“折纸”行动:针对南亚多国军政机构的网络攻击
来源:岁月联盟
时间:2020-01-29
图3-24 脚本“zaqxswcderfv.hta”
“zaqxswcderfv.hta”首先获取掩饰文档“Cyber_Security.rtf”并打开。“Cyber_Security.rtf”的正文是维护网络安全的注意事项:
图3-25 掩饰文档“Cyber_Security.rtf”
然后运行远程HTA脚本:http[:]//pakcert.gov-pk.org/zaqxswcde.hta。“zaqxswcde.hta”用于运行下一阶段的PowerShell脚本“http[:]//pakcert.gov-pk.org/poilkjmnb”:
图3-26 脚本“zaqxswcde.hta”
“poilkjmnb”负责再从“http[:]//pakcert.gov-pk.org/zaqxswcde.hta”获取一份HTA脚本,保存至每个账户的启动目录下的“Windows.hta”,并运行新的远程PowerShell脚本“zxcvqwerasdf”:
图3-27 脚本“poilkjmnb”
脚本“zxcvqwerasdf”是典型的Empire框架生成的PowerShell载荷(Empire是著名的开源渗透框架,以纯脚本免杀和丰富的后渗透功能而闻名),会尝试连接C2:
http[:]//pakcert.gov-pk.org:443/admin/get.php、
http[:]//pakcert.gov-pk.org:443/news.php、
http[:]//pakcert.gov-pk.org:443/login/process.php
图3- 28 Empire载荷“zxcvqwerasdf”
3.4 格式文档类样本
格式文档类样本有CVE-2017-11882的漏洞利用和恶意宏文档:
表3-9 样例样本5
病毒名称
Trojan[Exploit]/OLE.CVE-2017-11882
原始文件名
Pay_Slip2.txt
MD5
9c9ff19affff6d62e72e618f2b7284da
文件大小
66.6 KB (68,223 字节)
文件格式
Document/Microsoft.RTF
首次发现时间
2019-02-25 10:46:31 UTC
代码页
Western European
VT检测结果
38 / 58
样本“Pay_Slip2.txt”利用了CVE-2017-11882漏洞,数据流中能看到执行对象是一段PowerShell命令:
图3-29“Pay_Slip2.txt”的执行载荷
Base64解码该命令,发现是一段典型的Empire渗透框架生成的PowerShell载荷。载荷尝试连接C2:
http[:]//pakcert.gov-pk.org:4443/news.php
表3-10 样例样本6
病毒名称
Trojan/Script.Agent.gen
原始文件名
learnObot.docm
MD5
ab88bef8a85aae29dbd6efc3137f227f
文件大小
22.1 KB (22,670 字节)
文件格式
Document/Microsoft.DOCX[:Word 2007-2013]
创建时间
2017:10:24 07:54:00
最后修改时间
2017:10:24 07:54:00
创建者
Sony Vaio
最后修改者
admin
VT检测结果
37 / 60
恶意宏文档“learnObot.docm”正文介绍的是巴基斯坦LearnOBots教育技术公司的课程简介:
图3-30“learnObot.docm”的正文
宏代码执行对象是一段PowerShell命令,解码后发现也是一段典型Empire的PowerShell载荷。载荷尝试连接C2:
http[:]//110.10.176.193:4443 /login/process.php
此外,IP“110.10.176.193”还曾绑定3.3章节中的域名“pakcert.hopto.org”。
3.5 Linux端样本
表3-11 样例样本7
病毒名称
Trojan[Downloader]/Python.Agent.n
原始文件名
intern
MD5
6a19e8a202dfdb11bf3aaf9e53f8776a
文件大小
4.16 MB (4,369,144 字节)
文件格式
Linux/ELF64.Executable
首次发现时间
2019-02-20 05:50:23 UTC
代码页
Western European
VT检测结果
1 / 57
样本“intern”是Linux端的木马,由Python编写,目前仅安天“Antiy-AVL”一家引擎可将其检出。其核心代码是Exploit Pack平台生成的,可用于创建一个Reverse shell,C2为内网IP,可能是测试时所用:
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] 下一页
