APT组织Donot多阶段通信过程分析
发布时间:2023-02-22 10:26:56 所属栏目:安全 来源:
导读:Donot 独肚脑虫)是 APT组织,自2016年活跃至今。该组织主要针对巴基斯坦、中国、斯里兰卡、泰国等国家和克什米尔地区发起攻击,攻击目标包括政府机构、国防军事部门、外交部以及大使馆。Donot组织主要使用钓鱼邮件作为
|
Donot 独肚脑虫)是 APT组织,自2016年活跃至今。该组织主要针对巴基斯坦、中国、斯里兰卡、泰国等国家和克什米尔地区发起攻击,攻击目标包括政府机构、国防军事部门、外交部以及大使馆。Donot组织主要使用钓鱼邮件作为初始接入的手段,利用宏代码加载下一阶段载荷,通过下载者下载各类功能插件,包括:键盘记录、屏幕捕捉、文件窃取、浏览器信息窃取以及反向shell等插件。 近日,观成科技捕获到Donot组织的一个恶意文档类样本(Hash:ab5cc990a6f4a196daa73bf655286900e7c669b2a37c32f92cbb54631bc3a565),该样本的执行过程与Donot以往的此类样本基本一致,通过HTTP协议从服务器处获取模块下载器,下载器的插件下载以及数据上传阶段通信均通过TLS加密协议实现。 多阶段通信过程 恶意文档执行后,通过3个阶段的通信完成整个窃密过程。第一阶段,从服务器A处通过HTTP协议获取模块下载器;第二阶段,模块下载器从服务器B处通过TLS协议获取多个插件;第三阶段,使用各个第三方插件将窃取的数据通过TLS传递协议上传到分布式服务器C服务器*上。 第一阶段:获取下载者木马 文档中包含恶意宏代码,执行后会将shellcode注入到Excel.exe进程中。shellcode通过HTTP协议从http://one.localsurfer.buzz/*****/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8.(png|mp4)获取下载者木马。 第二阶段:获取多个插件 下载者木马difg02rf.dll创建名为“OneSingUpdate”的计划任务,从服务器下载3个插件,插件名称硬编码在样本中,分别为Kyingert(键盘记录器插件)、tr2201dcv(文件窃取插件)和SSrtfgad(屏幕截图插件)。下载者木马使用TLS协议与服务器进行通信,通过https://grap******/DoPstRgh512nexcvv.php将用户名和插件名发送给服务器。一种基于图像分割的视频监控系统。它利用摄像机的红外成像技术,对被摄物体进行实时的三维立体成像,从而获得被摄物体的三维信息。 (编辑:银川站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
站长推荐