<small id='vmND'></small> <noframes id='bA1QLS'>

  • <tfoot id='jsxrP'></tfoot>

      <legend id='K36wUIoC'><style id='GsX23'><dir id='QEqvhpMGbn'><q id='AXfP3Qoq'></q></dir></style></legend>
      <i id='dYig310E'><tr id='ElQbVHNU'><dt id='AdxuRg9'><q id='pvCbP'><span id='L9X2Mbr'><b id='heaDgt'><form id='9q573JSHm'><ins id='MOEr8P'></ins><ul id='eoZELya'></ul><sub id='Xjuc8OkUx'></sub></form><legend id='GbMYCArw3h'></legend><bdo id='RZkFMseB'><pre id='gn5vodEN4'><center id='YFnb'></center></pre></bdo></b><th id='Mc30'></th></span></q></dt></tr></i><div id='rpMQzqHmog'><tfoot id='o4l5Ig6OMq'></tfoot><dl id='QlXfUzP'><fieldset id='PJF90K'></fieldset></dl></div>

          <bdo id='LcmNKdWxe'></bdo><ul id='TefnySGXBu'></ul>

          1. <li id='3Kra'></li>
            登陆

            章鱼体育彩票-PoshAdvisor后门更新迭代:疑似TA555针对乌克兰国家边防卫队的最新进犯活动剖析

            admin 2019-08-12 157人围观 ,发现0个评论

            概述

            近来,奇安信要挟情报中心红雨滴团队在日常的样本监测过程中,捕获一例针对乌克兰国家边防卫队伊斯梅尔支队的进犯样本, 该样本伪装成乌克兰国家财政局进行鱼叉邮件投递, 诱导受害者启用带有歹意宏代码的附件文档 。 一旦歹意 宏代码章鱼体育彩票-PoshAdvisor后门更新迭代:疑似TA555针对乌克兰国家边防卫队的最新进犯活动剖析得以履行,便会在受害者机器上运转 PoshAdvisor 歹意 软件 , 然后操控受害者计算机。

            经溯源相关,该进犯文档疑似来自TA555安排 [1] ,TA555是国外安全安排 Proofpoint 追寻命名的黑客安排, 在以往的进犯活动中,该安排的方针一般为酒店、餐厅、电信职业,本次进犯活动是该安排第一次针对政府机构的活动 。

            样本剖析 钓饵文档 文件名 .eml MD5 4423c37da26868ec578baa5514b8308a

            进犯者伪装为乌克兰财政部门致使领导人为主题进行鱼叉邮件投递

            诱导受害者翻开带有歹意宏代码的附件章鱼体育彩票-PoshAdvisor后门更新迭代:疑似TA555针对乌克兰国家边防卫队的最新进犯活动剖析_29_07_2019(2).doc(2019/7/29 抉择)

            歹意代码

            一旦受害者启用宏,歹意宏代码便会履行powershell从长途https://23.227.194.58/(7位随机字符).png获取歹意代码履行。

            在剖析该样本时,服务器已失效,无法获取后续,但奇安信要挟情报中心高对立沙箱在捕获该样本时,已成功获取后续。

            从长途服务器下载powershell履行,该段powershell继续从长途服务器https://23.227.194.58/(9位随机字符).png获取后续履行

            红雨滴团队高对立沙箱获取后续如下:

            PoshAdvisor

            该段powershell首要加载c#dll到内存中,并调用其B6ILdR函数

            B6ILdR获取体系版本号等信息

            之后履行一段base64解码的powershell

            此段powershell主要功用为获取体系信息上传,经过cmd指令获取体系信息

            之后调用c#中的fqlw函数生成URL途径,该函数主要将B6ILdR函数获取体系信新格式化后的字符经异或等处理后组成url途径,并在post办法后加上.asp后缀,其他办法加上.jpg后缀。

            将经过cmd指令获取的体系信息上传到23.227.194.58/(urlpath).asp

            接着从注册表中获取outlook邮箱装备信息上传

            截取当时屏幕上传

            当此段powershell履行完毕后,进入承受指令流程,从23.227.194.58/(urlpath).jpg获取指令履行,当获取的数据长度大于等于48时,进入远控功用流程

            获取数据的第一位为指令位,经过判别第一位的数据然后履行不同功用

            远控指令功用如下表

            指令 功用 0 调用Ka2l7Xn3O函数履行shellcode 1 经过iex履行powershell指令并将履行成果上传 2 下载dll保存到%temp%目录下并经过ChlVniP4q6函数调用履行 3 下载exe报导%temp%目录下并履行 99 退出 其他 依据偏移4的id下载履行shellcode 溯源相关

            经相关剖析,红雨滴团队安全研究员发现本次进犯活动完成的后门与2018年proofpoint发表的TA555安排的PoshAdvisor后门根本共同,只是在功用上愈加完善丰厚,因而咱们确定本次进犯活动暗地团伙是TA555的可能性极大。

            钓饵文档比照

            本次进犯活动的钓饵文档与之前TA505的文档根本共同,如下图

            后门比照

            本次进犯活动获取体系信息powershell代码与TA555根本共同

            在功用代码上,本次进犯活动的后门功用较之TA555愈加完善丰厚

            总结

            从本次捕获TA555新样本来看,该团伙已开端改变进犯方针,从酒店餐厅等职业改变到政府机构,政治意图开端越发稠密,其进犯兵器功用也越发完善。奇安信要挟情报中心红雨滴团队将继续追寻该团伙的最新动态。

            现在,根据 奇安信 要挟情报中心的要挟情报数据的全线产品,包含 奇安信 要挟情报渠道(TIP)、天擎、天眼高档要挟检测体系、 奇安信 NGSOC等,都现已支撑对此类进犯的准确检测。

            IOC 样本MD5

            4423c37da26868ec578baa5514b8308a

            c5661d589ee98e8b370acaceb7f5445e

            1d045444d74bc63c8b30d9089c8da24f

            03580beba48ab744b1468459603e715d

            87c6e0daabe6f71a86f3a9c24a090944

            30bbf8a8d2c0ad4e2ffbfdc6c5ed476b

            37457ea1d0f093145f8d645779c363ac

            1e2b0f55562277fc4f3cfec340397f10

            C&C地址 23.227.194.58 参阅

            [1] https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems-part-2-advisorsbot

            章鱼体育彩票-PoshAdvisor后门更新迭代:疑似TA555针对乌克兰国家边防卫队的最新进犯活动剖析

            [1] https://www.proofpoint.com/us/threat-insight/post/new-modular-downloaders-fingerprint-systems奥鹏作业答案-part-2-advisorsbot

            *本文作者:奇安信要挟情报中心,转载请注明来自FreeBuf.COM

            请关注微信公众号
            微信二维码
            不容错过
            Powered By Z-BlogPHP