“白象”团伙借中印边境问题再次发起攻击

本文涉及的产品
.cn 域名,1个 12个月
简介:

“白象”,又名Patchwork、Dropping Elephant,自2015年12月开始活跃,长期针对中国军队、政府等部门开展渗透攻击,2016年7月被Cymmetria、安天、Forcepoint、卡巴斯基、赛门铁克等多家安全公司曝光。该团伙主要通过钓鱼邮件和仿冒网站传播木马,木马载体通常为军事、政治相关主题的Doc或PPS文档,常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。

2017年5月,微步在线通过一份包含漏洞的Word文档发现了“白象”团伙针对中国政府、军事相关部门的攻击活动,挖掘出其注册的大量可疑域名和木马样本。有趣的是,就在印度军队于8月28日自洞朗撤军,中印双方结束了两个多月的对峙后,该团伙的钓鱼网站于8月29日再次上线,并以“中印边境”为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击。具体内容包括:

·  钓鱼网站于2017年8月29日上线,以“中印边境”为话题构造了仿冒优酷的钓鱼页面,诱导访问者下载后门程序。

·  木马使用C++编写,执行后会再调用一段加密后的.Net代码,并伪装成360安全防护软件,具备较强的隐蔽性和对抗性。

·  木马启动后能够接受远程控制服务器任意指令,完全控制受害主机,远控服务器目前仍可正常通信,说明攻击活动尚在进行中。

·  微步通过对相关样本进行分析供提取相关的 IOC 13条,部署微步在线威胁情报平台的用户,可通过系统告警定位到失陷主机(详见下图),并使用微步在线提供的应急响应予以分析和处理。

“白象”团伙借中印边境问题再次发起攻击

详情

本次捕获的钓鱼页面(www.qzonecn.com)于2017年8月29日上线,系仿冒优酷网的一条新闻视频,标题为“中国和阿三的边界问题在洞朗”(未发现优酷网上有类似名称的视频),视频位置显示“您还没有安装flash播放器,请点击这里安装”。点击该链接后,会打开adobe公司官网,却从另一恶意站点(www.bdarmy.news)下载名为“Adobeflashplayer26_install_ver9.6.0.exe”的可执行程序,制造该程序来自Adobe官网的假象,具备较强迷惑性。如下图所示:

“白象”团伙借中印边境问题再次发起攻击

“白象”团伙借中印边境问题再次发起攻击

查看网站源码发现,钓鱼链接会先打开Flash Player 官方下载页面,再从www.bdarmy.news下载仿冒的“安装包”程序,以混淆视听。

“白象”团伙借中印边境问题再次发起攻击

查看该程序的属性发现,其详细信息包含“qiho”、“360”、“Defence”等干扰字符,而原始文件名为“RAT.exe”。

“白象”团伙借中印边境问题再次发起攻击

“RAT.exe”在微步在线分析平台的检测结果如下:

“白象”团伙借中印边境问题再次发起攻击
“白象”团伙借中印边境问题再次发起攻击

页面链接:https://x.threatbook.cn/report/dfc469d0cca07e83e58c6266dcd6ac67c5d5dacd6c6ef2543b3ebbbf6d35a280

样本分析

对“安装包”程序分析发现,该样本的主要执行流程如下图所示:

“白象”团伙借中印边境问题再次发起攻击

样本的具体行为如下:

1. 样本执行后会释放另外两个文件,分别为Microsoft.Win32.TaskScheduler.dll和360-services.exe。

2. Microsoft.Win32.TaskScheduler.dll会在Windows系统中添加一个名为Smart_scan的计划任务,取“智能扫描”之义,意在混淆视听。该任务用来每隔15分钟执行一次恶意样本360-services.exe。

“白象”团伙借中印边境问题再次发起攻击

3. 360-services.exe仿冒了360安全卫士的相关进程,是真正执行恶意行为的样本。该样本在分析平台的检测结果为:

“白象”团伙借中印边境问题再次发起攻击

页面链接:

https://x.threatbook.cn/report/684523927a468ed5abea8f6c0d3dc01210ec38aa4e0a533abc75dc891d3b0400

4. 在释放这两个文件后,样本将使用Windows自带的命令行工具CMD运行如下命令,使用ping命令尝试连接1.1.1.1,并删除掉释放样本自身和Microsoft.Win32.TaskScheduler.dll文件。

“白象”团伙借中印边境问题再次发起攻击

“白象”团伙借中印边境问题再次发起攻击
接下来,真正的恶意样本360-services.exe开始运行。

5. 经过分析发现,360-services.exe实际上是一个基于.NET平台的PE文件的外壳,该外壳的名称为.NET Reactor,版本号为4.5-4.7,此保护壳具有较强的反调试和混淆代码等功能。

“白象”团伙借中印边境问题再次发起攻击

6. 在对360-services.exe进行脱壳后,我们得到了其中的.NET PE文件,其模块名称为“Client.exe”,且该可执行文件的代码已被高强度混淆。

“白象”团伙借中印边境问题再次发起攻击

7. 使用反混淆技术对该PE文件进行处理,成功还原出大部分代码。

“白象”团伙借中印边境问题再次发起攻击

8. 样本将通过FindResource函数检查当前文件中是否存在“__”资源,若不存在,则说明当前.NET PE并不是由360-services.exe运行起来的,而是被人工剥离出来独立运行的,因此样本会将此情况视为自身正在被分析,则直接退出程序,不执行任何恶意行为。

“白象”团伙借中印边境问题再次发起攻击

9. 加载PE文件中的第3个资源文件的字节码,并使用硬编码的方式建立其他若干数组。将这些数组进行一系列的转换及计算,最终解密得到要运行的字节码,并写入内存。

“白象”团伙借中印边境问题再次发起攻击

10. 最终开启后门,连接C&C服务器,并等待服务器回复指令。其中C&C地址为:93.115.94.202,端口号为23558。

“白象”团伙借中印边境问题再次发起攻击

“白象”团伙借中印边境问题再次发起攻击

关联分析

通过微步在线通过追踪溯源平台(z.threatbook.cn)对钓鱼网站域名检索发现,其目前指向的IP地址(94.185.82.157)上还存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含“cn”、“pla”、“army”等明显针对中国的可疑域名,且前文分析的恶意样本就存放在www.bdarmy.news域名下,因此基本可以断定相关基础设施均为“白象”团伙所有。

“白象”团伙借中印边境问题再次发起攻击

分析认为,此次攻击事件出现于印度自洞朗撤军后,以中印边境问题为诱饵,且涉及的样本和域名含有针对中国的元素,符合“白象”团伙的攻击特点和动机。由于此次攻击活动仍在继续,可根据我们提供的IOC及时排查网络和主机环境中的相关威胁。

附录

C&C

qzonecn.com

chinamil.info

sinodefence.info

militaryreviews.net

pla-report.net

bdarmy.news

clep-cn.org

94.185.82.157

93.115.94.202

木马Hash

dfc469d0cca07e83e58c6266dcd6ac67c5d5dacd6c6ef2543b3ebbbf6d35a280

684523927a468ed5abea8f6c0d3dc01210ec38aa4e0a533abc75dc891d3b0400

26697ae1a8ce318ae567a99d2c7fb3fe5a2d5b73fc1ef6408fd0989309eda846

f3d4aec38415555dbb889b3475fb29f2036976fa90be5835e7e1f7e304fa4b85


原文发布时间为: 2017年9月28日

本文来自云栖社区合作伙伴至顶网,了解相关信息可以关注至顶网。

相关文章
|
6月前
|
安全 数据库 数据安全/隐私保护
撞库攻击是什么?如何有效阻止撞库攻击?
通过采取这些防护措施,可以有效降低撞库攻击的成功几率,保护用户的账户和数据安全。
310 0
撞库攻击是什么?如何有效阻止撞库攻击?
|
云安全 安全 网络安全
扬言春节发起攻击的匿名者真的开攻了,防不胜防的安全威胁如何应对?
2019年1月24日,黑客组织匿名者在社交媒体上对外发表声明,将于2019年2月13日针对我国政府网站采取攻击。 在监测到相关信息后,阿里云安全团队立即启动了重大安全事件应急响应流程,为目前在阿里云上和不在阿里云上的多个目标单位提供了包含DDoS高防IP、Web应用防火墙产品和7*24小时安全专家服务的保障方案,进行应急响应支持,且多家单位在2月13日前完成了针对本次事件的安全应急方案部署。
1377 0
|
安全
黑客自曝:将发起四年来最大一次攻击
当地时间本周一,黑客组织AntiSec的一个Twitter帐号AnonymouSabu发布一条Twitter信息,内容如下: 请注意:明天Anonymous将发起过去4年内的两次最大攻击。请大家密切关注,这次攻击将是一次史无前例的爆炸性新闻。
905 0
|
云安全 监控 安全
瑞星2009:3大拦截2大防御功能主动遏制木马病毒
  12月16日,“瑞星全功能安全软件2009”正式发布,它基于瑞星“云安全”技术开发,实现了彻底的互联网化,是一款超越了传统“杀毒软件”的划时代安全产品。该产品集“拦截、防御、查杀、保护”多重防护功能于一身,并将杀毒软件与防火墙的无缝集成为一个产品,实现两者间互相配合、整体联动,同时极大地降低了电脑资源占用。
1163 0
|
Web App开发 安全 网络协议
IE极风0day漏洞危害升级 首例ARP挂马攻击已经出现
3月12日,金山安全实验室发布高危漏洞红色安全预警,12日上午8点39分,金山安全实验室率先截获了国内首例利用IE极风0day漏洞进行挂马传播的案例。这也表示IE极风0day漏洞在被发现后的短短3天时间里,已经开始被黑客利用进行传播病毒。
1165 0
|
Web App开发 JavaScript 安全
黑客利用弹出窗口冒充安全警告发起钓鱼攻击
根据安全厂商Trusteer研究员的发现,该种新型的钓鱼攻击主要是利用了众多浏览器中都存在的漏洞,通过这种称为“in-session phishing”的会话钓鱼攻击,可以更轻易地窃取到网上银行证书。
1033 0
|
安全 物联网 网络安全
黑客是如何发起网络攻击的?
近日,某网络游戏遭到DDOS攻击导致服务器崩溃,大量玩家频繁掉线,游戏长时间无法登入,严重影响玩家体验和口碑,使得该网络游戏用户量大幅度下降。
1839 0
|
测试技术
隐匿的攻击之-Tor Fronting
本文讲的是隐匿的攻击之-Tor Fronting,学习完Domain Fronting之后,又从@vysecurity的文章里学会了一个新的姿势–Tor Fronting,使用Tor Fronting ,同样能在攻击中隐藏自己,并且更加容易实现,此文就来介绍一下这个新的姿势。
2359 0
|
安全 网络架构
近十万台路由器组成僵尸网络,专门向WordPress网站发起撞库攻击
本文讲的是近十万台路由器组成僵尸网络,专门向WordPress网站发起撞库攻击,攻击者们正在劫持网络上存在安全缺陷的家庭路由器,命令这些设备向使用WordPress系统网站的后台入口发起爆破攻击。黑客希望爆破攻击能够猜出后台的管理员账号密码,从而控制受攻击网站。
1888 0
下一篇
无影云桌面