首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

警惕 | 蔓靈花APT組織使用技術(shù)再曝光

閱讀量：次

最近，安恒研究院獵影威脅追蹤團(tuán)隊(duì)注意到，國外推特一名安全研究人員曝光了某個(gè)攻擊組織的C&C控制端，其界面類似如下：

經(jīng)過獵影威脅追蹤團(tuán)隊(duì)分析后，確定該攻擊組織就是Bitter攻擊組織，與我們前幾天披露的《蔓靈花APT組織最新的C#木馬組件揭秘》文章類似，該文章地址：蔓靈花APT組織最新的C#木馬組件揭秘，文章中我們提到的類似組件：

該后臺地址列舉被攻擊目標(biāo)的IP、電腦名、用戶名、操作系統(tǒng)、第一次回連時(shí)間、最后回連時(shí)間。這些信息的搜集都由主木馬audiodq進(jìn)行搜集，之前關(guān)于該文件的功能描述如下：

其披露的后臺地址截圖與我們曾獲取的相關(guān)信息類似：

我們發(fā)現(xiàn)該bitter攻擊組織至少在2018年8月的時(shí)候就已經(jīng)在使用該C&C Panel（控制端）。

C&C控制端功能分析

該C&C控制端主要有2大功能：

1、向被攻擊的目標(biāo)推送惡意的攻擊組件

被控端收到指令時(shí)，木馬下載組件的網(wǎng)絡(luò)通訊截圖：

根據(jù)相應(yīng)的數(shù)據(jù)包結(jié)構(gòu)，我們可以偽裝成已經(jīng)被攻擊成功的目標(biāo)。即，向服務(wù)器發(fā)送相應(yīng)假的數(shù)據(jù)結(jié)構(gòu)，如構(gòu)造類似的結(jié)構(gòu)：

其中

a表示：電腦名
b表示：用戶名
c表示：操作系統(tǒng)

2、移除特定的攻擊目標(biāo)

當(dāng)被攻擊的不是攻擊者關(guān)心的目標(biāo)時(shí)（如：目標(biāo)機(jī)器是沙盒環(huán)境、虛擬機(jī)等類似情況），攻擊者可以通過去掉該目標(biāo)的方式避免被發(fā)現(xiàn)或分析。

由于該后臺沒有竊密功能，它的數(shù)據(jù)竊密功能由其組件完成，其竊密方式分為加密和非加密傳輸兩種方式。

非加密數(shù)據(jù)包類如下
加密數(shù)據(jù)包裝類似如下

其他信息

除了被曝光的該后臺地址，該攻擊團(tuán)隊(duì)開始準(zhǔn)備使用新的的后臺地址。在上篇APT追蹤文章中，我們提到了黑客使用了新的組件，變種木馬第一次回連獲取下載信息（內(nèi)部解析html文件，解密組件）

第二次就是將相關(guān)信息發(fā)送到服務(wù)器，類似心跳數(shù)據(jù)包更新。其結(jié)構(gòu)類似如下：

防御建議與總結(jié)

企業(yè)應(yīng)當(dāng)注重培養(yǎng)人員安全意識，不輕易打開未知來源的郵件及附件，不隨意點(diǎn)擊未知鏈接，不隨意打開未驗(yàn)證可靠來源的文檔。及時(shí)為信息系統(tǒng)打好補(bǔ)丁。

部署安恒APT預(yù)警平臺，安恒APT預(yù)警平臺能夠發(fā)現(xiàn)已知或未知的威脅，APT預(yù)警平臺的實(shí)時(shí)監(jiān)控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性，并能夠?qū)︵]件投遞，漏洞利用、安裝植入、回連控制等各個(gè)階段做強(qiáng)有力的監(jiān)測。結(jié)合安恒威脅情報(bào)系統(tǒng)，可將國內(nèi)外的威脅數(shù)據(jù)進(jìn)行匯總，并分析整個(gè)攻擊演進(jìn)和聯(lián)合預(yù)警。

獵影威脅分析團(tuán)隊(duì)將持續(xù)關(guān)注網(wǎng)絡(luò)安全動態(tài)。

關(guān)閉

云安全>

態(tài)勢感知>

物聯(lián)網(wǎng)安全>

工業(yè)互聯(lián)網(wǎng)安全>

新型智慧城市>

>

新一代安全服務(wù)>

偵測服務(wù)>

保護(hù)檢測服務(wù)>

監(jiān)控分析服務(wù)>

應(yīng)急服務(wù)>

運(yùn)營管理服務(wù)>

特色服務(wù)>

安全管理>

數(shù)據(jù)安全>

網(wǎng)絡(luò)安全>

應(yīng)用安全>

端點(diǎn)安全>

>

商用密碼>