南海仲裁這樣的鬧劇昨天還是宣布了一個(gè)可笑的判決，我泱泱大國昨天在海南廣東等地派出的各種軍隊(duì)?wèi)?zhàn)艦證明這次我們可不是說著玩玩。“若有戰(zhàn)，召必回”濕了多少人的眼眶。這邊，黑客軍團(tuán)里，也開始借南海問題各種攻擊。

最近，一個(gè)與東南亞和中國南海問題相關(guān)的APT攻擊被發(fā)現(xiàn)，該APT攻擊以包括美國在內(nèi)的各國政府和公司為目標(biāo) 。經(jīng)安全專家分析，該APT攻擊所使用的全部工具代碼都是通過 復(fù)制-粘貼 互聯(lián)網(wǎng)公開代碼組合而成，相對于其它APT特有的攻擊工具而言，比較獨(dú)特。

Cymmetria發(fā)現(xiàn)并發(fā)布了此APT攻擊的分析報(bào)告，由于其代碼來源于多個(gè)網(wǎng)絡(luò)論壇和網(wǎng)站，如Github、暗網(wǎng)和隱秘的犯罪論壇等，故把其命名為Patchwork APT 攻擊（Patchwork：拼湊物）。

一、報(bào)告綜述

Patchwork APT自2015年12月被監(jiān)測到之后，目前已經(jīng)感染了大約2500臺電腦，雖有跡象表明其最早活動可追溯至2014年，但Cymmetria并未第一時(shí)間發(fā)現(xiàn)。

Patchwork APT針對的目標(biāo)是軍事和政治機(jī)構(gòu)，特別是那些與東南亞和南海問題相關(guān)的工作機(jī)構(gòu)雇員，目標(biāo)多是政府或與政府有間接聯(lián)系的機(jī)構(gòu)。

在存活的受害者系統(tǒng)上，Patchwork APT通過搜索文檔并上傳至其C&C服務(wù)器，如果目標(biāo)主機(jī)非常有價(jià)值，Patchwork APT還會進(jìn)一步安裝第二階段滲透工具。

以下為PatchworkAPT 的攻擊時(shí)間范圍：

 

二、調(diào)查

1 概述

該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發(fā)現(xiàn)，攻擊目標(biāo)為一個(gè)中國政策研究機(jī)構(gòu)的工作人員，其以PPT文檔為誘餌發(fā)起網(wǎng)絡(luò)攻擊，文檔內(nèi)容為中國在南海的一系列活動。

當(dāng)PPT文檔被打開后，嵌入執(zhí)行CVE-2014-4114漏洞代碼，這個(gè)漏洞存在于未打補(bǔ)丁的 Office PowerPoint 2003 和2007中，漏洞利用代碼曾被發(fā)起了名為 Sandworm的APT 攻擊。

一旦漏洞代碼開始執(zhí)行，第一階段為部署攻擊載體：一個(gè)利用AutoIt工具編譯的腳本。這個(gè)腳本使用某網(wǎng)絡(luò)論壇出現(xiàn)的名為UACME方法和代碼來繞過系統(tǒng)UAC。

獲得更高權(quán)限之后，以Meterpreter方式執(zhí)行powersploit 腳本，（Meterpreter是著名的metasploit框架遠(yuǎn)控工具）

下一階段，開始對文檔和目標(biāo)主機(jī)價(jià)值進(jìn)行篩選判斷，如果目標(biāo)足夠有價(jià)值，攻擊者再次部署第二階段攻擊模塊，涉及到的攻擊工具也大多來源于知名論壇或網(wǎng)絡(luò)資源。以下為其攻擊感染流程：

2 以蜜罐方式發(fā)現(xiàn)攻擊者

為了捕獲攻擊者發(fā)起的第二階段攻擊程序，觀察其在內(nèi)網(wǎng)中的滲透活動，我們創(chuàng)建了一個(gè)真實(shí)網(wǎng)絡(luò)環(huán)境，這個(gè)環(huán)境讓攻擊者覺得他們已經(jīng)成功獲取了主機(jī)權(quán)限。

零星的誘餌數(shù)據(jù)可以讓攻擊者向另一主機(jī)轉(zhuǎn)移，這些數(shù)據(jù)可以是存儲憑據(jù)，共享文件夾、瀏覽器cookies，VPN配置等其它信息。最終我們利用了Cymmetria’s MazeRunner 系統(tǒng)成功捕獲了攻擊者的活動。

最新評論