针对巴基斯坦的某APT活动事件分析
事件背景
2017年6月, 360威胁情报中心发现了一份可疑的利用漏洞执行恶意代码的Word文档,经过分析后,我们发现这有可能是一起针对巴基斯坦的政府官员的APT攻击事件,释放出来的载荷会收集受害者的键盘记录和重要软件密码、文档等。本文档对并对此次攻击事件的攻击链条进行梳理,并对使用的木马相关技术进行分析。
样本分析
漏洞利用Dropper
| Hash | 4f4cc89905bea999642a40d0590bdfa3 |
|---|---|
| 文件类型 | Word文档 |
| 文件大小 | 66Kb |
| 文件名 | peace-along-the-border-is-not-a-one-process-says-Lt-gen-ds-hooda.doc |
该文档所利用的漏洞为CVE-2015-2545(关于该漏洞的分析已经有不少详细分析的资料,这里就不再赘述),当受害者点开该文档时,会加载EPS文件从而触发漏洞,这里攻击者使用的漏洞利用代码是已经在野外流传很久的成熟利用,这套利用的特点是通过shellcode注入explorer进程下载木马文件,但shellcode后附加一个DLL文件以利用CVE-2015-2546权限提升漏洞得到系统最高权限。
注入explorer.exe的代码如下:
explorer.exe中下载载荷的代码如下:可以看到下载地址为hxxp://tes[.] sessions4life[.]pw/quiz/WelcomeScrn.exe
CVE-2015-2546权限提升DLL部分代码:
WelcomeScrn.exe
| Hash | feea1d90e77dff5ff9f896122cf768f6 |
|---|---|
| 文件类型 | PE可执行文件 |
| 文件大小 | 124Kb |
| 文件名 | WelcomeScrn.exe |
官方
1.08K篇文章
38.32M总阅读量
