新APT组织DarkHydrus,目标为中东政府/今日情报

释放双眼,带上耳机,听听看~!

该组织近日被paloalto披露,并且指出其自2016年初已经开始进行活动。

此次攻击为该组织利用新文件格式进行鱼叉攻击活动,文件格式为.iqy,该文件默认由Excel打开,并检索文件中的URL的任何对象。Iqy文件也在最近被用来投放FlawdAmmyy等远控。下面为DarkHydrus组织在此次攻击事件的具体案例。

此次投放的为一个名为credential.rar的压缩包,邮件正文如下,并且告诉收件人密码为123456

 

压缩包中含有文件credential.iqy,文件中只有含有一个链接。

 

但正常情况下,直接打开iqy文件会弹出是否启用的通知框,

若启用,将会下载该txt,尝试执行其中的命令,而默认情况下,Excel不会启动命令cmd,但会在用户同意下执行。

 

 

同意启动cmd后,其会下载一个powershell脚本,脚本大致如下,其使用了

Invoke-Obfuscation

(https://github.com/danielbohannon/Invoke-Obfuscation)

进行混淆,最后释放的是名为RogueRobinpayload

 

在执行其任何功能之前,payload会检查它是否在沙箱中执行。其使用WMI查询并检查运行进程,以获取脚本可能在分析环境中执行的证据。具体的沙盒检查包括:

1、使用WMI检查VBOXbochsqemuvirtualboxvm

BIOS版本(SMBIOSBIOSVERSION)。

2、使用WMI检查BIOS制造商是否有XEN

3、使用WMI检查总物理内存是否小于2900000000

4、使用WMI检查CPU核心数是否小于或等于1

5、枚举“Wireshark”和“Sysinternals”的运行流程。

如果确认没有在沙箱中运行,它将尝试将自身安装到系统以维持访问,起降创建一个文件%APPDATA\ OneDrive.bat,内容如下:

powershell.exe -WindowStyle Hidden -exec bypass  -File %APPDATA%\OneDrive.ps1

然后,该脚本将自身的修改后的副本写入%APPDATA\ OneDrive.ps1,并省略执行此安装的代码。要在系统启动时持续执行,脚本将在Windows启动文件夹中创建以下快捷方式,该文件夹将在每次用户登录时运行OneDrive.ps1脚本:

$env:SystemDrive\Users\$env:USERNAME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneDrive.lnk

Payload会使用自定义DNS隧道协议与其配置的命令和控制(C2)服务器通信。在此payload内配置的域如下:

Anyconnect[.]stream

Bigip[.]stream

Fortiweb[.]download

Kaspersky[.]science

microtik[.]stream

owa365[.]bid

symanteclive[.]download

windowsdefender[.]win

DNS隧道协议可以使用多种不同的DNS查询类型与C2服务器进行交互。Payload具有它在测试早期调用的功能,以查看哪些DNS查询类型能够成功到达C2服务器。它遍历一个类型列表,第一个从C2服务器接收响应的DNS类型将用于payloadC2服务器之间的所有通信,顺序如下:

1A

2AAAA

3AC

4CNAME

5MX

6TXT

7SRV

8SOA

Payload使用具有特定参数的内置Windows nslookup应用程序和特制的子域来与C2通信。为了与C2建立通信,payload将首先获得C2服务器发布的系统特定标识符。有效负载发送以获取系统特定标识符的初始DNS查询使用以下结构,其中包括当前进程标识符(PID)作为C2域的子域:

<current process id>.<c2 domain>

C2服务器将在DNS响应的响应部分内提供系统特定的标识符。下表说明了payload如何根据查询类型从C2服务器的响应中获取系统标识符

DNS 类型

描述

A

使用正则表达式‘(\d+)\-.$Global:domain’来获取十进制值

AAAA

payloadIPv6 响应通过 “:” 拆分 [0]  [1] 并将值视为十六进制以此获得整数

AC,CNAME,MX,TXT,SRV,SOA

使用正则表达式‘Address:\s+(\d+.\d+.\d+.\d+)’ 并使用IPv4地址的第一个八位字节中的十进制值

 

一旦获得系统标识符,payload会收集系统特定信息并将其发送到C2服务器。收集的信息将添加到以下结构中的字符串中:

<IP address>|<computer name>|<domain>|<username>|<isAdmin flag>|<hasGarbage flag from config>|<hasStartup flag from config>|<hybrid mode flag from config>|<sleep interval from config>|<jitter value from config>

payload将对此字符串进行base64编码,并使用其DNS隧道协议将数据传输到C2。隧道协议通过发送一系列DNS查询与C2域的子域内的数据来传输数据。每个出站DNS请求的结构如下:

<system ID>-<job ID>-<offset in data><more data flag>-<random length of base64 encoded data between 30 and 42 characters>.<c2 domain>

payload将根据其用于与C2通信的DNS请求的类型来查找对这些出站查询的不同响应。以下显示了C2用于传输成功或取消消息的特定IP地址或字符串,具体取决于用于C2通信的DNS查询类型:

DNS类型

成功

取消

A,AC

1.1.1.\d+

1.2.9.\d+

AAAA

2a00::

2200::

CNAME,MX,TXT,SRV,SOA

ok

cancel

在提供系统特定信息之后,payload将与C2服务器交互以获得命令,payload将其称为作业。C2将提供一个字符串,payload将根据其命令处理程序确定要执行的命令。要获取要作为命令处理的字符串,有效内容将发出一系列DNS查询以解析具有以下结构的域:

<system id>-<job ID>-<offset data specific to job>.<c2 domain>

C2服务器将提供对这些查询的响应,这些查询包含IPv4IPv6地址中的答案,具体取决于payload用于与其C2服务器通信的DNS查询的类型。有效负载将使用特定的正则表达式,这取决于用于获取命令字符串的DNS查询的类型,如下表所示:

 

 

DNS 类型

正则表达式

A

Address:\s+(\d+.\d+.\d+.\d+)

AC

\d+-\d+-(\d+)-([\w\d+/=]+)-\d-.ac.$Global:domain

AAAA

Address:\s+(([a-fA-F0-9]{0,4}:{1,4}[\w|:]+){1,8})

CNAME,MX,TXT,SRV,SOA

(\d+)-([\w\d/=+]{0,})\-.$Global:domain

 

这些正则表达式用于构建字符串,然后payload将通过这些命令进行操作。下面为各类命令的作用,这些命令提供了各种远程管理功能。如下:

命令

描述

$ fileDownload

将指定文件的内容上载到C2

$ importModule

将指定的PowerShell模块添加到当前脚本

$screenshot

执行命令的内容,该命令应为字符串‘$ screenshot’。我们不确定这是否有效,但是命令名称会暗示它是为了截取屏幕截图

$command

运行PowerShell命令并将输出发送到C2

slp:\d+

设置C2信标之间的休眠间隔

$testmode

向尝试确定哪些DNS查询类型成功的C2服务器发出AAAAAACCNAMEMXTXTSRVSOA类型的DNS查询。此命令将自动设置DNS类型以用于实际C2

$showconfig

将有效负载的当前配置上载到C2

slpx:\d+

设置出站DNS请求之间的休眠间隔

$fileUpload

C2服务器下载内容并将其写入指定的文件

 

最后,从该组织的域名命名方式出发,可以发现很多与安全厂商相关的命名,如下所示

Anyconnect[.]stream

Bigip[.]stream

Fortiweb[.]download

Kaspersky[.]science

microtik[.]stream

owa365[.]bid

symanteclive[.]download

windowsdefender[.]win

其中,解析的域名IP均属于中国服务提供商,而ClearSky曾称DarkHydru组织的另一个恶意文档相关联的域名0utl00k.net的解析IP 195.154.41.150 ,关联上了cisc0.net这个域名,而该域名可能与Copy Kittens相关,但根据paloalto所言,两者技术手段和受害者相差过远,因此仍认为DarkHydru为一个全新的APT组织。

IOC

Payloads

cec36e8ed65ac6f250c05b4a17c09f58bb80c19b73169aaf40fa15c8d3a9a6a1

ac7f9c536153780ccbec949f23b86f3d16e3105a5f14bb667df752aa815b0dc4

a547a02eb4fcb8f446da9b50838503de0d46f9bb2fd197c9ff63021243ea6d88

d428d79f58425d831c2ee0a73f04749715e8c4dd30ccd81d92fe17485e6dfcda

dd2625388bb2d2b02b6c10d4ee78f68a918b25ddd712a0862bcf92fa64284ffa

b2571e3b4afbce56da8faa726b726eb465f2e5e5ed74cf3b172b5dd80460ad81

c8b3d4b6acce6b6655e17255ef7a214651b7fc4e43f9964df24556343393a1a3

ce84b3c7986e6a48ca3171e703e7083e769e9ced1bbdd7edf8f3eab7ce20fd00

99541ab28fc3328e25723607df4b0d9ea0a1af31b58e2da07eff9f15c4e6565c

 

恶意文档

d393349a4ad00902e3d415b622cf27987a0170a786ca3a1f991a521bff645318

8063c3f134f4413b793dfc05f035b6480aa1636996e8ac4b94646292a5f87fde

9eac37a5c675cd1750cd50b01fc05085ce0092a19ba97026292a60b11b45bf49

cf9b2b40ac621aaf3241ff570bd7a238f6402102c29e4fbba3c5ce0cb8bc25f9

0a3d5b2a8ed60e0d96d5f0d9d6e00cd6ab882863afbb951f10c395a3d991fbc1

0b1d5e17443f0896c959d22fa15dadcae5ab083a35b3ff6cb48c7f967649ec82

870c8b29be2b596cc2e33045ec48c80251e668abd736cef9c5449df16cf2d3b8

ff0b59f23630f4a854448b82f1f0cd66bc4b1124a3f49f0aecaca28309673cb0

01fd7992aa71f4dca3a3766c438fbabe9aea78ca5812ab75b5371b48bd2625e2

6dcb3492a45a08127f9816a1b9e195de2bb7e0731c4e7168392d0e8068adae7a

47b8ad55b66cdcd78d972d6df5338b2e32c91af0a666531baf1621d2786e7870

776c056096f0e73898723c0807269bc299ae3bbd8e9542f0a1cbba0fd3470cb4

cf7863e023475d695c6f72c471d314b8b1781c6e9087ff4d70118b30205da5f0

e88045931b9d99511ce71cc94f2e3d1159581e5eb26d4e05146749e1620dc678

26e641a9149ff86759c317b57229f59ac48c5968846813cafb3c4e87c774e245

b5cfaac25d87a6e8ebabc918facce491788863f120371c9d00009d78b6a8c350

ad3fd1571277c7ce93dfbd58cee3b3bec84eeaf6bb29a279ecb6a656028f771c

域名

maccaffe[.]com

cisc0[.]net

0utl00k[.]net

msdncss[.]com

0ffice[.]com

0ffiice[.]com

micrrosoft[.]net

anyconnect[.]stream

bigip[.]stream

fortiweb[.]download

kaspersky[.]science

microtik[.]stream

owa365[.]bid

symanteclive[.]download

windowsdefender[.]win

allexa[.]net

kaspersky[.]host

hotmai1[.]com

0utlook[.]bid

今日情报

#样本分析# Retired 家族样本分析,老样本重新回归

https://zeltser.com/retired-malware-samples-retrospective/

#IOT安全#  物联网设备固件的安全性分析

https://mp.weixin.qq.com/s/fDAYhVKZyDfJy_putLzaHg

Lazarus新样本hash

전자지갑개발자_김고운.hwp

71c78b84f0153ba64d30ea986c3e682b

样本分析系列教程之IDA

https://www.hackers-arise.com/single-post/2017/06/22/Reverse-Engineering-Malware-Part-3-IDA-Pro-Introduction

欢迎各位大咖入驻知识星球,入圈积极分享返入圈费哦

本文源自微信公众号:黑鸟

人已赞赏
安全工具

中国刑事侦查四十年

2019-10-15 16:49:07

安全工具

从委内瑞拉大范围停电一事来看美国的攻击手段

2019-10-16 10:03:57

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索