创建管道。
图2‑42 创建管道
启动进程。
图2‑43 启动进程
在先前观测中发现,部分CNC组织人员会在开发环境中集成vcpkg,此次发现的样本中同样存在该特点,且路径也同以往使用的路径一致。
图3‑1 此次攻击活动中存在的路径信息
图3‑2 以往攻击活动中存在的路径信息
样本中的部分代码也十分相似。
图3‑3 此次攻击活动中的部分代码
图3‑4 以往攻击活动中的部分代码
加密函数大致相同。
图3‑5 以往攻击活动中加密函数的部分代码
图3‑6 此次攻击活动中加密函数的部分代码
综上所述,初步将此次攻击活动归因到CNC组织。
本次攻击活动共涉及ATT&CK框架中的8个阶段的15个技术点,具体行为描述如下表:
表4‑1 近期CNC组织攻击活动的技术行为描述表
| ATT&CK阶段 | 具体行为 | 注释 |
| 执行 | 诱导用户执行 | PrivateImage.png.exe伪装成图片诱导用户执行 |
| 执行 | 利用计划任务/工作 | YodaoCloudMgr.exe路径被加载到计划任务中执行 |
| 持久化 | 利用计划任务/工作 | YodaoCloudMgr.exe路径被加载到计划任务中执行 |
| 防御规避 | 混淆文件或信息 | 回传的进程信息进行base64编码 |
| 防御规避 | 去混淆/解码文件或信息 | 样本中的关键字符串通过对称加密算法XXTEA解密 |
| 防御规避 | 隐藏行为 | 创建隐藏的文件夹用于收集信息,以及将RNGdTMP899文件设置隐藏属性 |
| 发现 | 发现文件和目录 | 发现RECENT目录中的文件,并可能存在指定目录搜寻的操作 |
| 发现 | 发现系统信息 | 发现计算机中的驱动器列表 |
| 发现 | 系统时间发现 | 可以获取到计算机上的本地时间 |
| 横向移动· | 通过可移动介质复制 | 检测磁盘列表是否有变动,以便复制到可移动介质中 |
| 收集 | 自动收集 | 自动收集进程列表、当前用户名、本地时间等信息 |
| 收集 | 收集本地系统数据 | 收集进程列表、用户名、本地时间等信息 |
| 命令与控制 | 使用应用层协议 | 使用应用层协议通信 |
| 命令与控制 | 编码数据 | 回传的进程信息进行base64编码 |
| 数据渗出 | 自动渗出 | 收集到的进程列表信息等自动回传到控制端 |
CNC组织相关攻击活动的行为技术点的ATT&CK框架图谱如下图所示:
图4‑1 CNC组织攻击活动对应ATT&CK框架映射图
近些年,APT组织向隔离网络攻击的意图越发明显,渗透隔离网络的攻击样本不断增多,以Darkhotel[1]、幼象[2][3]为典型代表的攻击组织均自研相关攻击武器并不断更新。此次攻击活动中的CNC组织样本同该组织以往的样本相比也进行了升级,在开发阶段同样集成了vcpkg开发环境,也存在从github存储库中获取内容的行为。在横向移动阶段,在判断是否有新存储设备接入的手法上,与此前通过GetDriveTypeA获取接入设备的类型的判断方法不同,本次攻击活动的样本通过不断获取驱动器列表的方法,一旦发现有新存储设备接入,则将文件复制到新接入的存储设备中,以便达成在隔离网中传播的目的。
| 185.25.51.41 |
| 45.86.162.114 |
| da3d305d1b47c8934d5e1f3296a8efe0 |
| c024eb3035dd010de98839a2eb90b46b |
| https://raw.githubusercontent.com/yuiopk1456/beutifymyapp/main/LICENSE |
| https://raw.githubusercontent.com/gazelter231trivoikpo1/questions/main/beautify.js |
还没有评论,来说两句吧...