So implementieren Sie die Analyse von durchgesickerten APT34-Waffenberichten

APT34 ist eine APT-Organisation aus dem Iran, die seit 2014 weiterhin APT-Angriffe im Nahen Osten und in Asien durchführt. Zu den beteiligten Branchen gehören hauptsächlich Regierung, Finanzen, Energie, Telekommunikation usw. Das Arsenal an Angriffswaffen wird ständig verbessert und Angriffsmethoden werden ständig eingeführt. Allerdings werden Angreifer ihre Angriffe nicht stoppen, nur weil sie aufgedeckt sind.

Hintergrund der APT34-Organisation

Am 17. April berichteten ausländische Medien, dass ein Benutzer namens „Lab Dookhtegan“ gleichzeitig ein Angriffs-Toolkit der APT34-Organisation offengelegt habe. Dieser Vorfall war, wie auch frühere Quellcode-Leaks, äußerst brisant. Die Organisation APT34 hat seit mindestens 2014 weiterhin mehrere Angriffe auf bestimmte Länder im Nahen Osten und in Asien gestartet und dabei die Regierung, das Finanzwesen, die Energiebranche, die Telekommunikation und andere Branchen ins Visier genommen. Die Ziele der Organisation sind im Allgemeinen Länder, die gegen den Iran sind. Daher spekulieren einige, dass es sich bei der Organisation um eine Sicherheitsabteilung im Iran oder ein Sicherheitsunternehmen handelt, das langfristig mit der iranischen Regierung zusammenarbeitet. Die Organisation ist gut darin, soziale Medien zu nutzen, Internetkonten mit unterschiedlichen Identitäten zu fälschen und Angriffsziele mithilfe von Social-Engineering-Techniken anzusprechen. Gleichzeitig wird das Angriffsarsenal der Organisation ständig verbessert und ihre Angriffsmethoden werden immer ausgefeilter. Sie integrieren Angriffsmethoden wie Spear-Phishing mit neuen Angriffstechnologien, um den Durchdringungsradius bestehender Ziele kontinuierlich zu erweitern.

Entlarvte Mitglieder der APT34-Organisation

Laut der durchgesickerten Webshell-Liste ist es offensichtlich, dass die Organisation kürzlich groß angelegte Angriffe auf China verübt hat. Diese Tabelle listet mehr als zehn Websites mit der Bezeichnung „China“ auf, die kompromittiert wurden, was als Beweis für die Behauptung inländischer Angriffe dienen kann.

Lab Dookhtegan behauptete einmal, alle paar Tage die persönlichen Daten eines Organisationsmitglieds preiszugeben, doch jetzt wurden die Konten auf Telegram und Twitter gesperrt.

Einführung in durchgesickerte Tools

Dieses Quellcodeleck enthält eine große Anzahl wichtiger Angriffswaffen, die häufig von der APT34-Organisation verwendet werden, wie zum Beispiel: Webshells_and_Panel, Posion Frog, Webmask und Glimpse. Dongxun Technology 2046Lab nutzte das „Iron Dome Advanced Persistent Threat Warning System“, um die Bedrohungserkennung dieser Angriffswaffen durchzuführen und führte eine eingehende Analyse auf technischer Ebene durch.

Erkennungsergebnisse

1. Webshell-Warnung: [Hohes Risiko]

2. Datei-Sandbox-Erkennungswarnung: [Hohes Risiko]

3. Warnung zur Erkennung verdeckter DNS-Kanäle Die Verwendung von DNS ist ein ungewöhnlich langer verdeckter Tunnel für die Übertragung von Domainnamen.

Analyse von Angriffswaffen Hauptordner, nämlich HighShell und HyperShell.

1.1 HighShell

Im HighShell-Verzeichnis befindet sich nur HighShell.aspx, bei dem es sich um eine WebShell für Windows-Server handelt. Nach dem Öffnen sieht die Standardschnittstelle wie folgt aus:

Wie Sie auf dem Bild oben sehen können, handelt es sich bei dieser Version um Version 5.0, die über viele Funktionen wie Authentifizierung, Datei-Upload, Befehlsausführung, Datenbankbetrieb usw. verfügt.

Um diese Webshell zu verwenden, müssen Sie das Verbindungspasswort (Th!sN0tF0rFAN) in das rote Eingabefeld nach der Beschriftung „Anmelden“ eingeben und auf die Schaltfläche „Do it“ klicken. Wenn das Eingabefeld grün wird, können Sie entsprechende Aktionen ausführen Vorgänge auf dem Server über die Webshell. Das folgende Bild zeigt das Betriebsdiagramm zum Ausführen des Befehls „Befehl“ und zum Abrufen von Serverinformationen:

1.2 HyperShell

HyperShell ist ein Projekt, das mehrere Quellcodedateien enthält, einschließlich mehrerer WebShell-Quellcodedateien. Im Folgenden sind mehrere Webshell-Funktionen aufgeführt, die verwendet werden können.

simple.aspx

Eine einfache Webshell, die Authentifizierung, Befehlsausführung und Datei-Upload-Funktionen umfasst, ist simple.aspx. Wie auf dem Bild nach dem Öffnen zu sehen ist:

Geben Sie das Verbindungspasswort (MkRg5dm8MOk) in das Passwort-Eingabefeld ein und klicken Sie auf die Schaltfläche „Anmelden“, um den Server zu steuern und Dateien hochzuladen. Die Passwortverbindung ist wie folgt:

Das folgende Bild ist das Betriebsdiagramm für die Bedienung des Befehls „Befehl“ und das Abrufen der Serverinformationen:

simpleDownload.aspx

simpleDownload.aspx hat nur eine Upload-Funktion , wie unten gezeigt:

HighShelllocal.aspx

HighShelllocal.aspx ist eine aktualisierte Version von HighShell. Die Versionsnummer ist ungefähr die gleiche wie die unabhängige Version 5.0. Die Benutzeroberfläche und die Funktionen wurden wie folgt optimiert:

2.poison frog

2.1 Agent

2.1.1poisonfrog.ps1

Poisonfrog.ps1 ist die einzige Datei von Agent, mit dem Backdoor-Programme auf kompromittierten Hosts installiert werden. Nachdem diese Datei ausgeführt wurde, verbleiben drei Dateien, dUpdater.ps1, hUpdater.ps1 und UpdateTask.vbs, im Verzeichnis C:UsersPublicPublic des kompromittierten Hosts.

Die auf dem Host verbleibende Hintertür ist das Skript UpdateTask.vbs, das alle 10 Minuten automatisch geplante Aufgaben ausführt. Es führt zwei Skripte aus: dUpdater.ps1 und hUpdater.ps1.

2.1.2 dUpdater.ps1

Dieses Skript ist ein Fernsteuerungsskript. Es generiert einen DNS-Domänennamen und stellt eine Verbindung zum Steuerungsserver her, empfängt Fernbefehle von diesem und sendet und empfängt Dateien. Der DGA.Changer-Algorithmus wird beim Generieren von DNS-Domänennamen verwendet, um Serverdomänennamen dynamisch zu berechnen. 2046Lab hat diesen DGA.Changer-Algorithmus wiederhergestellt:

Empfangsfunktion:

Führen Sie die EEA-Funktion aus, um den VVA-Domänennamen zu erhalten JJA-Parameter sind auf r gesetzt.

Versuchen Sie, den VVA-Domänennamen aufzulösen. Wenn dies fehlschlägt, generieren Sie einen neuen Domänennamen und versuchen Sie, den neuen Domänennamen aufzulösen. Bei Erfolg nehmen Sie die erste erfolgreich aufgelöste IP und fügen Sie jedes Segment der IP separat heraus.

Wenn die IP 1.2.3.* ist, setzen Sie NNA auf „false“, schreiben Sie den Wert von RRA in die PPA-Datei und beenden Sie die Hauptfunktion;

Wenn NNA wahr ist, ändern Sie den RRA-Wert und führen Sie die Schleife der Hauptfunktion fort.

Wenn die IP 24.125.*.* ist, verbinden Sie das dritte und vierte Segment der IP als Unterordnernamen von C:UsersPublicPublic$DDAreceivebox (PPA), setzen Sie GGA auf 1, setzen Sie NNA auf true und fahren Sie mit der Schleife der Hauptfunktion fort.

Wenn die IP 11.24.237.110 ist, beenden Sie die Analyse und beenden Sie die Hauptfunktion. Diese IP ist die IP, die OilRig einmal verwendet hat.

Sendefunktion:

Führen Sie Slaber aus, um die gesendete Datei zu überprüfen, führen Sie die EEA-Funktion aus, um den VVA-Domänennamen zu erhalten, und setzen Sie den JJA-Parameter auf s;

Versuchen Sie, den VVA-Domänennamen aufzulösen, eine Ausnahme wird ausgelöst und ein neuer Domänenname wird neu generiert und es wird versucht, ihn aufzulösen. Wiederholen Sie den Vorgang, bis die Domänennamenauflösung erfolgreich ist. Nehmen Sie die erste erfolgreich aufgelöste IP und entfernen Sie jedes Segment die IP bzw.

Wenn die IP 1.2.3.* ist, nehmen Sie den Wert des Segments heraus und führen Sie eine Schleife aus.

Wenn die IP 11.24.237.110 ist, beenden Sie das Parsen die Funktion und löschen Sie die zu sendende Datei.

Slaber-Funktion:

Überprüfen Sie die Größe der gesendeten Datei. Wenn sie 600 KB überschreitet, wird ein Fehler gemeldet. Andernfalls führen Sie die Resolver-Funktion aus.

Resolver-Funktion:

Parsen Sie die gesendete Datei in Gruppen von 30 Zeichen.

Prozessorfunktion:

Verarbeiten Sie die empfangene Datei. MMB ist die Datei im Ordner „sendbox“.

Wenn der Name der empfangenen Datei mit „0“ endet, schreiben Sie die empfangene Datei in den Ordner „sendbox“ und verwenden Sie UTF -8-Kodierung und entfernen Sie dann die zuvor empfangene Datei.

Wenn der empfangene Dateiname mit „1“ endet, wird dieser Pfad als Sendepfad verwendet, sofern dies der Fall ist nicht vorhanden ist, wird die Zeichenfolge „Datei nicht vorhanden“ in die MMB-Datei geschrieben und dann die zuvor empfangene Datei entfernt. Verschieben Sie sie in den Ordner „done“, schreiben Sie den Inhalt der Datei in eine MMB-Datei und entfernen Sie sie zuvor empfangene Datei.

2.1.3 hUpdater.ps1

Lösen Sie die IP von „myleftheart.com“ auf und versuchen Sie, eine Verbindung herzustellen

Wenn die Datei C:UsersPublicPublicfiles cfg.ini vorhanden ist, übernehmen Sie die entsprechenden Parameterfelder wie srv, usr, pas, prt und dom. Verketten Sie die Werte von srv und prt über „:“ zu einer neuen Zeichenfolge, legen Sie die Zeichenfolge mithilfe von http als Proxyserver fest und verwenden Sie die Werte von usr, pas und dom als Anmeldeinformationen von der Proxy-Server; falls nicht vorhanden, erhalten Sie den Standard-Proxy-Server;

OOA: Wählen Sie zufällig mehrere ganze Zahlen von 0 bis 9 aus, und fügen Sie die extrahierten Zahlen zusammen der DDA im dUpdater.ps1-Skript;

PPA: Die fünfte Ziffer von DDA wird in OOA eingefügt;

Laden Sie die Datei von „http://myleftheart.com/co/$PPA“ herunter Wenn die heruntergeladene Datei QQA ist und QQA mit „“ getrennt wird, wird das Array auf SSA gesetzt.

p ist der Pfad C:UsersPublicPublicfiles$SSA[0].

Wenn die Länge von SSA[2] größer als 0 ist und es in SSA[2] keine „nicht“-Zeichenfolge gibt, laden Sie die Datei von http://myleftheart.com/fil/SSA[3] nach C:UsersPublicPublicfiles herunter $SSA[2] und schreiben Sie dann den Inhalt in den Pfad p;

Wenn die Länge von SSA[1] größer als 0 ist und die Zeichenfolge „nicht“ in SSA[1] nicht vorhanden ist, laden Sie die Pfaddatei hoch p zu http://myleftheart.com/res /$PPA$SSA[0];

Wenn die Länge von SSA[4] größer als 0 ist und es in SSA[4] keine „nicht“-Zeichenfolge gibt, wird die Datei im Upload-Pfad wird SSA[4]d auf http://myleftheart.com/res/$PPA$SSA[0] hochgeladen.

Wenn der Wert der letzten Daten in SSA „1“ ist, ist die Hauptfunktion wird in einer Schleife ausgeführt;

Wenn die Länge von SSA[0] größer als 0 ist und SSA[1] nicht existiert, laden Sie die Datei mit dem Pfad p auf http://myleftheart.com/res hoch /$PPA$SSA[0] und löschen Sie die Datei mit Pfad p.

2.2 Serverseite

Die Serverseite ist die Hauptkontrollseite, die von APT34 zur Verwaltung des kompromittierten Hosts verwendet wird. Sie kann Dateien vom kompromittierten Host herunterladen und auf den kompromittierten Host hochladen.

Dieser Server bietet eine einfache Anmeldeschnittstelle.

Die Verwaltung von Benutzern und Passwörtern über eine JSON-Konfigurationsdatei ist sehr einfach. In den durchgesickerten Dokumenten wurden leicht zu erratende Benutzernamen (blacktusk) und Passwörter (fireinthehole) verwendet.

Die GUID im Bild unten (/7345SDFHSALKJDFHNASLFSDA3423423SAD22) wird verwendet, um den Browser zur Anmeldeseite zu führen. Man kann sagen, dass diese GUID sehr wichtig ist.

Die Hostlisten für HTTP-Agent und DNS-Agent sind auch serverseitig verfügbar. Anhand dieser Liste können Sie leicht erkennen, welche Hosts derzeit gesteuert werden.

Jeder HTTP-Agent und DNS-Agent verfügt über detaillierte Informationsseiten. Hier können Sie C&C-Befehle an den gefährdeten Host erteilen und Dateien hochladen oder herunterladen. Der DNS-Agent hat möglicherweise einige Funktionen von Glimpse integriert und wird im Folgenden ausführlich vorgestellt.

Für kompromittierte Hosts verwendet APT34 ein Standard-BAT-Fernsteuerungsskript, um Hostinformationen abzurufen, einschließlich System, Benutzer, Gruppe, Domäne, spezifische Registrierung, geplante Aufgaben, Antivirensoftware usw. .

3.Webmask

Dieses Tool wird hauptsächlich auf dem Server des Angreifers eingesetzt, um einen DNS-Proxy zu implementieren, bestimmte DNS-Domänennamen zu kapern, den Domänennamen standardmäßig auf den lokalen Server zu verweisen und einen HTTP/HTTPS-Proxy zu implementieren Squid3+ICAP stiehlt vertrauliche Informationen wie das Kontopasswort des Opfers.

dns-redir-Verzeichnis:

dnsd.py: DNS-Proxy-Weiterleitungsskript

config.json: Konfigurationsdatei

dnsd.js: JS-Typ-DNS-Proxy-Skript und dnsd.py Das Funktion ähnelt a.

Die Screenshots der lokalen simulierten DNS-Proxy-Funktion sind unten dargestellt:

icap-Verzeichnis:

icap.py: muss in Verbindung mit Squid3 verwendet werden, um einen http/https-Proxy zu erstellen und vertrauliche Daten im Proxy aufzuzeichnen vor Ort.

squid.conf-Konfigurationsdatei:

Squid3+ICAP implementiert einen transparenten Proxyserver, der sensible Daten wie Passwörter extrahiert und in einer lokalen Protokolldatei aufzeichnet.

Der Hijacking-Code wird zum Teil „response_body“ der icap-Skriptdatei hinzugefügt, um das angegebene Bildelement in den Browser des Opfers zu laden.

4.Glimpse

Glimpse besteht aus drei Teilen: Agent, Panel und Server. Es ist ein DNS-Fernsteuerungstool. Einigen Codes in Glimpse Server zufolge überschneiden sich einige seiner Funktionen möglicherweise mit denen von Poison Frog, beispielsweise die Art und Weise, wie Befehle ausgegeben werden.

Im Allgemeinen ist Glimpse dem oben vorgestellten Giftfrosch sehr ähnlich. Die durchgesickerten Informationen verraten uns auch, wie man Glimpse nutzt.
4.1 Agent

Der Agent verwendet das Verzeichnis C:UsersPublicLibraries auf dem Host als Arbeitsverzeichnis. Das Senden und Empfangen von Dateien erfolgt in Unterverzeichnissen unter diesem Verzeichnis.

Agent kann in zwei Modi arbeiten, einer im Ping-Modus und der andere im Textmodus.

Der Ping-Modus wird hauptsächlich zum Austausch von Host-Informationen verwendet. Der Textmodus ähnelt dem internen Protokollmodus zwischen Agent und Server, der die Annahme interner Anweisungen ermöglicht.

4.2 Panel

Panel wird verwendet, um den Status der Hauptsteuerung anzuzeigen. Sie können sehen, wie viele gefährdete Hosts kontrolliert werden, und Sie können hier Befehle an die gefährdeten Hosts senden.

Sie können sehen, dass der Befehl über das Panel an den kompromittierten Host gesendet und das Ergebnis zurückgegeben wurde.

4.3 Server

Server ist das Hauptkontrollende. Er kommuniziert über das DNS-Tunnelprotokoll und kann auf vom Agenten gesendete Ping-Modus-Nachrichten oder TXT-Modus-Befehle reagieren. Basierend auf dem Codestil sollten Glimpse und Poison Frog vom selben Team erstellt werden.

Der Server unterstützt weitere Protokollbefehle im TXT-Modus. Wir können die Bedeutung dieser Befehle kurz überprüfen.

if (action == 'M') { // in this place we check the request for type of connection ping or text type if (action == 'W') { // in this place we check the request type if its text we response it else if (action == 'D') { else if (action == '0') { // ctrl[0] => action, if 0 = is there any file else if (action == '1') { // ctrl[0] => action, if 1 = sending the file else if (action == '2') {// ctrl[0] => action, if 2 = receiveing the file

IOCs

MD5:

cd0bbff03ce7946cd7c9dc339726d90a9d3d8fe14927172ca5546bdb95d947625e17061bf2dce87d402ddd8531abb49f

Domainname:

myleftheart.com

IP:

11.24.237.110

Schutzmaßnahmen

1. Öffnen Sie nicht einfach verdächtige Dateien wie E-Mails, verdächtige Links, verdächtige Dokumente usw.

2. Installieren Sie rechtzeitig Systempatches und verwenden Sie die neueste Softwareversion.

3. Installieren Sie Antivirensoftware und aktualisieren Sie die Virendatenbanken rechtzeitig.

Das obige ist der detaillierte Inhalt vonSo implementieren Sie die Analyse von durchgesickerten APT34-Waffenberichten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!