APT组织Donot多阶段通信过程解析

自2016起，一直在活动中的APT组织是 Donnot。该组织主要针对巴基斯坦、中国、斯里兰卡、泰国等国家和克什米尔地区发起攻击，攻击目标包括政府机构、国防军事部门、外交部以及大使馆。Donot组织主要使用钓鱼邮件作为初始接入的手段，利用宏代码加载下一阶段载荷，通过下载者下载各类功能插件，包括：键盘记录、屏幕捕捉、文件窃取、浏览器信息窃取以及反向shell等插件。

恶意文档执行后，通过3个阶段的通信完成整个窃密过程。第一阶段，从服务器A处通过HTTP协议获取模块下载器；第二阶段，各个数据源插件将不同点窃取的数据通过对应的TLS通信网络协议上传到客户端和服务器C上。

第一阶段：获取下载者木马

文档中包含恶意宏代码，执行后会将shellcode注入到Excel.exe进程中。shellcode通过HTTP协议从http://one.localsurfer.buzz/*****/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8.（png|mp4）获取下载者木马。

第二阶段：数据窃取

文件窃取插件读取Desktop、Document、Downloads文件夹中后缀名为xls、xlxs、ppt、pptx、pdf、inp、opus、amr、rtf、ogg、txt、jpg和doc的文件，将相关数据使用AES-128-CBC加密后存储到C:\ProgramData\Pack0ges\Tvr\目录下，通过TLS协议经过https://*****/kolexretriya78ertdcxmega895200.php上传到服务器。这样就可以实现远程访问了。如果不想使用tls协议，也可以通过ftp来实现远程访问。

（编辑：银川站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!