APT-C-53又稱Gamaredon,長期以來活躍在東歐地區。自今年以來,我們多次觀察到APT-C-53在攻擊活動中對自身攻擊武器進行了調整和優化,同時提高了攻擊活動的操作頻率。1.加強版的VBS混淆在往期我們針對APT-C-53組織相關攻擊活動的報告中提到過,該組織偏好採用VBS腳本作為下載器、釋放器及可持續化控制的手段之一,為了阻礙分析人員的工作,該組織會將腳本中的關鍵字符串甚至是代碼進行破碎和編碼,並加入一些垃圾段落來降低腳本的可讀性:
在歷史攻擊活動中,雖然混淆風格不同,但大體上代碼的混淆思路就是關鍵字符串拆開,並插入注釋的垃圾內容,垃圾內容可以是上圖的垃圾信息,也可以是垃圾代碼:通過對關鍵字符串的拆分和垃圾字符串的引入,針對這類腳本的自動化IOC提取將變得困難,但對人工閱讀影響並不十分明顯,藉助語法高亮等編輯器功能,分析人員還是可以輕鬆地從代碼中獲取C2等重要信息。但自今年以來,我們觀察到該組織對腳本的混淆等級進行了提升,代碼可讀性幾乎為0,分析人員想要用肉眼提取有效信息的可能性基本不存在:一個簡單的VBS下載器經過此類混淆後,原本幾十行的代碼量可以達到一萬行到兩萬行之間,單個腳本文件大小高達1mb。藉助360安全大腦的新一代腳本解析引擎,我們對這些混淆風格激進的腳本進行了解析,其上萬行的代碼只是在拼接出核心代碼,拼接完成後再調用Execute和Eval函數進行執行:APT-C-53組織將自身VBS系列組件都更新成了這種激進的混淆風格,往期報告中我們提到過的用於自動生成惡意LNK的VBS文件也通過這種方式進行了混淆。
2. 隱藏在註冊表中的VBS我們在歷史的相關報告中披露過,APT-C-53常用的可持續性控制手法是創建計劃任務來執行VBS腳本:
通過對APT-C-53組織相關活動的持續追蹤,我們發現該組織的持續化手法發生了一定的變化,在計劃任務啟動後,調用mshta執行Powershell命令並啟動wscript進程,而VBS代碼則保存在了註冊表的HKCU\Console\FaceNames位置下:
用於創建這一計劃任務和計劃任務將執行的VBS代碼也經過前文所述的高度混淆,最終功能依舊是遠程下載並執行payload,下載前依舊需要先對域名進行DNS解析,然後將得到的IP拼接成URL:
腳本通過拼接後的URL下載並執行下一階段的payload,通過這種方式,只要保持對域名的控制,APT-C-53可以不斷更換遠程服務器的地址,因此在類似攻擊活動的檢測和攔截中,除了http流量的目標地址以外,還需要關注DNS解析時的數據。2dd7d9c6dd355bc1d2bf0ac7d4f9eaafa348f0b7a0c2cadc62eaceacacc79215
dddd77f42bfb365f36762ad4db4a741e
e14b562b4b3f7e78e96e6dfe6506ec53
e41875017b2c56384ae680d0f5aed11f
f4e7c05fde022ec76f8c2f0a4cf2e1b3
cd460b1382a61be2ae917397e52032bc
360高級威脅研究院
360高級威脅研究院是360政企安全集團的核心能力支持部門,由360資深安全專家組成,專注於高級威脅的發現、防禦、處置和研究,曾在全球範圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊,獨家披露多個國家級APT組織的高級行動,贏得業內外的廣泛認可,為360保障國家網絡安全提供有力支撐。
留言列表