Fancy Bear APT28分析

admin 2023-11-25 00:32:12 4HOU_新闻 来源:ZONE.CI 全球网 0 阅读模式

Fancy Bear

APT28也叫Fancy Bear,与俄罗斯军事情报机构GRU(格鲁乌)有关。近期,APT 28使用鱼叉式钓鱼攻击技术对NATO(北大西洋公约组织,北约)组织进行了攻击。攻击的第一步是释放恶意组件,这也是APT 28常用的攻击技术之一。

下面是对攻击活动的详细分析,Fancy Bear的主要动作包括:

· 使用多项高级技术尝试绕过反病毒软件;

· 尝试以可执行文件的形式运行恶意软件。

STAGE 1

附件分析

1. Docx文件本身就是含有多个XML的zip文件。在攻击中,研究人员识别出了许多含有以下阶段的恶意活动:

第一阶段是一个含有嵌入VBA脚本的docx文件,该脚本会从xm文件中解码一个base64 payload。

第二阶段是在终端用户系统上实现驻留和执行payload。

image.png

Perception Point平台监测到的docx文件

2.在第一阶段Perception Point从文件中提取出一个VBA脚本。分析脚本发现,执行脚本的方式在微软word中的xmls(app.xml)中也有使用,payload是从base64编码中解码的。

image.png

从xml中解码可执行文件的函数image.png

base64编码的payload和xml image.png

解码base64加密,可以找到MZ

在第二阶段,VBA脚本会将执行的文件保存在自动运行文件夹%APPDATA%\Uplist.dat和%ALLUSERSPROFILE%\UpdaterUI.dll中。

image.png

保存payload的脚本部分

脚本用VMI服务和注册表继续执行和创建驻留。

机器重启后,WMI服务默认会配置rundll32.exe来加载%APPDATA%\Uplist.dat。注册表会被配置为用预定义的key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UIMgr替换%ALLUSERSPROFILE%\UpdaterUI.dll的值。

在最后的wscript shell中,执行恶意软件的命令是: c:\windows\system32\rundll32.exe %ALLUSERSPROFILE%\UpdaterUI.dll

STAGE 2

可执行文件分析

研究人员在VirusTotal中扫描了该文件来确定dll是否已被报告过。最终确定了已经被报告为Trojan.Sofacy:

image.png

文件哈希:0a842c40cdbbbc2bf5a6513e39a2bd8ea266f914ac93c958fda8c0d0048c4f94

研究人员发现恶意DLL使用HTTP到185[.]99[.]133[.]72来尝试与C2服务器通信,并等待要执行的新命令。

image.png

到C2的HTTP连接

为了绕过AV和终端保护方案,恶意dll使用了sleep函数来绕过检测。

image.png

绕过AV检测的Sleep函数

总结

攻击活动非常复杂,这在国家级的APT组织中比较常见的。因为攻击活动伪装的很好,而且非常有效,因此如果攻击没有特定安全保护措施的企业的话,会带来很大的影响。

- 4HOU.COM
weinxin
版权声明
本站原创文章转载请注明文章出处及链接,谢谢合作!
大批Linux设备遭到蠕虫攻击 4HOU_新闻

大批Linux设备遭到蠕虫攻击

研究人员表示,一种新的自我复制恶意软件正肆虐全球各地的Linux设备,这种恶意软件并利用复杂步骤隐藏其内部加密货币挖掘恶意软件。这种蠕虫是Mirai的定制版本,
评论:0   参与:  2