Sidewinder APT小组战役分析

摘要

  1. 一直致力于印度政府利益的铁杆民族主义者(HN2)又名Sidewinder APT集团,在最近的一次竞选中被观察到针对巴基斯坦政府官员,并带有与COVID-19相关的诱饵文件。
  1. 分析表明,该文件被命名为Additional_CSD_Rebate.pdf,这是按需计算机生成的文件。它包含的内容诱使攻击者窃取了虚假信息。最终用户会收到此通知,作为正式通知,其中提到巴基斯坦官员(巴基斯坦陆军)的折扣。当用户单击该文档时,它将重定向到另一个恶意网站(http [:] // nrots [。] net / rdg [。] html),以下载另一个PDF文档(如下所示)和已编译的文件' .hta '(由攻击者创建的Microsoft Windows本机实用程序“ mshta.exe”运行的HTML可执行文件,用于使用Web技术作为后台作业在Windows操作系统中执行。
  1. 查看.hta文件的静态代码后,已观察到并清除了以下活动
    • .hta文件包含5个主要功能,它们执行以下操作:
      1. 其中的前三个纯粹用于对整个代码进行模糊处理。
      2. 第四个功能用于对有效负载进行反序列化,以执行并与其CnC服务器建立连接。
      3. 第五个功能用于检查环境中是否存在特定版本的特定兼容性和二进制文件,这些特定版本包括(.Net框架版本,csc.exe等) 
  1. 还可以观察到,攻击者使用了一种定制的混淆技术,在该技术中,他执行了“左移”和“或”按位运算符技术来避免检测。
  2. 在沙箱中执行了该恶意软件后,它被识别为通用木马,并且看来攻击者使用了本地实用程序“ rekeywiz.exe”将其代码加密到了系统中。
  3. 还观察到,只要攻击者从CnC服务器收到指令,攻击者便会使用持久性技术并在注册表中添加rekeywiz.exe来执行其代码。
  4. 还观察到,攻击者使用两台CnC服务器执行进一步的操作,这些操作不再可用并且已被删除。

在分析和检查代码期间,得出的结论是,此恶意软件的代码是从开源平台GitHub复制的,可以从(https:// gist [。] github [。] com / NickTyrer / 0604bb9d7bcfef9e0cf82c28a7b76f0f /)下载。 。但是,攻击者手动创建了三个主要功能来对代码的字符串进行模糊处理。

特点

  • 可以确定,攻击者使用了多种混淆技术,这些技术是攻击者用来隐藏攻击的技术,以避免检测并给解码密钥字符串和实际有效载荷及命令指令带来艰巨的挑战。该脚本通过使用“ Left Shift ”,“ OR ”,“ StringASCII ”之类的按位操作技术来实现混淆,并使用键执行幂运算,从而使脚本的每个字符串更加复杂且难以混淆。
  • 静态代码显示,恶意软件试图通过将其解析为URL来与其命令和控制(CnC)服务器进行通信(URL变量如下所示的混淆代码),它也在JavaScript恶意代码中进行了定义。

在使用前三个函数生成的密钥对上述URL变量进行反解密之后,我们得到了以下工件。

http:// www [。] d01fa [。] net / plugins / 16364/11542 / true / true / http:// www [。] d01fa.net/cgi/8ee4d36866/16364/11542/58a3a04b/file.hta Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus .pdf
注意:这些链接当前已关闭,并用于恶意目的

这些网站仍然有效,但是实际的负载已被删除。

  • 它本身包含恶意有效负载,该有效负载已编码为Base64格式。

将Base64数据解码为可执行的有效负载后,在其中执行mshta.exe进程,然后收到以下有效负载指令。

  • 它将在浏览器和PDF查看器中解析文件。在受害人的屏幕上,它如下所示显示,但另一方面,它也在后台同时执行恶意有效负载/代码(如下所示的详细行为),并与其CnC服务器建立通信通道并上传系统信息。

目前,托管在这些IP(如上所述)上的两个站点均已关闭,无法再使用。

依存关系

以下是恶意软件的依赖性。

  • 它会检查“ \ Mircrosoft.NET \ Framework \”版本2及更高版本是否已安装并存在,因此返回可用版本。

经过去模糊处理后,结果如下:

  • 它检查“ csc.exe”是否存在。

经过去模糊处理后,结果如下:

  • 它还使用“ ActiveXObject”实用程序来帮助其通过Microsoft产品和Internet浏览器执行。ActiveXObject对象用于在Windows操作系统上的Internet Explorer中创建OLE自动化对象的实例。几个应用程序(Microsoft Office Word,Microsoft Office Excel,Windows Media Player等)提供了OLE Automation对象以允许与其通信。

通过静态代码分析的行为发现

通过静态地对混淆后的代码进行概述,得出以下几点突出发现:

  • 首先,它执行  sNhGuFF(键,字节)函数,并将  jtgj(str)函数调用到sNhGuFF(键,字节)函数的第二个参数中  以初始化变量keeee的值,该值  用于解密脚本包含的字符串。 。
  • jtgj(str)函数接收字符串的输入,并将字符串转换为ASCII字符。然后执行按位运算左移或运算,然后将值返回为字节格式,该格式传递到sNhGuFF(键,字节)函数的第二个参数中。 
  • sNhGuFF(键,字节)函数接受键和字节的输入,在key参数中传递变量keeee的值,   在bytes参数中传递jtgj(str)函数的返回值  。 
  • JBymWinJ(bsix)函数从脚本中获取编码后的值,然后使用函数jtgj(str)sNhGuFF(键,字节)和变量  keeee返回解码后的值  。 
  • 然后,它将在脚本末尾使用的变量da中初始化序列化的数据。 
  • 然后检查“ \ Microsoft.NET \ Framework \”目录是否存在Windows的默认实用程序“ csc.exe ”及其版本。 
  • 然后,它执行进程“ WScript.Shell ”,该进程用于使用特定版本的实用程序“ Microsoft.NET ” 访问OS Shell方法。如下图所示,它 通过执行行“ shells.Environment(JBymWinJ(“ YUt” +“ bUl” +“ NCQ” +“ Q ==”))创建WScript.Shell对象  并定义环境变量。JBymWinJ(“ cnZ5YXp” +“ kYW9nUU” +“ NKXV5Y”))= ver ;; ”表示“ shell.Environment('Process')('COMPLUS_Version')= ver;。
  • 它使用Windows服务“ winmgmts:\\。\ root \ SecurityCenter2 ”来检查操作系统上安装的所有AntiVirus产品。如下图所示,这是通过创建服务“ winmgmts:\\。\ root \ SecurityCenter2 ” 对象完成的,并使用与所提及服务创建的对象相同的对象执行查询“ Select * From AntiVirusProduct ”。
  • 打开.hta文件的PDF查看器后,主要目标是在代码中定义的,.hta文件正试图与URL“ hxxp [:] // www [。] d01fa [。] net ”进行恶意通信。 。

还可以观察到,在解码下图所示函数中定义的名称后,它的名称为“ Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus ”。

结论

如果在与这些.hta文件的执行有关的环境中触发了警报,则应监视以下内容:

  • 与.hta文件关联的进程
  • 关联进程发起的HTTP请求
  • 由相关进程启动的DNS调用和解析

关联流程

检查是否在短时间内创建了以下过程并将它们与相同的GUID相关联:

1. mshta.exe

2. AcroRd32.exe

3. RdrCEF.exe

4. Reader_sL.exe

5.其他与办公室有关的计划

HTTP请求

监视以下程序生成的HTTP请求:

  1. 具有任何可疑或已知文件扩展名的URL。在这种情况下,将观察到以下URL调用,应立即将其阻止: 
  • http [:] // www [。] d01fa [.net / cgi / 8ee4d36866 / 16364/11542 / 58a3a04b / file [。] hta
  • http [:] // nrots [。] net / rdg [。] html
  1. 观察是否在请求/响应中向或从提到的URL传输了大量字节。

注意网络犯罪分子采用的社会工程技术,包括识别网络钓鱼电子邮件,假冒电话,欺诈性企业和域名的策略,以及如何应对可疑的妥协。

上面的静态分析是在Rewterz威胁情报实验室的受控环境中执行的。如果您需要分析任何恶意软件样本和二进制文件,那么Rewterz可以为您提供帮助。

0 0 vote
Article Rating

未经允许不得转载:x-sec » Sidewinder APT小组战役分析

赞 (0) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x