“折纸”行动：针对南亚多国军政机构的网络攻击

图3-31 Linux木马的主要功能为创建一个反向shell
4、溯源分析
4.1 上传者分析
        将RTF文档“Pay_Slip2.txt”在安天样本捕获体系中进行关联排查，发现更多同批次捕获到的、具有相同来源的样本。样本在第三方平台的上传记录来自一个位于印度的IP地址，上传的文件包括CVE-2018-0802的漏洞利用脚本和多例C2为内网IP的测试样本。随着更多溯源线索的出现，我们排除了上传者使用网络代理的可能，并判断这些上传行为很可能是来自一名或多名（如：皆处于某内网，共用该外网IP）攻击者。
        上传的文件中，除了工具和各种测试样本，值得关注的还有：
        1. PE样本：loc.exe，98cc17985510ee4c259447b7c4a2a684，其带有PDF的图标伪装，功能只是简单地从“115.111.244.34”获取PowerShell脚本并执行：

图4-1“loc.exe”带有PDF图标伪装

图4-2“loc.exe”的主要功能
        挂载IP：115.111.244.34位于印度德里，由印度通讯服务商Tata Communications提供。
        2. BAT脚本：lotus.bat，解码后得到PowerShell脚本，C2也是115.111.244.34：

图4- 3 BAT脚本“lotus.bat”的内容
        3. js脚本“a.js”，“a.js”会从以下URL获取载荷并运行：
        https[:]//akamai-edge.net/s3/3.jpg
        对“akamai-edge.net”做关联，发现一例恶意LNK样本“cybersec.doc.lnk”，该LNK会通过mshta.exe运行远程HTA脚本“https[:]//akamai-edge.net/s3/4.jpg”，“4.jpg”与“a.js”在文件内容上是完全一样。
        值得注意的是，恶意LNK“cybersec.doc.lnk”的创建者ID：“desktop-q1k**i”，也被多例已知的“响尾蛇”组织LNK类样本所使用，“cybersec.doc.lnk”在此前“响尾蛇”组织的攻击活动中发现过，上传的脚本“a.js”是该组织使用过的中间载荷。
4.2 特殊的IP
        域名“mlibinternetbanking.gov-pk.org”曾于2019年9月5日至2019年10月4日期间解析到IP：185.225.17.40：

图4-4“mlibinternetbanking.gov-pk.org”的IP解析记录
        此后，IP：185.225.17.40经历一个月的闲置期，在2019年11月，又被响尾蛇组织的“ap1-acl.net”系列域名解析使用。

图4-5 IP: 185.225.17.40的域名绑定记录
5、攻击者资产
        根据目前的观测，攻击行动共涉及域名12个，其中动态域名10个，自行注册的域名2个，私有IP地址5个。当前所有IOC及关联关系如下图：

图5-1 当前观测到的样本集和关联关系
6、基于威胁框架视角的攻击映射分析
        由于攻击组织能力和作业模式的差别，安天采用两套威胁框架视角分析相关组织和行动。2019年安天的两篇报告《震网事件的九年再复盘与思考》[5]和《“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告》[6]均将攻击活动映射TCTF威胁框架，但本次攻击行动相对更加简单和依赖单点战术，因此我们将涉及到的威胁行为技术点映射到ATT＆CK框架，如图6-1所示：

图6 1 “折纸行动”映射到ATT＆CK框架
        行动中涉及8个阶段25个技术点，具体技术行为描述如下表
表6 1“折纸行动”具体技术行为描述表
ATT＆CK阶段/类别
具体行为
初始访问
发送伪装成来自官方的鱼叉邮件发送恶意附件或者钓鱼链接；通过感染可移动介质传播自身；
执行
使用HTA、PowerShell等脚本执行；使用计划任务执行；
持久化
创建计划任务定时执行；使用reg add命令添加注册表启动项；
发现
使用CMD命令：枚举账户和权限、本地网络连接、本地网络设置、系统信息、进程、可访问网络；

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9]  下一页

 8/10   首页 上一页 6 7 8 9 10 下一页 尾页