(6).entelaqa_hamas_32_1412_847403867_rar
a.样本信息
样本entelaqa_hamas_32_1412_847403867_rar.exe文件信息(表格)-pic70
样本entelaqa_hamas_32_1412_847403867_rar.exe文件信息(图片)-pic71
b.样本分析
通过FindResource函数查找资源MYDATA,通过下图我们可以看出该资源是一个RAR文件
FindResource函数查找资源MYDATA-pic72
通过CreateFile函数将文件源数据写入%Temp%\Entelaqa32.rar(诱饵文件)中
通过CreateFile函数将文件源数据写入Entelaqa32.rar-pic73
通过ShellExecute函数将%Temp%\Entelaqa32.rar打开
打开Scholarships in Serbia 2019-2020.pdf-pic74
该样本关于哈马斯的话题,属于政治类诱饵文档
诱饵文件Entelaqa32.rar内容-pic75
(7).final_meeting_9659836_299283789235_rar
a.样本信息
样本final_meeting_9659836_299283789235_rar.exe文件信息(表格)-pic76
样本final_meeting_9659836_299283789235_rar.exe文件信息(图片)-pic77
b.样本分析
通过FindResource函数查找资源MYDATA,通过下图我们可以看出该资源是一个rar文件
FindResource函数查找资源MYDATA-资源是rar文件-pic78
通过CreateFile函数将rar文件源数据写入%Temp%\jalsa.rar(诱饵文件)中
通过CreateFile函数将rar源数据写入jalsa.rar-pic79
通过ShellExecute函数将%Temp%\jalsa.rar打开
打开jalsa.rar-pic80
其诱饵文件的内容与第十二届亚洲会议有关,其主体是无条件支持巴勒斯坦,可见可能是利用亚洲会议针对巴勒斯坦*的活动,属于政治类题材的诱饵样本
jalsa.rar诱饵文件信息(带翻译)-pic81
之后的行为就和之前的如出一辙了,在此就不必多费笔墨
(8).Meeting Agenda_pdf
a.样本信息
样本Meeting Agenda_pdf.exe文件信息(表格)-pic82
样本Meeting Agenda_pdf.exe文件信息(图片)-pic83
b.样本分析
通过CreateFile函数将文件源数据写入%Temp%\Meeting Agenda.pdf(诱饵文件)中
通过CreateFile函数将源数据写入Meeting Agenda.pdf-pic84
通过ShellExecute函数将%Temp%\Meeting Agenda.pdf打开
打开Meeting Agenda.pdf-pic85
但由于其塞入数据的错误导致该Meeting Agenda.pdf文件无法正常打开故此将该样本归因到未知类题材,之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(9).Scholarships in Serbia 2019-2020_pdf
a.样本信息
样本Scholarships in Serbia 2019-2020_pdf.exe文件信息(表格)-pic86
样本Scholarships in Serbia 2019-2020_pdf.exe文件信息(图片)-pic87
b.样本分析
通过FindResource函数查找资源MYDATA,通过下图我们可以看出该资源是一个PDF文件
FindResource函数查找资源MYDATA-pic88
通过CreateFile函数将文件源数据写入%Temp%\Scholarships in Serbia 2019-2020.pdf(诱饵文件)中
通过CreateFile函数将文件源数据写入Scholarships in Serbia 2019-2020.pdf-pic89
通过ShellExecute函数将%Temp%\Scholarships in Serbia 2019-2020.pdf打开
打开Scholarships in Serbia 2019-2020.pdf-pic90
该样本关于巴勒斯坦在塞尔维亚共和国奖学金的话题,属于教育类诱饵文档
诱饵文件Scholarships in Serbia 2019-2020.pdf内容以及翻译-pic91
诱饵内容对应的官网图片
巴勒斯坦教育部图片-pic92
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(10).تقرير حول أهم المستجدات_347678363764
a.样本信息
样本تقرير حول أهم المستجدات_347678363764.exe的文件信息(表格)-pic93
样本تقرير حول أهم المستجدات_347678363764.exe的文件信息(图片)-pic94
b.样本分析
通过FindResource函数查找资源MYDATA,通过下图我们可以看出该资源是一个docx文件
FindResource函数查找资源MYDATA-资源是docx文件-pic95
通过CreateFile函数将docx文件源数据写入%Temp%\daily_report.docx(诱饵文件)中
通过CreateFile函数将docx源数据写入daily_report.docx-pic96
通过ShellExecute函数将%Temp%\daily_report.docx打开
打开daily_report.docx-pic97从诱饵样本中的内容我们可以看出其关于巴勒斯坦态势的问题,属于政治类诱饵样本
诱饵文档daily_report.docx文件原文与翻译-pic98
之后的行为就和之前的如出一辙了,在此就不必多费笔墨
(11).asala-panet-il-music-live-892578923756-mp3
a.样本信息
样本asala-panet-il-music-live-892578923756-mp3.exe的文件信息(表格)-pic99
样本asala-panet-il-music-live-892578923756-mp3.exe的文件信息(图片)-pic100
b.样本分析
通过FindResource函数查找资源MYDATA,通过下图我们可以看出该资源是一个unknown文件
FindResource函数查找资源MYDATA-pic101
通过CreateFile函数将文件源数据写入%Temp%\asala.mp3(诱饵文件)中
通过CreateFile函数将文件源数据写入asala.mp3-pic102
通过ShellExecute函数将%Temp%\asala.mp3打开
打开asala.mp3.mp4-pic103
歌曲挺好听的,但是我们也不知道啥意思,将其归属于未知类题材样本
(12).artisan-video-5625572889047205-9356297846-mp4
a.样本信息
样本artisan-video-5625572889047205-9356297846-mp4.exe的文件信息(表格)-pic104
样本artisan-video-5625572889047205-9356297846-mp4.exe的文件信息(图片)-pic105
b.样本分析
通过FindResource函数查找资源MYDATA,通过下图我们可以看出该资源是一个unknown文件
FindResource函数查找资源MYDATA-pic106
通过CreateFile函数将文件源数据写入%Temp%\artisan-errors.mp4(诱饵文件)中
通过CreateFile函数将文件源数据写入artisan-errors.mp4-pic107
通过ShellExecute函数将%Temp%\artisan-errors.mp4打开
打开artisan-errors.mp4-pic108
该样本伪装成视频丢失的404信号,没有实际参考价值,故归入未知类题材样本
诱饵文件artisan-errors.mp4内容-pic109
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(13).السيرة الذاتية منال1
a.样本信息
样本السيرة الذاتية منال1.doc的文件信息(表格)-pic110
样本السيرة الذاتية منال1.doc的文件信息(图片)-pic111
b.样本分析
其诱饵内容关于在东耶路撒冷(巴勒斯坦)的阿布迪斯大学秘书,属于大学科研类样本
样本السيرة الذاتية منال1.doc原文翻译-pic112
同时其包含的恶意宏代码如图所示,由于我们并没有能成功获得下一步的载荷,故没法进行下一步的分析。不过推测其大致功能应该与上文相同
恶意宏代码-pic113
三.组织关联与技术演进
在本次活动中,我们可以清晰的看到双尾蝎APT组织的攻击手段,同时Gcow安全团队追影小组也对其进行了一定的组织关联,并且对其技术的演进做了一定的研究。下面我们将分为组织关联与技术演进这两部分内容进行详细的叙述。
注意:下文中的时间段仅仅为参考值,并非准确时间。由于在这一时间段内该类样本较多,故此分类。
1.组织关联
(1).样本执行流程基本相似
我们根据对比了从2017到2020年所有疑似属于双尾蝎APT组织的样本,(注意:这里比对的样本主要是windows平台的可执行文件样本).在2017年到2019年的样本中我们可以看出其先在临时文件夹下释放诱饵文件,再打开迷惑受害者,再将自身拷贝到%ProgramData%下.创建指向%ProgramData%下的自拷贝恶意文件的快捷方式于自启动文件夹.本次活动与2018年2019年的活动所使用样本的流程极为相似.如下图所示.故判断为该活动属于双尾蝎 APT组织。
本次活动的样本流程与2017——2019年双尾蝎APT组织活动所使用的流程相似-pic114
(2).C&C中存在名人姓名的痕迹
根据checkpoint的报告我们得知,该组织乐于使用一些明星或者名人的名字在其C&C服务器上.左图是checkpoint安全厂商揭露其针对以色列士兵的活动的报告原文,我们可以看到其中含有Jim Morrison,Eliza Dollittle,Gretchen Bleiler等名字.而右图在带有恶意宏文档的样本中,我们发现了其带有Minkowski这个字符.通过搜索我们发现其来源于Hermann Minkowski名字的一部分,勉强地符合了双尾蝎APT组织的特征之一.
双尾蝎组织的C&C域名上存在名人名字的痕迹-pic115
2.技术演进
(1).在编写语言上的演进
根据360的报告我们可以得知双尾蝎APT组织在2016年到2017年这段时间内该组织主要采用了VC去编写载荷.再到2017年到2018年这段时间内该组织主要是以Delphi来编写其侦查者(Recon),根据Gcow安全团队追影小组的跟踪,该组织在2018年到2019年这段时间内也使用了Delphi编写的恶意载荷。与2017年到2018年不同的是:2017年到2018年所采用的编译器信息是:Borland Delphi 2014XE6。而在2018年到2019年这个时间段内采用的编辑器信息是:Borland Delphi 2014XE7-S.10。同时在本次活动中该组织使用Pascal语言来编写载荷。可见该组织一直在不断寻求一些受众面现在越来越小的语言以逃脱杀软对其的监测。
载荷编写语言的演进-pic116
(2).编译时间戳的演进
根据360的报告我们可以得知双尾蝎APT组织在2016年到2018年这个时间段中,该组织所使用的恶意载荷的时间戳信息大部分时间集中位于北京的下午以及第二天的凌晨,属于中东地区的时间。而在2019年7月份捕获的双尾蝎APT组织样本中该组织的编译戳为2019.7.14 11:08:48而在本次活动所捕获的样本中我们发现该组织将编译时间戳统一改为:1970.1.1 1:00,也就是置0.通过伪造时间戳以阻断安全人员的关联以及对其的地域判断
编译时间戳的演进-pic117
(3).自拷贝方式的演进
双尾蝎APT组织在2017年到2019年的活动中,擅长使用copy命令将自身拷贝到%ProgramData%下.而可能由于copy指令的敏感或者已经被各大安全厂商识别。在2019年7月份的时候.该组织恢复了之前采用CopyFilewindows API函数的方式将自身拷贝到%ProgramData%下
自拷贝手法的演进-pic118
(4).持久化方式的演进
根据360的报告,我们可以得知双尾蝎APT组织在2016年到2017年的活动之中,主要采用的是修改注册表添加启动项的方式进行权限的持久化存在。而根据追影小组的捕获的样本,我们发现在2017年到2018年的这段时间内该组织使用拥有白名单Shortcut.exe通过命令行的方式在自启动文件夹中添加指向自拷贝后的恶意文件的快捷方式。而在本次活动中,该组织则采用调用CreateFile Windows API函数的方式在自启动文件夹中创建指向自拷贝后恶意文件的快捷方式以完成持久化存在
持久化方式的演进-pic119
(5).C&C报文的演进
为了对比的方便,我们只对比双尾蝎APT组织2018年到2019年的上半年的活动与本次活动的C&C报文的区别。如图所示下图的左上是本次活动的样本的C&C报文,右下角的是2018年到2019年上半年活动的样本的C&C报文。通过下面所给出的解密我们可以得知两个样本所向C&C收集并发送的信息基本相同。同时值得注意的是该组织逐渐减少明文的直接发送收集到的注意而开始采用比较常见的通过Base64的方式编码后在发送。同时在ver版本中我们发现:2018年到2019年上半年的样本的后门版本号为:1.4.2.MUSv1107(推测是2018.11.07更新的后门);而在本次活动中后门版本号为:5.HXD.zz.1201(推测是2019.12.01号更新的后门),由此可见该组织正在随着披露的增加而不断的进行后门的更迭。
C&C报文的演进-pic120
四.总结
1.概述
Gcow安全团队追影小组针对双尾蝎APT组织此次针对巴勒斯坦的活动进行了详细的分析并且通过绘制了一幅样本执行的流程图方便各位看官的理解
双尾蝎本次活动样本流程图-pic121
该组织拥有很强的攻击能力,其载荷涵盖较广(Windows和Android平台).并且在被以色列进行导弹物理打击后快速恢复其攻击能力.对巴勒斯坦地区进行了一波较为猛烈的攻势,同时我们绘制了一幅本次活动之中样本与C&C的关系图
双尾蝎本次活动样本与C&C服务器关系图-pic122
通过之前的分析我们发现了该组织拥有很强的技术对抗能力,并且其投放的样本一直围绕着与巴勒斯坦和以色列的敏感话题进行投放,我们对其话题关键字做了统计,方便各位看官了解
双尾蝎本次活动所投放样本的话题关键字柱状图统计-pic123
2.处置方案:
删除文件
%TEMP%\*.pdf(*.mp3,*.mp4,*.rar,*.doc) [诱饵文档]%ProgramData%\SyncDownOptzHostProc.exe [侦查者主体文件]%ProgramData%\IntegratedOffice.exe[侦查者主体文件]%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup\SyncDownOptzHostProc.lnk [指向侦查者主体文件的快捷方式用于权限维持]%ProgramData%\GUID.bin [标记感染]
3.结语
通过本次分析报告,我们相信一定给各位看官提供了一个更加充分了解该组织的机会.我们在前面分析了该组织的技术特点以及对该组织实施攻击的攻击手法的演进进行了详细的概述。同时在后面的部分我们也会贴出该组织最新活动所使用样本的IOCs供给各位感兴趣的看官交流与学习.同时我们希望各位看官如果有其他的意见欢迎向我们提出。
五.IOCs:
MD5:
样本MD5与样本文件名集合-pic124
