10月24日到25日期間,我們檢測(cè)到兩起來(lái)自”admin@338”(按照?qǐng)?bào)復(fù)打擊的特點(diǎn),給報(bào)復(fù)打擊者起的代號(hào))的魚(yú)叉式收集垂釣報(bào)復(fù)打擊.報(bào)復(fù)打擊方針針對(duì)多個(gè)組織,并且意圖很是較著,是為了獲得國(guó)際商業(yè),金融,經(jīng)濟(jì)政策等方面的資料.這兩起報(bào)復(fù)打擊利用了不合的歹意軟件并且表示出了快速調(diào)劑手藝,策略,流程(TTPs)的能力.
利用投資者指南和聯(lián)系人列表作為釣餌
2013年10月25日.禮拜五.檢測(cè)到對(duì)以下方針的報(bào)復(fù)打擊:
西歐中間銀行
一個(gè)國(guó)際商業(yè),經(jīng)濟(jì),金融政策范疇的組織機(jī)構(gòu)
一個(gè)美國(guó)的軍師團(tuán)
遠(yuǎn)東一個(gè)國(guó)度的當(dāng)局部門(mén)
垂釣郵件以下圖所示,歹意的word文檔操縱了CVE-2012-0158縫隙
Word文檔的屬性:
文件名:Investor Relations Contacts.doc
MD5: 875767086897e90fb47a021b45e161b2
當(dāng)打開(kāi)這個(gè)Word的時(shí)辰會(huì)寫(xiě)一個(gè)可履行文件到C:\Windows\wmiserver.exe.然后運(yùn)行這個(gè)法度,這是一個(gè)Bozok遠(yuǎn)控的變
種.它連接的CnC辦事器是microsoft.mrbasic.com和www.microsoft.mrbasic.com.利用的連接暗碼是“wwwst@Admin”.我們發(fā)現(xiàn)10月26日的時(shí)辰兩個(gè)域名解析到了58.64.153.157.
Bozok遠(yuǎn)控的能力
Bozok跟其他風(fēng)行的遠(yuǎn)控一樣,可以從網(wǎng)上自由的下載到.Bozok的作者綽號(hào)叫”Slayer616”,他還有一款叫Schwarze sonne(簡(jiǎn)稱(chēng)SS-RAT)也很是馳名.這兩款遠(yuǎn)控在互聯(lián)網(wǎng)上很等閑便可以找到,在之前的報(bào)復(fù)打擊中也被遍及利用.
跟SS-RAT不一樣,Bozok仍然在保護(hù)中,10月份剛更新了兩個(gè)版本,修復(fù)了一些bug,增加了對(duì)西班牙語(yǔ),阿拉伯語(yǔ),保加利亞語(yǔ),波蘭語(yǔ)和法語(yǔ)的撐持.以下圖所示,比較便利易用.
一旦計(jì)較機(jī)被Bozok傳染,報(bào)復(fù)打擊者便可以做良多未授權(quán)的工作:
下載被傳染計(jì)較機(jī)的文件或上傳文件
啟動(dòng)終止過(guò)程
點(diǎn)竄注冊(cè)表
抓取系統(tǒng)上保留的暗碼
還可以經(jīng)由過(guò)程圖形界面履行肆意號(hào)令.
報(bào)復(fù)打擊者還可以上傳一個(gè)DLL插件來(lái)擴(kuò)大Bozok的功能,包含開(kāi)啟攝像頭,記實(shí)鍵盤(pán)把持,查看節(jié)制屏幕等.
Bozok在可履行文件的資本段保留了建設(shè)參數(shù).此次報(bào)復(fù)打擊中獲得到的Bozok變種建設(shè)參數(shù)以下:
ID = aubok
Mutex = 801JsYqFulHpg
Filename = wmiserver.exe
Startup Entry Name = wmiupdate
Plugin filename = ext.dat
Connection password = wwwst@Admin
Connection port = 80
Connection servers = www.microsoft.mrbasic.com, microsoft.mrbasic.com
在傳染的時(shí)辰,Bozok發(fā)出的初始化收集流量以下圖:
從抓包中闡發(fā)除遠(yuǎn)控的連接暗碼為”wwwst@Admin”
確認(rèn)報(bào)復(fù)打擊泉源
我們覺(jué)得此次報(bào)復(fù)打擊來(lái)自于”admin@338”,關(guān)于這個(gè)報(bào)復(fù)打擊者的特點(diǎn),在Assessing Damage and Extracting
Intelligence>>的陳述中有具體的描述.admin@338在之前的報(bào)復(fù)打擊中也利用過(guò)”wwwst@Admin”作為暗碼.
別的,此次報(bào)復(fù)打擊中CnC辦事器的IP是58.64.153.157.良多跟admin@338有關(guān)的CnC域名也都指向了這個(gè)IP.在10月27日,我們不雅察到已知的,指向這個(gè)ip的域名有:
consilium.dnset.com
consilium.dynssl.com
consilium.proxydns.com
dnscache.lookin.at
ecnet.rr.nu
european.athersite.com
hq.dsmtp.com
hq.dynssl.com
ipsecupdate.byinter.net
itagov.byinter.net
microsoft.acmetoy.com
microsoft.dhcp.biz
microsoft.dynssl.com
microsoft.ftpserver.biz
microsoft.instanthq.com
microsoft.isasecret.com
microsoft.lookin.at
microsoft.proxydns.com
microsoft.wikaba.com
microsofta.byinter.net
microsoftb.byinter.net
phpdns.myredirect.us
sslupdate.byinter.net
svchost.lookin.at
svchost.passas.us
teamware.rr.nu
webserver.dynssl.com
webserver.fartit.com
webserver.freetcp.com
www.consilium.dnset.com
www.consilium.dynssl.com
www.consilium.proxydns.com
www.hq.dsmtp.com
www.hq.dynssl.com
www.microsoft.acmetoy.com
www.microsoft.dhcp.biz
www.microsoft.dsmtp.com
www.microsoft.dynssl.com
www.microsoft.instanthq.com
www.microsoft.isasecret.com
www.microsoft.proxydns.com
www.microsoft.wikaba.com
www.svchost.ddns.info
www.svchost.dyndns.pro
www.svchost.dynssl.com
www.verizon.dynssl.com
www.verizon.itemdb.com
www.verizon.proxydns.com
www.webserver.dynssl.com
www.webserver.fartit.com
www.webserver.freetcp.com
我們之前檢測(cè)到admin@338在1月6日的報(bào)復(fù)打擊中也利用了Bozok,在那次報(bào)復(fù)打擊中,他利用郵件發(fā)送了一個(gè)歹意
的”EcoMissionList.xls”的表格.報(bào)復(fù)打擊的方針跟此次一樣,也是商業(yè),經(jīng)濟(jì),金融政策等范疇的組織機(jī)構(gòu).利用的CnC辦事器是www.microsoftupdate.dynssl.com,暗碼是”gwxpass”.
亞太地區(qū)投資人聯(lián)系編制釣餌
我們闡發(fā)比來(lái)用投資人聯(lián)系編制做釣餌的Bozok樣本,發(fā)此刻10月24日有一路類(lèi)似的報(bào)復(fù)打擊.就在此次報(bào)復(fù)打擊的前一天.報(bào)復(fù)打擊者利用了一樣的編制給統(tǒng)一個(gè)美國(guó)軍師團(tuán)發(fā)送了垂釣郵件.
歹意的Word文檔名為:Investor Relations Contacts-AsiaPacific.doc.釋放一個(gè)svchost.exe(C:\Documents and Settings\admin\Application Data\svchost.exe).我們把這個(gè)文件回類(lèi)為Backdoor.APT.FakeWinHTTPHelper.連接的CnC辦事器為www.dpmc.dynssl.com和www.dataupdate.dynssl.com.
www.dpmc.dynssl.com和www.dataupdate.dynssl.com別離在10月24日和21日解析到了58.64.153.157.
結(jié)論
這一系列持續(xù)的事務(wù),從24日的Backdoor.APT.FakeWinHTTPHelper到25日的Bozok反應(yīng)了admin@338具有
快速調(diào)劑手藝,策略和流程(TTPs)的能力.并且,admin@338把公開(kāi)獲得到的遠(yuǎn)控(Poison Ivy,Bozok)和本身編寫(xiě)的遠(yuǎn)控(Backdoor.APT.FakeWinHTTPHelper)都整合進(jìn)了本身的刀兵庫(kù).