安全分析与研究
专注于全球恶意软件的分析与研究
前言概述
原文首发出处:
https://xz.aliyun.com/t/14110
先知社区 作者:熊猫正正
Patchwork APT组织是一支疑似南亚某政府背景的黑客组织,最早于2009年左右被发现,主要攻击中国、巴基斯坦、孟加拉国等国家军工、外交、教育,科研机构等,窃密重要数据,该组织主要使用鱼叉式钓鱼攻击手法,附带伪造为PDF文件的LNK恶意文件,通过PS脚本从黑客远程C2服务器下载恶意软件,攻击中使用了多种不同的恶意软件家族,包含:BADNEWS木马、Spyder后门、Remcos RAT、Havoc C2、NorthStarC2、GRAT等。
近日,国外安全研究人员曝光了一个Patchwork APT组织攻击样本,该样本进行了详细分析。
详细分析
1.样本运行之后,如下所示:
2.提取样本中的命令行,如下所示:
3.从网上下载恶意程序到指定的目录,并注册成计划任务自启动项,如下所示:
4.下载的恶意程序,使用GO语言开发,如下所示:
5.恶意程序使用正常的数字签名,如下所示:
6.恶意程序中使用的GO模块,如下所示:
7.恶意程序中使用的源代码信息,如下所示:
8.获取主机用户名信息,如下所示:
9.加密获取的主机用户名信息,如下所示:
10.获取主机名,如下所示:
11.加密获取的主机名信息,如下所示:
12.获取主机IP以及IP所在国家的信息并加密,如下所示:
13.获取主机Windows版本信息并加密,如下所示:
14.获取恶意程序执行路径并加密,如下所示:
15.获取恶意程序当前进程ID信息并加密,如下所示:
16.获取主机CPU架构信息并加密,如下所示:
17.按固定格式拼接上面获取的各种信息,如下所示:
18.将上面的数据,通过HTTP请求发送到黑客远程服务器,如下所示:
19.通过POST请求发送数据,如下所示:
20.返回执行相应的Command指令,如下所示:
21.解密从服务器上返回的指令数据,如下所示:
22.不同的指令执行不同的命令,如下所示:
23.执行指令获取主机截屏信息,如下所示:
威胁情报
总结结尾
APT是全球企业面临的最大的安全威胁之一,需要安全厂商密切关注,未来APT组织还会持续不断的发起网络攻击活动,同时也会持续更新自己的攻击武器,开发新的恶意软件变种,研究各种新的攻击技术,使用新的攻击手法,进行更复杂的攻击活动,这将会不断增加安全威胁分析和情报人员分析溯源与应急响应的难度,安全研究人员需要不断提升自己的安全分析能力,更好的应对未来各种威胁挑战,安全对抗会持续升级,这是一个长期的过程。
原文始发于微信公众号(安全分析与研究):Patchwork(白象) APT组织攻击样本详细分析