APT-RAT(Poison ivy ) 攻击模拟及监测口令提取

本文作者:Cherishao(信安之路应急响应小组组长)

APT:高级持续性威胁,APT 攻击主要是指针对特定组织、特定领域或个人进行的蓄谋已久的攻击。如:针对一个国家的基础设施的破坏,针对国防、航空航天、医疗、军民融合等重大领域项目、针对工业系统的破坏、针对金融系统的犯罪、针对地缘政治的影响、针对特定个人的移动端攻击。

在传统的认知中,APT 活动应该是比较隐蔽的,通常不易被察觉。但在 2017 年,APT 组织及其活动,则与网络空间中的大国博弈之间呈现出很多微妙的显性联系。

这种联系主要表现在以下五个方面:

一、APT 行动与国家间的政治摩擦密切相关,如,双尾蝎、黄金鼠和摩诃草等组 织在 2017 年的攻击活动;

二、APT 行动对于地缘政治的影响日益显著, 如 APT28 对法国大选的干扰;

三、指责他国的 APT 活动已成重要外交 手段,如英美等国指责朝鲜制造了 WannaCry;

四、部分机构选择在敏感时期发布 APT 报告,如 APEC 前期有安全机构持续披露海莲花相关 信息;

五、APT 组织针对国家智库的攻击显著增多,如美国的 CSIS(战 略与国际问题研究中心)被入侵。

APT 基础介绍

窃取机构内的敏感数据,最长已持续 10 年,特别是微软 Office 和 WPS 等文档文件。

APT 的攻击方式

攻击者常常使用漏洞利用技术,意图达到未授权安装执行的目的,不仅如此,漏洞的使用还能保证二进制 PE 程序能躲避杀毒软件的检测。攻击组织一般都掌握着或多或少的 0day 漏洞,不过考虑到成本问题,他们更倾向使用 1day 和 Nday 漏洞展开攻击。 攻击组织一般通过公开的资源、窃取的数据、以及多组织之间的合作,逐步对被攻击目 标从了解到掌握。同时,被攻击目标的供应链涉及到多个环节,这些环节往往也成为被攻击的目标。鱼叉攻击和水坑攻击依然是 APT 组织最青睐的攻击方式,其中鱼叉攻击占主流,也存在通过硬件设备进行网络劫持的攻击。

APT 攻击频繁原因

网络军火民用化 ,2017 年泄露的网络武器库的最终源头主要有两个,一个是据称是 NSA 旗下的方程式组织,另一个据称是美国中情局(CIA)直属的网络情报中心。

监测原理剖析

相信经过以上对 APT 概念化的介绍,没有接触 APT 组的朋友,应该能更加理解这些 APT 组织对一个国家网络空间安全的危害有多大(更多关于近几年 APT 的事件及报告,笔者已将其进行了整理,详情见附件,感兴趣的朋友可通过文末链接下载),那怎么去追踪监测 APT 攻击事件呢?

首先,我们得弄明白这样一点,很多高级可持续攻击 (APT 攻击)活动,其功能以窃取信息和收集情报为主,并且均已隐蔽工作了数年。凡有通讯,必有痕迹(天下武功、唯快不破)我们可以针对重点的通讯数据分析、异常HTTP/HTTPS 通讯分析、木马心跳包分析、境外 DNS 检索、特征回查等方式来准确发现网络中的各种隐蔽、狡猾的高级网络攻击窃密行为。

(Poison ivy RAT) 攻击模拟

Poison IVY (以下简称 PIVY)是一款十分强大的窃密木马,PIVY 具有易於使用的功能,且这种方便取用的 RAT 可为攻击者者提供较高的匿名性。 相较於其他 RAT,PIVY 是非常容易操作的。其图形化使用者介面 (GUI) 可让使用者轻松建立新的服器及控制受感染的目标。攻击者只要动一动鼠标即可直接入侵到网络、进行资料窃取。

在 APT-C-01、APT-C-12 组织的攻击活动中,都有着 PIVY 的身影,接下来我们演示 PIVY 的远控过程,控制服务器的建立及被控肉鸡的上线及数据被窃取被监控过程。

演示环境

1) 主机

Win XP1 :192,168.30.128

Win XP2 : 192,168.30.129

2)分析工具

Wireshark、火绒剑。

服务端构建及木马程序生成

一、在本机新建一个监控代理服务器,并生成一个木马程序 Trojan.exe ( PIVY 支持 2 种模式一种 shellcode 模式、另一种就是 exe)

配置服务器 Connect 信息,这里密码我们使用(NuclearCrisis)

二、设置要生成得木马程序名“Trojan.exe”开启混淆

三、互斥体选择默认()!VoqA.I4)、注入进程默认注入浏览器进程,也可以自行更改,启用键盘记录功能,这里生成得木马程序选择 PE,Shellcode(支持 Binary、C Array、Delphi Array、Python Array 五种模式 )

四、木马程序生成的时候,可设置程序图标(ICON)、可添加新一部分的执行 payload,也可加壳

五、Generate 在桌面生成 Trojan.exe

六、开启监听,用之前的密码(NuclearCrisis),监听 3460 端口,我们之前没有勾选 key file,所以这里不需要导入。

木马程序植入

在 XP2 中,运行我们生成的木马程序,用火绒监控发现:Trojan.exe 运行后,清除了桌面的 Trojan.exe 并转移到 C:\WINDWS\system32\ 下隐藏。同时修改了注册表,mekey 及 setval 的值。

当在 XP2 中运行了木马程序之后,在 XP1 中,我们立刻看到了木马上线的信息:

此时,我们就已经取得了 XP2 的 Administrator 权限,PIVY 具备了常规远控都具备的功能:屏幕监控,键盘记录,shell 上传,进程、服务管理等。

这里笔者就演示下键盘记录:

我们在 XP2 的 notepad++ 中键入:“Hello This is a test :).”在 XP1 中 key Logger 中刷新即可看到我们刚刚键入的内容:)

在这里也可以看到我们 Trojan.exe 注入的进程:

监测口令提取

在监测原理剖析部分,我们就已经对监测特征的提取原理做了简单的阐述,本次提取就是根据 PIVY 木马的心跳特征及常用的默认密码(密码这种东西是一个有点玄学的事情,你平常喜欢用什么密码,下次就会不假思索的再次使用相同的密码,大概是因为记起来麻烦吧!haha),所以对于 PIVY 的监测口令的提取,就在于更换不同的密码,模拟上线过程,抓取监测的通信特征。Let`s Go:)

一、 上线过程模拟,上面已经介绍过。

这里虚拟机回滚到上一个快照,重新上线(因为 PIVY, 含有互斥体,运行过一次的程序在同一环境,就不会再次触发)。

二、 利用 Wireshark 进行数据包抓取,并提取特征。

过滤表达式:tcp.port==3460 and ip.len==88

根据其心跳特征,从上面过滤的数据流我们可以发现,同一口令,其回连的数据中有 48byte 是一样的,提取其中的 12byte 作为元数据流作为监测即可。

故 NuclearCrisis 口令的监测通信特征为:b9 8c 62 c9 28 d4 6a 27 01 89 71 72(hex)

IOC

Domain:

kr.iphone.qpoe.com js001.3322.org apple.cmdnetview.com emailserl63.serveusers.com fevupdate.ocry.com hy-zhqopin.mynumber.org 163service.serveuser.com microsoftword.serveuser.com updateinfo.servegame.org uswebmaill63.sendsmtp.com winsysupdate.dynamic-dns.net wmiaprp.ezua.com zxcv201789.dynssl.com officepatch.dnset.com comehigh.mefound.com

IP:

131.213.66.10 146.0.32.168 165.227.220.223 188.166.67.36 45.76.228.61 45.76.9.206 45.77.171.209

Token:

Token 1 :NuclearCrisis b9 8c 62 c9 28 d4 6a 27 01 89 71 72

Token 2: !@#3432!@#@! 39 6a 10 a5 35 2f 84 46 ac 4c 66 8f

Token 3: 1wd3wa$RFGHY^%$ ab ff ed 56 55 b8 07 ea d1 6f dc 98

Token 4: wyaaa8 b4 d3 ba 81 07 c9 e6 53 f7 ab 7b b5

Token 5: HK#mq6!Z+. 4d 55 7e 2a bf c6 e3 c4 fd a1 73 24

Token 6: ~@FA<9p2c* 4a 16 10 28 97 f4 48 94 9a 99 e8 57

Token 7: ppt.168@ f1 ec 53 94 ec 3d af 43 23 6c 96 da

Token 8: index#help f5 60 9b f0 1f ca 0d 71 4c b9 f0 91

Token 9: 0A@2q60#21 2a ec 66 87 c2 d1 59 5a f1 9f 40 53

Token 10: aZ!@2q6U0# c8 99 c2 9e 21 ac 8b c7 4c 23 5f c2

总结及附件

总结

笔者主要对 APT 进行了简单介绍,对 PIVY RAT 的木马上线过程进行了模拟,对其通信过程进行了简单的分析并提取了相关的监测特征,关于PIVY的逆向分析部分,感兴趣的朋友可以见下面的附件(Fire-Eye 的 Poison Ivy 样本分析报告)。

附件

附件主要为笔者整理的 APT 的相关报告、本次提取的口令的通信包以及 PIVY 样本,感兴趣的朋友,可以下载查阅或进行分析试验。“一入分析深似海,路漫漫其修远兮”可视化的东西看起来效果还是好些(一看就懂,一做就会),最后提供一个 PIVY 配置的视频链接:

https://www.bilibili.com/video/av22939021

附件下载链接:

https://pan.baidu.com/s/1Fp_kjhAgCdwaJDADRLUTuw 密码:0y5g

原文发布于微信公众号 - 信安之路(xazlsec)

原文发表时间:2018-08-01

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏程序员互动联盟

【答疑释惑】Makefile是什么,Windows下面如何编写?

1 问题 ? 解答: ? 点评:Windows下用微软的VS是不需要自己编写Makefile的,但是如果使用Cygwin之类的编译环境,还是需要自己编写Mak...

37190
来自专栏CDA数据分析师

我用 Python 爬取了全国 4500 个热门景点,告诉你国庆哪里去不得?

金秋九月,丹桂飘香,在这秋高气爽,阳光灿烂的收获季节里,我们送走了一个个暑假余额耗尽哭着走向校园的孩子们,又即将迎来一年一度伟大祖国母亲的生日趴体(无心上班,迫...

36970
来自专栏FreeBuf

WannaMine再升级,摇身一变成为军火商?

WannaMine是个“无文件”僵尸网络,在入侵过程中无任何文件落地,仅仅依靠WMI类属性存储ShellCode,并通过“永恒之蓝”漏洞攻击武器以及“Mimik...

19600
来自专栏DHUtoBUAA

通过ODBC接口访问人大金仓数据库

  国产化软件和国产化芯片的窘境一样,一方面市场已经存在性能优越的同类软件,成本很低,但小众的国产化软件不仅需要高价买入版权,并且软件开发维护成本高;另一方面,...

23000
来自专栏企鹅号快讯

《网络战争》第59期:暗网暴露 14 亿明文密码库,或成史上最大规模数据泄露案

据外媒报道,美国一家网络情报公司 4iQ 于 12 月 5 日在暗网社区论坛上发现了一个大型汇总数据库,其中包含了 14 亿明文用户名和密码组合,牵涉 Link...

44180
来自专栏漏斗社区

专属| 这是一个能降级HTTPS的恶意软件

今天是高考的最后一天啦!许多可爱的小萌新们将踏上一段新的人生旅程。多年的友情与青春终究在一次次相聚与别离中散场,各奔东西,未来的时光愿各自安好!愿放榜的日子里,...

14850
来自专栏FreeBuf

你的CAD图纸被盗了吗?

本次分析的样本是CAD脚本动态生产的一种VBS蠕虫病毒,大概10多年前就已经开始通过E-Mail传播此样本,而如今这类病毒依旧活跃着,浮浮沉沉,生生不息。 蠕虫...

21580
来自专栏黑白安全

用WiFi时如何避免被黑客攻击

开个玩笑。确实,日常生活中大家已经离不开WiFi了吧?WiFi的好处无需赘言,但是相应的,它的危险性也值得我们商榷。那么,该如何保证自己的安全呢?

13320
来自专栏安恒信息

【连载】2016年中国网络空间安全年报(七)

2016年中国网络空间安全年报 4. 网络空间中的APT威胁分析 美国FireEye火眼公司曾发布2013年度APT攻击报告(Advanced Threat...

36270
来自专栏FreeBuf

一款玩俄罗斯轮盘的勒索程序:TeslaWare

据Emsisoft的安全研究员xXToffeeXx介绍,一款名为TeslaWare的勒索程序正被黑客在网上进行推广和出售。xXToffeeXx告诉我们,他已经获...

30440

扫码关注云+社区

领取腾讯云代金券