国产精品无码一区二区三区,亚洲精品97久久中文字幕无码,极品尤物一区二区三区,精品香蕉一区二区三区

數字經濟的安全基石

申請試用

首頁 > 關于我們 > 安恒動態 > 2019 > 正文

魔芋行動(Operation Ninikachu )針對韓國某大型集團的定向攻擊

閱讀量:

近日,安恒安全研究院獵影威脅分析團隊在文件威脅分析平臺上監測到了一起針對韓國大型公司的高級可持續攻擊。經過深入分析,發現攻擊者可能來自南亞國家,通過樣本中的關鍵詞匯將該起攻擊命名為魔芋行動(Operation Ninikachu)。

樣本分析

攻擊者投遞了多個高度偽裝的文檔,文檔實例展示如下:

文檔利用形式相同,都使用了相似的惡意宏代碼,我們拿出其中一個進行分析,如“????_191030.xls”文檔。

文檔中包含惡意宏代碼

?

宏代碼的功能為遠程下載文件,其地址如下:

hxxps://218.*.*.187/as/***/***/skcc.com/ReportSVC.exe

?

保存到“c:\ProgramData\ReportSVC.exe”并執行。

ReportSVC.exe程序為加過密的python打包程序,將該程序進行解包并反編譯還原如下:

可以得到agent主程序,并可以通過AES算法使用加密key:”XMBci***8HQGPDH”解密被加密的一些模塊:

如解密config.pyc.encrypted文件解密出config模塊:

內部包含程序執行所需要的各種配置信息,如回連地址信息“hxxps:// 218.*.*.187”,服務前綴“skcc[.]com”,幫助信息等等。

接下來分析反編譯出的angent.py程序,發現其就是一個python遠程控制程序。包含多個功能指令。

程序會先進行初始化,從配置文件中獲取各類配置信息,以及收集本機計算機中 的各類信息,如獲取系統版本信息:

獲取uid信息:

獲取Hostname信息:

獲取Username信息:

然后回連C2,發送信息并通過指令進行交互

幾個關鍵功能包括:

函數Getdocpaths:獲取指定路徑下的doc*,xls*,ppt*路徑信息

函數Upload:上傳本地文件到服務器。

函數Download:從遠程服務器通過http(s)下載文件。

函數Powershell:運行powershell程序或命令。

函數Python:運行python命令或python程序。

函數Getpw(Ninikachu):通過使用Empire的Invoke-Mimikatz.ps1來獲取系統密碼。?

Agent程序整體函數功能如下列表:

函數

功能

__init__

程序初始化,獲取信息和配置等

log

日志記錄

get_UID

獲取uid

jsonenc

Aes encrypt

add_server

添加C2服務地址

server_hello

請求服務指令

send_output

發送控制臺輸出內容到服務器

expand_path

擴展環境變量

runcmd

運行cmd指令

getdocpaths

獲取指定路徑下的doc*,xls*,ppt*路徑信息

powershell

運行powershell程序

filterInput

過濾輸入內容

ninikachu

獲取系統密碼

python

運行python命令或python程序

cd

切換目錄

upload

上傳本地文件到服務器

download

從遠程服務器下載文件

exit

退出agent

zip

Zip壓縮文件或文件夾

help

幫助

run

循環運行指令交互

?

關聯分析

https指紋分析

根據之前的樣本,我們知道其回連地址是218.*.*.187且使用https進行通訊,我們獲取https的證書sha1值

  • c8b81df******de7e360af7a6e54b0

?

使用安恒全球網絡空間超級雷達sumap進行檢索,又發現另2個使用了相關證書的ip地址:

通過關聯分析,發現了其中一個IP地址目前仍可訪問,其后臺地址:

代碼特征分析

分析頁面信息,其含有一個叫“Ares”關鍵詞信息,通過互聯網檢索發現,該后臺是Ares遠控程序的控制端,而解密后的agent程序為Ares的被控端。

Ares的代碼在github屬于開源項目,但是這次攻擊的程序是黑客定制修改版本,修改包括:

  • 設置終端語言版本。代碼中使用“cp949”編碼可以看出針對目標語言為韓語

  • 添加了一些竊密功能,如getdocpaths、powershell、ninikachu等定制重要功能

    ?

?被攻擊目標分析

最開始的木馬ReportSVC.exe程序下載地址為hxxps:// 218.*.*.187/as/***/***/skcc.com/ReportSVC.exe中包含的skcc[.]com

而在解密的config.py配置文件中服務前綴SERVER_PREFIX也是包含skcc[.]com

猜測本次攻擊目標為韓國SK C&C公司。SK C&C是韓國幾大企業集團之一的SK集團的全資子公司,主營業務為IT服務提供商和數字業務。

?

推測攻擊者

可以從pyimod01_os_path等文件中得到電腦的用戶名“kngkn”的信息。

通過一些搜索發現,推特上有這么一個用戶名,并且還關注了兩個用戶,都和數字媒體相關,并且所在地為南亞某國。

再可通過facebook搜索kngkn用戶名查看人物,發現大多數人物所在地都在南亞某國

如這些人物所在的地址:

說明該名字kngkn可能某地區的常用名字。

?

再來看看“Ninikachu”這個函數功能是使用mimikatz,兩個單詞拼讀起來也感覺類似,推測攻擊者可能是南亞某國的口音。

拆分ninikachu為nini和kachu,通過檢索發現在梵文中kachu叫做芋頭,所以我們將這次攻擊也叫作魔芋行動(Operation Ninikachu)。

?

防御建議總結

企業應當注重培養人員安全意識,不輕易打開未知來源的郵件及附件,不隨意點擊未知鏈接,不隨意打開未驗證可靠來源的文檔。及時為信息系統打好補丁。

部署安恒APT預警平臺,安恒APT預警平臺能夠發現已知或未知的威脅,APT預警平臺 的實時監控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性,并能夠對郵件投遞,漏洞利用、安裝植入、回連控制等各個階段做強有力的監測。結合安恒威脅情報系統,可將國內外的威脅數據進行匯總,并分析整個攻擊演進和聯合預警。

獵影威脅分析團隊將持續關注網絡安全動態。

?

IOC

MD5:

7927a48***d0e598c962f4b

526842f***e36d828d5edec

7e851a9***35937bbb54326

36bcfeb***d2f1faf9c6a3ae

?

IP:

218.***.***.187

211.***.***.113

114.***.***.178

?

URL:

hxxps://218.***.***.187/as/***/***/skcc.com/ReportSVC.exe

hxxps://211.***.***.113/as/***/***/skcc.com/SCMetroUIUpdater.exe

hxxps://114.***.***.178/as/login

關閉

客服在線咨詢入口,期待與您交流

線上咨詢
聯系我們

咨詢電話:400-6059-110

產品試用

即刻預約免費試用,我們將在24小時內聯系您

微信咨詢
安恒信息聯系方式