APT攻击双城记:中国黑客干的?_黑客教程_安琪教程网

黑客教程

APT攻击双城记:中国黑客干的?

时间:2018/10/16 23:53:58 作者:安琪 来自:www.aqfls.com 浏览:320 评论:0
内容摘要:*声明:出于研究参考目的,本文为ThreatConnect讲演编译,文中触及的观点以及态度不代表本网站观点以及态度。这是最佳的时代,这是最坏的时代。近来,俄罗斯对美国以及别的国际构造开铺的APT攻击盘踞消息头条,而在聚光灯外,中国的APT攻击也异常活跃。2016年6月,中国APT构造对欧洲某无人机电子设备公司以及法国某...

*声明:出于研究参考目的,本文为ThreatConnect讲演编译,文中触及的观点以及态度不代表本网站观点以及态度。

chinaus-680x400.jpg

这是最佳的时代,这是最坏的时代。近来,俄罗斯对美国以及别的国际构造开铺的APT攻击盘踞消息头条,而在聚光灯外,中国的APT攻击也异常活跃。2016年6月,中国APT构造对欧洲某无人机电子设备公司以及法国某能源治理公司在美子公司进行了定向收集攻击,其中,法国某能源治理公司长期为美国当局以及国防部开铺基础举措措施建设,属于美国防承包商。由于触及无人机手艺以及美国军方,这些攻击显然出于经济利益以及军事情报目的。

行使ThreatConnect入侵模型,我们围绕攻击使用的恶意软件进行阐发,发现其中多个域名调用与2015年与中国相干的Anthem以及OPM攻击事故相干。虽然行使现有证据,没法准确回因到某个中国APT构造,但我们仍高度嫌疑是中国国家支持黑客所为。

image00-13-1023x1030.png

攻击手艺:HttpBrowser后门

2016年6月8日,我们拿获了MD5值为3BEA073FA50B62C561CEDD9619CD8425的恶意程序,该恶意程序为HttpBrowser后门变体,是Emissary Panda(APT27\TG-3390)、Dynamite Panda(APT18\Wekby\TG0416)等中国APT构造使用的攻击后门。也有一些调查讲演把HttpBrowser后门称为Gtalk木马,根据趋向科技的阐发,HttpBrowser后门以及别的RAT程序类似,在目标体系内生成一个反向连接控制进程,完成上传下载文件、键盘记录等功能。一些杀毒软件对HttpBrowser后门的检测率很低,仅能凭其启发式特征来发现识别。

HttpBrowser后门存在多种变体,而在该样本中,通过收集流量包阐发显示,User-Agent原本字段“HttpBrowser/1.0”被替代为“Mozilla/5.0 (Windows; U; Windows NT 5.2) Gecko/%lu Firefox/3.0.1”,其中%lu为格式修饰符,完成在User-Agent字段追加一个无符号长整型数据。

image02-12-1500x377.png

该恶意程序使用下列查询字段向遥程C&C端发送受害者体系信息:

computer=<COMPUTER NAME>&lanip=<LANIP>&uid=<Unique ID>&os=<OS VERSION>&relay=<RELAYNUMBER>&data=<DATA>

攻击架构:域名adobesys[.]com以及别的攻击使用的注册信息

行使ThreatConnect体系WHOIS查询功能,企业黑客,发现恶意程序归连域名adobesys[.]com的大讲明册信息,如通过中国收集服务商注册,注册邮箱为li2384826402[@]yahoo[.]com,而该邮箱与2015年攻击美国Anthem以及OPM的APT构造DEEP PANDA高度关联,进一步为此次攻击事故提供了重要证据。

image01-10-1030x343.png

经阐发,adobesys[.]com域名对应两个IP地址:173.231.11[.]24以及185.92.222[.]81;攻击者使用的另一个域名newsoft2[.]com对应IP地址185.92.222[.]81,WHOIS信息显示,newsoft2[.]com通过中国区域收集行使邮箱omyname@gmail[.]com进行注册。攻击者行使newsoft2[.]com配合adobesys[.]com进行收集渗透排泄活动。

攻击目标:两家公司

在该案例中,攻击者只关注小范围的特定目标。我们与合作伙伴通过收集流量阐发以及攻击域名监测发现,中国APT构造使用HttpBrowser后门,对欧洲某无人机设备公司的体系控制工程师提议了定向攻击,另外,美国国防部承包商的法国某能源治理公司在美分部一样成为了这次攻击的目标,该公司长期为美方提供能源治理以及SCADA体系解决方案。

在攻击发现后,我们及时通知了这两家攻击公司,但目前还暂时没法确定是否造成了数据泄露。

攻击者:老练的“熊猫”构造

虽然此次攻击伎俩与Emissary Panda以及Dynamite Panda高度一致,但我们还不能确定攻击者详细属于哪支中国APT构造。Emissary Panda以及Dynamite Panda都以国防以及航空航天领域为首要攻击目标,Emissary Panda也曾对能源领域开铺过入侵攻击。根据SecureWorks讲演,Emissary Panda通常以挂马攻击、策略式网页攻击或水坑攻击为首要手艺,针对特定构造机构人员实施定向渗透排泄。另外,鱼叉式钓鱼邮件也是Emissary Panda使用的攻击手段。

社会-政治身分:攻击念头讨论

在2015年中美双方承诺遵命反对经济间谍的协定以来,HttpBrowser后门样本的出现可能让人们大失所望,虽然攻击目标为法国公司,但其中触及美国利益,抑或者中国可以宣称,这属于军事间谍范畴,并不背反客岁中美协议。

相比之下,针对欧洲无人机设备公司的攻击就属于典型的经济间谍活动。虽然中国的大疆盘踞环球70%的民用无人机市场,但随着无人机商业经济的持续增进,可能不得不促使中国寻求与别的竞争对手抗衡的要领。无人机公司的体系控制工程师作为此次攻击的最先,要是进一步渗透排泄,攻击者会获取更多无人机相干的知识产权、敏感资料以及产品路线图等信息,以后,通过窃取资料,中国可觉得其无人机企业获得更多经济优势:

整合竞争对手能力,削减中国无人机手艺差距

窃取竞争对手的手艺创新,先于竞争对手完成产品

与竞争对手抢占金融市场或市场定价

了解竞争对手的商业以及研究计划

经济间谍活动的蜕变?

近年来,虽然中国的收集经济间谍活动不太显然,但可以肯定的是这并没有结束,这些攻击活动可能已经演化成巩固其市场位置的方式存在。从某种程度上来说,巩固中国公司在国际市场上盘踞主导位置的方式,多是其经济间谍活动的转向。就像中国长期针对美国钢铁企业开铺的APT攻击同样,让其全国钢铁产量占比从2000年的15%上升到了2015年的50%。

**参考来源:ThreatConnect,clouds编译,


标签:攻击 中国 黑客 干的 


本站所有资源默认解压密码:www.aqfls.com 如有问题请联系管理员说明


本站资源仅供学习参考,所有资源均来源于网络搜索及网友提供,所有言论并不代表本站立场

投诉与建议 文章投稿 E-mail:1437232096@qq.com

相关评论
加载中