白象仿冒优酷网站借中印边境话题再次发起钓

2019-08-16 19:12:16 来源: 扬州信息港

  “白象”仿冒优酷站,借中印边境话题再次发起钓鱼攻击|详情披露

  (公众号:)消息,9月29日,从微步获取了一份关于“白象”团伙借中印边境问题再次发起攻击的事件分析报告。该报告称,自该团伙在2016 年 7 月被Cymmetria、安天、Forcepoint、卡巴斯基、赛门铁克等多家安全公司曝光后,该团伙的钓鱼站于 8 月 29 日再次上线,并以“中印边境”为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击。

  “白象”,又名Patchwork、Dropping Elephant,自2015年12月开始活跃,长期针对中国军队、政府等部门开展渗透攻击,该团伙主要通过钓鱼邮件和仿冒站传播木马,木马载体通常为军事、政治相关主题的Doc或PPS文档,常用漏洞包括CVE-、CVE-、CVE-等。

  2017年5月,微步通过一份包含漏洞的 Word 文档发现了“白象”团伙针对中国政府、军事相关部门的攻击活动,挖掘出其注册的大量可疑域名和木马样本。有趣的是,就在印度军队于8月28日自洞朗撤军,中印双方结束了两个多月的对峙后,该团伙的钓鱼站于 8 月 29 日再次上线,并以“中印边境”为题诱导访问者下载恶意程序植入后门,继续对中国目标发起攻击。

  以下为微步提供给的关于此次攻击的详情分析:

  钓鱼站于2017年8月29日上线,以“中印边境”为话题构造了仿冒优酷的钓鱼页面,诱导访问者下载后门程序。

  木马使用C++编写,执行后会再调用一段加密后的.Net代码,并伪装成某公司的安全防护软件,具备较强的隐蔽性和对抗性。

  木马启动后能够接受远程控制服务器任意指令,完全控制受害主机,远控服务器目前仍可正常通信,说明攻击活动尚在进行中。

  本次捕获的钓鱼页面()于 2017 年 8 月 29 日上线,系仿冒优酷的一条视频,标题为“中国和阿三的边界问题在洞朗”(未发现优酷上有类似名称的视频),视频位置显示“您还没有安装flash播放器

  ,请点击这里安装”。点击该链接后,会打开adobe公司官,却从另一恶意站点(ws)下载名为“Adobeflashplayer26_install_e”的可执行程序,制造该程序来自Adobe官的假象,具备较强迷惑性。如下图所示:

  查看站源码发现,钓鱼链接会先打开Flash Player 官方下载页面,再从ws下载仿冒的“安装包”程序,以混淆视听。

  查看该程序的属性发现,其详细信息包含“qiho”、“360”、“Defence”等干扰字符,而原始文件名为“e”。

  “e”在微步分析平台的检测结果如下:

  样本分析对“安装包”程序分析发现,该样本的主要执行流程如下图所示:

  样本的具体行为如下:

  1.样本执行后会释放另外两个文件,分别为l和e。

  l会在Windows系统中添加一个名为Smart_scan的计划任务,取“智能扫描”之义,意在混淆视听。该任务用来每隔15分钟执行一次恶意样本e。

  e仿冒了某安全卫士的相关进程,是真正执行恶意行为的样本。该样本在分析平台的检测结果为:

  4. 在释放这两个文件后,样本将使用Windows自带的命令行工具CMD运行如下命令,使用ping命令尝试连接1.1.1.1,并删除掉释放样本自身和l文件。

  接下来,真正的恶意样本e开始运行。

  5.经过分析发现,e实际上是一个基于.NET平台的PE文件的外壳,该外壳的名称为.NET Reactor,版本号为4..7,此保护壳具有较强的反调试和混淆代码等功能。

  6. 在对e进行脱壳后,我们得到了其中的.NET PE文件,其模块名称为“e”,且该可执行文件的代码已被高强度混淆。

  7. 使用反混淆技术对该PE文件进行处理,成功还原出大部分代码。

  8. 样本将通过FindResource函数检查当前文件中是否存在“__”资源,若不存在,则说明当前.NET PE并不是由e运行起来的,而是被人工剥离出来独立运行的,因此样本会将此情况视为自身正在被分析,则直接退出程序,不执行任何恶意行为。

  9. 加载PE文件中的第3个资源文件的字节码,并使用硬编码的方式建立其他若干数组。将这些数组进行一系列的转换及计算,终解密得到要运行的字节码,并写入内存。

  10. 终开启后门,连接CC服务器,并等待服务器回复指令。其中CC地址为:93.115.94.202,端口号为23558。

  关联分析研究员对钓鱼站域名检索发现,其目前指向的IP地址(94.185.82.157)上还存在、ws、、等其他包含“cn”、“pla”、“army”等明显针对中国的可疑域名,且前文分析的恶意样本就存放在ws域名下,因此基本可以断定相关基础设施均为“白象”团伙所有。

  安全研究人员分析认为,此次攻击事件出现于印度自洞朗撤军后,以中印边境问题为诱饵,且涉及的样本和域名含有针对中国的元素,符合“白象”团伙的攻击特点和动机。

  原创文章,未经授权禁止转载。详情见转载须知。

肠胃敏感是什么原因
儿童咽喉肿痛
丁桂薏芽健脾吃多久
本文标签: