欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

中國南海和東南亞問題相關的網(wǎng)絡攻擊組織 捕獲Patchwork APT攻擊

FreeBuf   發(fā)布時間:2016-07-13 10:34:37   作者:佚名   我要評論
南海仲裁這樣的鬧劇昨天還是宣布了一個可笑的判決,我泱泱大國昨天在海南廣東等地派出的各種軍隊戰(zhàn)艦證明這次我們可不是說著玩玩?!叭粲袘?zhàn),召必回”濕了多少人的眼眶。這邊,黑客軍團里,也開始借南海問題各種攻擊
南海仲裁這樣的鬧劇昨天還是宣布了一個可笑的判決,我泱泱大國昨天在海南廣東等地派出的各種軍隊戰(zhàn)艦證明這次我們可不是說著玩玩。“若有戰(zhàn),召必回”濕了多少人的眼眶。這邊,黑客軍團里,也開始借南海問題各種攻擊。

2016-07-08_163643.jpg

最近,一個與東南亞和中國南海問題相關的APT攻擊被發(fā)現(xiàn),該APT攻擊以包括美國在內(nèi)的各國政府和公司為目標 。經(jīng)安全專家分析,該APT攻擊所使用的全部工具代碼都是通過 復制-粘貼 互聯(lián)網(wǎng)公開代碼組合而成,相對于其它APT特有的攻擊工具而言,比較獨特。

Southeast-Asia-680x400.jpg

Cymmetria發(fā)現(xiàn)并發(fā)布了此APT攻擊的分析報告,由于其代碼來源于多個網(wǎng)絡論壇和網(wǎng)站,如Github、暗網(wǎng)和隱秘的犯罪論壇等,故把其命名為Patchwork APT 攻擊(Patchwork:拼湊物)。

一、報告綜述

Patchwork APT自2015年12月被監(jiān)測到之后,目前已經(jīng)感染了大約2500臺電腦,雖有跡象表明其最早活動可追溯至2014年,但Cymmetria并未第一時間發(fā)現(xiàn)。

Patchwork APT針對的目標是軍事和政治機構,特別是那些與東南亞和南海問題相關的工作機構雇員,目標多是政府或與政府有間接聯(lián)系的機構。

在存活的受害者系統(tǒng)上,Patchwork APT通過搜索文檔并上傳至其C&C服務器,如果目標主機非常有價值,Patchwork APT還會進一步安裝第二階段滲透工具。

以下為PatchworkAPT 的攻擊時間范圍:

圖片2.jpg 

二、調(diào)查

1 概述

該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發(fā)現(xiàn),攻擊目標為一個中國政策研究機構的工作人員,其以PPT文檔為誘餌發(fā)起網(wǎng)絡攻擊,文檔內(nèi)容為中國在南海的一系列活動。

圖片6.png

當PPT文檔被打開后,嵌入執(zhí)行CVE-2014-4114漏洞代碼,這個漏洞存在于未打補丁的 Office PowerPoint 2003 和2007中,漏洞利用代碼曾被發(fā)起了名為 Sandworm的APT 攻擊。

一旦漏洞代碼開始執(zhí)行,第一階段為部署攻擊載體:一個利用AutoIt工具編譯的腳本。這個腳本使用某網(wǎng)絡論壇出現(xiàn)的名為UACME方法和代碼來繞過系統(tǒng)UAC。

圖片7.png

獲得更高權限之后,以Meterpreter方式執(zhí)行powersploit 腳本,(Meterpreter是著名的metasploit框架遠控工具)

下一階段,開始對文檔和目標主機價值進行篩選判斷,如果目標足夠有價值,攻擊者再次部署第二階段攻擊模塊,涉及到的攻擊工具也大多來源于知名論壇或網(wǎng)絡資源。以下為其攻擊感染流程:

圖片8.png

2 以蜜罐方式發(fā)現(xiàn)攻擊者

為了捕獲攻擊者發(fā)起的第二階段攻擊程序,觀察其在內(nèi)網(wǎng)中的滲透活動,我們創(chuàng)建了一個真實網(wǎng)絡環(huán)境,這個環(huán)境讓攻擊者覺得他們已經(jīng)成功獲取了主機權限。

零星的誘餌數(shù)據(jù)可以讓攻擊者向另一主機轉(zhuǎn)移,這些數(shù)據(jù)可以是存儲憑據(jù),共享文件夾、瀏覽器cookies,VPN配置等其它信息。最終我們利用了Cymmetria’s MazeRunner 系統(tǒng)成功捕獲了攻擊者的活動。

相關文章

最新評論