南海仲裁這樣的鬧劇昨天還是宣布了一個可笑的判決，我泱泱大國昨天在海南廣東等地派出的各種軍隊戰(zhàn)艦證明這次我們可不是說著玩玩。“若有戰(zhàn)，召必回”濕了多少人的眼眶。這邊，黑客軍團里，也開始借南海問題各種攻擊。

最近，一個與東南亞和中國南海問題相關的APT攻擊被發(fā)現(xiàn)，該APT攻擊以包括美國在內(nèi)的各國政府和公司為目標 。經(jīng)安全專家分析，該APT攻擊所使用的全部工具代碼都是通過 復制-粘貼 互聯(lián)網(wǎng)公開代碼組合而成，相對于其它APT特有的攻擊工具而言，比較獨特。

Cymmetria發(fā)現(xiàn)并發(fā)布了此APT攻擊的分析報告，由于其代碼來源于多個網(wǎng)絡論壇和網(wǎng)站，如Github、暗網(wǎng)和隱秘的犯罪論壇等，故把其命名為Patchwork APT 攻擊（Patchwork：拼湊物）。

一、報告綜述

Patchwork APT自2015年12月被監(jiān)測到之后，目前已經(jīng)感染了大約2500臺電腦，雖有跡象表明其最早活動可追溯至2014年，但Cymmetria并未第一時間發(fā)現(xiàn)。

Patchwork APT針對的目標是軍事和政治機構，特別是那些與東南亞和南海問題相關的工作機構雇員，目標多是政府或與政府有間接聯(lián)系的機構。

在存活的受害者系統(tǒng)上，Patchwork APT通過搜索文檔并上傳至其C&C服務器，如果目標主機非常有價值，Patchwork APT還會進一步安裝第二階段滲透工具。

以下為PatchworkAPT 的攻擊時間范圍：

 

二、調(diào)查

1 概述

該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發(fā)現(xiàn)，攻擊目標為一個中國政策研究機構的工作人員，其以PPT文檔為誘餌發(fā)起網(wǎng)絡攻擊，文檔內(nèi)容為中國在南海的一系列活動。

當PPT文檔被打開后，嵌入執(zhí)行CVE-2014-4114漏洞代碼，這個漏洞存在于未打補丁的 Office PowerPoint 2003 和2007中，漏洞利用代碼曾被發(fā)起了名為 Sandworm的APT 攻擊。

一旦漏洞代碼開始執(zhí)行，第一階段為部署攻擊載體：一個利用AutoIt工具編譯的腳本。這個腳本使用某網(wǎng)絡論壇出現(xiàn)的名為UACME方法和代碼來繞過系統(tǒng)UAC。

獲得更高權限之后，以Meterpreter方式執(zhí)行powersploit 腳本，（Meterpreter是著名的metasploit框架遠控工具）

下一階段，開始對文檔和目標主機價值進行篩選判斷，如果目標足夠有價值，攻擊者再次部署第二階段攻擊模塊，涉及到的攻擊工具也大多來源于知名論壇或網(wǎng)絡資源。以下為其攻擊感染流程：

2 以蜜罐方式發(fā)現(xiàn)攻擊者

為了捕獲攻擊者發(fā)起的第二階段攻擊程序，觀察其在內(nèi)網(wǎng)中的滲透活動，我們創(chuàng)建了一個真實網(wǎng)絡環(huán)境，這個環(huán)境讓攻擊者覺得他們已經(jīng)成功獲取了主機權限。

零星的誘餌數(shù)據(jù)可以讓攻擊者向另一主機轉(zhuǎn)移，這些數(shù)據(jù)可以是存儲憑據(jù)，共享文件夾、瀏覽器cookies，VPN配置等其它信息。最終我們利用了Cymmetria’s MazeRunner 系統(tǒng)成功捕獲了攻擊者的活動。

最新評論