某APT組織利用魚叉郵件滲透多個(gè)行業(yè)竊取敏感數(shù)據(jù)的示例分析

某APT組織利用魚叉郵件滲透多個(gè)行業(yè)竊取敏感數(shù)據(jù)的示例分析，相信很多沒有經(jīng)驗(yàn)的人對此束手無策，為此本文總結(jié)了問題出現(xiàn)的原因和解決方法，通過這篇文章希望你能解決這個(gè)問題。

0x0 背景

深信服安全團(tuán)隊(duì)通過安全感知平臺(tái)持續(xù)跟蹤了一個(gè)以國內(nèi)沿海電子制造業(yè)、能源行業(yè)、大型進(jìn)出口企業(yè)、科研單位等為目標(biāo)的APT組織，該組織通過魚叉式釣魚郵件，在最近的三個(gè)月里面持續(xù)對國內(nèi)至少60余個(gè)目標(biāo)發(fā)起針對性的攻擊。通過偽造office、pdf圖標(biāo)的PE文件迷惑目標(biāo)，在目標(biāo)點(diǎn)擊之后，釋放出AutoIt腳本執(zhí)行器，然后將高度混淆的AutoIt腳本代碼傳入腳本執(zhí)行器執(zhí)行釋放Nanocore RAT竊取受害者主機(jī)上面的敏感數(shù)據(jù)并作為跳板進(jìn)行內(nèi)網(wǎng)滲透。

0x1 詳細(xì)分析

該APT組織使用誘餌文檔誘使用戶點(diǎn)擊運(yùn)行，執(zhí)行自解壓程序，完成攻擊和木馬的釋放。在這個(gè)過程中使用一個(gè)帶有正常數(shù)字簽名的AutoIt腳本解釋程序去執(zhí)行一個(gè)加混淆后的腳本，該腳本會(huì)檢測當(dāng)前系統(tǒng)環(huán)境“安全”之后才會(huì)解密安裝.net程序，再對其進(jìn)行真正的惡意行為，該腳本具備繞過了大多數(shù)安全軟件的檢測能力。具體行為見以下詳細(xì)分析。

攻擊流程圖

該APT組織使用sales@globaltrade.com郵箱地址發(fā)送了一個(gè)偽造成pdf文檔圖標(biāo)的exe文件，并將附件命名為Payment Slip（付款單）以誘使受害者點(diǎn)擊運(yùn)行。為了降低用戶的警惕性，該組織同時(shí)構(gòu)造了一個(gè)郵箱主題為RE:FWD:PROFORMA INVOICE // OverDue Payment Update(逾期付款更新)用于麻痹受害者。

郵件正文內(nèi)容如下：

病毒自解壓

該病毒偽裝為一個(gè)PDF文件，誘使用戶點(diǎn)擊運(yùn)行，通過Exeinfo PE查看可以發(fā)現(xiàn)這個(gè)樣本為一個(gè)SFX文件。

在其被雙擊運(yùn)行后，會(huì)跳過自解壓對話框，并且將文件釋放到”%temp%\08419794”文件夾下，并且自動(dòng)執(zhí)行rml.vbs腳本。

在rml.vbs腳本中，使用WshShell.Run運(yùn)行dsh.exe pwl=xui。

dsh.exe是一個(gè)帶正常簽名檔的Autolt的腳本解釋器，用于執(zhí)行.au3腳本。

pwl=xui是一個(gè)300M大小的文件，腳本里面添加了大量無用的注釋，通過這種方式防止殺軟檢測出此惡意腳本，這種方式可以繞過大多數(shù)殺軟的檢測。

為了方便閱讀，去掉腳本中的一些無用注釋，得到凈化后的腳本如下：

該腳本具有以下功能：

1、虛擬機(jī)檢測

2、禁用UAC策略

3、禁用任務(wù)管理器

4、注冊開機(jī)自啟動(dòng)程序

5、解密.NET程序

6、啟動(dòng).NET程序

腳本核心功能

該腳本實(shí)現(xiàn)這些功能的原理如下：

1、虛擬機(jī)檢測：通過判斷進(jìn)程名、是否存在D盤等操作實(shí)現(xiàn)反虛擬機(jī)檢測。

2、禁用UAC策略：通過修改注冊表鍵值禁用UAC策略。

3、禁用任務(wù)管理器：通過修改注冊表鍵值禁用任務(wù)管理功能。

4、注冊開機(jī)自啟動(dòng)程序：通過添加注冊表自啟動(dòng)項(xiàng)實(shí)現(xiàn)開機(jī)自啟。

5、解密.net程序：通過正則匹配替換、字符顛倒、CryptDecrypt()函數(shù)等混合手段解密出程序。

（1）正則匹配替換：

（2）字符顛倒

（3）CryptDecrypt解密

6、啟動(dòng).NET程序：查找本機(jī).NET服務(wù)安裝程序安裝.NET服務(wù)程序。

NanoCore RAT

NanoCore RAT是在.Net框架中開發(fā)的，最新版本是“1.2.2.0”。2018年年初，其作者“Taylor Huddleston”被聯(lián)邦調(diào)查局抓獲，現(xiàn)于監(jiān)獄服刑。該遠(yuǎn)控能夠在受害者的計(jì)算機(jī)上執(zhí)行許多惡意操作，例如注冊表編輯、進(jìn)程控制、升級、文件傳輸、鍵盤記錄、密碼竊取等。

根據(jù)目前互聯(lián)網(wǎng)上的一些信息，獲取最新版本的源碼僅僅需要$20。

本次通過腳本釋放出來的.NET程序?yàn)閚ano core client 1.2.2.0版本的遠(yuǎn)控程序。遠(yuǎn)程連接的C&C地址為：185.244.31.203；通信端口為8484。

該IP歸屬地在荷蘭綁定了一個(gè)meter.ddns.net的域名。

0x2 安全建議

不管攻擊者的入侵計(jì)劃是多么的縝密，總會(huì)由于技術(shù)的限制留下些許蛛絲馬跡，譬如軟件的植入、網(wǎng)絡(luò)流量的產(chǎn)生，這些痕跡可能并不足以作為APT攻擊的證據(jù)，但一旦發(fā)現(xiàn)，就必須提高警惕，并及時(shí)的保存現(xiàn)場，通知安全相關(guān)人員，對疑似感染的主機(jī)進(jìn)行隔離和檢查。同時(shí)也要注意日常防范措施，在思想上和技術(shù)上雙管齊下：

1、加強(qiáng)人員安全防范意識(shí)。不要打開來歷不明的郵件附件，對于郵件附件中的文件要謹(jǐn)慎運(yùn)行，如發(fā)現(xiàn)腳本或其他可執(zhí)行文件可先使用殺毒軟件進(jìn)行掃描；

2、升級office系列軟件到最新版本，不要隨意運(yùn)行不可信文檔中的宏；

3、部署分層控制，實(shí)現(xiàn)深度網(wǎng)絡(luò)安全防御，構(gòu)建端到端的立體安全防護(hù)網(wǎng)絡(luò)。在網(wǎng)絡(luò)規(guī)劃時(shí)需要充分考慮終端接入安全、內(nèi)網(wǎng)安全防護(hù)、應(yīng)用系統(tǒng)安全等多個(gè)維度，并根據(jù)不同的業(yè)務(wù)需求和安全等級進(jìn)行合理的分區(qū)隔離；

4、重視網(wǎng)絡(luò)數(shù)據(jù)、系統(tǒng)運(yùn)行狀態(tài)的審計(jì)和分析。嚴(yán)格把控系統(tǒng)的訪問權(quán)限，持續(xù)對數(shù)據(jù)流的進(jìn)出進(jìn)行有效的監(jiān)控，及時(shí)更新安全補(bǔ)丁，定時(shí)進(jìn)行安全配置基線的審視和系統(tǒng)安全風(fēng)險(xiǎn)的評估，及時(shí)發(fā)現(xiàn)可以行為并通過通信線路加密、應(yīng)用層安全掃描與防護(hù)、隔離等有效技術(shù)手段將可能的安全風(fēng)險(xiǎn)扼殺在搖籃里；

5、深信服推出安全運(yùn)營服務(wù)，通過以“人機(jī)共智”的服務(wù)模式幫助用戶快速擴(kuò)展安全能力，針對此類威脅安全運(yùn)營服務(wù)提供設(shè)備安全設(shè)備策略檢查、安全威脅檢查、相關(guān)漏洞檢查等服務(wù)，確保第一時(shí)間檢測風(fēng)險(xiǎn)以及更新策略，防范此類威脅。

6、使用深信服安全產(chǎn)品，接入安全云腦，使用云查服務(wù)，開啟人工智能引擎S**E及時(shí)檢測新威脅，防御APT攻擊。

7、使用深信服安全產(chǎn)品，接入安全云腦，使用云查服務(wù)，啟用S**E安全智能檢測引擎殺毒功能可即時(shí)檢測新威脅，防御APT攻擊。

看完上述內(nèi)容，你們掌握某APT組織利用魚叉郵件滲透多個(gè)行業(yè)竊取敏感數(shù)據(jù)的示例分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！