最新消息:图 床

APT 相關活動思路和技術提煉

COOL IAM 256浏览 0评论

作者:360 A-TEAM
公眾號:360安全監測與響應中心

APT37

目標:日韓/中東/越南 =》航空航天/教育/金融/政務/醫療等機構.

描述:

  • 從2012年開始活動,針對日韓/中東/越南進行滲透。
  • 前期釣魚:
    1. 黑掉一個知名機構,然後以該機構郵箱作為發送方投遞釣魚郵件.
    2. 郵件中使用office或hwp中的0day和剛公開不久的nday.
  • 數據提取:
    1. 通過dropbox的api上傳敏感數據,過流控設備的檢查.

APT34

目標:中東地區金融 能源 政務 化工行業

描述:

  • 從14年開始活動,常用魚叉式釣魚方案進行前期打點.
  • 樣本使用最新的office nday.
  • 通過powershell寫計劃任務做權限維持.
  • 通過DGA域名與c2通訊.

APT33

目標:美國/沙特阿拉伯/韓國等國家的航空航天及能源行業

描述:

  • 從13年開始活動
  • 採取郵件釣魚的方案獲取初次訪問權限.
  • 樣本採用hta + powershell等技術.
  • 上線域名根據目標行業定製.
  • 樣本里未去除pdb路徑,泄漏木馬開發者id,根據id關聯到伊朗網軍.

APT32

目標:越南境內外資企業. 包括但不局限於銀行/媒體/製造業

描述:

  • 常用魚叉式釣魚方案獲取初次訪問權限。
  • 郵件內用社會工程學的方式誘導用戶啟用word宏.
  • 以計劃任務的方式實現權限維持.
  • 以msf+cs進行后滲透.

APT30

目標:東南亞

描述:

  • 從2004年開始活動
  • 05年開始嘗試感染可移動設備突破隔離網.

APT29

目標:西歐政府外交部

描述:

  • 初次權限獲取方案:
    1. 郵件釣魚,內嵌lnk或宏
  • C2通訊:
    1. 利用攻陷的web站當前置機,ssl加密
  • 持久化方案:
    1. Wmi事件訂閱
    2. 計劃任務
  • 數據提取方案:
    1. 將數據加密放在圖片里
    2. 將圖片上傳到社交媒體或者雲廠商

APT28

目標:高加索/ 東歐 / 美國

描述:

  • 採用flash或者windows的0day獲取初次訪問權限
  • C2通訊:https

APT19

目標:投資和法務相關的機構

描述:

  • 採用釣魚郵件方式獲取初次訪問權限:
    1. CVE 2017-0199.
  • C2 :cobalt strike
  • 通訊:http

APT18

目標: 航空/國防/建築/教育/健康/生物/高科技/運營商/交通等行業

描述:

  • 遠控:Gh0st
  • 採用HackingTeam泄漏的flash 0day獲取初次訪問權限。

APT17

目標:美國政府/國際律師事務所/信息技術公司

描述:

  • C2通信:用微軟的TechNet blog通訊.

APT16

目標:日本和台灣的高科技/政務服務/媒體和金融行業

描述:

  • 採取釣魚郵件的方案獲取初次訪問權限。
  • 階段性的payload放置在被攻陷的高信譽域名服務器上。
  • 寫入用戶啟動目錄做權限維持。

APT12

目標:新聞/政府/國防工業

描述:

  • 採用被攻陷的郵箱發送釣魚郵件獲取初次訪問權限.
  • c2通信:http協議.

APT10

目標:美國歐洲日本的的建築工程/航空/運營商/政府行業

描述:

  • 通過釣魚郵件獲取初次訪問權限:
    1. 宏/exe
    2. 附件加密過郵件網關.
  • C2通信:http協議

APT3

目標:航空航天/國防/建築工程/高科技/運營商/交通等行業.

描述:

  • 初次權限獲取:
    1. 瀏覽器0day . 如firefox/ie
    2. 釣魚郵件
  • 通過添加計劃任務做權限維持
  • 木馬走socks與c2通訊

APT1

目標: 信息技術/航空航天/公共管理/衛星通訊/科學研究及諮詢/能源/交通/建築製造/高科技電子/媒體/廣告娛樂/導航/化學/金融服務/農業食品/健康/教育等行業.

描述:

  • 有語言學家/開源研究人員/惡意軟件作者/目標行業的業界專家的支持.
  • 常用魚叉攻擊的方式獲取初次訪問權限.
  • 初期採用http方式與c2通訊.

海蓮花

目標:中國政府/科研所/海事機構/海域建設/航運等企業

描述:

  • 通過釣魚郵件和水坑攻擊獲得初次訪問權限.
  • C2是cs,採用http協議上線。
  • 偽造http頭裡的host欺騙ids,通過cookie字段進行指令傳輸.

目標:中國政務/科研/海事機構

描述:

  • 通過釣魚郵件獲取初次訪問權限.
  • 附加包含nday. 觸發流程:
    1. 釋放sct和shellcode -》加載遠端vbs -〉解密shellcode文件並執行-》釋放pe文件並加載 -〉 從資源里釋放通訊模塊.
  • 木馬通過dns協議與c2通訊.

描述:

  • 通過釣魚郵件獲取初次訪問權限
  • 郵件內樣本採用0day執行命令.
    1. 遍歷system32目錄,搜索vmGuestLibJava文件,判斷是否為虛擬機
    2. 寫入計劃任務做權限維持
    3. 利用McAfee mcods.exe加載惡意dll執行shellcode
    4. 橫向移動中通過msbuild執行命令

Operation Oceansalt

目標:

韓國公共基礎設施/合作基金/高等教育.
北美金融/醫療/電信/農業/工業/政府

描述:

  • 採取釣魚郵件方案獲取初次訪問權限. 附件為xsl內嵌宏

dark hotel

目標:中國政務/科研

描述:

  • 採用釣魚歐郵件獲取初次訪問權限.
    1. 誘餌格式 xxx.jpg.scr
    2. 釋放兩張正常圖片到temp目錄
    3. mspain打開A圖片
    4. 讀取B圖片里的隱寫數據,生成lnk文件到temp目錄
    5. 執行lnk -> powershell ->下載exe執行
    6. 清理lnk及隱寫圖片
  • 木馬通訊採用OpenSSL協議
  • Api動態調用
  • 殺軟/沙箱/虛擬機檢測

目標 :中日韓俄的國防/電子等機構

描述:

  • doc釋放chrome組件和惡意dll
  • 執行chrome加載惡意dll
  • 解密並執行poweershell->下載惡意dll2
  • 通過cliconfg.exe執行惡意dll2
  • bypassuac寫服務做權限維持

描述:

  • 通過office 0day獲取初次訪問權限.
  • 樣本流程:
    1. office觸發漏洞
    2. 釋放惡意dll文件
    3. 通過mmc.exe bypass uac.
    4. mmc進程啟動後會加載惡意dll文件.
    5. 從遠端下載shellcode並執行

美人魚

目標:丹麥

描述:

  • 採取水坑/魚叉攻擊獲取初次訪問權限
    1. ppt內嵌ole
    2. 水坑攻擊中的樣本為自解壓文件
  • 寫註冊表做權限維持

人面獅

目標:以色列國防軍/海軍

描述:

  • 採用社交網絡水坑攻擊獲取初次訪問權限.
  • 木馬以dll形式存在,注入到explorer.exe
  • 通訊模塊注入到瀏覽器進程,採用http協議與c2通訊
  • 竊取文件模塊注入到殺毒軟件進程

摩訶草

目標:中國/巴基斯坦的軍事/科研/政務/商業機構

描述:

  • 主要採取水坑/魚叉攻擊獲取初次訪問權限.
    1. 附件包含0day
    2. 附件為exe/scr/dll (dll文件通過正常帶簽名的exe程序啟動)
    3. 瀏覽器nday /釣魚網址
  • 通過入侵第三方論壇,寫入c2通訊ip
  • 通過寫註冊表啟動項做權限維持

目標:中國/巴基斯坦的教育/軍工/科研/政務

描述:

  • 採取郵件釣魚獲得初次訪問權限.
    1. dropper js -》 解密並生成新的js -〉 執行ps -》 bypassuac – 〉釋放dll並加載.
  • 通過http協議與c2通訊

目標: 中國/巴基斯坦的政務/教育機構

描述:

  • 通過釣魚郵件獲取初次訪問權限.

    1. :: doc(cve-2017-8570) – 》 sct -〉c# dropper ->釋放Microsoft.Win32.TaskScheduler.dll -》添加計劃任務

雙尾蠍

目標:巴基斯坦教育機構/軍事機構

描述:

  • 通過魚叉和水坑攻擊獲取初次訪問權限
  • 魚叉郵件附件為exe/scr
  • 通過註冊表啟動項做權限維持

Fub7

目標: 美國金融機構

描述:

  • 通過魚叉攻擊採取初次訪問權限.
    1. 釣魚文檔中, 插入模糊圖片,將OLE對象透明放置在模糊圖片之上,用戶雙擊放大圖片則觸發.
    2. pe格式的文件採用ads數據流隱藏保存
    3. 木馬編碼后寫入到註冊表,啟動時由powershell讀出動態執行.
    4. 64個c2隨機選擇
  • 採用dns協議與c2通訊.
  • 通過計劃任務與註冊表啟動項做權限維持.

Gaza cybergang

描述:

  • 通過郵件釣魚方式獲取初次訪問權限.
  • 附件用office nday執行命令.
  • 執行鏈: office -> ole download hta -> mshta load hta -> powershell download pe – > create thread load pe
  • 採用dns/http/smb/tcp等方式與c2通訊
  • C2為cobalt strike

黃金鼠

目標: 敘利亞反導彈系統

描述:

  • 通過水坑攻擊獲取初次訪問權限.

蔓靈花

描述:

  • 偽造域名獲得指定人員賬戶密碼.
  • 以該賬戶向其他人發送木馬.
    1. :: 自解壓程序- > 釋放doc並啟動 -> 打開exe -》 判斷殺軟- > 寫註冊表做權限維持 -> 執行惡意代碼.
  • 採用http協議與c2通訊.

描述:

目標:巴基斯坦

  • 通過郵件釣魚獲取初次訪問權限
  • 郵件內樣本採用文字處理軟件的0day執行任意命令
    1. 下載exe / 寫註冊表做權限維持
    2. 釋放dll文件/ dll內釋放正常的文本
    3. 通過select * from win32_computersystem檢測虛擬機
    4. 寫用戶啟動目錄,做第二套權限維持方案

APT-C-01

目標:中國政務/科技/教育/國防等機構

描述:

  • 通過魚叉攻擊獲取初次訪問權限.
    1. 附件內doc利用漏洞來執行命令.
    2. 下載hta
    3. 執行powershell-》下載pe文件
    4. pe下載遠程shellcode解密並執行

hacking team 01

目標:卡塔爾地區

樣本流程:

  1. 含有flash activex對象的excel文件落地
  2. 加載遠程flash文件
  3. 從遠程服務器下載aes加密的flash 0day文件
  4. 獲取密鑰解密flash 0day文件
  5. 觸發漏洞,獲得執行任意命令的權限
  6. 獲取shellcode並執行

藍寶菇

目標:中國政務/軍工/科研/金融等機構

描述:

  • 採取魚叉攻擊獲取初次訪問權限.
  • 雲附件bypass郵件網關
  • 感染開始菜單內所有快捷方式,實現權限維持

描述:

  • 通過魚叉攻擊獲取初次訪問權限
  • 雲附件bypass郵件網關
  • 樣本採用lnk執行ps反彈shell
    1. 從lnk尾部讀取數據.
    2. 釋放doc並運行
    3. 執行shellcode
    4. 感染其他lnk做權限維持
  • 用aws雲服務拖文件

描述:

  • 採取魚叉攻擊獲取初次訪問權限
  • 寫註冊表做互斥
  • 用SAE做前置機

APT-C-35

目標:巴基斯坦等南亞地區國家

描述:

  • 通過魚叉攻擊獲取初次訪問權限.
  • 樣本採用nday漏洞獲得執行命令的權限.
    1. 釋放setup.exe到臨時目錄
    2. 執行setup.exe添加計劃任務做權限維持.
    3. 從goodle docs獲得c2 ip
  • 樣本採用http協議於c2通訊.

目標:對在華巴基斯坦商務人士的定向攻擊

描述:

  1. xsl宏釋放惡意pe文件
  2. 啟動pe文件->下載bat並執行
  3. 寫啟動項實現權限維持
  4. 採用http協議與c2通訊

毒雲藤

目標: 中國國防/政務/軍工/科研/教育/海事等機構

描述:

  • 主要通過魚叉攻擊獲取初次訪問權限.
  • 郵件攜帶office0day或者二進制可執行文件
  • 二進制樣本:
    1. RIO隱藏文檔擴展名
    2. 刪除註冊表內office打開的文檔信息
    3. 通過網盤做文件回傳(利用高信譽域名bypass 流控設備)
    4. api動態調用bypass殺軟靜態掃描
    5. 錯誤調用api bypass沙盒

group123

目標:韓國

描述:

  • 通過魚叉攻擊獲取初次訪問權限
    1. 樣本採用hwp 0day獲取命令執行權限.
    2. 寫bat到用戶啟動目錄實現權限維持.
    3. 啟動system32/sort.exe,注入shellcode執行
    4. 反調試
    5. 檢查沙箱
    6. 通過dropbox /pcloud之類的網盤迴傳數據

未命名

目標:巴基斯坦

描述:

  • 通過釣魚郵件獲取初次訪問權限.
  • 附件用office 0day執行命令+windows 0day提權
  • 採用http協議與c2通訊.
  • 寫註冊表啟動項做權限維持

未知

目標:烏克蘭

  • 採用郵件釣魚獲取初次訪問權限
  • 附件內觸發0day執行命令
    1. 釋放惡意pe文件並執行
    2. 檢測殺軟
    3. 檢測windows defender ;Select * from Win32_Service WhereName =’WinDefend’AND StateLIKE’Running
    4. 寫計劃任務做權限維持
    5. 走http協議與c2通訊

转载请注明:IAMCOOL » APT 相關活動思路和技術提煉

0 0 vote
Article Rating
Subscribe
Notify of
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x