【APT】Patchwork APT组织针对巴基斯坦国防官员攻击活动分析
前言
Patchwork(白象、摩诃草、APT-C-09、Dropping Elephant)是一个疑似具有印度国家背景的APT组织,该组织长期针对中国、巴基斯坦等南亚地区国家进行网络攻击窃密活动。本次捕获样本以“巴基斯坦国防官员住房登记”为诱饵,释放“BADNEWS”后门程序进行攻击窃密活动。
样本分析
样本详情:
初始样本是一个名为:“EOIForm.rtf”的RTF文档,该文档包含CVE-2017-11882漏洞,执行后会在本地目录释放多个文件以执行恶意操作。文档内容与巴基斯坦国防官员住房登记相关,由此推测相关人员是本次攻击活动的主要目标。
同时该文档还会在“ProgramData”目录下释放多个隐藏属性的文件用于执行恶意操作。
OneDrive.exe是一个带有数字签名的java白文件,执行后会侧加载同目录下的jli.dll后门文件:
jli.dll是Patchwork组织常用的“BADNEWS”后门程序,该文件保留了PDB路径信息:“E:\\new_ops\\jlitest __change_ops -29no - Copy\\Release\\jlitest.pdb”。并且包含了多个导出函数,而每个导出函数都执行同一段恶意代码:
恶意代码执行后会首先创建名为:“run”的互斥体对象,以此保证自身单实例运行。然后创建“%AppData%\MicrosoftUpdate”工作目录,用于保存后续恶意操作产生的屏幕截图等文件。
然后新建线程进行键盘记录,并将获取到的用户输入数据保存到“%Temp%\TPX498.dat”文件中。文件以指定的“KLTNM:”字符串开头,后面跟着当前系统的键盘代码标识。
然后通过wmi接口获取系统uuid、os等信息后,加密发送给C2服务器:“uuid=%s&user=%s&atcomp=%s&os=%s”
C2回连域名“bgre.kozow[.]com”则以硬编码的方式存储在代码中:
C2服务器接收到上线数据包后,会通过下发指令执行其它恶意操作:
C2指令与功能描述:
所有上传的数据都以如下格式进行拼接:
数据格式解析如下:
IOCS
C2:
193.37.212[.]216
bgre.kozow[.]com
MD5:
c82823618b6d13d6540caecb4aef97bb
ba79f3d12d455284011f114e3452a163
8c095479d9beba9ed56bb8d95861686d
URL:
Gfg786v6fcd6v8j09jg67f6/dolist.php
Gfg786v6fcd6v8j09jg67f6/addentry2.php
Gfg786v6fcd6v8j09jg67f6/filedownload2.php
PDB:
E:\\new_ops\\jlitest __change_ops -29no - Copy\\Release\\jlitest.pdb
最新文章
- opencv2-新特性及Mat
- HDU 3695 Computer Virus on Planet Pandora(AC自动机模版题)
- Sprint第三个冲刺(第二天)
- 【Cocos2d-X游戏实战开发】捕鱼达人之游戏场景的创建(六)
- java之jvm学习笔记十三(jvm基本结构)
- Asp.Net Identity 2.0 认证
- PHP修改记录
- C# 给枚举类型增加一个描述特性
- javascript函数大全
- springboot情操陶冶-SpringApplication(一)
- Kafka如何删除topic?
- poj1062(分区间迪杰斯特拉,内含测试数据,一直wa的同学可以进来看看)
- 软工实践周六实践课安排(2017秋学期) | K 班
- java tar.gz文件生成
- 判断Mouse事件源类型
- (链表)反转链表Reverse List
- Editplus下载、安装并最佳配色方案(强烈推荐)
- JS求一个数组元素的最小公倍数
- js 图形化工作流设计器
- java中Map转化为bean