Bitter盜取巴基斯坦警察部門簽名進行攻擊活動分析
- 2019 年 10 月 6 日
- 筆記
概述
Bitter團伙是一個長期針對中國、巴基斯坦等國家進行攻擊活動的APT組織,該組織主要針對政府、軍工業、電力、核等單位進行攻擊,竊取敏感資料,具有強烈的政治背景。
最近,在上班摸魚閑逛某不存在網站的時候,發現紅雨滴大佬披露的bitter盜用巴基斯坦某警察部門數字簽名的攻擊事件
遂在免費沙箱anyrun上找到該樣本進行分析學習
樣本分析
先從誘餌文檔開始分析
|
MD5 |
226d33f02acb6b8d0a1b9ecf4f7a1752 |
|---|---|
|
樣本來源 |
https://app.any.run/tasks/8173c927-2c4d-4415-a5a0-6a9c8bc34430/ |
該樣本採取模板注入的方式獲取執行後續payload,此類方式可以起到極好的免殺效果。
VT 目前57家殺軟也僅僅只有11家報毒
執行後,從模板外鏈地址http://w32infinitisupports.net/win/ ctfd 獲取文件執行。此類方式缺點也比較明顯,執行時會有明顯的從服務器獲取文件的界面,如下所示
模板注入的文件
|
文件名 |
Ctfd |
|---|---|
|
MD5 |
fa6d27a7df1a47fe9fc2f6595f7ab700 |
|
文件來源 |
http://w32infinitisupports.net/win/ ctfd |
模板注入加載的文件是公式編輯器漏洞利用文檔,oletools查看如下
通過執行命令rtfobj.exe cftd –s all將文檔中的ole對象dump出來,用16進制查看器進行分析。在末尾可看到執行的shellcode。
從w32infinitisupports.netwinctf獲取文件保存到C:Infdwm.exe路徑,並執行
Downloader
|
文件名 |
Dwm.exe |
|---|---|
|
Md5 |
596ec0f90c25fdbe3d8ade3f4ea4cd38 |
|
文件來源 |
w32infinitisupports.netwinctf |
|
C2 |
blth32serv.net |
|
Pdb |
C:UsersAsterixDocumentsVisual Studio 2008Projects25July2019DNRelease25July2019DN.pdb |
該文件的主要功能為與c2進行通信獲取其他插件執行,入口處一股bitter味
運行後創建目錄c:Driver,並將自身拷貝到該目錄下重命名為nsdtcv.exe
之後將nsdtcv.exe設為啟動項實現持久化
之後獲取計算機信息加密處理和與c2:http://blth32serv.net/ourtyaz/qwf.php?進行通信
從c2獲取數據,判斷數據前幾位是否為」WIT: #,若」WIT: #後跟了字符串內容,則下載執行該插件
在分析的過程中未獲取到其他插件
同源樣本
根據紅雨滴大佬的線索,另一個具有相同c2的樣本信息如下
|
Md5 |
d8b2cd8ebb8272fcc8ddac8da7e48e01 |
|---|---|
|
C2 |
blth32serv.net |
|
pdb |
c:UsersAsterixDocumentsVisualStudio2008Projects25July2019DNRelease25July2019DN.pdb |
該樣本與Downloader功能c2全部一致,而該樣本甚至具有數字簽名,如下所示:
通過數字簽名郵箱@sindhpolice.gov.pk可以得知該簽名屬於巴基斯坦信德警察局
信德地區處於巴基斯坦與印度交界處,emmm,你懂得
在某不存在的網站,@blackorbird大佬推測是攻擊者獲取簽名生成器
與bitter的關聯
Downloade與之前公開報告中bitter的下載馬基本一致
Pdb與之前bitter使用的pdb基本相似
結合上述信息,此次進行盜取警察簽名這種囂張行為的組織應該是來自bitter團伙。
Ioc:
Md5:
226d33f02acb6b8d0a1b9ecf4f7a1752 fa6d27a7df1a47fe9fc2f6595f7ab700 d8b2cd8ebb8272fcc8ddac8da7e48e01
cc:
blth32serv.net
*本文原創作者:fuckgod,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載
