跳转到帖子
  • 游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

    赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

    TheHackerWorld官方

Transparent Tribe APT组织对印度政府发送PPT文件病毒窃取机密资料 病毒文件分析详解


风尘剑心

推荐的帖子

Transparent Tribe(“透明部落”)组织为Proofpoint于2016年2月披露并命名的组织,也称为C-Major、ProjectM,是一个具有南亚背景的APT组织。该组织的主要攻击目标为印度政府、军队或相关组织,其利用社会工程学进行鱼叉攻击,向目标投递带有VBA的doc、xls文档,执行诱饵文档中的宏代码释放执行CrimsonRAT、PeppyRAT,窃取相关敏感资料信息。

近日,奇安信威胁情报中心红雨滴在日常的威胁狩猎发现,Transparent Tribe近期针对南亚地区的攻击活动主要以国防部会议、军事材料等为主题。根据红雨滴研究人员跟踪分析,此次的攻击活动有如下特点:

  • 在此次攻击活动中,攻击者利用此前披露的透明部落组织类似攻击手法,即通过带恶意宏的文档最终释放CrimsonRAT执行。

  • 未发现影响国内,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括威胁情报平台(TIP)、天眼高级威胁检测系统、NGSOC、奇安信态势感知等,都已经支持对此APT攻击团伙攻击活动的精准检测。

 

样本分析

01 基本信息 样本1:以印度国防部会议记录信息为诱饵的恶意PPT

文件名

Minutes of Meeting.ppt

MD5

70ab4a9161f0835574449c7fd3788b37

文件格式

Microsoft Office PowerPoint 

C2

167.160.166.80

 

样本2:

文件名

i.docm

MD5

4a7ff92e0ea13b41a5e3410c3becfb2e

文件格式

Word  Microsoft Office

C2

198.23.210.211

  样本3:以教师求职简历为诱饵的恶意文档

文件名

-

MD5

7f1f7c5c4b6b486e5ba9340944036285

文件格式

Microsoft Office Publisher Document

C2

66.154.112.206

  样本4:以印度国防学院电子图书馆更新为诱饵的恶意PPT文件

文件名

NDC Updates.ppt

MD5

6c683aca669e1c448b0abce3df49fcb1

文件格式

Microsoft Office PowerPoint 

C2

185.136.169.155

 

执行病毒分析:

 

执行恶意VBA分析
(先调用shoby_leLedr函数)

释放C:\ProgramData\HDM Media\davivthain.exe和诱饵文件

fuODb9.png

诱饵文件写入

fuOyU1.png

davivthain.exe
md5:3c2b45a6d878cc9f30a5dc10abf400a1

检查是否存在C:\Users\geyixian\AppData\Roaming\Microsoft\Windows\Templates\dihakhvartik.zip,存在则将其进行解压并执行

fuOgC6.png

若C:\Users\geyixian\AppData\Roaming\Microsoft\Windows\Templates\dihakhvartik.zip不存在,则将创建C:\ProgramData\Hithviwia目录,并通过getWin()函数读取资源数据,并根据操作系统版本选择相应内容保存为trbgertrnion.zip文件,解压执行

fuORgO.png

getShin函数
获取操作系统版本,判断“wia07”和“wia08”文件是否存在,若存在则将其删除,然后从资源文件“Resources.data”读取数据保存为data.zip,并解压到C:\Users\geyixian\AppData\Roaming\Microsoft\Windows\Templates,再根据操作系统版本读取相应的文件内容。

fuOWvD.png

drmaiprave.exe
md5:77c29d464efcae961424ae050453ef11
首先设置开机自启

fuOhKe.png

完成初始化操作之后便开始与C2通信
(C2 IP:66.154.112.206 PORT:6188,如果端口连接失败从数组元素挨个测试)

fuO4DH.png

IP解码

fuO5bd.png
fuOoVA.png

c2对应的指令解析

fuO75t.png

c2指令 对应函数 操作
gey7tavs machine_procss 进程枚举
thy7umb images_details GIF录制
pry7ocl save_apps 开机自启注册表添加
doy7wf download_file 文件保存
scy7rsz dsk_scrn_size 设置截屏大小
fiy7lsz ile_details 文件详情获取
csy7dcrgn seye_scren 屏幕截图
diy7rs show_send_drives 硬盘数量枚举
dey7lt tras_files 文件删除
afy7ile seynd_auto 文件上传
udy7lt remove_account 当前路径保存名为iaknhan.exe并运行
liy7stf see_folders 文件夹遍历获取目录下的文件名(包括文件详细信息获取)
iny7fo account_infos 系统版本号和当前进程所在路径获取
ruy7nf Process.Start(procss_type[1].Split(new char[]{‘>’})[0]); 运行指定进程
fiy7le move_files 文件移动
fly7es see_files 文件夹遍历获取文件名

链接帖子
意见的链接
分享到其他网站

黑客攻防讨论组

黑客攻防讨论组

    You don't have permission to chat.
    • 最近浏览   0位会员

      • 没有会员查看此页面。
    ×
    ×
    • 创建新的...