js1996官网

20240925181105_9935数字经济的安全基石

申请试用
响尾蛇(SideWinder)在“克什米尔;敝笳攵灾泄泄セ鱛2019_js1996官网动态_关于js1996官网_js1996官网信息

首页 > 关于js1996官网 > js1996官网动态 > 2019 > 正文

响尾蛇(SideWinder)在“克什米尔;敝笳攵灾泄泄セ

阅读量:

概要

近日js1996官网信息获取到一批定向攻击的APT样本,经过关联分析发现这批样本与拥有印度布景的境表APT组织响尾蛇(SideWinder)有关。该样本使用“保利国防科技钻研中心“内容投递远控木马,是一路针对我国的APT攻击活动。

?

布景

本次发现的响尾蛇APT组织样本投放功夫为7月中旬之后,此功夫段内里印由于“克什米尔;暗仁挛翊吹墓缁钟跋,关系再次起头严重。我们结合该组织的印度布景,能够确定在“克什米尔;扒昂,该组织针对我国提议可能带有政治意图的攻击活动。

本次攻击钓饵文档使用保利集团有关内容,保利集团是国务院国有资产监督治理委员会监管的大型国有中央企业,重要经营通用商品和特种设备及技术的进出口业务,先后引进了蕴含黑鹰直升机,瑞士防空系统等产品,并且出口了大量的防务设备。

此样本天生功夫在2019年9月12日,中国和印度军队曾在2019年9月11日左右于靠近班公错北岸的现实节造线一带产生对峙。

?

样本分析

样本习染流程:

1、钓饵文档使用CVE-2017-11882执行开释到%temp%蹊径下1.a剧本;

2、1.a剧本拷贝白文件write.exe和恶意的PROPSYS.dll,以及加密后的恶意法式主体到“C:\ProgramData\AuthyFiles“蹊径并设置“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run”自启动注册表项;

3、write.exe是win7系统白文件,启动后会加载PROPSYS.dll恶意DLL,此DLL会解密同目录下“.tmp“结尾的文件,解密后是木马本体,起头执行木马本体。

201910171744214xy1Tw

?

钓饵文档分析

钓饵信息为“保利国防科技钻研中心“的中文文件:

20191017174509MBCT8i

利用缝隙CVE-2017-11882加载嵌入的JS剧本:

20191017174526A3DGeE

剧本阶段

剧本经过度析职能为开释有关文件到“C:\ProgramData\AuthyFiles”并启动“write.exe“过程,进入下一阶段的白加黑利用:

20191017174545jqC2yi

白加黑利用阶段

write.exe会加载同目录下的PROPSYS.dll实现白加黑利用

20191017174604GLDOl8

DLL职能为解密同目录下的tmp后缀文件并执行:

2019101717461803pPKy

解密手法:

.tmp文件前32字节为密钥,后续字节通过异或解密,解密后确为一个PE体式文件

20191017174657TSP5dq

最终阶段

样本主体是一个C#窃密木马,名称SystemApp.dll,窃密木马整体流程为加载配置、启动信息网络和下载执行线程、进行一次根基信息网络:

20191017174712cRdxAT

系统信息写入.sif为后缀的文件,文件遍历了局写入.flc为后缀的文件,必要上传的文件写入为后缀的.fls文件,若是写入犯错则会写入.err为后缀的文件。

下载执行线程工作如下:

20191017174739IZi9Tf

信息网络上传线程工作,首先上传几个日志/信息文件:

201910171748339UdjSq

若是必要上传指定文件则再上传指定文件:

20191017174855xF0gJ1

信息传输的加解密步骤同白加黑利用阶段的PE解密,加密伎俩:

20191017174917OlAMub

解密伎俩:

20191017174945qA5rpj

内置硬编码默认CC,也能够从CC端下发进行更改:

20191017175005tZb3O8

201910171751397PZLlQ

关关

20240102184719_8730

客服在线征询入口,等待与您互换

线上征询
commrr_dot04 commrr_dot04on 产品试用

即刻预约免费试用,我们将在24幼时内联系您

联系js1996官网

征询电话:400-6059-110

微信征询
js1996官网信息联系方式
commrr_top
【网站地图】