APT组织Donot多阶段通信过程分析

安全 应用安全
Donot组织在攻击的各个阶段使用不同的服务器提供服务,在使用了TLS协议进行加密通信后,还通过AES-128-CBC对上传的数据再次进行了加密,这些操作增加了通信的隐蔽性,降低了被检出的概率。

1、概述

Donot(肚脑虫)是一个从2016年开始一直活跃至今的APT组织。该组织主要针对巴基斯坦、中国、斯里兰卡、泰国等国家和克什米尔地区发起攻击,攻击目标包括政府机构、国防军事部门、外交部以及大使馆。Donot组织主要使用钓鱼邮件作为初始接入的手段,利用宏代码加载下一阶段载荷,通过下载者下载各类功能插件,包括:键盘记录、屏幕捕捉、文件窃取、浏览器信息窃取以及反向shell等插件。

近日,观成科技捕获到Donot组织的一个恶意文档类样本(Hash:ab5cc990a6f4a196daa73bf655286900e7c669b2a37c32f92cbb54631bc3a565),该样本的执行过程与Donot以往的此类样本基本一致,通过HTTP协议从服务器处获取模块下载器,下载器的插件下载以及数据上传阶段通信均通过TLS加密协议实现。

2、多阶段通信过程

恶意文档执行后,通过3个阶段的通信完成整个窃密过程。第一阶段,从服务器A处通过HTTP协议获取模块下载器;第二阶段,模块下载器从服务器B处通过TLS协议获取多个插件;第三阶段,各个插件将窃取的数据通过TLS协议上传到服务器C上。

图片

 执行过程

2.1第一阶段:获取下载者木马

文档中包含恶意宏代码,执行后会将shellcode注入到Excel.exe进程中。shellcode通过HTTP协议从http://one.localsurfer.buzz/*****/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8.(png|mp4)获取下载者木马。

图片

获取下载者木马

2.2第二阶段:获取多个插件

下载者木马difg02rf.dll创建名为“OneSingUpdate”的计划任务,从服务器下载3个插件,插件名称硬编码在样本中,分别为Kyingert(键盘记录器插件)、tr2201dcv(文件窃取插件)和SSrtfgad(屏幕截图插件)。下载者木马使用TLS协议与服务器进行通信,通过https://grap******/DoPstRgh512nexcvv.php将用户名和插件名发送给服务器。

图片

获取Kyingert.dll(TLS)

图片

获取Kyingert.dll(TLS解密后)

2.3第三阶段:数据窃取

文件窃取插件读取Desktop、Document、Downloads文件夹中后缀名为xls、xlxs、ppt、pptx、pdf、inp、opus、amr、rtf、ogg、txt、jpg和doc的文件,将相关数据使用AES-128-CBC加密后存储到C:\ProgramData\Pack0ges\Tvr\目录下,通过TLS协议经过https://*****/kolexretriya78ertdcxmega895200.php上传到服务器。

图片

使用TLS协议传输数据

图片

 解密后的HTTP头部

键盘记录插件和屏幕捕捉插件使用相同URL将窃取的数据上传到服务器。

3、总结

Donot组织在攻击的各个阶段使用不同的服务器提供服务,在使用了TLS协议进行加密通信后,还通过AES-128-CBC对上传的数据再次进行了加密,这些操作增加了通信的隐蔽性,降低了被检出的概率。

责任编辑:武晓燕 来源: 安全牛
相关推荐

2017-11-13 17:17:11

Docker镜像Go

2023-07-03 08:52:31

容器Golang

2024-03-04 14:51:13

Golang镜像二进制文件

2023-04-09 16:31:30

Phaser工具Java

2017-11-21 14:34:30

2020-03-30 21:32:50

物联网IOT多阶段验证

2022-11-03 10:28:43

Docker

2020-10-10 10:40:20

APT组织分析

2021-01-27 11:35:34

高级持续威胁APT网络安全

2019-06-05 10:27:26

UCloud徐亮

2022-05-10 11:51:42

APT组织网络攻击

2022-03-28 08:41:27

恶意软件勒索软件网络攻击

2020-12-14 09:50:37

黑客网络安全网络攻击

2022-05-26 11:53:48

ProofpointNerbian

2022-09-08 18:41:34

恶意软件ShikitegaLinux

2020-06-08 14:44:56

SIM卡攻击交换攻击

2017-06-07 12:25:37

Shuffle代码Map阶段处理

2021-11-08 07:26:36

Vailyn漏洞安全工具

2023-10-24 15:25:09

2016-06-13 09:18:21

点赞
收藏

51CTO技术栈公众号