IT学习网 - 爱学习 - 最具影响力综合资讯网站 -- 中国IT界的领航者!
热门关键字:      88888  as  xxx
站外
广告
站外
广告

台湾大选定向攻击案例研究

发布时间:2016-03-25 21:21文章来源:网络整理文章作者: 学习网点击次数:
简介2016年1月,蔡英文当选为台湾首位女领导。在大选之前,据报道此次选举发生了一系列的网络威胁事件。[1] 回顾在这段时间从不同群体中观察到的恶意软件,从这些零碎中拼凑出来的证据表明有几波人使用台湾…

简介

2016年1月,蔡英文当选为台湾首位女领导。在大选之前,据报道此次选举发生了一系列的网络威胁事件。[1]  回顾在这段时间从不同群体中观察到的恶意软件,从这些零碎中拼凑出来的证据表明有几波人使用台湾总统选举作为鱼叉式网络钓鱼主题。

EvilGrab

我们遇到的第一个使用台湾选举为主题的样本的是一个名为“2016年台灣總統選舉觀戰團 行程20160105.xls(393dafa8bd5e30334d2cbf23677e1d2e)的Excel电子表格,一旦执行电子表格,一个名为6EC5.tmp的文件将会出现在%temp%文件夹。该文件实际上是一个可执行二进制文件,一旦执行就会产生一个ctfmon.exe进程并将其自身克隆到%userprofile%目录并命名为IEChecker.exe(fb498e6a994d6d53b80c53a05fc2da36)。

6a00d83451623c69e201bb08ca1dc4970d-800wi.png

所使用的Evilgrab恶意软件,在注册表值中包含编码模块

6a00d83451623c69e201bb08ca1dd4970d-800wi.png

除了创建IEChecker.exe,ctfmon恶意进程同时还在以下路径创建了一组包含编码数据的注册表键。事实上这些都是恶意软件使用的模块,这些行为都预示着我们分析的恶意软件就是一个 EvilGrab样本[2]:

  • HKCU\Software\rar\e
  • HKCU\Software\rar\s
  • HKCU\Software\rar\data
  • HKCU\Software\rar\ActiveSettings
  • HKCU\Software\Classes\VirtualStore\MACHINE\Software\rar\e

恶意软件通过设置一个自动运行键调用ctfmon确保IEChecker.exe在启动时执行以达成持久性目的。

6a00d83451623c69e201b7c825b884970b-800wi.png

该恶意软件还有一个C&C服务器192.225.226[.]98:8080,大约每30秒就发送一个TCP SYN包。

DynCalc/Numbered Panda/APT12

我们遇到的第二个样本名为“總統辯論會後:民眾政黨支持趨勢變化.exe ”(791931e779a1af6d2e1370e952451aea) ,该样本是一位台湾用户2016年1月11日(总统大选前5日)提交到VirusTotal。

6a00d83451623c69e201b7c825b88e970b-800wi.png

该二进制文件使用标准的微软word图标,如下图所示,诱骗用户误以为该文件是一份合法的word文档

6a00d83451623c69e201bb08ca1e24970d-800wi.png

执行时,该二进制文件会在同一目录下创建一个名为ka4281x3.log的文件,这个文件包含编码数据。该文件的命名风格颇有IXESHE[3]特色以及Etumbot[4]家族恶意软件相关,基于行为判断与其他的Etumbot样本相类似(e.g. 2b3a8734a57604e98e6c996f94776086),我们相信这起攻击与 APT12脱不了干系。

除了.log文件,还创建了一个诱饵文档显示给用户,如下图所示。研究诱饵文档中的内容,显示的内容与之前台湾智库[5]发布的“總統辯論會後:民眾政黨支持趨勢變化”演讲一样。下图显示了诱饵文件所使用的相同演讲内容,诱饵文件没有格式化,表明攻击者可以从PDF简单的复制粘贴内容来创建一个新的word文档,相同内容如下所示:

6a00d83451623c69e201b8d1b0027e970c-800wi.png

台湾智库[6]的原始报告题目 “總統辯論會後:民眾政黨支持趨勢變化”,显示了从最新的民意调查获得的结果(左)。诱饵文件则是加入了 IXESHE/Etumbot样本(右)

之后恶意软件将名为vecome.exe的二进制文件加载到%Appdata%\Roaming\Location目录,并安装一个自动运行键确保二进制文件在启动时能够执行。

6a00d83451623c69e201b7c825b8cc970b-800wi.png

类似于其他IXESHE/Etumbot样本,恶意软件在%temp%目录生成6个临时文件:

6a00d83451623c69e201b7c825b8d4970b-800wi.png

恶意软件通过SSL与C&C服务器201.21.94[.]135在443端口进行沟通,使用的SSL证书与电子邮件地[email protected][7]有关

6a00d83451623c69e201bb08ca1eb4970d-800wi.png

SunOrcal and Surtr

我们检测的最后一份样本是使用台湾选举为主题的名为“2016總統選舉民情中心預測值.doc”(09ddd70517cb48a46d9f93644b29c72f)的恶意word文档。这份文件的内容包含两个空白的方格,会有一个自解压文件加载到%temp%,之后会单独显示一个仅有一行提到总统选举的诱饵文档。

6a00d83451623c69e201b7c825b954970b-800wi.png

6a00d83451623c69e201bb08ca21cd970d-800wi.png


台湾大选定向攻击案例研究
本文由 IT学习网 整理,转载请注明“转自IT学习网”,并附上链接。
原文链接:http://www.ourlove520.com/Article/netsafe/xitong/187173.html

标签分类:

台湾大选 攻击案例
上一篇:上一篇:美国指责伊朗攻击大坝,“网络松鼠”暗暗窃喜
下一篇: 下一篇:谷歌紧急释放补丁,修复安卓系统高危提权漏洞(CVE-2015-1805)
无觅关联推荐,快速提升流量