声明:本文由 360 A-Team 提炼整理,仅用于技术研究,不恰当使用会造成危害,严禁违法使用,否则后果自负。

APT37

目标:日韩/中东/越南 =》航空航天/教育/金融/政务/医疗等机构.

描述:

  • 从2012年开始活动,针对日韩/中东/越南进行渗透。

  • 前期钓鱼:

    1. 黑掉一个知名机构,然后以该机构邮箱作为发送方投递钓鱼邮件.

    2. 邮件中使用office或hwp中的0day和刚公开不久的nday.

  • 数据提取:

    1. 通过dropbox的api上传敏感数据,过流控设备的检查.

APT34

目标:中东地区金融 能源 政务 化工行业

描述:

  • 从14年开始活动,常用鱼叉式钓鱼方案进行前期打点.

  • 样本使用最新的office nday.

  • 通过powershell写计划任务做权限维持.

  • 通过DGA域名与c2通讯.

APT33

目标:美国/沙特阿拉伯/韩国等国家的航空航天及能源行业

描述:

  • 从13年开始活动

  • 采取邮件钓鱼的方案获取初次访问权限.

  • 样本采用hta + powershell等技术.

  • 上线域名根据目标行业定制.

  • 样本里未去除pdb路径,泄漏木马开发者id,根据id关联到伊朗网军.

APT32

目标:越南境内外资企业. 包括但不局限于银行/媒体/制造业

描述:

  • 常用鱼叉式钓鱼方案获取初次访问权限。

  • 邮件内用社会工程学的方式诱导用户启用word宏.

  • 以计划任务的方式实现权限维持.

  • 以msf+cs进行后渗透.

APT30

目标:东南亚

描述:

  • 从2004年开始活动

  • 05年开始尝试感染可移动设备突破隔离网.

APT29

目标:西欧政府外交部

描述:

  • 初次权限获取方案:

  1. 邮件钓鱼,内嵌lnk或宏

  • C2通讯:

  1. 利用攻陷的web站当前置机,ssl加密

  • 持久化方案:

    1. Wmi事件订阅

    2. 计划任务

  • 数据提取方案:

    1. 将数据加密放在图片里

    2. 将图片上传到社交媒体或者云厂商

APT28

目标:高加索/ 东欧 / 美国

描述:

  • 采用flash或者windows的0day获取初次访问权限

  • C2通讯:https

APT19

目标:投资和法务相关的机构

描述:

  • 采用钓鱼邮件方式获取初次访问权限:

    1. CVE 2017-0199.

  • C2 :cobalt strike

  • 通讯:http

APT18

目标: 航空/国防/建筑/教育/健康/生物/高科技/运营商/交通等行业

描述:

  • 远控:Gh0st

  • 采用HackingTeam泄漏的flash 0day获取初次访问权限。

APT17

目标:美国政府/国际律师事务所/信息技术公司

描述:

  • C2通信:用微软的TechNet blog通讯.

APT16

目标:日本和台湾的高科技/政务服务/媒体和金融行业

描述:

  • 采取钓鱼邮件的方案获取初次访问权限。

  • 阶段性的payload放置在被攻陷的高信誉域名服务器上。

  • 写入用户启动目录做权限维持。

APT12

目标:新闻/政府/国防工业

描述:

  • 采用被攻陷的邮箱发送钓鱼邮件获取初次访问权限.

  • c2通信:http协议.

APT10

目标:美国欧洲日本的的建筑工程/航空/运营商/政府行业

描述:

  • 通过钓鱼邮件获取初次访问权限:

    1. 宏/exe

    2. 附件加密过邮件网关.

  • C2通信:http协议

APT3

目标:航空航天/国防/建筑工程/高科技/运营商/交通等行业.

描述:

  • 初次权限获取:

    1. 浏览器0day . 如firefox/ie

    2. 钓鱼邮件

  • 通过添加计划任务做权限维持

  • 木马走socks与c2通讯

APT1

目标: 信息技术/航空航天/公共管理/卫星通讯/科学研究及咨询/能源/交通/建筑制造/高科技电子/媒体/广告娱乐/导航/化学/金融服务/农业食品/健康/教育等行业.

描述:

  • 有语言学家/开源研究人员/恶意软件作者/目标行业的业界专家的支持.

  • 常用鱼叉攻击的方式获取初次访问权限.

  • 初期采用http方式与c2通讯.

海莲花

目标:中国政府/科研所/海事机构/海域建设/航运等企业

描述:

  • 通过钓鱼邮件和水坑攻击获得初次访问权限.

  • C2是cs,采用http协议上线。

  • 伪造http头里的host欺骗ids,通过cookie字段进行指令传输.

目标:中国政务/科研/海事机构

描述:

  • 通过钓鱼邮件获取初次访问权限.

  • 附加包含nday. 触发流程:

    1. 释放sct和shellcode -》加载远端vbs -〉解密shellcode文件并执行-》释放pe文件并加载 -〉 从资源里释放通讯模块.

  • 木马通过dns协议与c2通讯.

描述:

  • 通过钓鱼邮件获取初次访问权限

  • 邮件内样本采用0day执行命令.

    1. 遍历system32目录,搜索vmGuestLibJava文件,判断是否为虚拟机

    2. 写入计划任务做权限维持

    3. 利用McAfee mcods.exe加载恶意dll执行shellcode

    4. 横向移动中通过msbuild执行命令

Operation Oceansalt

目标:

  • 韩国公共基础设施/合作基金/高等教育.

  • 北美金融/医疗/电信/农业/工业/政府

描述:

  • 采取钓鱼邮件方案获取初次访问权限. 附件为xsl内嵌宏

Dark Hotel

目标:中国政务/科研

描述:

  • 采用钓鱼欧邮件获取初次访问权限.

    1. 诱饵格式 xxx.jpg.scr

    2. 释放两张正常图片到temp目录

    3. mspain打开A图片

    4. 读取B图片里的隐写数据,生成lnk文件到temp目录

    5. 执行lnk -> powershell ->下载exe执行

    6. 清理lnk及隐写图片

  • 木马通讯采用OpenSSL协议

  • Api动态调用

  • 杀软/沙箱/虚拟机检测

目标 :中日韩俄的国防/电子等机构

描述:

    1. doc释放chrome组件和恶意dll

    2. 执行chrome加载恶意dll

    3. 解密并执行poweershell->下载恶意dll2

    4. 通过cliconfg.exe执行恶意dll2

    5. bypassuac写服务做权限维持

描述:

  • 通过office 0day获取初次访问权限.

  • 样本流程:

    1. office触发漏洞

    2. 释放恶意dll文件

    3. 通过mmc.exe bypass uac.

    4. mmc进程启动后会加载恶意dll文件.

    5. 从远端下载shellcode并执行

美人鱼

目标:丹麦

描述:

  • 采取水坑/鱼叉攻击获取初次访问权限

    1. ppt内嵌ole

    2. 水坑攻击中的样本为自解压文件

  • 写注册表做权限维持

人面狮

目标:以色列国防军/海军

描述:

  • 采用社交网络水坑攻击获取初次访问权限.

  • 木马以dll形式存在,注入到explorer.exe

  • 通讯模块注入到浏览器进程,采用http协议与c2通讯

  • 窃取文件模块注入到杀毒软件进程

摩诃草

目标:中国/巴基斯坦的军事/科研/政务/商业机构

描述:

  • 主要采取水坑/鱼叉攻击获取初次访问权限.

    1. 附件包含0day

    2. 附件为exe/scr/dll (dll文件通过正常带签名的exe程序启动)

    3. 浏览器nday /钓鱼网址

  • 通过入侵第三方论坛,写入c2通讯ip

  • 通过写注册表启动项做权限维持

目标:中国/巴基斯坦的教育/军工/科研/政务

描述:

  • 采取邮件钓鱼获得初次访问权限.

    1. dropper  js -》 解密并生成新的js -〉 执行ps -》 bypassuac - 〉释放dll并加载.

  • 通过http协议与c2通讯

目标: 中国/巴基斯坦的政务/教育机构

描述:

  • 通过钓鱼邮件获取初次访问权限.

    1. ::  doc(cve-2017-8570) - 》 sct -〉c# dropper ->释放Microsoft.Win32.TaskScheduler.dll -》添加计划任务

双尾蝎

目标:巴基斯坦教育机构/军事机构

描述:

  • 通过鱼叉和水坑攻击获取初次访问权限

  • 鱼叉邮件附件为exe/scr

  • 通过注册表启动项做权限维持

Fub7

目标: 美国金融机构

描述:

  • 通过鱼叉攻击采取初次访问权限.

    1. 钓鱼文档中, 插入模糊图片,将OLE对象透明放置在模糊图片之上,用户双击放大图片则触发.

    2. pe格式的文件采用ads数据流隐藏保存

    3. 木马编码后写入到注册表,启动时由powershell读出动态执行.

    4. 64个c2随机选择

  • 采用dns协议与c2通讯.

  • 通过计划任务与注册表启动项做权限维持.

Gaza cybergang

描述:

  • 通过邮件钓鱼方式获取初次访问权限.

  • 附件用office nday执行命令.

  • 执行链: office -> ole download hta -> mshta load hta -> powershell  download pe  - >   create thread load pe

  • 采用dns/http/smb/tcp等方式与c2通讯

  • C2为cobalt strike

黄金鼠

目标: 叙利亚反导弹系统

描述:

  • 通过水坑攻击获取初次访问权限.

蔓灵花

描述:

  • 伪造域名获得指定人员账户密码.

  • 以该账户向其他人发送木马.

    1. :: 自解压程序- > 释放doc并启动 -> 打开exe -》 判断杀软- > 写注册表做权限维持 -> 执行恶意代码.

  • 采用http协议与c2通讯.

描述:

目标:巴基斯坦

  • 通过邮件钓鱼获取初次访问权限

  • 邮件内样本采用文字处理软件的0day执行任意命令

    1. 下载exe / 写注册表做权限维持

    2. 释放dll文件/ dll内释放正常的文本

    3. 通过select * from win32_computersystem检测虚拟机

    4. 写用户启动目录,做第二套权限维持方案

APT-C-01

目标:中国政务/科技/教育/国防等机构

描述:

  • 通过鱼叉攻击获取初次访问权限.

    1. 附件内doc利用漏洞来执行命令.

    2. 下载hta

    3. 执行powershell-》下载pe文件

    4. pe下载远程shellcode解密并执行

Hacking Team 01

目标:卡塔尔地区

样本流程:

    1. 含有flash activex对象的excel文件落地

    2. 加载远程flash文件

    3. 从远程服务器下载aes加密的flash 0day文件

    4. 获取密钥解密flash 0day文件

    5. 触发漏洞,获得执行任意命令的权限

    6. 获取shellcode并执行

蓝宝菇

目标:中国政务/军工/科研/金融等机构

描述:

  • 采取鱼叉攻击获取初次访问权限.

  • 云附件bypass邮件网关

  • 感染开始菜单内所有快捷方式,实现权限维持

描述:

  • 通过鱼叉攻击获取初次访问权限

  • 云附件bypass邮件网关

  • 样本采用lnk执行ps反弹shell

    1. 从lnk尾部读取数据.

    2. 释放doc并运行

    3. 执行shellcode

    4. 感染其他lnk做权限维持

  • 用aws云服务拖文件

描述:

  • 采取鱼叉攻击获取初次访问权限

  • 写注册表做互斥

  • 用SAE做前置机

APT-C-35

目标:巴基斯坦等南亚地区国家

描述:

  • 通过鱼叉攻击获取初次访问权限.

  • 样本采用nday漏洞获得执行命令的权限.

    1. 释放setup.exe到临时目录

    2. 执行setup.exe添加计划任务做权限维持.

    3. 从goodle docs获得c2 ip

  • 样本采用http协议于c2通讯.

目标:对在华巴基斯坦商务人士的定向攻击

描述:

    1. xsl宏释放恶意pe文件

    2. 启动pe文件->下载bat并执行

    3. 写启动项实现权限维持

    4. 采用http协议与c2通讯

毒云藤

目标: 中国国防/政务/军工/科研/教育/海事等机构

描述:

  • 主要通过鱼叉攻击获取初次访问权限.

  • 邮件携带office0day或者二进制可执行文件

  • 二进制样本:

    1. RIO隐藏文档扩展名

    2. 删除注册表内office打开的文档信息

    3. 通过网盘做文件回传(利用高信誉域名bypass 流控设备)

    4. api动态调用bypass杀软静态扫描

    5. 错误调用api bypass沙盒

group123

目标:韩国

描述:

  • 通过鱼叉攻击获取初次访问权限

    1. 样本采用hwp 0day获取命令执行权限.

    2. 写bat到用户启动目录实现权限维持.

    3. 启动system32\sort.exe,注入shellcode执行

    4. 反调试

    5. 检查沙箱

    6. 通过dropbox /pcloud之类的网盘回传数据

未命名

目标:巴基斯坦

描述:

  • 通过钓鱼邮件获取初次访问权限.

  • 附件用office 0day执行命令+windows 0day提权

  • 采用http协议与c2通讯.

  • 写注册表启动项做权限维持

未知

目标:乌克兰

  • 采用邮件钓鱼获取初次访问权限

  • 附件内触发0day执行命令

    1. 释放恶意pe文件并执行

    2. 检测杀软

    3. 检测windows defender ;Select * from Win32_Service WhereName ='WinDefend'AND StateLIKE’Running

    4. 写计划任务做权限维持

    5. 走http协议与c2通讯

附录1: 360安全监测与响应中心

360 安全监测与响应中心,是360 为服务广大政企机构而建立的网络安全服务平台,旨在第一时间为政企机构提供突发网络安全事件的预警、通告,处置建议、技术分析和360安全产品解决方案。突发网络安全事件包括但不限于:安全漏洞、木马病毒、信息泄露、黑客活动、攻击组织等。

360 安全监测与响应中心兼具安全监测与响应能力:中心结合360 安全大数据监测能力与海量威胁情报分析能力,能够全天候、全方位的监测和捕获各类突发网络安全事件;同时,基于10 余年来为全国数万家大型政企机构提供安全服务和应急响应处置经验,中心能够在第一时间为政企机构应对突发网络安全事件提供有效的处置措施建议和应急响应方案。

在2017 年5 月发生的永恒之蓝勒索蠕虫(WannaCry)攻击事件中,360 安全监测与响应中心在72 小时内,连续发布9 份安全预警通告,7 份安全修复指南和6 个专业技术工具,帮助和指导全国十万余家政企机构应对危机。

A-TEAM 是360 安全监测与响应中心下属的一支专业技术研究团队,主要专注于Web渗透与APT 攻防技术研究,并持续展开前瞻性攻防工具预研,以提前探知更多的未知威胁、新兴威胁。A-TEAM 的技术研究从底层原理、协议实现入手,能够深度还原攻与防的技术本质。

声明:本文来自360安全监测与响应中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。