近日,安恒安全研究院猎影威胁分析团队在文件威胁分析平台上监测到了一起针对韩国大型公司的高级可持续攻击。经过深入分析,发现攻击者可能来自南亚国家,通过样本中的关键词汇将该起攻击命名为魔芋行动(Operation Ninikachu)。
攻击者投递了多个高度伪装的文档,文档示例展示如下:文档利用形式相同,都使用了相似的恶意宏代码,我们拿出其中一个进行分析,如“가격정책_191030.xls”文档。hxxps://218.*.*.187/as/***/***/skcc.com/ReportSVC.exe
保存到“c:\ProgramData\ReportSVC.exe”并执行。ReportSVC.exe程序为加过密的python打包程序,将该程序进行解包并反编译还原如下:可以得到agent主程序,并可以通过AES算法使用加密key:“XMBci***8HQGPDH”解密被加密的一些模块:如解密config.pyc.encrypted文件解密出config模块:内部包含程序执行所需要的各种配置信息,如回连地址信息“hxxps:// 218.*.*.187”,服务前缀“skcc[.]com”,帮助信息等等。接下来分析反编译出的agent.py程序,发现其就是一个python 远程控制程序。包含多个功能指令。程序会先进行初始化,从配置文件中获取各类配置信息,以及收集本机计算中的各类信息,如获取系统版本信息:函数Getdocpaths:获取指定路径下的doc*,xls*,ppt*路径信息。函数Download:从远程服务器通过http(s)下载文件。函数Powershell:运行powershell程序或命令。函数Python:运行python命令或python程序。函数Getpw(Ninikachu):通过使用Empire的Invoke-Mimikatz.ps1来获取系统密码。 | |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| 获取指定路径下的doc*,xls*,ppt*路径信息 |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
| |
根据之前的样本,我们知道其回连地址是218.*.*.187且使用https进行通讯,我们获取https的证书sha1值。使用安恒全球网络空间超级雷达sumap进行检索,又发现另2个使用了相关证书的ip地址:通过关联分析,发现了其中一个IP地址目前仍可访问,其后台地址:分析页面信息,其含有一个叫“Ares”关键词信息,通过互联网检索发现,该后台是Ares远控程序的控制端,而解密后的agent程序为Ares的被控端。Ares的代码在github属于开源项目,但是这次攻击的程序是黑客定制修改版本,修改包括:最开始的木马ReportSVC.exe程序下载地址为hxxps:// 218.*.*.187/as/***/***/skcc.com/ReportSVC.exe中包含的skcc[.]com而在解密的config.py配置文件中服务前缀SERVER_PREFIX也是包含skcc[.]com。猜测本次攻击目标为韩国SK C&C公司。SK C&C是韩国几大企业集团之一的SK集团的全资子公司,主营业务为IT服务提供商和数字业务。可以从pyimod01_os_path等文件中得到电脑的用户名“kngkn”的信息。通过一些搜索发现,推特上有这么一个用户名,并且还关注了两个用户,都和数字媒体相关,并且所在地为南亚某国。再可通过facebook搜索kngkn用户名查看人物,发现大多数人物所在地都在南亚某国。再来看看“Ninikachu”这个函数功能是使用mimikatz,两个单词拼读起来也感觉类似,推测攻击者可能是南亚某国的口音。拆分ninikachu为nini和kachu,通过检索发现在梵文中kachu叫做芋头,所以我们将这次攻击也叫作魔芋行动(Operation Ninikachu)。企业应当注重培养人员安全意识,不轻易打开未知来源的邮件及附件,不随意点击未知链接,不随意打开未验证可靠来源的文档。及时为信息系统打好补丁。部署安恒APT预警平台,安恒APT预警平台能够发现已知或未知的威胁,APT预警平台 的实时监控能力能够捕获并分析邮件附件投递文档或程序的威胁性,并能够对邮件投递,漏洞利用、安装植入、回连控制等各个阶段做强有力的监测。结合安恒威胁情报系统,可将国内外的威胁数据进行汇总,并分析整个攻击演进和联合预警。hxxps://218.***.***.187/as/***/***/skcc.com/ReportSVC.exehxxps://211.***.***.113/as/***/***/skcc.com/SCMetroUIUpdater.exehxxps://114.***.***.178/as/login进阶安全圈,不得不读的一本书
文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458300700&idx=1&sn=e6cc7efc39cf7c20f655d44e01e177ad&chksm=b181819686f608806e3bb9d45a0ffcd028806b458f98ec37918688060ffe2223d86eb200a558#rd
如有侵权请联系:admin#unsafe.sh