C2:
linda-callaghan[.]icu
nicoledotson[.]icu
釋放檔案:
%TEMP%\ *.pdf(*.mp3,*.mp4,*.rar,*.doc)
%ProgramData%\SyncDownOptzHostProc.exe
%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\SyncDownOptzHostProc.lnk
%ProgramData%\GUID.bin
%ProgramData%\IntegratedOffice.exe
六.相關連結:
https://www.freebuf.com/articles/system/129223.html
https://research.checkpoint.com/2020/hamas-android-malware-on-idf-soldiers-this-is-how-it-happened/
https://mp.weixin.qq.com/s/Rfcr-YPIoUUvc89WFrdrnwe
關注公眾號:Gcow安全團隊,後臺回覆:APT-C-23 獲取本文的pdf
相關文章
- Kimsuky APT組織利用疫情話題針對南韓進行雙平臺的攻擊活動的分析APT
- 針對以色列和巴勒斯坦的apt式攻擊APT
- 隱寫術、小火龍與AgentVX:APT組織Evilnum新攻擊活動詳細分析APT
- 遊蕩於中巴兩國的魅影——響尾蛇(SideWinder) APT組織針對巴基斯坦最近的活動以及2019年該組織的活動總結IDEAPT
- 美人魚(Infy)APT組織的歸來——使用最新的Foudre後門進行攻擊活動的分析APT
- 烈火燒不盡的“惡性毒草”—— 摩訶草APT組織的攻擊活動APT
- SWEED駭客組織攻擊活動分析報告
- 追溯朝鮮APT組織Lazarus的攻擊歷程APT
- APT組織Lorec53(洛瑞熊)發動多輪針對烏克蘭的網路攻擊活動APT
- APT組織檔案館|2021年度APT組織活動態勢分析APT
- 南亞APT組織Bitter正在針對中國的核能機構進行網路攻擊APT
- FireEye遭APT攻擊?!針對企業的APT攻擊是如何發生的?APT
- 伸向中亞地區的觸手——DustSquad APT組織針對烏茲別克的活動分析APT
- "Cyrus"APT組織:"SideWinder(響尾蛇)"的兄弟APTIDE
- 疑似APT組織針對多吉幣關注者進行魚叉式定向攻擊APT
- 重要揭秘!LAZARUS組織最新活動中的新型攻擊技術
- 微軟稱阻止了黎巴嫩黑客組織對以色列的攻擊活動微軟黑客
- 安全公司FireEye再被攻擊!劍指俄羅斯APT組織APT
- 深入剖析某國外組織針對中國企業的APT攻擊(CVE-2015-8651)APT
- 谷歌揭露兩個朝鮮黑客組織的網路攻擊活動谷歌黑客
- 基於上下文感知計算的APT攻擊組織追蹤方法APT
- “透明部落”APT組織攜新型武器—USB,向政府和軍隊發起新一輪攻擊APT
- 針對巴基斯坦的某APT活動事件分析APT事件
- 蛇從暗黑中襲來——響尾蛇(SideWinder) APT組織2020年上半年活動總結報告IDEAPT
- APT攻擊APT
- APT組織跟蹤與溯源APT
- 一例針對中國政府機構的準APT攻擊中所使用的樣本分析APT
- 境外“暗駭客棧”組織對國內企業高管發起APT攻擊APT
- APT34攻擊全本分析APT
- 對某單位的 APT 攻擊樣本分析APT
- 什麼是APT攻擊?APT攻擊有什麼主要特徵?APT特徵
- 【安全篇】APT攻擊是什麼?APT攻擊有哪些危害?APT
- 物件導向與人類的組織物件
- APT攻擊備忘APT
- 年終盤點:南亞APT組織“群魔亂舞”,鏈條化攻擊“環環相扣”APT
- 拙劣至極!南亞APT組織借新冠疫情對我國醫療機構發起定向攻擊!APT
- 【網路安全分享】APT攻擊常用的4種攻擊手段!APT
- TransparentTribe APT組織最新樣本分析報告APT