APT34-Glimpse与DNS隧道问题
背景:
2019年4月18日,某黑客组织使用Lab Dookhtegan假名,在Telegram频道上出售APT34团队的黑客工具,成员信息,相关基础设施,攻击成果等信息,引发业界威胁情报及Red Team领域的安全人员强烈关注。
其中APT34也被称为OilRig (Crambus,“人面马”组织,Cobalt Gypsy),是一个来自于伊朗的APT组织,从2014年开始APT34组织开始活跃,该组织执行了一系列针对伊朗的攻击活动。重点攻击目标位于中东地区,主要攻击针对金融、政府、能源、化工、电信和其他行业。包括阿提哈德航空公司,阿布扎比机场,阿联酋国家石油公司,兰普雷尔能源公司,科威特阿米里迪万湾,阿曼行政法院,阿联酋总理办公室等纷纷中招。
本篇文章,美创安全实验室将为大家分析APT34-Glimpse项目与DNS隧道问题
0x01 DNS隧道简介
DNS 协议是一个分布式的客户机/服务器网络数据库,分布式的原因是:互联网中没有单独 的一个站点能够知道所有的信息。 访问 DNS 是通过地址解析器的应用程序库来完成,在请求 TCP 打开一个连接或是使用 UDP 发送一个单播数据之前,需要知道 ip 地址。 而 DNS 隧道就是通过 DNS 建立起来的一种隧道连接。
0x02 APT34-Glimpse结构分析
Glimpse是一套使用DNS隧道的远控工具,下图为Glimpse文件列表
Agent: 客户端程序
Panel: 工具的图形面板
Server: 服务端程序
Readme.txt: 部署说明文档
runner_.vbs脚本用来启动当前目录下的PowerShell脚本文件,需要配合其他Execution方法去启动执行;
dns.ps1、dns_main.ps1、refineddns_main.ps1三个脚本文件功能基本一致,另外两个文件在dns_main.ps1的基础上做了变量名混淆;
newPanel-dbg.exe是一个C#开发的界面程序,是界面化的木马控制端,包括显示agent上线列表、命令执行、文件上传下载、查看执行结果、切换DNS请