1.概述

“灵猫”组织(又名Moonlight、Molerats、Gaza Hackers Team、Gaza Cybergang)是一个来自加沙区域的APT攻击组织,其最早的攻击流动时间可追溯至2012年。外洋平安厂商ClearSky曾在2016年所发的“Operation DustySky”讲述[1]中指出该组织的背后为哈马斯( *** 抵抗运动组织的简称)。

安天CERT从2020年10月份更先陆续捕获到“灵猫”组织针对中东区域举行攻击的样本,在本次攻击流动中“灵猫”组织使用的工具更为厚实,不仅包罗在既往流动中使用的通过ENIGMA打包的Spark恶意软件,另有在此前未发现被使用的.NET框架的MoleStage 恶意软件,以及自研的Python后门恶意软件MoleCloud。其中MoleCloud *** 通讯全程行使正常网站的信息公布和存储服务举行指令交互、窃密数据上传和下载文件执行,通过行使正当的Web服务,MoleCloud在抵达端点后可以在流量侧隐匿自身的攻击流动,若未被端点侧平安产物发现,则MoleCloud将能历久隐蔽于目的端点中。

2.攻击流动剖析

“灵猫”组织近期攻击流动的主要手法为向目的人群投递含有恶意代码的下载链接PDF文件,下载链接指向Dropbox或Google Drive的网盘空间的存储地址。攻击者通过PDF文件的正文内容,诱导用户下载其他压缩包,以及执行压缩包中的可执行文件。对于压缩包中的可执行文件,攻击者在文件名上使用了一定社工诱骗技巧。其中压缩包所包罗的恶意软件主要为通过ENIGMA打包的Spark恶意软件、MoleStage恶意软件以及自研的Python后门恶意软件MoleCloud。相关攻击流程如图2-1所示:

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第1张

图 2-1“灵猫”组织相关攻击流程图

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第2张

图 2-2 MBS-Israel.pdf正文内容

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第3张

图 2-3 MOM压缩包内文件

在本次攻击流动中,“灵猫”组织投递的诱饵PDF文件及恶意软件主题与哈马斯内部选举、今年11月份沙特 *** 王储 *** ·本·萨勒曼(Mohammed bin Salman)与以色列总理本雅明·内塔尼亚胡(Benjamin Netanyahu)的谈判以及与美国国务卿迈克·蓬佩奥(Mike Pompeo)在沙特 *** 的谈判内容有关[2]。

表 2-1 文件名的社工技巧

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第4张

3.恶意代码剖析

3.1 MoleStage

在本次的攻击流动中,“灵猫”组织使用的.NET框架后门恶意软件均以“Stage_One”作为命名空间名称,凭据这一特征,安天CERT将该恶意软件命名为“MoleStage”。

表 3-1 MoleStage Backdoor

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第5张

安天先后捕获到多个差别版本的MoleStage,其早期的MoleStage是通过一个伪装成Office文件的Dropper释放,尔后续版本则直接被攻击者伪装成Office文件。停止现在,安天CERT发现最早样本的编译时间为2020-09-12 07:31:17+00: 00,而最近的为2020-11-18 08:51:19+00:00。

表 3-2 MoleStage样本标签

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第6张

MoleStage后门木马的主要功效包罗:屏幕截图、下载文件、运行文件、解压文件、上传文件、获取指定路径的文件信息、执行远程Shell、对自身举行持久化等功效。相关功效对应的代码片断如下:

1. 屏幕截图:该后门木马会对宿主机举行截屏操作,同时将截屏文件保留至宿主机%temp%目录下。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第7张

图 3-1 截屏且将截屏文件保留至%temp%目录下

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第8张

图 3-2 截屏且保留至指定路径

2. 判断受害者是否相符目的人群:该后门木马主要通过判断宿主机的键盘结构是否为 *** 键盘来确认当前受害者是否属于目的人群,若是是,则将变量“startloop”设为“true”,反之将其设为“false”。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第9张

图 3-3 判断宿主机的语言环境是否为 *** 语

3. 磨练主URL连通性:该后门木马通过“Startupdate”函数的循环挪用来吸收、执行C2服务器下令,当该后门木马首次举行循环时,会通过建立IE实例以及WebBrowser控件来接见URL举行磨练主URL存活。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第10张

图 3-4 Startupdate函数

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第11张

图 3-5 变量UrlCheck

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第12张

图 3-6 通过IE实例接见URL

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第13张

图 3-7 通过WebBrowser控件接见URL

4. *** 宿主机信息并回传:当该后门木马确认受害者属于目的人群,则更先向C2服务器发送宿主机的机械名、用户名等信息。同时该后门木马会存有一条备用的URL,当不能通过主URL跟C2服务器举行通讯时,该后门木马就会实验通过备用URL跟C2服务器举行通讯。若是备用URL可以正常使用,则在后续的通讯中该后门木马会一直使用备用URL。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第14张

图 3-8 初始化Http Client

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第15张

图 3-9向C2服务器发送宿主机信息

5. 获取Dropbox API密钥以及自身持久化:C2服务器的下令为“Startup”时,则吸收Dropbox API密钥,同时将自身拷贝至自启动目录且命名为“Desktops.exe”举行自身持久化;C2服务器的下令为“access_token”时,则只吸收Dropbox API密钥;若C2服务器无任何下令,说明C2服务器未响应宿主机的请求,则只能随机休眠50-60s后进入循环直至获取到C2服务器响应新闻

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第16张

图 3-10获取Dropbox API密钥

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第17张

图 3-11将自身拷贝至自启动目录且命名为“Desktops.exe”

6. 设置工具路径及下载指定工具:该后门木马会获取压缩包、下令行程序所在路径,以便后续行使这些工具。若工具不存在,则毗邻Dropbox网盘下载相关工具,且下载完成后会通知服务器下载效果。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第18张

图 3-12 设置Rar、Cmd、Powershell以及WMIC的路径

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第19张

图 3-13 下载指定文件至指定路径,且下载乐成后向C2服务器发送新闻

7. 执行远程Shell:该后门木马会执行C2服务器下发的Shell下令,执行乐成后会将执行的效果返回至C2服务器。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第20张

图 3-14 选择下令行工具执行下令

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第21张

图 3-15 执行远程shell

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第22张

图 3-16 将执行效果发送至C2服务器

8. 下载文件至指定路径:该后门木马可通过C2服务器发送的下载地址和Dropbox网盘下载文件,下载完成会向C2服务器返回下载效果。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第23张

图 3-17 下载指定文件

9. 解压下载的文件:通过C2服务器发送的密码对下载的文件举行解压。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第24张

图 3-18解压指定文件

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第25张

图 3-19解压文件

10. 运行文件:该后门木马会通过“RunFile”函数运行解压后的的文件。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第26张

图 3-20 运行“strpath”列表中的文件

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第27张

图 3-21 运行指定路径的文件

11. 获取指定路径的文件列表:当该后门木马乐成获取到指定路径的文件夹列表后,其会将获取到的信息返回至C2服务器。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第28张

图 3-22 获取指定路径的文件列表

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第29张

图 3-23 将获取的文件列表发送至C2服务器

12. 上传指定路径的文件:该后门木马首先会在Dropbox网盘中建立文件夹,建立完成后,会更先将宿主机中攻击者指定路径的文件上传至Dropbox网盘新建立的文件夹中,上传完成后会向C2服务器发送乐成新闻。在上传文件时,若是文件的巨细跨越4MB,则通过“ChunkUpload”函数分块上传。

,

欧博手机版_ALLbet6.com

欢迎进入欧博手机版(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe *** 、Allbet电脑客户端、Allbet手机版下载等业务。

,

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第30张

图 3-24 在Dropbox网盘中建立指定文件夹

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第31张

图 3-25 获取指定路径文件并上传至Dropbox

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第32张

图 3-26 上传文件至Dropbox函数

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第33张

图 3-27 分块上传

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第34张

图 3-28 上传乐成后向C2服务器发送新闻

3.2 MoleCloud

“MoleCloud”是使用Python语言编写且通过PyInstaller打包成EXE的后门程序,其与MoleStage恶意软件一样均行使Dropbox网盘上传窃取的文件以及下载后续攻击中所使用的工具、恶意软件。

MoleCloud主要功效均为常见后门功效,主要为: *** 并上传宿主机信息、通过攻击者建立的Facebook、SimpleNote账号获取Dropbox密钥以及攻击者的下令、执行攻击者的下令以及通过Dropbox网盘下载文件。

表 3-3 Talking points for meeting.exe

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第35张

对MoleCloud后门木马详细的剖析如下:

1. 检查宿主机是否安装有“WINRAR”软件以及是否相符攻击目的:

当该后门木马被受害者激活后,首先会检查压缩软件“WINRAR”是否存在宿主机,若是存在就继续运行,反之则直接退出程序。检查“WINRAR”软件存在的目的,可能是该后门木马在后续的操作中需要行使“WINRAR”对窃取的文件举行压缩,利便将窃取到的文件上传至Dropbox。其次,该后门木马会通过获取到的LCID Language ID判断受害者是否为本次攻击流动的目的人群,若是是则继续运行,反之则退出运行。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第36张

图 3-29 初始化变量

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第37张

图 3-30 判断受害者是否为目的人群

通过对后门木马所设定的LCID Language ID举行剖析,可以发现该后门木马本次攻击的目的为 *** 天下国家,例如:利比亚、沙特 *** 、卡塔尔、阿联酋、伊拉克、埃及以及叙利亚等国家。详细的LCID Language ID对应的语言和国家如表3-4所示:

表 3-4 LCID Language ID对应的语言和国家

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第38张

2. 获取Dropbox API密钥:

当受害者为攻击目的,该后门木马便会通过Facebook以及SimpleNote服务获取攻击者的Dropbox API密钥,该Dropbox API密钥通过“,**,”字符符号,后门木马会通过find_between函数提取Dropbox API密钥。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第39张

图 3-31 获取Dropbox API密钥

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第40张

图 3-32 find_between函数

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第41张

图 3-33 攻击者Facebook账号上所存储的Dropbox API密钥

3. 上传受害者信息:

当乐成获取到Dropbox API密钥,该后门木马会将获取到的宿主机已安装软件以及桌面文件信息写入%USERPROFILE%\info.txt文件,同时该后门木马会将info.txt上传至攻击者的Dropbox中并以宿主机的用户名为文件名来区分受害者。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第42张

图 3-34 将获取到的信息上传至攻击者的Dropbox

4. 通过Facebook、SimpleNote获取攻击者的下令:

 该后门木马会通过接见Facebook以及SimpleNote服务来获取攻击者所发出的下令,攻击者发出的下令同样由“,**,”字符包裹。通过对攻击者建立用户名为“Yora Stev”的Facebook账号举行的一段时间考察,直至现在所能观测到攻击者发出的下令如表3-5所示。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第43张

图 3-35 获取攻击者的下令

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第44张

图 3-36 执行攻击者下令

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第45张

图 3-37 攻击者发出的下令

表 3-5 现在观测到的攻击者,下令与对应的功效

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第46张

5. 下载攻击者指定的文件:

该后门木马会毗邻攻击者的Dropbox网盘下载、运行攻击者指定的文件。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第47张

图 3-38 下载、运行攻击者指定的文件

在攻击者Dropbox网盘中储存的文件中,有一个文件名为“proshear”文件夹的加密压缩包。开端预测压缩包中可能为其他恶意软件,其可能会被攻击者通过MoleCloud下发至受害者机械,同时下发下令对该压缩包举行解密并执行。攻击者Dropbox中所储存的恶意软件文件如表3-6所示:

表 3-6 攻击者Dropbox中所储存的恶意软件文件

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第48张

与此同时,该网盘中还储存着疑似来自被攻击者方的相关信息。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第49张

图 3-39 疑似被攻击方机械桌面文件与软件信息

由于 *** 语是从右往左誊写的,所以在行使翻译工具对 *** 语举行翻译时,翻译工具会自动将 *** 语排列成从右向左的阅读形式。

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第50张

图 3-40 疑似被攻击方机械桌面的文件列表的对比翻译效果

4.威胁框架视角的攻击映射图谱

在使用ATT&CK框架对“灵猫”组织在本次攻击中所使用的手艺举行总结时,安天接纳的是最新版本的ATT&CK框架。在最新版本ATT&CK框架中,战术阶段由原来的12个变成了14个,增加了侦探以及资源开发这两个新的战术阶段。

本次“灵猫”组织的攻击流动共涉及ATT&CK威胁框架中的13个阶段、41个手艺点(含确定和推测的),详细行为形貌如下表:

表 4-1“灵猫”组织本次攻击流动的手艺行为形貌表

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第51张

将“灵猫”组织涉及到的威胁行为手艺点映射到ATT&CK威胁框架如下图所示:

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第52张

图 4 -1“灵猫”组织本次行动威胁行为手艺点映射到ATT&CK威胁框架

5.小结

“灵猫”组织相关波次的攻击流动很容易被看成是一种“鸟枪当狙”的攻击,其看似粗拙,没有行使破绽、依赖文件名的社工组织技巧。但在邮件吸收人缺少需要平安意识和缺少有用的端点平安防护的情形下,此类攻击依然十分有用。与大部分攻击流动的载荷部署接纳入侵获取的跳板节点或自建部署差别,其载荷存储于主流公共网盘之上,看似这是一个攻击者没有足够资源权限的场景,但这些网盘的通讯协议是基于SSL加密的下载木马,既绕开了流量侧的载荷还原检测,也同样绕开了流量侧基于生僻地址的异常判断。抵达目的端点侧后,“灵猫”组织使用自研的Python后门恶意软件MoleCloud,继续行使主流互联网服务规避检测,如行使Facebook以及SimpleNote下发指令、行使Dropbox公共网盘来下载新的恶意软件以及上传窃取到的文件,继续规避了载荷还原、上行内容检查和生僻地址检查。便捷的互联网主流应用服务,同样可以成为攻击方低成本行使的攻击侧基础设施,其自身基于加密协议通讯,普遍被用户使用等特点,可能恰恰为攻击流动混迹时代提供了隐蔽性。

在安天已往的剖析讲述中,曾多次强调:判断或应对APT的焦点是P(连续),而不是高级A(高级),P由威胁行为体的战略意图和意志的坚持时间决议,而A的上限则由攻击者自身的极限手艺和资源能力决议,而下限则仅需要这种攻击有望突破防御目的中最薄弱点,更何况APT攻击的前奏,许多情形是对批量目的的投递。在已往对“白象”等APT组织的攻击剖析中,我们也披露过这一点。

当前大部分政企机构依然依赖 *** 一道界限防护来御敌于城门之外的头脑,防火墙等平安网关装备当然是平安的必备环节,且部署成本低,易于维护,但其也极容易被穿透,若是单点依赖平安网关,一旦载荷进入到端点侧,就险些处于无检测管控的状态,并可以恣意渗透,横扫全网。同时端点侧需要选择EPP+EDR组合能力产物,既能提升第一时间阻断乐成率,又能有用支持集中运营响应。同样针对性免杀险些一定出现在定向攻击中,因此,基于动态沙箱的剖析装备也已经成为平安的必选项目。

附录一:参考资料

[1] Operation DustySky

https://www.clearskysec.com/dustysky/

[2] Netanyahu meets Saudi crown prince MBS, Pompeo in Saudi Arabia

https://www.jpost.com/israel-news/netanyahu-mossad-chief-may-have-visited-saudi-arabia-alongside-pompeo-649959

[3] EnigmaSpark: Politically Themed Cyber Activity Highlights Regional Opposition to Middle East Peace Plan

https://securityintelligence.com/posts/enigmaspark-politically-themed-cyber-activity-highlights-regional-opposition-to-middle-east-peace-plan/

附录二:IoCs

usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述 资讯 第53张

Allbet声明:该文看法仅代表作者自己,与www.allbetgame.us无关。转载请注明:usdt支付平台(caibao.it):灵猫”组织针对中东地区的攻击流动剖析讲述
发布评论

分享到:

usdt支付接口(caibao.it):接种新冠状病毒疫苗的不良反应有哪些 新冠病毒疫苗接种后有哪些注意事项
2 条回复
  1. 联博开奖网
    联博开奖网
    (2021-01-17 00:00:58) 1#

    欢迎进入博电脑版下载(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。哎呀,捡到宝了!

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。