安基網 首頁 資訊 安全報 查看內容

雪缘园足球比分直播:揭秘網絡間諜組織“TICK”:目標鎖定國防、航空航天、衛星行業

英超雪缘园 www.trual.com.cn 2019-12-30 09:46| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 自2008年以來,趨勢科技一直在追蹤一個名為“TICK”(也被稱為“BRONZE BUTLER”或“REDBALDKNIGHT”)的網絡間諜組織,并在2018年11月觀察到,由該組織部署的惡意軟件出現了不同尋常的激增。除數量激增外,趨勢科技還發現該組織已開發出新的惡意軟件家族,它們不僅能夠繞過目前市面上大多數殺毒軟件的 ...

自2008年以來,趨勢科技一直在追蹤一個名為“TICK”(也被稱為“BRONZE BUTLER”或“REDBALDKNIGHT”)的網絡間諜組織,并在2018年11月觀察到,由該組織部署的惡意軟件出現了不同尋常的激增。

除數量激增外,趨勢科技還發現該組織已開發出新的惡意軟件家族,它們不僅能夠繞過目前市面上大多數殺毒軟件的檢測,而且還能夠為攻擊者提供更多入侵所需的權限。

在這場被趨勢科技命名為“Operation ENDTRADE”的新行動中,該組織還使用了合法的電子郵件賬戶和證書來傳播惡意軟件,目標主要集中在掌握高度機密信息的行業,如國防、航空航天、化工和衛星行業等。

值得一提的是,大多數企業的總部都位于日本,且在中國設有子公司。

魚叉式釣魚電子郵件

圖1. ENDTRADE行動的時間表

在今年1月份,TICK分別針對一家日本經濟研究公司和一家公共關系(PR)機構發送了魚叉式釣魚電子郵件,旨在竊取電子郵箱憑證和文件。

圖2.魚叉式釣魚電子郵件樣本

根據樣本所使用的硬編碼語言(932和936),趨勢科技認為,ENDTRADE行動的目標似乎是在中國設有子公司的日本企業。

圖3.硬編碼的語言代碼

新的惡意軟件家族

在ENDTRADE行動中,TICK使用了兩種新的惡意軟件家族——Avenger和down_new。

圖4.新的下載器和木馬

Avenger

針對不同的攻擊目標,TICK所使用的Avenger版本會有所區別,但都會執行三步操作:

1.收集受感染主機的卷信息、已安裝的殺毒軟件和操作系統版本,然后將這些信息發送給命令和控制(C&C)服務器,以判定主機是否預期目標。

圖5.第一步:收集信息

2.通過瀏覽文件夾、文件和域信息,從受感染主機收集有關受害者的詳細信息。

圖6.第二步:收集到的信息被寫入.txt文件

3.下載一個內嵌惡意軟件的圖片(隱寫術),并提取后門程序。

圖7.第三步:將加密文件發送給C&C服務器

圖8.隱藏在圖片中的后門程序

圖9.升級版本的隱寫術

down_new

down_new具有如下功能:

  • 將自運行添加到注冊表;
  • 獲取MAC地址和卷信息,并上傳到C&C服務器;
  • 僅在工作時間(早8點到晚6點)執行(使用kernel32.GetLocalTime API);
  • 使用AES加密和base64編碼加密消息;
  • 將合法網站用作C&C服務器;
  • 檢測殺毒軟件及相關進程。

圖10.down_new的命令列表

其他惡意軟件

Casper

Casper是Cobalt Strike后門程序的修改版本,隱藏在隱寫術圖片中,并使用了兩種技術來繞過殺毒軟件的檢測:一種技術涉及到使用具有動態鏈接庫(DLL)側加載技術的合法Windows應用程序來啟動自身;另一個涉及將后門程序的shellcode注入svchost.exe。

圖11.注入svchost.exe的Shellcode

DATPER

趨勢科技在此次行動中捕獲的DATPER樣本擁有兩個調整過的互斥鎖——d0ftyzxcdrfdqwe和*&Hjgfc49gna-2-tjb,它們能夠受感染主機中檢索信息。

此外,最新的DATPER變種還擁有一組新的參數,允許它繞過殺毒軟件的檢測。

圖12. DATPER帶有獨立參數的新互斥鎖

公開可用的遠控木馬和開源工具

在ENDTRADE行動中,TICK還使用了一些公開可用的遠控木馬和開源工具,如Lilith RAT以及Mimikatz(Windows密碼抓取神器)、RAR壓縮工具、端口映射工具和截屏工具等。

圖13.經修改的截屏工具

圖14.經修改的Mimikatz

結論

TICK是一個有組織且已經存在已久的網絡間諜組織,攻擊目標主要是高價值的個人和組織,并擁有發起復雜攻擊所需的技能和資源。

ENDTRADE行動再次告訴我們,國家關鍵基礎設施和跨國企業更加需要強有力的監測系統, 而員工的網絡安全意識仍將是確保企業正常運營得以維持的關鍵。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6766045762074706444/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

相關閱讀

最新評論

 最新
返回頂部
{ganrao} 日本女优诱惑 秒速飞艇每天稳赚技巧 广西十一选五 日本女优女明星 山东11选5 360彩票 双色球开奖 快乐赛车网址 单机美女麻将游戏 四人麻将手机版在线玩 上海11选5最大遗漏 3d开奖结果3d开 11选5 单机2人美女麻将下载 上原亚衣作品链接迅雷下载 浙江十一选五开奖号码走势图 3d今晚试机号