APT组织Tick再度出击;Olympic Destroyer仍在活动;URLAzone恶意软件攻击

本文分析了APT组织Tick利用USB防护驱动器进行内网攻击的新手法,OlympicDestroyer针对欧洲多国的活动,以及针对日本的URLZone恶意软件投放。详细解析了攻击手法、目标选择及恶意软件特性。
640?wx_fmt=gif

再不点蓝字关注,机会就要飞走了哦




本篇主要看点:

Olympic Destroyer新动向

针对日本的URLzone恶意软件投放

朝鲜近期在拉丁美洲地区发起多次银行攻击事件

APT组织Tick再度出击





1、APT组织Tick通过最新木马SymonLoader利用USB防护驱动器进行攻击


        APT组织Tick,主要针对日本和韩国发起攻击,主要恶意软件有Minzen, Datper, Nioupale (aka Daserf), 和HomamDownloader。
       近期,该组织针对韩国国防工业公司创建的特定类型的USB防护驱动器及该驱动的管理系统进行利用,类似于找到了一种方法可以让这些USB驱动器加载恶意代码并执行。

640?wx_fmt=png

Tick组织创建了一个最新家族木马SymonLoader,该木马只会尝试感染运行Microsoft Windows XP或Windows Server 2003的系统,并且系统所处的设备均处于内网。

        首先,攻击者利用被嵌入恶意代码的合法软件来诱骗用户安装加载器程序,该程序运行后会释放SymonLoader。

640?wx_fmt=png

        

        SymonLoader首先检查目标主机的操作系统版本,如果它比Windows XP或Windows Server 2003更新,它将停止工作。

        在检查操作系统版本后,SymonLoader创建一个名为“设备监视器”的隐藏窗口,该窗口开始监视受感染系统上的存储设备更改。当连接了可移动驱动器时,恶意软件将检查驱动器号和驱动器类型。如果驱动器号不是A或B,并且驱动器类型不是CDROM,则恶意软件会调用CreateFile API并获取存储设备的句柄。通过排除驱动器A和B(通常用于软盘驱动器)和CDROM驱动器类型,来查找移动式USB驱动器。

        接下来,恶意软件使用未公开的自定义控制代码0xE2000010调用DeviceIoControl()函数。控制代码由四种不同类型的值组成; DeviceType,Function,Access和Method。在这种情况下,DeviceType值为0xE200,计算公式如下:(0x0E2000010&0xffff0000)>> 0x10。   据微软称,这个特定的DeviceType值应该在第三方供应商的范围内。为了正常工作,第三方驱动程序需要在恶意软件使用自定义控制代码0xE2000010调用DeviceIoControl()之前存在于被入侵系统中。

       640?wx_fmt=png

自定义IoControlCode的DeviceIoControl

SymonLoader通过使用IOCTL_SCSI_PASS_THROUGH参数的SCSI INQUIRY命令获取设备信息,并通过在供应商或产品标识中搜索INQUIRY数据中的特定字符串来确定它是否为目标驱动器。我们对这些搜索中使用的字符串的研究表明,韩国国防工业公司的名字与字符串相符。该公司开发军事,警察,政府机构和公共机构使用的信息和通信安全设备。在一家媒体上,该公司宣布他们制造经认证符合韩国IT安全认证中心。在韩国,某些组织必须遵循“USB存储介质指南”,并且只使用通过政府机构审核的设备。

        通过分析,该公司USB安全驱动器的第三方设备驱动程序支持自定义的控制代码0xE2000010,如恶意软件中查找的控制代码一致,因此可以表明,该木马就是在查找该公司的USB防护驱动。

        当木马查找到该驱动后,其会从中提取未知的可执行文件,攻击者将未知的可执行文件加密并提前将其隐藏在安全USB存储器的末尾部分。隐藏的数据不能通过逻辑文件操作API(如ReadFile())访问。相反,SymonLoader使用逻辑块寻址(LBA)和SCSI命令从可移动驱动器上的特定预期位置物理读取数据。

        LBA是一种简单的线性寻址方案。存储按固定大小分成块,每个块都有一个从零到N-1的数字,取决于卷的大小。应用程序可以指定块号并通过SCSI命令访问数据。

        最后,SymonLoader将提取的文件保存在本地磁盘的临时目录中并执行。程序如下:

1、通过使用READ CAPACITY(10)命令获得存储“N-1”的最终逻辑块地址(LBA)。

2、通过READ(10)命令读取第三个最后一个块“N-3”并将其解密。

3、从解密的数据中,获取主模块所在的LBA“X”。

4、通过READ(10)命令将数据从LBA“X”加载到“N-4”并将其解密。

5、将解密的文件保存为%Temp%\ [random characters] .tmp并执行它。

6、通过SAVE(10)命令将受损系统的主机名和本地时间写入LBA“N-2”。

640?wx_fmt=png

从逻辑块寻址角度看恶意存储的数据布局

总结:这种利用别国的usb防护驱动器进行武器化的手法很少见,在内网入侵过程中确实可以取得奇效,绕过杀软。晓只能说你大爷就是你大爷,我国组织还是很牛逼的。




2、Olympic Destroyer 新动向,此次目标为欧洲多个国家

        Olympic Destroyer是一个在韩国平昌奥运会期间发起攻击的APT组织。在该起攻击中,其仿照了朝鲜APT组织lazarus在Rich Header中自动生成的特征信息,以此来混淆视听,试图将锅甩到朝鲜身上,以此来加深两国矛盾。         除此之外,该组织的代码中还与NotPetya和BadRabbit相似,拥有EternalRomance漏洞传播模块,从而进行横向移动。        在TTP上面,该组织与APT28的行动具有一定相似性,因此也表明该组织对APT28有较深的理解,因为模仿TTP比单纯篡改恶意工具要更加困难,因此,从这个组织对其他APT组织的理解,暂且无法断定该组织到底源自哪里。经过持续监控,在最近发现该组织再次发起了攻击。        此次攻击事件发生在2018年5月到6月,该组织针对俄罗斯的金融机构以及欧洲和乌兰克的生物化学威胁预防实验室进行了攻击,使用手法仍然为恶意宏文档 ->下载混淆后的ps或hta脚本->运行Powershell Empire代理。其中的混淆方法仍然沿用此前攻击奥运会的手法,辨识度较高。        这里所提及的Powershell Empire是一个利用Python和Powershell编写的开源框架,允许对受感染主机进行无文件控制,具有模块化体系结构并依赖于加密通信。在渗透测试过程,进行横向移动和信息收集时会广泛使用该框架。

详细可参考这篇文章:

http://www.freebuf.com/articles/web/76892.html

640?wx_fmt=png
图为下载的Empire 代理的http stager scriptlet
       
        从回连C&C的信息出发,会发现回连下载的恶意软件均放置于合法的 Joomla服务器中, URI路径如下,很显然,攻击者是根据该CMS漏洞进入服务器,很有可能是0day漏洞。
  • /components/com_tags/views

  • /components/com_tags/views/admin

  • /components/com_tags/controllers

  • /components/com_finder/helpers

  • /components/com_finder/views/

  • /components/com_j2xml/

  • /components/com_contact/controllers/

‍‍‍‍‍        
        在受害者方面,该组织针对最近的行动针对俄罗斯,乌克兰和其他几个欧洲国家。并且在对恶意文档进行分析后,发现有多个该组织的潜在攻击目标,例如:与在瑞士举办的生物化学威胁研究会议'Spiez Convergence'相关的文档,用于毒害Sergey Skripal和他在索尔兹伯里的女儿的神经毒剂,从乌克兰国家机构获取的卫生部文件等。

        从混淆手法出发,下图可以看出前后两次活动中具有类似的结构。
640?wx_fmt=png
上下两个脚本都可以找到MultiPage1_Layout函数‍
640?wx_fmt=png

ioc可以参考下面的相关文章链接。




3、针对日本的URLZone恶意软件活动


        URLZone是一个已经有近十年历史的恶意软件,从2018年初至今,绝大多数URLZone攻击都针对日本。
        通过使用恶意宏文档作为钓鱼邮件的附件进行投放,当触发宏后会去下载该家族恶意软件,其中宏代码解混淆前后如下图。
640?wx_fmt=png640?wx_fmt=png
640?wx_fmt=png
        启动后,该木马会进行下面几项检测。
  • CPU 信息

  • SandboxIE检测

  • VideoBiosVersion

  • VMWare的注册表

  • 目录或文件名检查

  • IsDebuggerPresent

        除此之外,该家族文件的签名中显示多个真实公司的名称

        Dropbox,The CDex Project,Lucky Monkey Designs LLC,LiteManagerTeam,Zoom Communications,Carbon3,forest,Zeta Interactive。
        URLZone在检测环境完毕后,首先会利用Process Hollowing技术,创建子进程explorer.exe或iexplorer.exe,并将shellcode注入进程。最后跳转到URLZone新的入口点,如下图所示,其跳转到EAX对应的地址。

640?wx_fmt=png    
        除此之外,有的URLZone还会下载并执行Cutwail和Ursnif木马,这也都是比较常见的银行木马。


相关文章链接

内均附ioc
[1] https://securelist.com/olympic-destroyer-is-still-alive/86169/
[2] https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/

[3] https://www.fireeye.com/blog/threat-research/2016/01/urlzone_zones_inon.html

[4] https://www.arbornetworks.com/blog/asert/an-update-on-the-urlzone-banker/

[5] https://www.johannesbader.ch/2015/01/the-dga-of-shiotob/

[6] https://researchcenter.paloaltonetworks.com/2017/02/unit42-banking-trojans-ursnif-global-distribution-networks-identified/

[7] https://researchcenter.paloaltonetworks.com/2018/06/unit42-tick-group-weaponized-secure-usb-drives-target-air-gapped-critical-systems/




今日推荐阅读情报


1、朝鲜应对一连串拉美银行黑客行为负责,内附链接可访问相关报告

https://www.cyberscoop.com/north-korea-swift-hacks-bancomext-bank-of-chile/


2、利用WMI进行横向移动的新方法 https://www.cybereason.com/blog/wmi-lateral-movement-win32




长按识别二维码,关注一下

640?wx_fmt=jpeg
640?wx_fmt=gif


日常科普

威胁情报是循证知识,包括环境、机制、指标、意义和可行性建议,现有的或新兴的、对资产的威胁或危害,可用于主体对威胁或危害的反应做出明确决定。

威胁情报就是收集、评估和应用关于安全威胁、威胁分子、攻击利用、恶意软件、漏洞和漏洞指标的数据集合。

推荐阅读

640?wx_fmt=jpeg


内容概要:本文围绕“光伏-储能-数据中心”系统的容量优化配置展开研究,旨在通过构建数学模型并结合Matlab编程实现,对园区内光伏发电、储能设备与数据中心算力负荷之间的多能互补关系进行协同优化。研究综合考虑可再生能源出力的波动性、储能系统的充放电特性以及数据中心的动态用电需求与算力调度特性,建立以最小化综合成本、降低碳排放强度、提升能源自给率等为目标的多目标优化模型,并采用先进的智能优化算法(如粒子群、灰狼、鲸鱼等)进行求解,从而确定光伏装机容量与储能系统配置的最优方案。文中提供了完整的Matlab代码实现流程,涵盖数据预处理、模型构建、算法求解与结果可视化全过程,属于综合能源系统与信息基础设施深度融合的前沿交叉课题。; 适合人群:具备电力系统、能源工程、自动化或计算机等相关专业背景,熟悉Matlab编程与基本优化算法原理,从事新能源利用、绿色数据中心、综合能源系统规划与低碳调度等方向的研究生、科研人员及工程技术人员。; 使用场景及目标:① 掌握光伏-储能-数据中心耦合系统的建模思路与多能流协同机制;② 学习基于Matlab的多目标容量优化配置方法与智能算法应用技巧;③ 为工业园区、数字经济园区及绿色数据中心的能源系统规划、节能减排与可持续运行提供科学决策依据和技术解决方案。; 阅读建议:建议结合所提供的Matlab代码,深入理解目标函数设计、约束条件设定及算法实现细节,可通过调整负荷参数、改变气候数据、引入新的优化目标或约束条件等方式进行拓展性实验,以深化对系统特性的认知并提升实际科研与工程应用能力。
内容概要:本文档聚焦于“考虑源网荷储协调的主动配电网优化调度方法”的Matlab代码复现研究,属于电力系统与综合能源系统领域的高水平科研资源。文档系统阐述了融合电源侧、电网侧、负荷侧及储能系统(源-网-荷-储)协同优化的主动配电网调度模型,旨在通过先进的数学优化方法提升电力系统的经济性、可靠性与低碳化水平。研究内容涵盖多时间尺度调度架构、不确定性建模(如新能源出力波动)、鲁棒优化或分布鲁棒优化(DRO)等核心技术,并依托Matlab平台完成模型构建与仿真验证。同时,文档列举了多个前沿研究方向,如光储充一体化、主从博弈、微电网双层优化、电氢耦合系统、电动汽车集群调度等,体现出其在现代智能电网与综合能源系统优化调度中的代表性与前瞻性。; 适合人群:具备电力系统基础理论知识和Matlab编程能力,从事能源、电气工程、自动化、可再生能源等方向研究的研究生、科研人员及工程技术人员,特别适合致力于优化建模、智能算法应用与综合能源系统仿真的研究人员。; 使用场景及目标:① 复现高水平期刊论文中的主动配电网优化调度模型;② 掌握源网荷储协同优化的建模方法与Matlab实现技术;③ 借助所提供的完整代码资源开展二次开发、算法改进或新场景拓展,服务于科研创新、项目申报与学术论文撰写。; 阅读建议:建议结合文档中提及的相关文献与案例,按照目录结构循序渐进地学习,重点理解模型构建的逻辑框架与代码实现的关键细节,并利用附带的百度网盘资源获取全部代码与数据文件,通过动手实践加深对优化算法与工程应用的理解。
内容概要:本文围绕《考虑光伏-储能-数据中心多能互补的园区容量优化配置(Matlab代码实现)》这一技术资源,系统研究了工业园区内光伏发电、储能系统与数据中心之间的能量协同与容量优化问题。通过构建融合可再生能源出力不确定性、负荷波动及数据中心算力负荷特性的数学优化模型,采用Matlab编程实现多能互补系统的容量配置求解,旨在提升能源利用效率、降低运营成本与碳排放,并增强园区能源系统的稳定性与经济性。文中综合运用分布鲁棒机会约束(DRCC)、N-1安全准则、鲁棒优化等先进建模方法,确保方案在复杂运行环境下的可行性与可靠性,适用于综合能源系统(IES)的规划与调度研究。; 适合人群:面向具备电力系统、能源系统或优化算法基础的研究生、科研人员及工程技术人员,尤其适合熟悉Matlab编程及YALMIP、CPLEX等优化工具的专业人士;对于从事智慧园区、绿色数据中心或低碳能源系统研究的人员亦具有较高参考价值。; 使用场景及目标:①支撑科研项目中对含数据中心的智慧园区进行多能互补建模与仿真分析;②用于撰写学位论文、期刊投稿中的案例验证与算法对比;③指导实际工程中光伏与储能容量的科学规划与配置决策;④深入学习分布鲁棒优化、N-1安全约束等高级方法在能源系统中的集成应用。; 阅读建议:建议结合提供的Matlab代码逐模块解析模型实现过程,重点关注目标函数构建、约束条件设定及求解器接口调用逻辑。推荐对照“顶级EI复现”案例,掌握工业级建模规范,并尝试复现关键结果以加深理解。同时可延伸学习文中关联的多时间尺度调度与协同优化策略,全面提升综合能源系统的研究与实践能力。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值