刺向巴勒斯坦的致命毒针——双尾蝎 APT 组织的攻击活动分析与总结
一.前言
双尾蝎APT组织(又名: APT-C-23 ),该组织从 2016 年 5 月开始就一直对巴勒斯坦教育机构、军事机构等重要领域展开了有组织、有计划、有针对性的长时间不间断攻击.其在2017年的时候其攻击活动被360企业安全进行了披露,并且其主要的攻击区域为中东,其中以色列与巴勒斯坦更受该组织的青睐。
攻击平台主要包括 Windows 与 Android :
其中针对 windows 的平台,其比较常见的手法有投放带有” *.exe “或” *.scr “文件后缀的 释放者文件,在目标用户打开后释放对应的诱饵文档,并且释放下一步的 侦查者(Recon).持久存在的方式也不唯一,一般通过写入注册表启动项以及释放指向持久化远控的快捷方式到自启动文件夹下.其侦查者会收集当前机器的相关信息包含( 系统版本,计算名,杀毒软件信息,当前文件所在路径,恶意软件当前版本),以及其解析 C2 的回显指令,并执行.比如: 远程shell,截屏和文件下载。
同时根据别的安全厂商的 告,我们也得知该组织拥有于攻击 Android 平台的组件,拥有 定位、短信拦截、电话录音等,并且还会收集文档、图片、联系人、短信等情 信息;PC 端后门程序功能包括收集用户信息上传到指定服务器的功能、远程下载文件能力.
近日 check point 安全厂商披露了该组织自导自演,给以色列士兵手上安装恶意软件的攻击活动.可以从中看出该团伙的攻击设计之巧妙,准备之充分。但最后结果还是被以色列给反制了一波…………
Gcow安全团队 追影小组于 2019.12 月初开始监测到了 双尾蝎APT组织通过投递带有诱饵文件的相关可执行文件针对 巴勒斯坦的部门 进行了相应的攻击活动,这些诱饵文件涉及教育,科技,政治等方面的内容,其攻击活动一直持续到了 2020.2 月底. 追影小组对该组织进行了一定时间的追踪.遂写成此 告还请各位看官欣赏.
二.样本信息介绍以及分析 1.样本信息介绍
在本次 双尾蝎APT组织针对 巴勒斯坦的活动中,Gcow安全团队 追影小组一共捕获了 14 个样本,均为 windows 样本,其中 12 个样本是释放诱饵文档的可执行文件, 2 个样本是带有恶意宏的诱饵文档
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放样本的样本类型占比图-pic2
在这 12 个可执行文件样本中,有 7 个样本伪装成 pdf 文档文件,有 1 个样本伪装为 word 文档文件,有 2 个样本伪装为 rar 压缩文件.有 2 个样本伪装成 mp3 , mp4 音频文件
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放可执行文件样本的样本类型占比图-pic3
在这 14 个 Windows 恶意样本中,其诱饵文档的题材,政治类的样本数量有 9 个,教育类的样本数量有 1 个,科研类的样本数量有 1 个,未知类的样本数量有 3 个( 注意:未知指得是其诱饵文档出现错误无法打开或者其内容属于无关内容)
2019.12——2020.2双尾蝎APT组织针对巴勒斯坦所投放的样本题材占比图-pic4
现在各位看官应该对这批 双尾蝎组织针对 巴勒斯坦的攻击活动有了一个大概的认识,但是由于这批样本之中有一些话题是以色列和巴勒斯坦共有的,这里 Gcow 安全团队 追影小组持该组织主要是攻击 巴勒斯坦的观点,若各位看官有更多的证据,欢迎联系我们团队. 注意:这里只是一家之言,还请各位看官须知。
那下面 追影小组将以一个恶意样本进行详细分析,其他样本采取略写的形式向各位看官描述此次攻击活动。 注意:因为其他样本的主要逻辑是相同的,所以没有必要枉费笔墨
2.样本分析 (1).Define the Internet in government institutions a.样本信息
样本Define the Internet in government institutions_pdf.exe文件信息(表格)-pic5
样本Define the Internet in government institutions_pdf.exe文件信息(图片)-pic6 b.样本分析
通过对样本的分析我们得知了该样本是兼具 释放者(Dropper)与 下载者(Downloader)的功能,其 释放者(Dropper)主要是用以释放诱饵
文档加以伪装以及将自身拷贝到 %ProgramData%目录下,并且生成执行该文件的快捷方式并且释放于自启动文件夹下,而 下载者(Downloader)
部分主要是通过进行信息收集以及等待C2给予的回显,主要功能有: 远程shell,文件下载,屏幕截屏
i.释放者(Dropper)部分:
通过 FindResource 函数查找名称为: MyData的资源
FindResource函数查找MyData资源-pic7
通过LoadResource 函数加载该资源
LoadResource函数加载资源-pic8
通过LockResource 函数锁定资源并且获取资源在内存的地址
LockResource函数锁定资源-pic9
通过SizeOfResource 函数通过获取资源的地址计算该资源的长度
SizeOfResource函数获取资源长度-pic10
通过CreateFile 函数在%temp%目录下释放诱饵PDF文档Define the Internet in government institutions.pdf
CreateFile函数创造诱饵PDF文档-pic11
通过WriteFile 函数将PDF源数据写入创建的诱饵文档内
诱饵PDF文档源数据-pic12
WriteFile函数将PDF文档源数据写入诱饵PDF文档中-pic13
通过ShellExecute 函数打开PDF诱饵文档,以免引起目标怀疑
ShellExecute函数打开诱饵PDF文档-pic14
其PDF诱饵文档内容如图,主要关于其使用互联 的政治类题材样本,推测应该是针对政府部门的活动
诱饵PDF文档原文以及翻译-pic15
同时利用CopyFileA 函数将自身拷贝到%ProgramData% 目录下并且重命名为SyncDownOptzHostProc.exe
CopyFile函数拷贝自身文件并重命名为SyncDownOptzHostProc.exe-pic16
利用CreateFilewW 函数在自启动文件夹下创造指向%ProgramData%SyncDownOptzHostProc.exe 的快捷方式SyncDownOptzHostProc.lnk
利用CreateFileW函数创造指向后门文件的快捷方式-pic17
指向后门文件的快捷方式于自启动文件夹下-pic18 ii.下载者(Downloader)部分:
通过 CreateFile 函数创造 %ProgramData%GUID.bin 文件,内部写入对应本机的 GUID .当软件再次运行的时候检查自身是否位于 %ProgramData% 文件夹下,若不是则释放pdf文档。若是,则释放 lnk 到自启动文件夹
生成GUID码-pic19
创造GUID.bin文件并将生成的GUID码写入-pic20 ①.信息收集
1.收集 当前用户名以及 当前计算机名称,并且读取 GUID.bin 文件中的 GUID码
收集username和computername并且读取GUID-pic21
再以如下格式拼接信息
当前计算机名称_当前用户名_GUID码
编码前cname 文-pic22
将这些拼接好的信息利用base64进行编码,组合成cname 文
编码后cname 文-pic23
2.通过 GetVersion 函数收集 当前系统版本
通过GetVersion函数收集当前系统版本-pic24
并且将其结果通过Base64进行编码,组成osversion 文
编码osversion 文-pic25
3.通过 WMI 查询本地安装的安全软件
被侦查的安全软件包括 360 , F-secure , Corporate , Bitdefender
通过wmi查询本地安全的安全软件-pic26
被侦查的安全软件列表-pic27
4.通过 GetModuleFile 函数获取当前文件的运行路径
通过GetModuleFile函数获取当前文件运行路径-pic28
编码aname 文-pic29
5.后门版本 ver 文,本次活动的后门版本 为: 5.HXD.zz.1201
编码前ver 文-pic30
编码后ver 文-pic31
cname=&av=&osversion=&aname=&ver=
通过send发送 文-pic32
wireshark 文-pic33 ②.获取指令
通过 http://nicoledotson.icu/debby/weatherford/ekspertyza URL获取功能命令( 功能为截屏,远程shell,以及下载文件)
获取功能指令-pic34 ③.发送屏幕快照
截取屏幕快照函数
截屏主要代码-pic35
向URL地址http://nicoledotson.icu/debby/weatherford/Zavantazhyty 发送截屏
发送截屏-pic36 ④.远程shell
远程shell主要代码
远程shell主要代码-pic37
向URL地址http://nicoledotson.icu/debby/weatherford/pidnimit 发送shell回显
发送shell回显-pic38 ⑤.文件下载
下载文件,推测应该先另存为base64编码的txt文件再解密另存为为exe文件,最后删除txt文件.由于环境问题我们并没有捕获后续的代码
下载文件1-pic39
下载文件2-pic40 ⑥.删除命令
通过URL http://nicoledotson.icu/debby/weatherford/vydalyty 获取删除指令
获取删除指令-pic41
此外我们还关联到一个与之相似的样本,诱饵文档与之相同故不再赘述
样本Internet in government_984747457_489376.exe信息(表格)-pic42 (2).Employee-entitlements-2020 a.样本信息
样本Employee-entitlements-2020.doc文件信息(表格)-pic43
样本Employee-entitlements-2020.doc文件信息(图片)-pic44
该样本属于包含恶意 宏的文档,我们打开可以看到其内容关于 财政部关于文职和军事雇员福利的声明,属于涉及 政治类的题材
样本Employee-entitlements-2020.doc正文与翻译-pic45 b.样本分析
通过使用 olevba dump出其包含的恶意宏代码(如下图所示:)
其主要逻辑为:下载该URL http://linda-callaghan.icu/Minkowski/brown 上的内容到本台机器的 %ProgramData%IntegratedOffice.txt (此时并不是其后门,而且后门文件的 base64 编码后的结果)。通过读取 IntegratedOffice.txt 的所有内容将其解码后,把数据流写入 %ProgramData%IntegratedOffice.exe 中,并且延迟运行 %ProgramData%IntegratedOffice.exe 删除 %ProgramData%IntegratedOffice.txt
样本Employee-entitlements-2020.doc中的恶意宏文件主要代码(带注释)-pic46
样本IntegratedOffice.exe文件信息(表格)-pic47
样本IntegratedOffice.exe文件信息(图片)-pic48
该样本属于上一个样本中的 下载者(Downloader)部分,其还是通过创建 GUID .bin标记感染机器
创建guid.bin-pic49
并且创建指向自身的快捷方式于自启动文件夹中
在自启动文件夹创建指向自身的快捷方式-pic50
剩下的收集信息并且等待回显数据的操作都与上文中提到的相同故此不再赘述
(3).Brochure-Jerusalem_26082019_pdf a.样本信息
样本Brochure-Jerusalem_26082019_pdf.exe文件信息(表格)-pic51
样本Brochure-Jerusalem_26082019_pdf.exe文件信息(图片)-pic52
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic53
通过CreateFile函数将文件源数据写入Brochure-Jerusalem_26082019.pdf-pic54
打开Brochure-Jerusalem_26082019.pdf-pic55
该样本关于 耶路撒冷的话题,属于 政治类诱饵文档
诱饵文件Brochure-Jerusalem_26082019.pdf内容以及翻译-pic56
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(4).Congratulations_Jan-7_78348966_pdf a.样本信息
样本Congratulations_Jan-7_78348966_pdf.exe文件信息(表格)-pic57
样本Congratulations_Jan-7_78348966_pdf.exe文件信息(图片)-pic58 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic59
通过 CreateFile 函数将文件源数据写入 %Temp%Congratulations_Jan-7.pdf (诱饵文件)中
通过CreateFile函数将文件源数据写入Congratulations_Jan-7.pdf-pic60
通过 ShellExecute 函数将 %Temp%Congratulations_Jan-7.pdf 打开
打开Scholarships in Serbia 2019-2020.pdf-pic61
该样本关于 耶路撒冷归属的话题,属于 政治类诱饵文档
诱饵文件Congratulations_Jan-7.pdf内容以及翻译-pic62
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(5).Directory of Government Services_pdf a.样本信息
样本Directory of Government Services_pdf.exe文件信息(表格)-pic63
样本Directory of Government Services_pdf.exe文件信息(图片)-pic64 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic65
通过 CreateFile 函数将文件源数据写入 %Temp%Directory of Government Services.pdf (诱饵文件)中
通过CreateFile函数将文件源数据写入Directory of Government Services.pdf-pic66
通过 ShellExecute 函数将 %Temp%Directory of Government Services.pdf 打开
打开Directory of Government Services.pdf-pic67
该样本关于 政府部门秘书处的话题,属于 政治类诱饵文档
诱饵文件Directory of Government Services.pdf内容以及翻译-pic68
诱饵内容对应的官 图片
巴勒斯坦秘书部官 图片-pic69 (6).entelaqa_hamas_32_1412_847403867_rar a.样本信息
样本entelaqa_hamas_32_1412_847403867_rar.exe文件信息(表格)-pic70
样本entelaqa_hamas_32_1412_847403867_rar.exe文件信息(图片)-pic71 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 RAR 文件
FindResource函数查找资源MYDATA-pic72
通过 CreateFile 函数将文件源数据写入 %Temp%Entelaqa32.rar (诱饵文件)中
通过CreateFile函数将文件源数据写入Entelaqa32.rar-pic73
通过 ShellExecute 函数将 %Temp%Entelaqa32.rar 打开
打开Scholarships in Serbia 2019-2020.pdf-pic74
该样本关于 哈马斯的话题,属于 政治类诱饵文档
诱饵文件Entelaqa32.rar内容-pic75 (7).final_meeting_9659836_299283789235_rar a.样本信息
样本final_meeting_9659836_299283789235_rar.exe文件信息(表格)-pic76
样本final_meeting_9659836_299283789235_rar.exe文件信息(图片)-pic77 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 rar 文件
FindResource函数查找资源MYDATA-资源是rar文件-pic78
通过 CreateFile 函数将 rar 文件源数据写入 %Temp%jalsa.rar (诱饵文件)中
通过CreateFile函数将rar源数据写入jalsa.rar-pic79
通过 ShellExecute 函数将 %Temp%jalsa.rar 打开
打开jalsa.rar-pic80
其诱饵文件的内容与 第十二届亚洲会议有关,其主体是 无条件支持巴勒斯坦,可见可能是利用 亚洲会议针对 巴勒斯坦*的活动,属于 政治类题材的诱饵样本
jalsa.rar诱饵文件信息(带翻译)-pic81
之后的行为就和之前的如出一辙了,在此就不必多费笔墨
(8).Meeting Agenda_pdf a.样本信息
样本Meeting Agenda_pdf.exe文件信息(表格)-pic82
样本Meeting Agenda_pdf.exe文件信息(图片)-pic83 b.样本分析
通过 CreateFile 函数将文件源数据写入 %Temp%Meeting Agenda.pdf (诱饵文件)中
通过CreateFile函数将源数据写入Meeting Agenda.pdf-pic84
通过 ShellExecute 函数将 %Temp%Meeting Agenda.pdf 打开
打开Meeting Agenda.pdf-pic85
但由于其塞入数据的错误导致该 Meeting Agenda.pdf 文件无法正常打开故此将该样本归因到 未知类题材,之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(9).Scholarships in Serbia 2019-2020_pdf a.样本信息
样本Scholarships in Serbia 2019-2020_pdf.exe文件信息(表格)-pic86
样本Scholarships in Serbia 2019-2020_pdf.exe文件信息(图片)-pic87 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 PDF 文件
FindResource函数查找资源MYDATA-pic88
通过 CreateFile 函数将文件源数据写入 %Temp%Scholarships in Serbia 2019-2020.pdf (诱饵文件)中
通过CreateFile函数将文件源数据写入Scholarships in Serbia 2019-2020.pdf-pic89
通过 ShellExecute 函数将 %Temp%Scholarships in Serbia 2019-2020.pdf 打开
打开Scholarships in Serbia 2019-2020.pdf-pic90
该样本关于 巴勒斯坦在 塞尔维亚共和国奖学金的话题,属于 教育类诱饵文档
诱饵文件Scholarships in Serbia 2019-2020.pdf内容以及翻译-pic91
诱饵内容对应的官 图片
巴勒斯坦教育部图片-pic92
之后的行为就和之前的如出一辙了,在此就不必多费笔墨。
(10).????? ??? ??? ?????????_347678363764 a.样本信息
样本????? ??? ??? ?????????_347678363764.exe的文件信息(表格)-pic93
样本????? ??? ??? ?????????_347678363764.exe的文件信息(图片)-pic94 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 docx 文件
FindResource函数查找资源MYDATA-资源是docx文件-pic95
通过 CreateFile 函数将 docx 文件源数据写入 %Temp%daily_report.docx (诱饵文件)中
通过CreateFile函数将docx源数据写入daily_report.docx-pic96
通过 ShellExecute 函数将 %Temp%daily_report.docx 打开
打开daily_report.docx-pic97
从诱饵样本中的内容我们可以看出其关于 巴勒斯坦态势的问题,属于 政治类诱饵样本
诱饵文档daily_report.docx文件原文与翻译-pic98
之后的行为就和之前的如出一辙了,在此就不必多费笔墨
(11).asala-panet-il-music-live-892578923756-mp3 a.样本信息
样本asala-panet-il-music-live-892578923756-mp3.exe的文件信息(表格)-pic99
样本asala-panet-il-music-live-892578923756-mp3.exe的文件信息(图片)-pic100 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 unknown 文件
FindResource函数查找资源MYDATA-pic101
通过 CreateFile 函数将文件源数据写入 %Temp%asala.mp3 (诱饵文件)中
通过CreateFile函数将文件源数据写入asala.mp3-pic102
通过 ShellExecute 函数将 %Temp%asala.mp3 打开
打开asala.mp3.mp4-pic103
歌曲挺好听的,但是我们也不知道啥意思,将其归属于 未知类题材样本
(12).artisan-video-5625572889047205-9356297846-mp4 a.样本信息
样本artisan-video-5625572889047205-9356297846-mp4.exe的文件信息(表格)-pic104
样本artisan-video-5625572889047205-9356297846-mp4.exe的文件信息(图片)-pic105 b.样本分析
通过 FindResource 函数查找资源 MYDATA ,通过下图我们可以看出该资源是一个 unknown 文件
Fin
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!