对某单位的 APT 攻击样本分析

最新推荐文章于 2024-07-05 10:51:51 发布
最新推荐文章于 2024-07-05 10:51:51 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44058342/article/details/99589827
版权
本文详细介绍了某单位遭受的一次APT攻击事件,攻击者通过钓鱼邮件诱导用户运行宏代码,下载并执行恶意payload。分析过程涉及宏病毒文档提取、恶意程序gc43d4unx.exe的释放与执行、pkk.exe的Autolt脚本分析,以及最终.NET木马的功能和混淆方式。安全建议包括采用安全产品如知道创宇云图和腾讯御点提升企业防护能力。
摘要由CSDN通过智能技术生成

作者:SungLin@知道创宇404实验室
时间:2019年7月30日

一.恶意邮件样本的信息与背景

在六月份的某单位HW行动中,知道创宇HW安全团队通过创宇云图APT威胁感知系统并结合腾讯御点终端安全管理系统成功处置了一起APT攻击事件。

7月份对同一样本的补充截图如下:
在这里插入图片描述
在本次APT攻击中,攻击者通过发送鱼叉式钓鱼邮件,配合社会工程学手段诱导用户运行宏代码,进而下载尾部带有恶意payload压缩包的可执行文件。通过层层释放最终运行可窃取受害人员各类机密信息、维持权限、接收远端控制的木马。

文档打开后,会诱导用户需要开启宏才能查看被模糊的图片,一旦用户点击开启宏,恶意样本将会在用户电脑上运行、潜伏、收集相应的信息、等待攻击者的进一步指令。

在这里插入图片描述

该APT样本整体运行流程图如下:

在这里插入图片描述

二.宏病毒文档的提取与调试

使用OfficeMalScanner解压Office文档并提取文档所带的vba宏代码,打开Office文档启用宏后,采用快捷键Alt+F11开启宏代码的动态调试。该宏代码作为实施攻击的入口,实现了恶意样本的下载和执行。本章也将分析下载和执行的整体流程。

解压该Office文档后,宏代码被封装在xl文件夹下的vbaProject.bin文件中。
在这里插入图片描述

使用OfficeMalScanner这个工具的命令info从vbaProject.bin中提取宏代码,提取完后可以知道有6个宏代码,其中fdrhfaz2osd是主要的宏代码:

在这里插入图片描述

动态调试分析宏代码,首先宏代码传入两个值u和f,分别是请求的url和写入的filepath。

在这里插入图片描述

通过调用WinHttp.WinHttpRequest模块的方法Get请求来获取Response并写入到文件gc43d4unx.exe中。
在这里插入图片描述
最后通过调用WScript.Shell来启动程序gc43d4unx.exe。
在这里插入图片描述

三.gc43d4unx.exe释放pkk.exe等文件并执行

程序gc43d4unx.exe在文件的末尾存放了一个RAR的压缩文件,gc43d4unx.exe程序通过解压缩后在用户Temp目录下的29317159文件夹释放了49个文件,并以pkk.exe xfj=eaa命令继续执行恶意样本。

压缩文件在gc43d4unx.exe中的分布情况。
在这里插入图片描述

gc43d4unx.exe主要逻辑在对话框的回调函数sub_419B4E中,识别Rar!的头部标识

最低0.47元/天 解锁文章
晓得哥
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[系统安全] 六十.威胁狩猎 (1)APT攻击检测及防御与常见APT组织的攻击案例分析
杨秀璋的专栏
04-26 826
前文介绍了利用AVClass实现恶意软件家族标注及RAID16经典论文解析。这篇文章将分享APT攻击检测溯源与常见APT组织的攻击案例,并介绍防御措施。基础性基础,希望您喜欢,且看且珍惜。
[网络安全提高篇] 一一二.DataCon Coremail邮件安全竞赛之钓鱼邮件识别及分类
杨秀璋的专栏
10-26 2万+
这是作者2020年参加清华大学、Coremail、奇安信DataCon举办的比赛,主要是关于钓鱼和异常邮件识别研究。非常感谢举办方让我们学到了新知识,DataCon也是我比较喜欢和推荐的大数据安全比赛,这篇文章2020年10月就进了我的草稿箱,但由于小珞珞刚出生,所以今天才发表,希望对您有所帮助!感恩同行,不负青春。
对抗样本攻击
06-01
对抗样本攻击的实现,运行test.py即可,如果想要测试其他图片可以修改代码中的图片路径。
APT样本分析 -plugx家族RAT⽊⻢
人饭子的博客
11-06 998
APT样本分析 - plugx家族RAT⽊⻢ ⼀、样本概述 样 本 从 海 莲 花 服 务 器 扒 下 来 的 ( 经 提 醒 修 改 , 原 先 错 误 归 类 为 海 莲 花 ) , wsc_proxy.exe执⾏后加载wsc.dll解密wsc.dump⽂件,得到攻击模块(dll),攻击模块注⼊⾃身到系统进程后连接远控服务器上线,接收执⾏远控功能。远控功能包括:管 理系统、⽂件、屏幕、进程、...
网络安全威胁——APT攻击_apt攻击预测案例
最新发布
ewii12567的博客
07-05 1519
Google Aurora极光攻击是由一个有组织的网络犯罪团伙精心策划的有针对性的网络攻击攻击团队向Google发送了一条带有恶意连接的消息,当Google员工点击了这条恶意连接时,会自动向攻击者的C&C Server(Command and Control Server)发送一个指令,并下载远程控制木马到电脑上,成为“肉鸡”,再利用内网渗透、暴力破解等方式获取服务器的管理员权限,员工电脑被远程控制长达数月之久,其被窃取的资料数不胜数,造成不可估量的损失。渗透手段确定后,下一步则需要制作特定的恶意软件。
MuddyWater APT 样本分析
weixin_34151004的博客
06-08 213
本文分析样本被认为来自于攻击目标为中东地区的一个APT组织,即MuddyWater。像往常一样,您可以从VirusBay下载该样本,这也是我最喜欢下载新的恶意软件样本的地方,而且下载是免费的。下面我们开始分析: MD5哈希:6c997726d502a68af2ac2e3563365852 阶段1 已知该恶意软件是以一份Word文档的形式出现的,我们可以...
(零基础教学系列)手把手教你分析APT:蔓灵花下载器样本分析
MachineGunJoe666
05-26 690
分析到一个简单又经典的样本,想想最近比较无聊就好好写写APT分析的部分吧! 本文仅从样本分析角度出发,样本来源以及溯源部分就不多啰嗦了(写了但是太长了,一起发阅读性很差就不发了,而且也不是很有代表性,以后有机会发个别的。) 初始载荷信息 攻击的初始载荷是一个文件名为双后缀名的文件“开证装期邮件.pdf.exe”,这是一种常见的文件伪装方式,利用Windows的扩展名显示设置(“隐藏已知文件类型的扩展名”)伪装真实的.exe后缀,再选择高级自解压选项中自定义自解压文件图标,选择让exe文件看起来像P.
针对中国政府机构的准APT攻击样本Power Shell的ShellCode分析
Fly20141201. 的专栏
05-13 3720
一、事件回放 网络管理员在服务器上通过网络监控软件检测到,有程序在不断向外发包,并且ip地址显示国外的区域,经过相关安全工程师的分析和定位,最确定是微软操作系统上的Power Shell程序出现异常。发现的这个Power Shell程序和微软操作系统上的Power Shell程序不同,出现异常的这个Power Shell会不断的向外发包。经过该安全工程师的分析和反编译程序,最终得到了下面这段关键
近5年典型的的APT攻击事件
热门推荐
煮酒闲谈
08-08 2万+
APT攻击 APT攻击是近几年来出现的一种高级攻击,具有难检测、持续时间长和攻击目标明确等特征。 本文中,整理了近年来比较典型的几个APT攻击,并其攻击过程做了分析 (为了加深自己对APT攻击的理解和学习) Google极光攻击 2010年的Google Aurora(极光)攻击是一个十分著名的APT攻击。Google的一名雇员点击即时消息中的一条恶意链接,引发了一系列事件导致这个搜
[网络安全自学篇] 二十三.基于机器学习的恶意请求识别及安全领域中的机器学习
杨秀璋的专栏
11-01 1万+
这是作者的系列网络安全自学教程,主要是关于网安工具和实践操作的在线笔记,特分享出来与博友共勉,希望您们喜欢,一起进步。前文分享了Web渗透的第一步工作,涉及网站信息、域名信息、端口信息、敏感信息及指纹信息收集。这篇文章换个口味,将分享机器学习在安全领域的应用,并复现一个基于机器学习(逻辑回归)的恶意请求识别。
什么是APT攻击
AKAkawayi的博客
10-19 3095
APT(Advanced Persistent Threat)高级持续性威胁顾名思义,这种攻击行为首先具有极强的隐蔽能力,通常是利用企业或机构网络中受信的应用程序漏洞来形成攻击者所需C&C网络;其次APT攻击具有很强的针对性,攻击触发之前通常需要收集大量关于用户业务流程和目标系统使用情况的精确信息,情报收集的过程更是社工艺术的完美展现;当然针对被攻击环境的各类0day收集更是必不可少的环节。 在已经发生的典型的APT攻击中,攻击者经常会针对性的进行为期几个月甚至更长时间的潜心准备,熟悉用户网络环境
攻击样本 != 数据增强样本
weixin_43301333的博客
07-06 603
最近逛了一下某乎,看到有篇讲文本数据增强的扯了一堆文本攻击的方法,这里还是想吐槽一下,这两个完全不是一个东西 攻击样本和增强样本完全不一样,前者更加偏向于揭露,后者偏向于弥补;攻击样本抓住了模型弱点,让模型混乱,但用它retrain可能并不会让模型性能有很高提升;增强样本抓住了模型的薄弱,弥补模型未曾“看到过的”数据,但并不一定具有攻击性。 究其根源,两者训练的时候目的不同,其功效的侧重自然也不同,只不过两者有一部分交集而已。 至于为什么现在有很多人会想着用攻击样本加到模型来提升效果(比方说在天池等各大竞赛
DDoS攻击的大量增加给企业带来了新的威胁——Vecloud
vecloud的博客
03-03 118
  分布式拒绝服务(DDoS)攻击给企业带来了令人担忧的挑战,尤其是因为攻击的目标通常是破坏和关闭组织的服务运营。随着DDoS攻击的规模,强度和频率不断增长,它们将来可能会面临更大的挑战。   在DDoS攻击中,您公司的服务器或网络可能被大量流量淹没,其唯一目的是恶意中断您的业务。这些攻击会导致您的网站响应缓慢或使客户无法访问,这可能会对销售和客户服务产生负面影响。   新兴威胁   1.域名服务器(DNS)   一个简单的标志,DNS攻击正日益成为人们最喜欢的目标。事实证明,这些攻击尤其成问题..
APT攻击
2301_79194110的博客
10-14 3134
网络安全,尤其是Internet互联网安全正在面临前所未有的挑战,这主要就来自于有组织、有特定目标、持续时间极长的新型攻击和威胁,国际上有的称之为APT(Advanced Persistent Threat)攻击,或者称之为“针对特定目标的攻击”。集成了提权,凭据导出,端口转发,socket代理,office攻击,文件捆绑,钓鱼等功能。同时,Cobalt Strike还可以调用Mimikatz等其他知名工具,因此广受黑客喜爱。
APT 攻击
the_owl的专栏
05-27 917
高级持续性威胁(Advanced Persistent Threat,APT),威胁着企业的数据安全。APT是黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为,是一种蓄谋已久的“恶意商业间谍威胁”。这种行为往往经过长期的经营与策划,并具备高度的隐蔽性。APT攻击手法,在于隐匿自己,针对特定对象,长期、有计划性和组织性地窃取数据,这种发生在数字空间的偷窃资料、搜集情报的行为,就是一种“
对抗样本/对抗攻击
pku_langzi的博客
11-12 2573
对抗样本对抗攻击相关博客
针对国内IP发起攻击的DDoS样本分析
systemino的博客
05-24 471
一、前言 近期光通天下团队捕获到名为stianke_trojan.bak的恶意样本,经过样本初步分析确认该病毒类型Linux.Trojan.Generic.DDos。 样本md5值等信息如下: MD5:43a5c08bfac85e097b1eceeafaeeec40 SHA-1:9e9680e492bfcdf894bdedc92dc25848f0474f1d...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值