最近在研究APT攻击,我选择研究APT的方法通过一个APT组织入手,我选择的是APT28这个组织,APT28组织是一个与俄罗斯政府组织的高级攻击团伙,我将分析该组织的攻击样本、攻击方法、攻击目的来研究一个APT组织。本次分析的是该团伙使用的DDE漏洞,所有资料均来自互联网。
本次的分析的样本来此mcafee文章的样本,未提及具体共的攻击者,样本的内容与纽约恐怖袭击有关。APT28能够利用当时的热点事件。迅速采用新技术发起攻击。
DDE(动态数据交换),被定义为允许应用程序共享的一组消息和准则。,应用程序可以使用DDE协议进行一次数据传输,以便应用程序在新数据可用时将更新发送给彼此,这次分析的两个样本,一个未混淆一个混淆,也比较能反应出攻击组织在攻击手法上的改进
此次分析的样本一共如下两个:
文件名称 IsisAttackInNewYork.docx
SHA-1 1C6C700CEEBFBE799E115582665105CAA03C5C9E
创建时间 2017:10:27T 22:23:00Z
文件大小 53.1 KB (54,435 字节)
文件名称 SabreGuardian.docx
SHA-256 68C2809560C7623D2307D8797691ABF3EAFE319A
创建时间 2017:10:27 22:23:00Z
文件大小 49.8 KB (51,046 字节)
样本分析
首先分析SabreGuardian.docx,双击之后发现会出现提示更新域
在点击是之后,会出现另外一个提示,我们可以看到出现以下,出现了启动应用程序MSWord程序,这里初始一看并没有什么问题,毕竟启动的是WORD本身自己。
我们在所有有关字符串之后,发现了相关的DDE攻击代码,在word/document.xml中,如下图所示。
我们可以看到样本运用初步的社会工程学技术,虽然表面上是运行的MSWord.exe,但是实际上运行的是POWERSHELL进程。
"C:\Programs\Microsoft\Office\MSWord.exe\..\..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Powershell进程会远程下载一个文件,并用powershell执行起来。此文件用以下YARA规则进行匹配能够匹配到
再来分析SabreGuardian.docx,发现跟上个文件一样还是进行了一定的社会工程学,伪装成启动MSWord.exe
但是并没有发现如上一个文件一样的字符串,但是通过使用上面的yara规则也能匹配到具体的威胁,如下图所示。
在对应的word/document.xml发现了上面的字符串,我们具体分析下这个字符串。
通过分析发现了Quote域,Quote域可以将特定的文本插入到文档中如下图所示,QUOTE域提供某个字符的数字编码,它会将这个编码转换为对应的字符,set 用于存储Quote生成的值保存到C变量中,可以看到设置了三个变量c、d、e
最后传到DDE命令中
上面的内容缩写为
{SET c "{QUOTE 65 65 65 65}"}
{SET d "{QUOTE 66 66 66 66}"}
{SET e "{QUOTE 67 67 67 67}"}
{DDE {REF c} {REF d} {REF e}}
等同于
{DDE "AAAA" "BBBB" "CCCC"}
来写一个小的python脚本来将上面的数字编码转化成字符串。
三段小字符串分别是如下图所示,发现跟第一个是一样的通过powershell下载文件在通过power shell运行。
