如前所述，為了保證攻擊者的攻擊持續(xù)處于活動(dòng)狀態(tài)，我們虛構(gòu)了對(duì)攻擊者來(lái)說(shuō)非常感興趣的目標(biāo)：一位處理安全問(wèn)題的政府智庫(kù)人員。

創(chuàng)建欺騙網(wǎng)絡(luò)

• 首先，創(chuàng)建SMB共享，映射到目標(biāo)電腦并顯示網(wǎng)絡(luò)備份；

• 其次，把一個(gè)運(yùn)行云端服務(wù)的RDP憑據(jù)存放于電腦中，同時(shí)在遠(yuǎn)程云端系統(tǒng)中部署欺騙數(shù)據(jù)，形成蜜罐系統(tǒng)，同時(shí)造成正常服務(wù)的假象。

蜜罐文件系統(tǒng)

用 RDP憑據(jù)引向蜜罐系統(tǒng)

（1） 當(dāng)一個(gè) PowerPoint PPS文件被打開(kāi)之后，釋放有效攻擊載荷。即CVE-2014-4114漏洞利用代碼（曾用作SandWorm沙蟲(chóng)攻擊）。

釋放的Driver.inf 文件內(nèi)容

（2）  主機(jī)被以下可執(zhí)行文件感染：

         • sysvolinfo.exe   – 執(zhí)行編譯腳本.

        • PowerShell 以 HTTPS Meterpreter方式執(zhí)行攻擊腳本 ,同時(shí)保持與C2控制服務(wù)器連接，發(fā)起以下網(wǎng)絡(luò)請(qǐng)求：

（3）  目標(biāo)電腦上的文件被攻擊者以加密通道方式上傳至遠(yuǎn)程控制服務(wù)器，由于Meterpreter的“sstagerverifysslcert”功能 開(kāi)啟，所以我們沒(méi)有檢測(cè)到相應(yīng)的SSL通道；

（4） 攻擊者釋放第二階段惡意軟件7zip.exe，利用此程序掃描硬盤并連接遠(yuǎn)程IP地址  212.83.191.156。

（5）7zip.exe復(fù)制自身在C:\Windows\SysWOW64\目錄下生成netvmon.exe文件，并添加進(jìn)程序自啟動(dòng)路徑，實(shí)現(xiàn)長(zhǎng)期控制目的。

（6）在最初感染的前三天，攻擊者開(kāi)始對(duì)SMB共享文件夾發(fā)起訪問(wèn)；

（7）惡意軟件開(kāi)始訪問(wèn)映射共享，并掃描所有固定磁盤驅(qū)動(dòng)器上的文件；

（8）在MazeRunner 系統(tǒng)的第一個(gè)警報(bào)產(chǎn)生之后，由于誘餌系統(tǒng)的IP地址被內(nèi)置在RDP憑據(jù)文件里，所以，我們看到了攻擊者試圖利用RDP憑據(jù)連接誘餌系統(tǒng)的數(shù)據(jù)。警報(bào)提示攻擊發(fā)起于

IP 212.129.7.146，整個(gè)攻擊持續(xù)了12分鐘；

（9）從我們收到Mazerunner的警報(bào)綜合受害主機(jī)內(nèi)的RDP連接文件表明，攻擊者登錄失敗了幾次，但讓我們感興趣的是，攻擊者并沒(méi)有使用系統(tǒng)密碼獲取工具M(jìn)imikatz。

（10）我們相信以上兩起攻擊連接發(fā)起于同一個(gè)攻擊源，因?yàn)椋?/p>

           • 攻擊者用來(lái)連接我們蜜罐系統(tǒng)的兩個(gè)IP地址都屬于rev.poneytelecom.euf 域名；

          •  內(nèi)部警報(bào)表明，兩起攻擊連接事件發(fā)生在同一天。

攻擊發(fā)起的網(wǎng)絡(luò)規(guī)劃圖

 我們通過(guò)另一個(gè)合作伙伴，成功地接手并控制了攻擊者的一個(gè)C&C服務(wù)器，服務(wù)器中包含了大量文件：

•  種類多樣的PPS文件–用作釣魚(yú)攻擊的惡意文件
•  大量的惡意代碼包

而且這些釣魚(yú)文件內(nèi)容都與中國(guó)主題或色情性質(zhì)相關(guān)，以下是一些樣本文件：

在C&C服務(wù)器中，我們還提取到了PPS文件的修改日期，這些日期從2015年12月持續(xù)到2016年1月。從日期上可以清晰看出攻擊者準(zhǔn)備和實(shí)施攻擊的時(shí)間線。

最新評(píng)論