文库搜索
切换导航
首页
频道
安全标准
安全报告
安全文档
首页
安全标准
安全报告
安全文档
批量下载
使用说明
官方交流群
会员登录
Darkhotel (APT-C-06)组织利用 Thinmon后门框架 的多起 攻击活动 揭秘 概要 2020年3月期间, 360安全大脑发现 并披露了 涉半岛地区 APT组织 Darkhotel (APT-C- 06)利用 VPN软件漏洞攻击我国政府机构 和驻外机构 的APT攻击行动 。在攻击行动中 Darkhotel (APT-C-06)组织使用了一系列新型的后门框架,该后门程序未被外界披露和定义 过, 360高级威胁研究院根据攻击组件的文件名将其命名为“ Thinmon”后门框架。通过对 Darkhotel (APT-C-06)组织利用“ Thinmon”后门框架实施攻击活动的追踪,我们发现该组织 最早从 2017年就开始利用该后门框架实施了 长达三年时间的 一系列攻击活动,其攻击意图 主要在于长期监控 和窃取机密文件,受害者主要集中在我国华北 和沿海地区,被攻击目标 主 要包括政府机构 、新闻媒体、大型国企、外贸企业等 行业,占比最大的为外贸及涉外机构 。 在这三年多的时间内,该组织不断更新后门框架,持续对目标发起 攻击。 受影响情况 通过 360安全大脑的遥测发现,受害者用户主要分布在我国东部沿海地区以及靠近朝 鲜半岛的地区,这些地区拥有与朝鲜半岛来往距离优势,进而也成为中招用户的主要地区。 受害行业涵盖了政府、驻华机构、外贸、新闻媒体等多个行业,其中与贸易有关的企业 占比最多达到 1/4,其次是政府机构、新闻媒体,大型国企 、高等院校 。在今年 3月的VPN 劫持攻击事件中,有多个中国驻外机构受到了攻击。 在这些行业近 70%都与外贸和驻外业务相关,涉外人员中招的占比极大。 技战术分析 根据我们目前的研究发现,该组织的技战术主要分为水坑攻击和漏洞攻 击两种方式,攻 击的后门程序按功能以插件形式释放和调度。 水坑攻击 在我们捕获的一例典型的水坑攻击中。受害者是访问韩国某色情网站,并下载带有木马 的QuickTime 安装包后中招。 该安装包在安装完成后, 会将恶意样本 ( Loader) 释放在 %appdata% 目录并启动,最终加载载荷模块。 Loader Loader(左)和正常播放器(右)签名对比 恶意样本( Loader)运行后会解密一段 shellcode 作为 EnumWindows 的回调函数,最终 启动在内存中释放的载荷模块。 漏洞攻击 Darkhotel 近年的攻击擅长 利用软件平台的总控 服务器漏洞 ,下发执行远程命令 、下发 木马后门程序 ,以进一步控制 内网主机。 利用某安全软件升级漏洞 Ⅰ 2018年上半年, 该组织通过入侵某单位的安全软件 总控服务器,下发伪装成补丁的木 马文件。在持续控制 一年后,该组织不间断地 针对该单位 的终端下发伪装成 软件升级包的后 门程序。 伪装补丁 下发的后门程序被 伪装成了漏洞升级补丁 KB3928472.exe ,由安全软件主控 服务器下发并执 行。样本 在执行后会 调用 ActiveX COM接口执行 JS脚本,释放主模块 (wlbsctrl.dll) 、插件 模块(wmdusdt .dat)和用于解密插件的 KEY文件(sublogus.dat ),并创建 ikeext服务持久驻 留。 伪装升级组件 **update.dll 会伪装成升级组件实现 CMD 命令行回显和文件上传下载功能 ,同时样本会伪 装为腾讯 签名。 cmd回显功能 文件上传下载 功能 利用某安全软件升级漏洞 Ⅱ 2018年下半年该组织攻击某单位的 另一款安全软件 总控服务器后, 是通过下发命令执 行恶意脚本 实施攻击 ,该恶意脚本通过远程服务器下载 payload和相关插件 通过远程命令执行的脚本 利用某 OA软件升级漏洞 近年来某 OA软件多次被爆 出安全漏洞, 2017年该组织利用某 OA软件漏洞对相关单位 进行攻击,攻击者通过 OA主控服务器 下发执行命令 ,在计算机上下发命令执行 tmp后缀的 JS恶意脚本,通过一系列 解密、释放动作安装后门程序 。 安装后门程序的恶意 JS脚本 利用 VPN软件升级漏洞 2020年初,该组织利用某 VPN软件的升级漏洞再次发起攻击,攻击者 事先通过漏洞 拿 下了VPN服务器,然后 将服务端的 VPN客户端升级 组件替换为后门程序 ,并更改了服务端 升级配置文件,使用户在启动 VPN客户端时 会重新下载伪装成升级程序的 后门程序,后门 程序会从远程服务器下载执行 shellcode ,最终释放 各种不同功能的攻击组件 。 后门持久化 我们在溯源 追踪过程 中发现, 该组织在部署下发各种荷载 ,采用多种方式实现持久化, 并且多次更新相关模块 的技术。 IKEEXT 劫持 IKEEXT(IKE和AuthIP IPsec Keyring Modules)是 Windows 操作系统的一个服务。 IKEEXT 服务会试图加载一个不存在的 DLL——“wlbsctrl.dll ”
360 Darkhotel(APT-C-06)组织利用Thinmon后门框架的多起攻击活动揭秘
安全报告
>
360
>
文档预览
中文文档
29 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
赞助1.5元下载(无需注册)
温馨提示:本文档共29页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
下载文档到电脑,方便使用
赞助1.5元下载
本文档由
思安
于
2022-11-29 01:39:48
上传分享
举报
下载
原文档
(1.4 MB)
分享
给文档打分
您好可以输入
255
个字符
网站域名是多少( 答案:
github5.com
)
评论列表
暂时还没有评论,期待您的金玉良言
热门文档
NY-T 1236-2006 绵、山羊生产性能测定技术规范.pdf
GB-T 25205-2010 雨淋喷头.pdf
GB/T 23050-2022 信息化和工业化融合管理体系 供应链数字化管理指南.pdf
GB-T 37655-2019 光伏与建筑一体化发电系统验收规范.pdf
DB 31DSJ∕Z 005-2020 公共数据安全分级指南.pdf
GB-T 42044-2022 空间站应用有效载荷通用设计要求.pdf
GB-T 43046-2023 信息技术服务 应对突发公共安全事件的信息技术应急风险管理.pdf
GB-T 38590-2020 森林资源连续清查技术规程.pdf
DB32-T 3605-2019 餐饮业安全厨房通用规范 江苏省.pdf
T-SOFIDPA 0004—2023 有机肥 好氧发酵 低碳技术规范.pdf
山西省大数据发展应用促进条例.pdf
SN-T 1657.1-2007 进出口电动工具检验规程 第1部分:通用要求.pdf
T-ZACA 019—2019 绿色设计产品评价技术规范 预拌混凝土.pdf
数据安全能力建设实施指南 V1.0(征求意见稿).pdf
T-CRHA 018—2023 人肝胆肿瘤细胞类器官构建、质量控制与保藏操作指南.pdf
GB-T 9567-2016 工业用三聚氰胺.pdf
GB-T 42892-2023 项目管理敏捷化指南.pdf
T-AIITRE 10004—2023 数字化转型 成熟度模型.pdf
DB61-T 1577-2022 公路混凝土护栏改造加固设计规范 陕西省.pdf
GB-T 28671-2012 制药机械 设备 验证导则.pdf
1
/
3
29
评价文档
赞助1.5元 点击下载(1.4 MB)
回到顶部
×
微信扫码支付
1.5
元 自动下载
官方客服微信:siduwenku
支付 完成后 如未跳转 点击这里 下载
享优惠, 办会员
每年仅需
99
元(可开发票 无限下载)
加客服微信扫描如下二维码 咨询
×
分享,让知识传承更久远
×
文档举报
举报原因:
×
优惠下载该文档
免费下载 微信群 欢迎您
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们
微信(点击查看客服)
,我们将及时删除相关资源。