APT 相關活動思路和技術提煉

作者：360 A-TEAM
公眾號：360安全監測與響應中心

APT37

目標：日韓/中東/越南 =》航空航天/教育/金融/政務/醫療等機構.

描述：

• 從2012年開始活動,針對日韓/中東/越南進行滲透。
• 前期釣魚：
  1. 黑掉一個知名機構,然后以該機構郵箱作為發送方投遞釣魚郵件.
  2. 郵件中使用office或hwp中的0day和剛公開不久的nday.
• 數據提取:
  1. 通過dropbox的api上傳敏感數據，過流控設備的檢查.

APT34

目標：中東地區金融 能源 政務 化工行業

描述：

• 從14年開始活動,常用魚叉式釣魚方案進行前期打點.
• 樣本使用最新的office nday.
• 通過powershell寫計劃任務做權限維持.
• 通過DGA域名與c2通訊.

APT33

目標：美國/沙特阿拉伯/韓國等國家的航空航天及能源行業

描述：

• 從13年開始活動
• 采取郵件釣魚的方案獲取初次訪問權限.
• 樣本采用hta + powershell等技術.
• 上線域名根據目標行業定制.
• 樣本里未去除pdb路徑,泄漏木馬開發者id，根據id關聯到伊朗網軍.

APT32

目標：越南境內外資企業. 包括但不局限于銀行/媒體/制造業

描述：

• 常用魚叉式釣魚方案獲取初次訪問權限。
• 郵件內用社會工程學的方式誘導用戶啟用word宏.
• 以計劃任務的方式實現權限維持.
• 以msf+cs進行后滲透.

APT30

目標：東南亞

描述：

• 從2004年開始活動
• 05年開始嘗試感染可移動設備突破隔離網.

APT29

目標：西歐政府外交部

描述：

• 初次權限獲取方案：
  1. 郵件釣魚，內嵌lnk或宏
• C2通訊：
  1. 利用攻陷的web站當前置機，ssl加密
• 持久化方案：
  1. Wmi事件訂閱
  2. 計劃任務
• 數據提取方案：
  1. 將數據加密放在圖片里
  2. 將圖片上傳到社交媒體或者云廠商

APT28

目標：高加索/ 東歐 / 美國

描述：

• 采用flash或者windows的0day獲取初次訪問權限
• C2通訊:https

APT19

目標：投資和法務相關的機構

描述：

• 采用釣魚郵件方式獲取初次訪問權限：
  1. CVE 2017-0199.
  2. 宏
• C2 ：cobalt strike
• 通訊：http

APT18

目標： 航空/國防/建筑/教育/健康/生物/高科技/運營商/交通等行業

描述：

• 遠控：Gh0st
• 采用HackingTeam泄漏的flash 0day獲取初次訪問權限。

APT17

目標：美國政府/國際律師事務所/信息技術公司

描述：

• C2通信：用微軟的TechNet blog通訊.

APT16

目標：日本和臺灣的高科技/政務服務/媒體和金融行業

描述：

• 采取釣魚郵件的方案獲取初次訪問權限。
• 階段性的payload放置在被攻陷的高信譽域名服務器上。
• 寫入用戶啟動目錄做權限維持。

APT12

目標：新聞/政府/國防工業

描述：

• 采用被攻陷的郵箱發送釣魚郵件獲取初次訪問權限.
• c2通信：http協議.

APT10

目標：美國歐洲日本的的建筑工程/航空/運營商/政府行業

描述：

• 通過釣魚郵件獲取初次訪問權限:
  1. 宏/exe
  2. 附件加密過郵件網關.
• C2通信：http協議

APT3

目標：航空航天/國防/建筑工程/高科技/運營商/交通等行業.

描述：

• 初次權限獲取：
  1. 瀏覽器0day . 如firefox/ie
  2. 釣魚郵件
• 通過添加計劃任務做權限維持
• 木馬走socks與c2通訊

APT1

目標： 信息技術/航空航天/公共管理/衛星通訊/科學研究及咨詢/能源/交通/建筑制造/高科技電子/媒體/廣告娛樂/導航/化學/金融服務/農業食品/健康/教育等行業.

描述：

• 有語言學家/開源研究人員/惡意軟件作者/目標行業的業界專家的支持.
• 常用魚叉攻擊的方式獲取初次訪問權限.
• 初期采用http方式與c2通訊.

海蓮花

目標：中國政府/科研所/海事機構/海域建設/航運等企業

描述：

• 通過釣魚郵件和水坑攻擊獲得初次訪問權限.
• C2是cs，采用http協議上線。
• 偽造http頭里的host欺騙ids,通過cookie字段進行指令傳輸.

目標：中國政務/科研/海事機構

描述：

• 通過釣魚郵件獲取初次訪問權限.
• 附加包含nday. 觸發流程:
  1. 釋放sct和shellcode -》加載遠端vbs -〉解密shellcode文件并執行-》釋放pe文件并加載 -〉 從資源里釋放通訊模塊.
• 木馬通過dns協議與c2通訊.

描述：

• 通過釣魚郵件獲取初次訪問權限
• 郵件內樣本采用0day執行命令.
  1. 遍歷system32目錄,搜索vmGuestLibJava文件,判斷是否為虛擬機
  2. 寫入計劃任務做權限維持
  3. 利用McAfee mcods.exe加載惡意dll執行shellcode
  4. 橫向移動中通過msbuild執行命令

Operation Oceansalt

目標：

韓國公共基礎設施/合作基金/高等教育.
北美金融/醫療/電信/農業/工業/政府

描述：

• 采取釣魚郵件方案獲取初次訪問權限. 附件為xsl內嵌宏

dark hotel

目標：中國政務/科研

描述：

• 采用釣魚歐郵件獲取初次訪問權限.
  1. 誘餌格式 xxx.jpg.scr
  2. 釋放兩張正常圖片到temp目錄
  3. mspain打開A圖片
  4. 讀取B圖片里的隱寫數據,生成lnk文件到temp目錄
  5. 執行lnk -> powershell ->下載exe執行
  6. 清理lnk及隱寫圖片
• 木馬通訊采用OpenSSL協議
• Api動態調用
• 殺軟/沙箱/虛擬機檢測

目標 ：中日韓俄的國防/電子等機構

描述：

• doc釋放chrome組件和惡意dll
• 執行chrome加載惡意dll
• 解密并執行poweershell->下載惡意dll2
• 通過cliconfg.exe執行惡意dll2
• bypassuac寫服務做權限維持

描述：

• 通過office 0day獲取初次訪問權限.
• 樣本流程:
  1. office觸發漏洞
  2. 釋放惡意dll文件
  3. 通過mmc.exe bypass uac.
  4. mmc進程啟動后會加載惡意dll文件.
  5. 從遠端下載shellcode并執行

美人魚

目標：丹麥

描述：

• 采取水坑/魚叉攻擊獲取初次訪問權限
  1. ppt內嵌ole
  2. 水坑攻擊中的樣本為自解壓文件
• 寫注冊表做權限維持

人面獅

目標：以色列國防軍/海軍

描述：

• 采用社交網絡水坑攻擊獲取初次訪問權限.
• 木馬以dll形式存在，注入到explorer.exe
• 通訊模塊注入到瀏覽器進程,采用http協議與c2通訊
• 竊取文件模塊注入到殺毒軟件進程

摩訶草

目標：中國/巴基斯坦的軍事/科研/政務/商業機構

描述：

• 主要采取水坑/魚叉攻擊獲取初次訪問權限.
  1. 附件包含0day
  2. 附件為exe/scr/dll （dll文件通過正常帶簽名的exe程序啟動）
  3. 瀏覽器nday /釣魚網址
• 通過入侵第三方論壇,寫入c2通訊ip
• 通過寫注冊表啟動項做權限維持

目標:中國/巴基斯坦的教育/軍工/科研/政務

描述：

• 采取郵件釣魚獲得初次訪問權限.
  1. dropper js -》 解密并生成新的js -〉 執行ps -》 bypassuac - 〉釋放dll并加載.
• 通過http協議與c2通訊

目標: 中國/巴基斯坦的政務/教育機構

描述：

• 通過釣魚郵件獲取初次訪問權限.

  1. :: doc(cve-2017-8570) - 》 sct -〉c# dropper ->釋放Microsoft.Win32.TaskScheduler.dll -》添加計劃任務

雙尾蝎

目標：巴基斯坦教育機構/軍事機構

描述：

• 通過魚叉和水坑攻擊獲取初次訪問權限
• 魚叉郵件附件為exe/scr
• 通過注冊表啟動項做權限維持

Fub7

目標: 美國金融機構

描述：

• 通過魚叉攻擊采取初次訪問權限.
  1. 釣魚文檔中, 插入模糊圖片,將OLE對象透明放置在模糊圖片之上,用戶雙擊放大圖片則觸發.
  2. pe格式的文件采用ads數據流隱藏保存
  3. 木馬編碼后寫入到注冊表,啟動時由powershell讀出動態執行.
  4. 64個c2隨機選擇
• 采用dns協議與c2通訊.
• 通過計劃任務與注冊表啟動項做權限維持.

Gaza cybergang

描述：

• 通過郵件釣魚方式獲取初次訪問權限.
• 附件用office nday執行命令.
• 執行鏈： office -> ole download hta -> mshta load hta -> powershell download pe - > create thread load pe
• 采用dns/http/smb/tcp等方式與c2通訊
• C2為cobalt strike

黃金鼠

目標: 敘利亞反導彈系統

描述：

• 通過水坑攻擊獲取初次訪問權限.

蔓靈花

描述：

• 偽造域名獲得指定人員賬戶密碼.
• 以該賬戶向其他人發送木馬.
  1. :: 自解壓程序- > 釋放doc并啟動 -> 打開exe -》 判斷殺軟- > 寫注冊表做權限維持 -> 執行惡意代碼.
• 采用http協議與c2通訊.

描述：

目標：巴基斯坦

• 通過郵件釣魚獲取初次訪問權限
• 郵件內樣本采用文字處理軟件的0day執行任意命令
  1. 下載exe / 寫注冊表做權限維持
  2. 釋放dll文件/ dll內釋放正常的文本
  3. 通過select * from win32_computersystem檢測虛擬機
  4. 寫用戶啟動目錄，做第二套權限維持方案

APT-C-01

目標：中國政務/科技/教育/國防等機構

描述：

• 通過魚叉攻擊獲取初次訪問權限.
  1. 附件內doc利用漏洞來執行命令.
  2. 下載hta
  3. 執行powershell-》下載pe文件
  4. pe下載遠程shellcode解密并執行

hacking team 01

目標:卡塔爾地區

樣本流程:

1. 含有flash activex對象的excel文件落地
2. 加載遠程flash文件
3. 從遠程服務器下載aes加密的flash 0day文件
4. 獲取密鑰解密flash 0day文件
5. 觸發漏洞，獲得執行任意命令的權限
6. 獲取shellcode并執行

藍寶菇

目標：中國政務/軍工/科研/金融等機構

描述：

• 采取魚叉攻擊獲取初次訪問權限.
• 云附件bypass郵件網關
• 感染開始菜單內所有快捷方式,實現權限維持

描述：

• 通過魚叉攻擊獲取初次訪問權限
• 云附件bypass郵件網關
• 樣本采用lnk執行ps反彈shell
  1. 從lnk尾部讀取數據.
  2. 釋放doc并運行
  3. 執行shellcode
  4. 感染其他lnk做權限維持
• 用aws云服務拖文件

描述：

• 采取魚叉攻擊獲取初次訪問權限
• 寫注冊表做互斥
• 用SAE做前置機

APT-C-35

目標:巴基斯坦等南亞地區國家

描述：

• 通過魚叉攻擊獲取初次訪問權限.
• 樣本采用nday漏洞獲得執行命令的權限.
  1. 釋放setup.exe到臨時目錄
  2. 執行setup.exe添加計劃任務做權限維持.
  3. 從goodle docs獲得c2 ip
• 樣本采用http協議于c2通訊.

目標：對在華巴基斯坦商務人士的定向攻擊

描述：

1. xsl宏釋放惡意pe文件
2. 啟動pe文件->下載bat并執行
3. 寫啟動項實現權限維持
4. 采用http協議與c2通訊

毒云藤

目標: 中國國防/政務/軍工/科研/教育/海事等機構

描述：

• 主要通過魚叉攻擊獲取初次訪問權限.
• 郵件攜帶office0day或者二進制可執行文件
• 二進制樣本:
  1. RIO隱藏文檔擴展名
  2. 刪除注冊表內office打開的文檔信息
  3. 通過網盤做文件回傳（利用高信譽域名bypass 流控設備）
  4. api動態調用bypass殺軟靜態掃描
  5. 錯誤調用api bypass沙盒

group123

目標：韓國

描述：

• 通過魚叉攻擊獲取初次訪問權限
  1. 樣本采用hwp 0day獲取命令執行權限.
  2. 寫bat到用戶啟動目錄實現權限維持.
  3. 啟動system32\sort.exe，注入shellcode執行
  4. 反調試
  5. 檢查沙箱
  6. 通過dropbox /pcloud之類的網盤回傳數據

未命名

目標：巴基斯坦

描述：

• 通過釣魚郵件獲取初次訪問權限.
• 附件用office 0day執行命令+windows 0day提權
• 采用http協議與c2通訊.
• 寫注冊表啟動項做權限維持

未知

目標：烏克蘭

• 采用郵件釣魚獲取初次訪問權限
• 附件內觸發0day執行命令
  1. 釋放惡意pe文件并執行
  2. 檢測殺軟
  3. 檢測windows defender ；Select * from Win32_Service WhereName ='WinDefend'AND StateLIKE’Running
  4. 寫計劃任務做權限維持
  5. 走http協議與c2通訊

本文由 Seebug Paper 發布，如需轉載請注明來源。本文地址：http://www.bjnorthway.com/777/