“折纸”行动：针对南亚多国军政机构的网络攻击

图3-8 检查接入的设备是否为可移动驱动器
        如果是可移动驱动器，则搜集该驱动器上所有后缀名为“doc、docx、ppt、pptx、zip、rar”（有更多样本还寻找“txt、pdf、jpg和jpeg”）的文件，将这些文件复制到“%appdata%”目录下。但该木马未有立即上传这些文件，猜测是攻击者考虑到可能面临大量的文件，会通过木马下发命令或工具，挑选重要的部分再上传。最后，"tasksmngr.exe"将自身复制到该驱动器上的根目录下，重命名为“ISI_Role_Sino-PAK_Nuclear_Deal.exe”，还原成最初的诱饵文件：

图3-9 搜集接入的可移动驱动器上符合指定后缀名的文件

图3-10 其他样本会搜集更多种类后缀名的文件
        b) 当前网络与互联网断开时，首先判断接入的设备是否为可移动驱动器或网络驱动器：


图3-11 检查插入的设备是否为可移动驱动器或网络驱动器
        如果是可移动驱动器或网络驱动器，则将本地“Recent”（最近使用的项目）目录中所有后缀名为“doc、docx、ppt、pptx、zip、rar”（有其他样本还寻找“txt、pdf、jpg和jpeg”）的文件，复制到在可移动驱动器或网络驱动器新建的隐藏目录“Documents”中：

图3-12 搜集符合后缀名列表的文件，写入可移动驱动器或网络驱动器的隐藏目录
        然后执行大量命令语句，详细地搜集系统信息和登录凭证，将结果写入在可移动驱动器或网络驱动器新建的隐藏目录“Documents”下的“sysinfo_{MAC地址}.txt”文件中。最后，"tasksmngr.exe"将自身复制到该驱动器上的根目录下，重命名为“ISI_Role_Sino-PAK_Nuclear_Deal.exe”，还原成最初的诱饵文件：


图3-13 搜集系统信息和凭证，写入隐藏目录下的TXT文件
        木马一旦检测到当前环境能与互联网连通，则尝试与C2：ntc-pk.sytes.net连接。支持的木马指令有“list”和其他：
        “list”指令：负责返回当前机器的用户名。
        其他指令：负责执行C2下发的CMD命令。（猜测这步会下发更多命令和工具）
3.2 带有图标伪装的自解压文件
        采用WinRAR构造的自解压样本，同时实现执行自解压包中的样本和打开社工掩护的文档文件，是该攻击行动中有别于前文由载荷释放社工掩护图片的第二种社工方式。WinRAR自解压样本，采用将木马程序和社工掩护文档打包在一起，并通过WinRAR自解压样本的配置实现样本执行和文档文件的关联打开。
        目前发现该类样本的社工掩护文档的主题包括：
正文截图
关键句
主题

THE MONTHLY NEWSLETTER FOR KARACHI GOLF CLUB MEMBERS
2017年4月至5月，巴基斯坦卡拉奇高尔夫俱乐部会员每月通讯。

 
Rate and Service Agreement
by: Islamabad Marriott Hotel Pakistan and Naval Headquarter
2017年10月11日，巴基斯坦海军总部与伊斯兰堡万豪酒店的服务议价协议。

 
INDIAN OCEAN NAVAL SYMPOSIUM CONTACT LIST.
As of 29 October 2017
截至2017年10月29日，印度洋海军研讨会联系人列表。

 
Rate and Service Agreement
by: Islamabad Marriott Hotel Pakistan and Air Force Headquarters
2017年11月11日，巴基斯坦空军总部与伊斯兰堡万豪酒店的服务议价协议。

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

 4/10   首页 上一页 2 3 4 5 6 7 下一页 尾页