欢迎进入Allbet官网。Allbet官网开放Allbet登录网址、Allbet开户、Allbet代理开户、Allbet电脑客户端、Allbet手机版下载等业务。

首页科技正文

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了!

admin2021-03-1190资讯

概述

Mustang Panda 是CrowStrike最早披露的一个APT攻击组织,这个组织主要使用的后门是PlugX,CobaltStrike。由于PlugX被人溯源到是一个中国人开发的。以是许多平安公司发现有使用了PlugX了的攻击,就宣称这些攻击来自于中国。

Palo Alt one network的Unit42 Team在Virus Bulletin 2019年会上揭晓了一篇名为”Pulling the PKPLUG: the Adversary Playbook for the long-standing espionage activity of a Chinese nation state adversary”的讲述,讲述中没有任何直接证据的指控一些攻击行为来自于中国国家资助的APT组织。它们的唯一的判断依据是攻击者使用了PlugX。Anomali公司在自己的平安年会上也宣布一篇名为”China-Based APT Mustang Panda Targets Minority Groups, Public and Private Sector Organizations”的讲述。这篇讲述声称来自中国的APT组织,攻击了德国,越南,蒙古,缅甸,巴基斯坦等国家。unit42 Team和Anomali公司剖析的样本基本上是一样的。

近期我们又发现了类似的样本,在溯源的过程中找到了一个越南的平安公司的博客。在这个博客里,作者提到了他剖析的一个样本,样本是针对越南的一个省政府。这个博客的作者厥后发现,这个省政府最近做了一次信息平安的培训而且把演练的内容宣布了出来。博客作者提到的样本,我们也发现了。经由关联,我们发现不少类似的邮件,这些邮件都是用于信息平安培训的。我们还在样本的PDB路径中发现了一个越南人的名字,这些信息证实了所谓的Mustang Panda的攻击是一场乌龙,外洋平安厂商只不过是见猎心喜而已。

样本剖析

邮件的内容:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第1张

这个封邮件的主题是说由于疫情的缘故原由,9月份和10月份的人为和社保现在补发。邮件的附件是一个名字为”824_BHXHV0002.pdf.zip”的压缩包。打开之后内里实际上是一个lnk文件(MD5: d8fa9b6e4ffd02fd3006e505f7368ea7)。这个lnk包罗一个HTA文件:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第2张

点击lnk文件后就会触发恶意代码的执行,HTA会释放一个名称为”TEMP\3.ps1”的powershell 文件:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第3张

释放出来的PDF文件的内容如下:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第4张

释放的zBcga.exe是使用C,编写,在dnspy看到如下内容:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第5张

这个样本是某个版本的njRat,接着我们找到了它的C&C服务器:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第6张

溯源剖析

我们在上面的Lnk文件中发现了一个MachineId字段,字段的值是win-egbvi09sep9。这个字段代表了天生lnk文件的PC的名字。凭据这个名字我们举行了搜索,然后发现有人嫌疑类似的样本可能使用的是模板或者是越南CERT的测试用例。

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第7张

然后我们剖析了推特上提到的样本,发现攻击流程和我们剖析的完全一致。只是这个样本弹出一个计算器。显然这是一个测试用例。而且这个文件是在VirusTotal上显示上传者的国家是越南。

我们发现2020年头的时刻,越南的平安厂商viettel cyber security宣布了一篇博客,讲述的名字是”Mustang Panda – một case dở khóc dở cười”,翻译过来就是”Mustang Panda---一个异常有意思的案例”。在博客中作者提到,CrowStrike的印度员工联系了他,声称来自中国的Mustang Panda APT组织攻击了越南政府。作者感应奇怪的是邮件是针对越南的一个中南部的省份。作者剖析完后,回到家突然想起来谁人省份最近做了一次信息平安的培训而且宣布了细节。他确信剖析的样本就是那次培训中用到的。作者也提及了他们在工作中也多次发现了平安培训中用到的样本。

我们找到了越南谁人省的通告,其中演练的靠山如下:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第8张

这段话翻译过来就是:广义省XYZ机构发生一起网络信息平安事宜,现在该部门向广义省信息通讯部提出协助故障清扫和追踪溯源的请求。基本信息是:名称为ABC的官员使用的电子邮件是vanphong@quangngai.gov.vn,收到了一个名为Nguyen Thanh Tra的人,地址是nttra@actvn.edu.vn的邮件。邮件的主题是”求职者简历”。这个官员查看了这封邮件。现在XYZ网络里发现了一些可疑的毗邻。

包罗nttra@actvn.edu.vn 这个邮件地址的邮件,我们共发现了三个。这三封邮件的内容完全一样,只是收信人不一样。其中一封邮件中就包罗广义省的通告中提到的收件人:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第9张

我们判断这封邮件就是广义省信息平安培训中用到的邮件。我们发现这个邮件中的样本和我们前面剖析邮件中的样本的攻击流程完全一样。而且和前面体的越南的那家平安公司剖析的样本是一样的。这个邮件的附件的payload也是njRat, C&C服务器是103.68.251.31,是一个越南的IP。另外两封邮件如下:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第10张

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第11张

这三封邮件除了收件人不一样外,其他的完全一样。这两封分别是和越南社保局、越南莱州省政府有关。103.68.251.31这个IP地址和我们前面剖析的的邮件中C&C 地址103.68.251.102高度靠近,它们都属于越南岘港市。岘港市是越南的第四大市。因此我们判断我们前面剖析的邮件是越南的信息平安部门在平安培训中使用的。

越南CERT部门在2019年10月30,宣布了一篇通告。通告的大致内容是越南的信息平安部对越南的网络举行监控发现了有针对性的网络攻击(APT),该攻击对于越南政府机构的信息系统和主要国家基础设施的所有者散布了大量的恶意代码。越南的信息平安部在这项攻击中共发现了16个以上的恶意软件变种,受影响的IP多达400000个IP。越南CERT在通告中宣布了19个文件的MD5值,我们找到了16个文件。对这些文件做了剖析后发现,这些样本和越南广义省的信息平安培训中用的样本的攻击流程一样。唯一区别是越南CERT宣布的样本的payload是CobaltStrike或者PlugX。剖析效果如下:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第12张

我们注意到MachineID为win-egbvi09sep9的样本共泛起了8次。我们前面提到的邮件中LNK文件的MachineID都是这个值。这些MachineID去重后共有5个:

(1)win-egbvi09sep9

(2)win-jq9h4qp3a4u

(3)win-ha4ucnjj6cg

(4)win-2a9b78ts069

(5)win-nuptedkl53m

这些样本的执行流程如下:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第13张

若是payload是CobaltStrike,会建立一个名为为”Security Script kb00769670”的义务设计,伪装成windows的更新程序。其中kb00769670是可变的。Plugx使用了ESET公司的一个署名的文件。这个文件原始名是EhttpSrv.exe,它运行后会加载http_dll.dll。Payload是Plugx时,除了会释放诱饵文件外,还会释放3.exe,http_dll.dll,http_dll.dat三个文件。前面的邮件中包罗的LNK文件的执行流程和这些样本的执行流程是一样的,只是payload换成了njRat。

通过对所有样本的剖析,我们判断应该存在一个可设置化的攻击工具框架,这些样本都是统一套工具发生的,然则由差别设置选项发生的。越南CERT用于平安演练的样本是不是他们仿造了真实的攻击中使用的工具?我们以为可能性并不大。工具应该并不庞大,然则仿造起来也是很费力气的。现在我们没有发现公然的天生这些样本的工具。

我们在剖析过程中发现了不少疑似测试的样本,这些样本的C&C server IP在越南CERT宣布的通告列表中。好比文件名为: test2.exe ( MD5: e343f1d68549f8558b2bb512e082ff2f)

这个文件中包罗一个PDB路径:

C:\Users\PHAM KIM CUONG\Documents\Visual Studio 2008\Projects\test2\Release\test2.pdb

这个路径中包罗一个开发者的名字:PHAM KIM CUONG。通过搜索这个名字发现,这个名字在越南对照常见。这个样本是在2019年3月17日被上传到Virus Total上的,而且上传者的国家是越南。这个样本使用的payload是CobaltStrike,样本执行后会链接144.202.54.86。这个IP在我们发现的另一封邮件中泛起过:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第14张

这封邮件中包罗的LNK文件没有使用HTA文件而是直接运行powershell,后续的攻击流程和前面是一样的。LNK文件的payload是CobaltStrike,C&C 服务器是144.202.54.86。以是这封邮件和这个名为PHAM KIM CUONG的人有很大关系。我们也能判断这一类攻击绝对不能简朴的判断是所谓的”来自中国的攻击”。

越南CERT的通告中提到一个infosecvn.com域名,我们查询发现一个越南人经常使用infosecvn这个字符串。我们找到了他的博客,脸书,推特信息:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第15张

这小我私家是一个越南的网络平安专业的学生。和infosecvn.com绑定的统一个IP的另一个域名aridndvn.com也是很有意思。”aridnd”估量是仿造自”aribnb”,上面的名字为PHAM KIM CUONG的越南人是Aribnb的第100号员工。这不是重点,重点是在越南CERT的讲述中提到的aridndvn.com,我们剖析的所有样本中都没有这个域名。我们只发现样本访问了”aridndvn.ccom”。若是在google上搜索aridndvn.ccom,可以找到四家平安厂商的剖析讲述中提到了这个域名。这四家分别是avira,Any.Run, cmc cybersecurity(越南的一家平安公司),Anomali。若是搜索aridndvn.com则没有任何和恶意代码相关的内容。显然是有人在填写PlugX设置时写错了,我们发现有三个样本的设置里都是”aridndvn.ccom”。我们不想搞阴谋论,我们只是形貌我们发现的征象。

,

欧博亚洲网

欢迎进入欧博亚洲网址(Allbet Game):www.aLLbetgame.us,欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

关于Unit42 Team和Anomali团队讲述

在我们剖析完成时,我们又郑重的读了一下Unit42 Team和Anomali的讲述,发现我们偕行的结论险些经不起推敲。下面举几个例子举行讨论。

1 Anomali的讲述

(1) Daily News (19-8-2019)(Soft Copy)(MD5: 5f094cb3b92524fced2731c57d305e78)

Anomali 声称这个文件是针对缅甸的山泰族,并称”攻击少数群体是中华人民共和国的一个已知的计谋”。这个说辞让人啼笑皆非。这个文件的MD5泛起在越南CERT发出的通告中。若是真的是攻击样本,越南CERT岂非看不出来是和缅甸相关的吗?  

(2) European.lnk(9ff1d3af1f39a37c0dc4ceeb18cc37dc)

   Anomali 声称这个文件是针对China-Zentrum eV。China-Zentrum eV在官网上声称是一个指在促进西方和中国举行文化,宗教交流的非营利组织。这个组织和越南没有任何关系。很不幸,这个文件的MD5也泛起在越南cert发出的通告中。

Anomali在讲述中提到了17个LNK文件,其中有16个泛起在越南CERT通告中。这样Anomali所宣称的”Mustang Panda 攻击了德国,蒙古,巴基斯坦,缅甸”的结论基本不成立。

2 Unit42 Team的讲述

Unit42 Team的情形和Anomali的情形类似,我们这里讨论不泛起在越南CERT的通告列表中的文件。Unit42 Team从推特上获得有人发现的Plugx样本。这些样本不是lnk而是exe,它们都是nsis安装包。使用7z解压后如下:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第16张

这里仍然使用DLL Side-Loading攻击方式而且文件也是前面所提到的ESET的署名文件。这个样本的C&C server 是apple-net.com。这个域名泛起在越南CERT通告的C&C server列内外,而且我们也在lnk相关的样本中找到了这个域名。

我们先来浏览一下unit42 团队的剖析:

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第17张

电银付安装教程(www.dianyinzhifu.com):来自Mustang Panda的攻击? 我兔又背锅了! 资讯 第18张

unit42 以为名为为NATIONAL SECURITY CONCEPT OF MONGOLIA.exe的文件是针对蒙古政府的。这个文件名翻译过来应该是”蒙古国国家平安法全文”。通过google查询可知这个执法至少在1993年就已经存在了。重点是蒙古国是一个官方语言是蒙古语的国家,向蒙古政府发送一个英文版的”蒙古国安法全文”。蒙古国的官员会受骗吗?这就好比向中国政府发送一个英文版的《中国宪法全文》,中国的官员会受骗吗?以是这个样本绝对不是针对蒙古政府的。若是是真实的攻击,那也是针对对国家平安法感兴趣的非蒙古国的立法机关或者智库。我们在Virus Total上发现了多个从越南上传的疑似测试用的样本,这些样本也有使用自解压包作为攻击手段的。在越南CERT宣布的通告中的样本有一个是和蒙古航空有关的图片。以是我们判断NATIONAL SECURITY CONCEPT OF MONGOLIA.exe和DSR & CSR of Special Branch Sind.exe是测试样本或者其他国家在信息平安演练中的样本。  

越南部门政府部门2020平安培训

我们搜索了一下,发现在2020年年终,越南不少的政府部门在官方网站上宣布了他们举行的信息平安培训。

时间

泉源

介入单元

2020年12月11日

奠边省信息和通讯部

宣光省、永福省、富寿省、河杨省、老街省、莱州省、山罗省、奠边省、安沛省的国家事故响应网络的单元和成员的信息平安和信息手艺官员。

2020年12月11日

广义省新闻网站

信息与通讯手艺中央(信息与通讯部下属)与CyRadar信息平安股份公司互助,介入职员是广义省网络信息平安事宜响应团队的成员。

2020年11月21日

谅山省政府网站

谅山省、曹邦省、北(?)省,太原省,北宁省,北江省

由于我们不懂越南语,完全依赖google翻译,我们只能在这内里枚举很少的部门。另外我们也注意到越南信息平安部门曾经和卡巴斯基、bkav等公司互助,举行过信息平安的攻防演练。我们强烈呼吁信息平安行业偕行,在对APT攻击剖析和溯源时一定要注意这些信息平安培训。

总结

 PlugX是一个存在了8年以上的远控工具,它被海内外的不少平安厂商剖析过。虽然PlugX被外洋平安公司发现是中国的一个网名为”无花果(WHG)”的平安爱好者开发的,这也不能证实每次行使PlugX提议的攻击都是来自中国的。PlugX有多个版本的天生器,不少都能在网络上找的到,也在不少的平安厂商的讲述中泛起过。我们以为若是发现非中国的攻击者使用PlugX也不是不可能。

在我们剖析完样本后,最让我们费解的是越南的广义省和莱州省有什么主要的,以至于会引起”APT攻击组织”的兴趣。虽然我们隐约以为这可能不是真实的攻击,但我们没有证据。谢谢越南的viettel cyber securit公司帮我们解开了疑惑。在CrowStrike公司的印度员工坚持是来自中国的Mustang Panda 攻击了越南政府时,我们的越南偕行阻止了一次针对中国的抹黑。同时我们也要谢谢越南广义省政府宣布了演练的细节,这个细节成为我们反驳不实指控的证据。类似的误把信息平安演练看成APT攻击的案例,在海内也有过。为了制止引起不必要的争论,我们不去谈那件事的细节。

平安没有国界,所有的平安研究者应该配合匹敌来自世界各地的攻击。当看到Unit42 Team和Anomali团队在没有直接证据的情形下,仅仅依附文件名和文件内容,就做出了”中国国家支持的APT组织”和”来自中国的Mustang Panda APT组织”的结论,我们真的很遗憾。在对APT攻击举行溯源的过程中,地缘政治是最主要的一个判断依据。然则地缘政治不是万能妙药。随着各国对信息平安的重视,类似的信息平安培训会越来越多。作为平安研究职员不应该见猎心喜,不负责任的作出结论。 

IOC

MD5:

d8fa9b6e4ffd02fd3006e505f7368ea7 
80bcda9fde78c70566c6f693f1c7938f 
5781a2b62de1f3301e38394607b03d79

IP:

103.68.251.102 
103.68.251.31 
144.202.54.86

参考

  1. “我兔”的典故,请参考”小白兔的名誉往事”

  2. Meet CrowdStrike’s Adversary of the Month for June: MUSTANG PANDA

https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-june-mustang-panda/

  1. Pulling the PKPLUG: the Adversary Playbook for the long-standing espionage activity of a Chinese nation state adversary

https://www.virusbulletin.com/blog/2020/03/vb2019-paper-pulling-pkplug-adversary-playbook-long-standing-espionage-activity-chinese-nation-state-adversary/

  1. China-Based APT Mustang Panda Targets Minority Groups, Public and Private Sector Organizations      https://www.anomali.com/blog/china-based-apt-mustang-panda-targets-minority-groups-public-and-private-sector-organizations

  2. Mustang Panda – một case dở khóc dở cười

  https://blog.viettelcybersecurity.com/mustang-panda-mot-case-do-khoc-do-cuoi/

  1. https://twitter.com/cyber__sloth/status/1298719815964618753?lang=en

  2. http://lichlamviecsld.nuian.vn/items/files/1_1341.PDF

  3. http://www.vncert.gov.vn/baiviet.php?id=127

深信服千里目平安实验室

到此岂可千里目,哪知才上一层楼。深信服千里目平安实验室希望做网络空间的一双眼睛,拥有加倍敏锐久远的眼光(Further eye),深度洞察未知网络平安威胁,解读前沿平安手艺。
深信服千里目平安实验室,拥有资深的白帽子+博士团队,从红蓝匹敌的实战理念出发研究灰黑产手艺,已发展为包罗破绽研究团队、威胁猎捕团队、实战攻防匹敌团队、应急响应处置团队、威胁情报研究团队、UEBA研究团队、病毒查杀匹敌研究团队、异常流量大数据剖析团队以及平安效果测试团队的综合平安研究团队,平安能力笼罩各细分领域和行业场景。现在千里目平安实验室拥有数百项手艺专利,自主研发全网(内网/外网)风险感知平台,致力于网络平安攻防手艺的研究和积累,在攻与防的对立统一中追求手艺突破。

网友评论

5条评论
  • 2021-01-13 00:01:24

    电银付安装教程(dianyinzhifu.com)是官方网上推广平台。在线自动销售电银付激活码、电银付POS机。提供电银付安装教程、电银付使用教程、电银付APP使用教程、电银付APP安装教程、电银付APP下载等技术支持。面对全国推广电银付加盟、电银付大盟主、电银付小盟主业务。我不淡定了

    • 2021-02-18 04:15:39

      @皇冠新现金网 皇冠APP下载www.huangguan.us是一个提供皇冠代理APP下载、皇冠会员APP下载、皇冠体育最新登录线路、新2皇冠网址的的体育平台。新皇冠体育官网是多年来值得广大客户信赖的平台,我们期待您的到来!想和你学写文

    • 2021-01-14 04:55:09

      @皇冠新现金网 欢迎进入环球UG官网(UG环球):www.ugbet.us,环球UG官方网站:www.ugbet.net开放环球UG网址访问、环球UG会员注册、环球UG代理申请、环球UG电脑客户端、环球UG手机版下载等业务。从今天起,每天都来

  • 2021-03-05 00:06:41

    电银付APP使用教程(dianyinzhifu.com)是官方网上推广平台。在线自动销售电银付激活码、电银付POS机。提供电银付安装教程、电银付使用教程、电银付APP使用教程、电银付APP安装教程、电银付APP下载等技术支持。面对全国推广电银付加盟、电银付大盟主、电银付小盟主业务。给你小心心~

  • 2021-03-11 00:07:12

    环球UGwww.ugbet.us欢迎进入环球UG官网(UG环球),环球UG官方网站:www.ugbet.net开放环球UG网址访问、环球UG会员注册、环球UG代理申请、环球UG电脑客户端、环球UG手机版下载等业务。前来围观

最新评论