日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

1、概述

Donot（肚腦蟲）是一個從2016年開始一直活躍至今的APT組織。該組織主要針對巴基斯坦、中國、斯里蘭卡、泰國等國家和克什米爾地區(qū)發(fā)起攻擊，攻擊目標(biāo)包括政府機構(gòu)、國防軍事部門、外交部以及大使館。Donot組織主要使用釣魚郵件作為初始接入的手段，利用宏代碼加載下一階段載荷，通過下載者下載各類功能插件，包括：鍵盤記錄、屏幕捕捉、文件竊取、瀏覽器信息竊取以及反向shell等插件。

近日，觀成科技捕獲到Donot組織的一個惡意文檔類樣本（Hash：ab5cc990a6f4a196daa73bf655286900e7c669b2a37c32f92cbb54631bc3a565），該樣本的執(zhí)行過程與Donot以往的此類樣本基本一致，通過HTTP協(xié)議從服務(wù)器處獲取模塊下載器，下載器的插件下載以及數(shù)據(jù)上傳階段通信均通過TLS加密協(xié)議實現(xiàn)。

2、多階段通信過程

惡意文檔執(zhí)行后，通過3個階段的通信完成整個竊密過程。第一階段，從服務(wù)器A處通過HTTP協(xié)議獲取模塊下載器；第二階段，模塊下載器從服務(wù)器B處通過TLS協(xié)議獲取多個插件；第三階段，各個插件將竊取的數(shù)據(jù)通過TLS協(xié)議上傳到服務(wù)器C上。

 執(zhí)行過程

2.1第一階段：獲取下載者木馬

文檔中包含惡意宏代碼，執(zhí)行后會將shellcode注入到Excel.exe進程中。shellcode通過HTTP協(xié)議從http://one.localsurfer.buzz/*****/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8.（png|mp4）獲取下載者木馬。

獲取下載者木馬

2.2第二階段：獲取多個插件

下載者木馬difg02rf.dll創(chuàng)建名為“OneSingUpdate”的計劃任務(wù)，從服務(wù)器下載3個插件，插件名稱硬編碼在樣本中，分別為Kyingert（鍵盤記錄器插件）、tr2201dcv（文件竊取插件）和SSrtfgad（屏幕截圖插件）。下載者木馬使用TLS協(xié)議與服務(wù)器進行通信，通過https://grap******/DoPstRgh512nexcvv.php將用戶名和插件名發(fā)送給服務(wù)器。

獲取Kyingert.dll（TLS）

獲取Kyingert.dll(TLS解密后)

2.3第三階段：數(shù)據(jù)竊取

文件竊取插件讀取Desktop、Document、Downloads文件夾中后綴名為xls、xlxs、ppt、pptx、pdf、inp、opus、amr、rtf、ogg、txt、jpg和doc的文件，將相關(guān)數(shù)據(jù)使用AES-128-CBC加密后存儲到C:\ProgramData\Pack0ges\Tvr\目錄下，通過TLS協(xié)議經(jīng)過https://*****/kolexretriya78ertdcxmega895200.php上傳到服務(wù)器。

使用TLS協(xié)議傳輸數(shù)據(jù)

 解密后的HTTP頭部

鍵盤記錄插件和屏幕捕捉插件使用相同URL將竊取的數(shù)據(jù)上傳到服務(wù)器。

3、總結(jié)

Donot組織在攻擊的各個階段使用不同的服務(wù)器提供服務(wù)，在使用了TLS協(xié)議進行加密通信后，還通過AES-128-CBC對上傳的數(shù)據(jù)再次進行了加密，這些操作增加了通信的隱蔽性，降低了被檢出的概率。

網(wǎng)站標(biāo)題：APT組織Donot多階段通信過程分析
分享URL：http://www.5511xx.com/article/cdejepp.html