SideWinder 在攻击巴基斯坦后转向土耳其

网安CILLE

于 2024-06-19 19:15:00 发布

阅读量1k

点赞数 19

文章标签：网络服务器运维网络安全 web安全安全学习

本文链接：https://blog.csdn.net/2401_85026643/article/details/139803584

版权

SideWinder，也称为 Razor Tiger、Rattlesnake 与 T-APT-04，至少从 2012 年以来一直在针对巴基斯坦政府组织发动攻击。SideWinder 被认为是印度支持的 APT 组织，特别关注巴基斯坦、阿富汗、中国与尼泊尔，一直针对军事、政府与商业公司发起攻击。研究人员近日发现 SideWinder 使用了服务器端多态技术，绕过传统基于签名的反病毒软件的检测，来部署下一阶段的 Payload。

服务器端多态技术

服务器端多态技术是攻击者用于逃避反病毒程序扫描检测的一种技术。顾名思义，多态恶意软件是通过加密与混淆改变外在形态的，主要用于确保没有任何两个样本看起来相同。传统基于签名的反病毒软件很难检测此类恶意软件，尽管听起来十分炫酷，但其实这是一种自从上世纪九十年代就被攻击者使用的成熟技术。

攻击分析

从 2022 年 11 月下旬开始，SideWinder 利用服务器端多态技术部署下一阶段 Payload。诱饵文档是针对巴基斯坦政府官员创建的，通过利益相关的文档引诱受害者上钩。诱饵文档名为 BEACON JOURNAL – 2023 PAKISTAN NAVY WAR COLLEGE (PNWC)（意为：期刊指南-2023巴基斯坦海军学院）。

image.png-307kB

针对巴基斯坦的诱饵文档

2022 年 12 月初，攻击者使用的另一个诱饵文档名为 PK_P_GAA_A1_Offerred.docx。文件内容长达八页，伪装成要购买国防物品、国防服务的交易邀约与承诺书。

image.png-288.8kB

针对巴基斯坦的诱饵文档

诱饵文档并没有使用嵌入恶意宏代码的方式投递下一阶段的 Payload，而是利用了远程模板注入漏洞（CVE-2017-0199）。

诱饵文档 Guidelines FOR JOURNAL - 2023 PAKISTAN NAVY WAR COLLEGE (PNWC).doc 通过 hxxps[:]//pnwc[.]bol-north[.]com/5808/1/3686/2/0/0/0/m/files-a2e589d2/file[.]rtf 加载远程模板。该域名 pnwc[.]bol-north[.]com 解析的 IP 地址为 5.230.73[.]106。

image.png-321.8kB

下一阶段的 URL

诱饵文档 PK_P_GAA_A1_Offerred.docx 通过 hxxps[:]//paknavy-gov-pkp[.]downld[.]net/14578/1/6277/2/0/0/0/m/files-75dc2b1e/file[.]rtf 加载远程模板。该域名 paknavy-gov-pk[.]downld[.]net 解析的 IP 地址为 185.205.187[.]234。

image.png-402.5kB

下一阶段的 URL

攻击活跃期间，攻击者将受害者重定向到合法的巴基斯坦海军学院。目前，恶意服务器已经不再活跃。

image.png-405.6kB

合法巴基斯坦海军学院网站

3 月初，研究人员发现了同样通过钓鱼邮件传播的新恶意软件。该文档的特殊之处在于，受害者来自土耳其。

武器化

下一阶段的 Payload 文件 file.rtf 是一个 RTF 文件，只能由巴基斯坦境内的用户下载。该地址下载的文件名与文件类型都是相同的，但文件内容、文件大小与文件哈希都不相同。这表明使用了服务器多态技术，每次会响应不同的文件。

如果用户不在巴基斯坦境内，服务器只会返回 8 字节的 RTF 文件。而如果用户在巴基斯坦境内，服务器会返回大小在 406KB 到 414KB 之间的 RTF 文件。

image.png-716.2kB

file.rtf

Loader

通过 paknavy-gov-pk[.]downld[.]net 下载的 file.rtf 文件，可以从中解析出 1.a 对象以供进一步分析：

image.png-468.5kB

1.a 对象概览

在恶意软件执行链中，该对象保存在失陷主机的 C:\Users\user\AppData\Local\Temp\1.a 路径下。与此同时，1.a 文件是经过混淆处理的 JavaScript 代码。

image.png-665.6kB

反混淆字符串

base64 编码的数据可以为解码为 DLL 文件 App.dll，而 URL 则是用于与攻击者进行进一步通信：

image.png-236.3kB

用于进一步通信的 URL

Agent

前文提到的 base64 编码数据是一个名为 App.dll 的 DLL 文件，该文件由 .NET 开发。

为了避免基于静态签名的检测，App.dll 与其他文件都使用相同的方式进行混淆。

image.png-459.3kB

App.dll 文件

App.dll 文件由 JavaScript 代码启动，反序列化 .NET 二进制文件并将 URL 传递给可执行文件的 Work() 函数。该函数通过 URL 发起请求并尝试解密然后执行响应，以此检索下一阶段的 Payload 并执行它。

网络基础设施

通常来说，SideWinder 的 C&C 服务器只在短期有效。至少从 2021 年 1 月开始，部署 RTF 文件的服务器对于非巴基斯坦来源请求的响应一直是相同的（仅有八字节的文件）。在野一共发现了 28 个域名下部署了这个空的 RTF 文件，这些域名对应的 URL 也是相似的。

如下所示，SideWinder 部署恶意文件的 URL 结构是可预测的。该特征已经持续超过两年，研究人员相信其可能会继续使用下去。

第一阶段：/2/0/0//files-*/(hta|file.rtf)
第二阶段：/3/1/1//files-*/

2023 年 3 月中旬，研究人员发现了新配置的服务器来投递恶意 Payload。该服务器的不同之处是针对土耳其的受害者投递第二阶段的 Payload，这说明土耳其也是该组织的攻击目标。

攻击目标

SideWinder 组织的主要目标仍然是巴基斯坦，新增的攻击目标是土耳其。

image.png-206.7kB

攻击对象分布

总结

本文介绍了 SideWinder 组织的针对性攻击，尤其是针对土耳其的新攻击动向。从地缘政治角度来说，土耳其对巴基斯坦的支持可能引起了印度的警惕。

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。