安基网 首页 资讯 安全报 查看内容

携新型远控木马而来,不明黑客组织目标锁定工控系统

2020-4-24 12:59| 投稿: |来自:


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近日,思科Talos团队发现了一场新的网络间谍活动。在活动中,攻击者使用了一种此前从未被公开报道过的远控木马,基于代码中对英国诗人兼剧作家威廉·莎士比亚的大量引用,Talos团队将其命名为“PoetRAT”。另据Talos团队的说法,他们并不认为这场间谍活动与目前已知的任何一个黑客组织存在关联,即攻击 ...


近日,思科Talos团队发现了一场新的网络间谍活动。在活动中,攻击者使用了一种此前从未被公开报道过的远控木马,基于代码中对英国诗人兼剧作家威廉·莎士比亚的大量引用,Talos团队将其命名为“PoetRAT”。

另据Talos团队的说法,他们并不认为这场间谍活动与目前已知的任何一个黑客组织存在关联,即攻击者有很大可能是一个新近成立的黑客组织。有一点可以肯定的是,这场间谍活动是专门针对阿塞拜疆发起的,攻击者尤其对工控系统感兴趣,如ICS和SCADA系统。

诱饵文档

Talos团队表示,目前的PoetRAT间谍活动主要波及到几个阿塞拜疆公共和私营部门,尤其是能源部门。

2020年2月:section_policies.docx

图1.诱饵文档截图

诱饵文档的内容由模糊的图片组成,只能依稀可以看到印度国防研究与发展组织(DRDO)的图标。

图2。DRDO的图标

2020年4月:C19.docx

图3.诱饵文档截图

诱饵文档被命名为“C19.doc”,但内容确实一堆乱码。

2020年4月:Azerbaijan_special.doc

诱饵文档看起来更加真实,攻击者显然是想要继续借助“新型冠状病毒”这个社会热点来提高攻击的成功率。

图4.诱饵文档示例1截图

图5.诱饵文档示例2截图

恶意软件

无论文档名或者内容是什么,诱饵文档均充当dropper的角色,包含一个将执行后续恶意行为的Visual Basic脚本。

脚本首先会将文档加载到内存中,然后从文档末尾复制7,074,638个字节,并将剩余字节写回磁盘。

图6。RAT提取

写入磁盘的文件实际上是一个ZIP文件,它包含一个Python解释器和一个RAT Python脚本。

接下来,Word宏将解压缩并执行被命名为“launcher。py”的主脚本。启动程序脚本负责检查当前环境——它假定所有沙盒的硬盘驱动器均小于62GB。

如果检测到身处沙盒环境之中,那么它将使用文件“License。txt”的内容覆盖恶意软件脚本并退出,从而将其自身删除。

图7.防沙盒代码

如果确定不是在沙盒环境中运行,那么它将生成一个唯一的ID,然后在执行之前将其替换为主脚本的Python源代码。

RAT由两个需要协同工作的脚本组成:frown.py和smile.py。其中,frown.py负责与命令和控件(C2)的通信,而smile.py则负责C2命令的解释和执行,可用的命令如下:

  • Ls-列出文件
  • cd-更改当前目录
  • sysinfo-收集有关系统的信息
  • download-使用ftp将文件上传到C2
  • upload-从C2下载文件
  • shot-截取屏幕截图,并使用ftp上传到C2
  • cp-复制文件
  • mv-移动文件
  • link-在文件之间创建链接
  • register-修改注册表
  • hide-根据文件的当前状态隐藏或取消隐藏文件
  • compress-使用zip功能压缩文件
  • jobs-执行各种操作,如杀死、清除、终止进程(默认情况下将列出所有进程)
  • <要执行的操作系统命令>-如果上述命令都不执行,则将执行该命令

手动安装的其他黑客工具

在使用RAT成功感染目标系统后,攻击者部署了一系列黑客工具,部分如下:

dog.exe

分析表明,dog。exe是采用。NET编写的,允许攻击者监视硬盘驱动器路径,以及通过电子邮箱帐户或FTP转移窃取的数据。

配置文件名为“dconf.json”,内容格式如下:

图8。dconf。json内容格式

Bewmac

Bewmac是一个内容极短的Python脚本,被用于控制受感染主机的网络摄像头。

图9.脚本代码

分析表明,该脚本使用了OpenCV库,每次执行时会拍摄10张照片,照片被保存在本地文件系统中,而不是自动上传到C2。

其他工具

Klog.exe:键盘记录程序

Browdec.exe:浏览器凭证窃取程序

voStro。exe:凭证窃取程序Mimikatz的Python版本

Tre。py:用于使用文件/目录树创建文件的脚本

WinPwnage:权限提升开源框架

Nmap:一种开源的渗透测试和网络扫描工具

结语

在这场网络间谍活动中,攻击者不仅使用了一种全新的远控木马,而且还使用了多种已知的黑客工具,旨在获取更多有关受害者的信息以及高价值的凭证。

攻击者的目标十分明确,主要针对的是阿塞拜疆的公共部门和私营部门,特别是能源领域中的ICS和SCADA系统,但最终的目的尚不能断言。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6817674351559574024/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
极速赛车计划数据全天 易富彩票计划群 新宝GG彩票计划群 山东11选5走势 福布斯彩票计划群 彩宝彩票计划群 彩客网计划群 极速赛车登陆 51彩票计划群 金福彩票计划群