hi,你好!欢迎访问本站!登录
推文论坛
当前位置:首页 - 科技生活 - 正文

手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)-响尾蛇(SideWinder) APT组织2020年上半年活动总结报告

2020-11-18科技生活科技生活20720°c
A+ A-

  响尾蛇(又称SideWinder,T-APT-04)是一个背景可能的印度的APT组织,该组织联合国已对巴基斯坦和东南亚各国发起过多次攻击,该组织以窃取政府,能源,军事,矿产等领域的机密信息为主要目的。

  在今年初的时候,Gcow安全团队的追影小组发布了关于?APT组织的报告- 《游荡于中巴替换的魅影-响尾蛇(SideWinder)》 APT组织针对巴基斯坦最近的活动以及2019年该组织的活动总结》。。本小组也一直该小组的活动整合跟踪。

  在2020上半年的活动中该组织的主要目标依然是巴基斯坦,中国,孟加拉国以及其他的东南亚国家,其主要是集中在政府,军事领域。不过某些的在本次活动也出现了体育比赛方面的话题。同时该组织在针对某某重点单位的时候采取的使用钓鱼网站的方式窃取相关人员的安排,目前所发现的这种方式主要针对的是与手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)军事有关的部门。实际上该组织也同样利用关于COVID-19的信息作为诱饵对中巴的教育机构以及政府机构进行攻击活动。

  从样本攻击流程来看,该组织的技术并没有太多的革新。主要的样本形式有两类,第一类为带有CVE-2017-11882突破的RTF(富文本)文件;另一类为使用该mshta.exe执行远程hta脚本的LNK文件。不过该组织在针对某些特定的大学的攻击活动中所采取的替代方法不同,其采用了突破性结合的方式进行攻击,在后续的内容中我们会详细的介绍该组织使用的新手法。具体的流程会在后文中以流程图的形式展现出来。

  安全团队追影小组初步统计了关于2020年上半年半年度国内外各大厂商以及安全团队所发布的内容的披露SideWinder APT组织的相关报告信息,并把相关报告链接放在了文末的相关链接上(若有不全欢迎私信补充)

手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)

  图片1-2020上半年各大厂商发布关于SideWinder APT组织的报告

  图片1-2020上半年各大厂商发布关于SideWinder APT组织的报告

  根据不完全统计,安全团队追影小组还替换了该组织2020年上半年的攻击活动脉络图。

  图片2-SideWinder APT组织2020上半年的活动时间轴

  图片2-SideWinder 手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头) APT组织2020上半年的活动时间轴

  该组织主要发布的样本类型以LNK文件为主,RTF文件为辅。基本在针对每个目标的攻击活动中,我们都发现其使用两种交替攻击的情况。

  下图为该组织针对巴基斯坦活动所投放的LNK文件:

  图片3-2020上半年SideWinder APT组织针对巴基斯坦所投放的LNK样本

  图片3-2020上半年SideWinder APT组织针对巴基斯坦所投放的LNK样本

  其主要通过将lnk文件放到压缩包中,以达到绕过过邮件网关的目的。

  其释手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)放的诱饵文件如下:

  图片4-向退役军人释放csd回扣卡

  图片4-向退役军人释放csd回扣卡图片5-巴基斯坦军方抗击疫情相关战略

  图片5-巴基斯坦军方抗击疫情相关战略图片6-巴基斯坦手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)空军大学疫情期间网络课程政策

  图片6-巴基斯坦空军大学疫情期间网络课程政策

  其中这些LNK文件的参数为?这里的是伪装的。该组织通过修改sIDList结构以迷惑受害者。

  图片7-lnk系数的参数

  图片7-lnk系数的参数

  所请求的远程hta文件,该组织以自写的解密算法取代了之前的硬编码,不过核心与上一篇文章我们所描述的一样,在内存加载.Net的dll文件

  图片8-第一阶段hta脚本图片8-第一阶段hta脚本

  被认为四个参数

  该先解密参数3,再将诱饵文档编写临时文件夹,最后运行。就会出现我们提到的那些诱饵文档,以迷惑受害者。

  图片9-解密诱饵文档数据并运行

  图片9-解密诱饵文档数据并运行

  将参数1的第二阶段hta文件下载下来,存在目录下,利用将其运行起来,若运行不成功将会向参数2反馈在第一阶段hta脚本中收集的杀软信息以及其他异常情况。

  图片10-执行第二段hta脚本并反馈异常信息

  图片10-执行第二段hta脚本并反馈异常信息

  第二阶段hta脚本同样是解密后内存加载文件

  图片11-第二阶段hta脚本

  图片11-第二阶段hta脚本

  被认为了三个参数

  先从其或者拷贝产品到该木马的指定文件夹数下,解密与,并将其写入木马指定的文件夹下,以组成rekeywiz.exe与Duser.dll白加黑组合进行攻击,并且通过写注册表启动项的方式将rekeywiz.exe添加自启动达到权限维持的效果。

  图片12-StInstaller.dll

  图片12-StInstaller.dll

  以的侧加载执行起来,并且其主要功能是读取同目录下的文件,并选择其前32个字节为异或的秘钥,解密后面的内容再重新加载。

  图片13-Duser.dll

  图片13-Duser.dll

  其解密出了最后的Net文件

  由于最后的远控与上篇文章没有什么区别,这里不再多余述。

  图片14-SystemApp.dll

  图片14-SystemApp.dll

  远控指令:

  图片15-远控指令

  图片15-远控指令

  为了方便各位看官的理解本团队特意画了一张流程图,方便各位更加直观地了解这个组织的手法。

  图片16-响尾蛇(SideWinder)APT组织lnk晶体的运行流程

  图片16-响尾蛇(SideWinder)APT组织lnk晶体的运行流程

  本小组发现该组织针对孟加拉国的活动主要模仿了孟加拉国代购商协会对相关单位以及人员进行攻击活动。

  图片17-模仿孟加拉国代购商协会进行攻击

  图片17-模仿孟加拉国代购商协会进行攻击

  该属于RTF类型的样本,主要是利用嵌入的ole对象释放文件

  图片18-1.a文件

  图片18-1.a文件

  文件概述上文介绍了Lnk顶点中提到的第二阶段hta文件,其在内存中解密并释放白加黑组合,后续的白加黑组合也和上文类似,这里不再赘述。

  图片19-响尾蛇(SideWinder)APT组织RTF副本的运行流程

  图片19-响尾蛇(SideWinder)APT组织RTF副本的运行流程

  在本次活动之中,本小组捕获了针对中国某某重点大学的网络攻击活动,如下是其使用的文件诱饵,话题关于2020年春季的疫情防控工作的优秀教师推荐名单。

  图片20-针对某某重点大学的诱饵

  图片20-针对某某重点大学的诱饵

  其利用内置一个框架集组件,ID是。该组件会指向一个远程的RTF文件手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头),从而完成远程远程模板注入技术,加载远程模板,这是一种绕过杀软静态查杀的好方法。

  图片21-远程模板注入技术

  图片21-远程模板注入技术

  远程模板为RTF文档,其内嵌了OLE对象,并且使用了漏洞CVE-2017-0199加载其内置会自动更新的超链接域。

  图片22-远程模板内置的自动更新超链接域

  图片22-远程模板手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)内置的自动更新超链接域

  该超链接更新域指向一个hta文件,hta文件的解密算法与上文提到的类似。

  不过某些原因是,该hta文件的异或解密秘钥是从网站上获取的。

  若攻击者需要及时停止攻击活动只需要撤走相关的秘钥即可。

  图片23-hta文件自解密部分

  图片23-hta文件自解密部分

  其解密的文件如下所示,通过调试发现其崩溃点移位量与双星突破所公开的POC完全相同,均位于jscript + 0x1cfbb位移处。从而确定为双星0day的CVE-2020-0674进攻的利用,手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)属于浏览器nday突破利用规模。

  图片24-CVE-2020-0674利用

  图片24-CVE-2020-0674利用图片25-与公开POC崩溃点变为完全一致图片25-与公开POC崩溃点变为完全一致

  shellcode主要利用异或算法自解密再从C2上下载第二段shellcode解密执行后释放白加黑组合和随机名称的tmp文件以及兼容的.net环境的配置文件手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)。为开机自启动。后续的内容就与上文相同,这里不再赘述。

  图片26-Shellcode自解密后下载第二段shellcode解密内存执行

  图片26-Shellcode自解密后下载第二段shellcode解密内存执行

  为方便大家理解,笔者调整了一张流程图来展示这个组织利用浏览器nday进行攻击的流程。

  图片27-SideWinder组织利用浏手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)览器nday对中国某重点大学发起攻击的活动

  图片27-SideWinder组织利用浏览器nday对中国某重点大学发起攻击的活动

  除此之外,该组织还针对针对的政府,军工,外交行业投递递减相应的副本,其主要内容以lnk文件与rtf文件。其执行流程与上文相符。

  图片28-与军事有关的攻击活动1

  图片28-与军事有关的攻击活动1 图片29-手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)与军事有关的攻击活动2图片29-与军事有关的攻击活动2 图片30-与政策有关的攻击活动图片30-与政策有关的攻击活动图片31-与科技有关的攻击活动图片31-与科技有关的攻击活动

  在该组织的跟踪过程中,我们还观察了该组织利用关于体育比赛的话题进行攻击的活动。

  该组织利用**`的话题进行攻击,其为lnk上限,具体lnk减小的运行方式我们已经在上文介绍过了,这里不再赘述。<手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)/p>

  图片32-利用AFC为诱饵

  图片32-利用AFC为诱饵

  AFC(亚洲足球联合会)指的是亚洲足球联合会可见该组织的攻击目标集中在亚洲范围内,比较偏向于南亚,东亚,东南亚地区。

  图片33-AFC简介

  图片33-AFC简介

  同时我们还监测到了关于其使用亚太科学中心协会的名称为话题诱饵的的攻击活动。<手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)/p>

  图片34-以ASPAC,BMAC为话题诱饵

  图片34-以ASPAC,BMAC为话题诱饵

  其所使用的手法与上文类似,这里不再赘述。

  从一月份的样本来看,该组织依旧沿用了rekeywiz.exe与Duser.dll这个白加黑的组合方式,并且使用了读取同目录下的带有随机名的tmp文件的前32个字节当做秘钥的手法,以解密后面加密的部分。其lnk文件的伪装欺骗以及释放相关诱饵的流程也与去年年末的活动有相似之处。

  不过有所不同的是,其在去年的hta文件中主要使用的编码方式是base64编码但在今年的手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)活动中,其使用了自己的自定义编码方式对文本进行解码与异或解密。这给杀软的静态查杀造成了一定程度的困难。

  图片35-hta文件自编码方式的改变

  图片35-hta文件自编码方式的改变

  同时该组织也有一定的突破利用能力,某些其利用以及的裂隙,两者在其利用的时候都属于nday细分范围。并且从其相关的利用代码来看,存在了该组织可能依托于网络军火商的现象。

  比如的漏洞,依据国内安全厂商360以及日本证书所发布的报告来看,二者的前面所使用的变量声明以及具体参数是一致的,该一致性也同样适用于目前泄露的该漏洞的POC中。从此手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)后研磨第一种可能是SideWinder APT组织截取了Darkhotel APT组织所使用的入侵利用代码,并进行进行二次的开发。还有一种情况为其中都依托于某网络武器的供应商。本小组认为可能的可能大于前者。

  图片36-本次活动使用nday与日本cert报告中的所使用的利用代码的相似相似

  图片36-本次活动使用nday与日本cert报告中的所使用的利用代码的相似

  不过以上仅仅为追影小组的一些猜测,如果看官有更多相关的证据,欢迎在评论区指出。

  删除C:\ ProgramData \下可能存在的疑似的文件夹中,存手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)在rekeywiz.exe,Duser.dll,rekeywiz.exe.config,{随机名} .tmp

  或者通过进程遍历查找rekeywiz.exe打开其路径是否于或者下,不如果存在观察是否存在同目录下的随机名文件,如果存在需要将其清空。

  同时找到引导启动项删除目标路径为rekeywiz.exe的调用键值。

  另外需要注意的是CVE-2020-0674拆分在win7上很难打上补丁,由于win7已经停服,请广大win7用户自行检查自己的jscript.dll文件版本是否小于5.8.9600.19626这个版本,如果是,则处在该突破影响的风险中,这里建议最稳妥的方式就是升级系统。

  印度的响尾蛇APT组织是比较活跃的APT组织之一,通过手法的进步,以及相关的nday突破利用,该组织的手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)攻击水平会越来越高。对中国的政治,经济,军事等方面会造成的一定影响。同时加强员工的安全意识,进行安全意识培训,勤打补丁,可以对这种“鱼叉”攻击一定的预防作用。

  FEF12D62A3B2FBF1D3BE1F0C71AE393E

  69A173DC32E084E7F1E1633526F80CA2

  DBB09FD0DA004742CAC805150DBC01CA

  865E7C8013537414B97749E7A160A94E

  3AD91B31956CE49FE3736C0E7344228D

  B6932A288649B3CEB9A454F808D6EB35

  7E461F6366681C5AE24920A31C3CFEC6

手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头)

  nrots [。] net

  www.d01fa [。] net

  www.fdn-en [。] net

  ap-ms [。] net

  r0dps [。] net

  www-afc [。] chrom3 [。] net

  cloud-apt [。] net

  www.link-cdnl [。] net

  kat0x [。] net

  www [。] au-edu [。] km01s [。] net

  https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/? 手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头) https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ ? https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw ? https://mp.weixin.qq.com/s/Kb_woHp1miaCgDZyHLHNgA ? https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg?https://bbs.pediy.com/thread-259500.htm?https://blogs.360.cn/post/apt-c-06_0day。 手机浏览网站时黑客能控制你的摄像头(黑客入侵手机摄像头) html?https://blogs.jpcert.or.jp/zh/2020/04/ie-firefox-0day.html

标签:

本文来源:推文收录网

本文地址:https://www.hzccw.com/i/89822.html

版权声明:本站收录微信公众号文章内容全部来自于网络,部分内容为用户投稿内容,本站所有内容仅供个人学习、研究或者欣赏使用。版权归原作者所有。禁止一切商业用途。其中内容并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。如果您发现本站上有侵犯您的知识产权的内容,请与我们联系,我们会及时修改或删除。