我的位置 首页  >  新闻动态  >  国内新闻

RANCOR: 针对东南亚的APT攻击

来源:科技成果转化中心时间:2018-07-02
      

最近Unit 42发布了一系列针对东南亚国家的APT分析报告,MalwareBenchmark进行了简单整理。此次攻击的最大特点是RANCOR攻击技术借用了APT28攻击中的部分攻击手法。


RANCOR使用的部分木马可以追溯到2017年就被曝光的 “KHRAT Trojan”,这类木马在当时是未知的,在2018年的攻击中又发现了“DDKONG”和"PLAINTEE"的新的工具,据报道,此次系列攻击的国家主要为柬埔寨和新加坡。

下图为攻击过程中,基于基础设施关联的不同工具的分布图

可以发现“Plaintee”在不同的基础设施中都有分布。值得注意的是在前期渗透中,攻击这里用了Microsoft Excel中的文档嵌入式宏来加载恶意软件,这个技术和2017年APT28中Sofacy所使用的方式非常相似。嵌入的攻击宏如下图所示:


此外除了嵌入宏,RANCOR还通过将HTML应用程序文件(.hta)来远程下载恶意软件,并加载外部托管的诱饵图像,如下图:


在加载到系统中之后,DDKong尝试使用0x3C单字节异或键来解码嵌入式配置。解码后,配置包含下图中的数据:


在解析配置之后,DDKONG通过初始的TCP连接向配置的C&C发送信标,数据包有一个长度为32的头部和一个可选的有效载荷。在信标中,未发现有效载荷。发送信标后,恶意软件需要0x4或0x6的响应命令。这两个响应都会指示恶意软件下载并加载远程插件。在指定0x4的情况下,指示恶意软件加载导出的'InitAction'功能。如果指定0x6,则会指示恶意软件加载导出的“KernelDllCmdAction”功能。在下载插件之前,恶意软件会下载一个与嵌入式配置连接并在运行时最终提供给插件的缓冲区。


对于另外一个恶意软件PLAINTEE,该软件通过“microsoftfuckedupb”的互斥体开始,以确保在给定时间只有一个实例正在运行,并通过CoCreateGuid()的调用创建一个唯一的GUID,以用作受害者的标识符。该恶意软件通过自定义的UDP协议进入配置端口的信标。网络流量采用第一个字节为随机字节,然后用于通过XOR解码数据包的其余部分。如下图



在初始信标之后,所有其他请求之间会有两秒的延迟。此响应的返回命令为0x66660002,并包含发送到C2服务器的相同GUID。一旦收到此响应,恶意软件会产生几个新线程,并带有不同的Command参数,其总体目标是加载并执行将从C2服务器接收的新插件。PLAINTEE期望下载的插件是一个具有'shell'或'file'导出功能的DLL。该插件使用与PLAINTEE相同的网络协议。




       (科技成果转化中心供稿)