概要
近日安恒信息获取到一批定向攻击的apt样本,经过关联分析发现这批样本与具有印度背景的境外apt组织响尾蛇(sidewinder)有关。该样本使用“保利国防科技研究中心“内容投递远控木马,是一起针对我国的apt攻击活动。
背景
本次发现的响尾蛇apt组织样本投放时间为7月中旬之后,此时间段内中印由于“克什米尔危机“等事件带来的国界划分影响,关系再次开始紧张。我们结合该组织的印度背景,可以确定在“克什米尔危机“前后,该组织针对我国发起可能带有政治意图的攻击活动。
本次攻击诱饵文档使用保利集团相关内容,保利集团是国务院国有资产监督管理委员会监管的大型国有中央企业,主要经营通用商品和特种装备及技术的进出口业务,先后引进了包括黑鹰直升机,瑞士防空系统等产品,并且出口了大量的防务装备。
此样本生成时间在2019年9月12日,中国和印度军队曾在2019年9月11日左右于靠近班公错北岸的实际控制线一带发生对峙。
样本分析
样本感染流程:
1、诱饵文档使用cve-2017-11882执行释放到%temp%路径下1.a脚本;
2、1.a脚本拷贝白文件write.exe和恶意的propsys.dll,以及加密后的恶意程序主体到“c:\programdata\authyfiles“路径并设置“hkey_current_user\software\microsoft\windows\currentversion\run”自启动注册表项;
3、write.exe是win7系统白文件,启动后会加载propsys.dll恶意dll,此dll会解密同目录下“.tmp“结尾的文件,解密后是木马本体,开始执行木马本体。
诱饵文档分析
诱饵信息为“保利国防科技研究中心“的中文文件:
利用漏洞cve-2017-11882加载嵌入的js脚本:
脚本阶段
脚本经过分析功能为释放相关文件到“c:\programdata\authyfiles”并启动“write.exe“进程,进入下一阶段的白加黑利用:
白加黑利用阶段
write.exe会加载同目录下的propsys.dll实现白加黑利用
dll功能为解密同目录下的tmp后缀文件并执行:
解密手法:
.tmp文件前32字节为密钥,后续字节通过异或解密,解密后确为一个pe格式文件
最终阶段
样本主体是一个c#窃密木马,名称systemapp.dll,窃密木马整体流程为加载配置、启动信息收集和下载执行线程、进行一次基本信息收集:
系统信息写入.sif为后缀的文件,文件遍历结果写入.flc为后缀的文件,需要上传的文件写入为后缀的.fls文件,如果写入出错则会写入.err为后缀的文件。
下载执行线程工作如下:
信息收集上传线程工作,首先上传几个日志/信息文件:
如果需要上传指定文件则再上传指定文件:
信息传输的加解密方法同白加黑利用阶段的pe解密,加密手段:
解密手段:
内置硬编码默认cc,也可以从cc端下发进行更改:
