Denizaşırı hacker ekibinin "Beyaz Fil" aniden aktif hale geldi ve Çin'deki belirli birimlere ve kişilere saldırılar başlattı.

1 Nisan'da Leifeng.com, Weibu Online'dan bir süre uykuda kaldıktan sonra, yabancı hacker örgütü "White Elephant" ın bu yılın Mart ayı başlarında ülkeye bir saldırı başlattığını öğrendi.

Aralık 2017'nin sonlarında, yabancı ağ güvenlik şirketi Trend Micro saldırı faaliyetlerini açığa çıkardıktan sonra, grup tüm alan adlarını, IP'yi ve diğer altyapıları hızlı bir şekilde devre dışı bırakarak bir "hareketsiz döneme" girdi. Ancak bu yılın Mart ayı başından Mart ortasına kadar, "Beyaz Fil" grubu bir kez daha Çin'e karşı siber saldırı başlattı.Kullanılan sahte belgelerin tümü, askeri, sosyal, hukuki ve diğer yönleri içeren belirli bir süre boyunca haber konularıydı.

Bu kez White Elephant, sahte belgeyi bir Office güvenlik açığı aracılığıyla kurban ana bilgisayara bir Truva atı arka kapısı yerleştirmek için kullandı.İlgili program temelde daha önce grup tarafından kullanılan Truva atı yapısıyla aynıdır.Kurban ana bilgisayarı uzaktan kontrol sunucusunun gönderdiği talimatlara göre tamamen kontrol edebilir. Saldırı, kimlik avı e-postaları aracılığıyla belirli birimlere ve kişilere karşı başlatıldı ve saldırı devam ediyor.

Weibu tarafından çevrimiçi olarak yakalanan örnek belgelere göre, "Beyaz Fil" tarafından kullanılan çok sayıda sahte belge fprii.net, ifenngnews.com ve chinapolicyanalysis.org ve grup tarafından kaydedilen diğer sahte web sitelerinde saklandı. "Ordunun Maaşını Ayarlama Politikası" (6 Mart'ta yayınlandı), "Sivil İşler Bakanlığı bir dizi yasadışı sosyal örgütü duyurdu" (14 Mart'ta yayınlandı), "Çin Halk Cumhuriyeti Denetim Yasası (Taslak)" (15 Mart'ta yayınlandı) ve Japonya Savunma Araştırma Enstitüsü tarafından yayınlanan "Çin Güvenlik Stratejisi Raporu" nun (13 Mart'ta çıkacak) 2018 baskısı gibi belirli bir dönemdeki gündemdeki konular oldukça kafa karıştırıcı ve konuyla ilgili.

Leifeng.com, bu sahte belgelerin tümünün daha yeni Microsoft Office güvenlik açığı CVE-2017-8570'i kullandığını öğrendi.Yamayı zamanında yüklemeyen kullanıcılar, belgeyi açtıklarında kötü amaçlı kod tetikleyecek ve bir arka kapı programına yerleştirilecekler.

Örnek analiz

Aşağıda Weibu Online tarafından yayınlanan örnek bir analiz yer almaktadır:

Bu saldırıya dahil olan Truva atı programını analiz etmek için örnek olarak "Chinas_Arctic_Dream.doc" (21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d) adlı örneği alıyoruz:

1. Örnek sürecin özeti

Aralık 2017'de yakalanan örnekten farklı olarak, bu örneğin şifre çözme işlemi önceki örneklerden daha kısadır.Truva atı arka kapısı bellek şifre çözme işlemini yürütmez, ancak indikten hemen sonra çalışır. İşlem karşılaştırma tablosu aşağıdaki gibidir:

Aralık 2017 örneği

Mart 2018 örneği

Microstep bulut korumalı alan test sonuçları

2. Droper analizi (qrat.exe)

a. Word belgesi açıldıktan sonra, güvenlik açığı tetiklenerek ve qrat.exe çalıştırılarak yayımlanacaktır.Örnek C # ile geliştirilmiş ve analizi önlemek için gizlenmiştir.

b. Droper örneğinin, esas olarak Truva atı arka kapısını kurmak için, geçmişte yakalanan "Beyaz Fil" örneğine benzer işlevleri vardır. Örnek çalıştıktan sonra, kaynaklar aracılığıyla Microsoft.Win32.TaskScheduler.dll ve microsoft_network.exe'yi yayınlayacaktır. Bu iki dosya qrat.exe kaynağında saklanır Bu kaynak iki PE dosyası içerir. İlk MZ başlığı arka kapı programı ve ikinci MZ başlığı zamanlanmış görevler eklemek için kullanılan dll'dir. PE dosyalarının belirgin özellikleri PE araçlarıyla görüntülenebilir.

Varsayımı doğrulamak için, bu kaynak PE aracı ve onaltılık düzenleyici ile çıkarılabilir ve ayrılabilir ve ardından arka kapı microsoft_network.exe ve dinamik bağlantı kitaplığı dosyası Microsoft.Win32.TaskScheduler.dll sırasıyla elde edilebilir.

c. Arka kapıyı% APPDATA% \ Microsoft Network \ microsoft_network \ 1.0.0.0 dizinine bırakın ve başlatmak için kaydedin, Microsoft.Win32.TaskScheduler.dll dosyasını çağırarak zamanlanmış görevler ekleyin ve her 5 dakikada bir çalıştırın.

Qrat.exe derleme zamanı 2 Şubat 2018'dir

3. Arka kapı analizi (microsoft_network.exe)

a. Örnek 23 Ocak 2018'de derlendi. Aynı zamanda C # ile yazılmış ve gizlenmişti. Gizleme kaldırıldıktan sonra, örneğin uzaktan kumandalı bir Truva atı olduğu bulundu. Truva atı, açık kaynak uzaktan kumanda xRAT'ın kaynak koduyla derlenmiştir ve "Beyaz Fil" grubu tarafından kullanılmıştır. Trojan, işlevsellik açısından geçen yılın Aralık ayındaki örneğe kıyasla işlevsel bir değişikliğe sahip değil, ancak yapılandırma dosyası seçenekleri AES şifreli ve Base64 şifreli. Aşağıda gösterildiği gibi:

Bu Truva atının dahili sürüm numarası 2.0.0.0 RELEASE3, çevrimiçi etki alanı adı tautiaos.com (şu anda 43.249.37.199'u çözüyor ve bağlanamıyor), çevrimiçi bağlantı noktası numarası 23558, bağlantı şifresi g00gle@209.58.185.36 ve muteks, eohSEArfS1nJ0SBOsCLZroQlBln yapılandırmasıdır. Bilgi şifre çözme anahtarı Kkbnev10lq5zOdKl51Aq'tır. Daha önce yakalanan örnekle karşılaştırıldığında, bu örneğin yapılandırma bilgileri değiştirilmiştir, ancak bağlantı noktası numarası hala 23588'dir.

b. Örnek çalıştıktan sonra, işletim sistemi hakkında temel bilgileri alın, kurbanın coğrafi konumunu "freegeoip.net" aracılığıyla alın ve ardından bir muteks oluşturun, vb. Uzaktan kumandanın temel işlevleri şunları içerir:

a) Temel işlevler: uzak Kabuk, süreç yönetimi, ekran yönetimi, dosya işlemleri, ana bilgisayar bilgilerine erişim, başlangıç öğelerini görüntüleme, uzaktan kapatma, yeniden başlatma vb.

b) Yazılım karşıtı yüzleşme, güvenlik duvarı algılama;

c) Otomatik güncelleme işlevi, dll enjeksiyonu;

d) Aynı alandaki diğer cihazların bilgilerini alın.

Korelasyon analizi

İlgili kötü niyetli alan adları ifenngnews.com ve chinapolicyanalysis.org için, çok sayıda datapeople-cn.com, sinamilnews.com, ustc-cn.org vb. Gibi daha önce grubun varlıklarında ustalaştığımızı ve bunların wipikedia'yı da içerdiğini gördük. .xyz, armynews.today ve 19 Ocak 2018 tarihinde yeni kaydedilen diğer birçok şüpheli alan adı, alan adı kayıt kuruluşunun özelliklerine ve sunucu bilgilerine göre, aşağıdaki şekilde gösterildiği gibi, bu alan adlarının hala "beyaz fil" grubuna ait olduğu sonucuna varılmıştır:

Ek olarak, istihbarat, "Beyaz Fil" grubunun bu saldırısının, kötü amaçlı belgelerin indirme bağlantılarını belirli birimlere ve kişilere yaymak için çoğunlukla kimlik avı e-postalarını kullandığını gösteriyor. 21 Mart 2018 itibarıyla, çoğu kötü amaçlı bağlantıya erişilip indirilebiliyor (örneğin, //fpriinet/The_Four_Traps_for_China.doc), saldırının devam ettiğini kanıtlıyor. Leifeng.com, çetenin son zamanlarda ilgili birimlerle ilgilenip ilgilenmediğini, kullanıcıların kendi günlüklerini izlemek veya kontrol etmek için de indirebileceklerini öğrendi.

Qualcomm ve 5G araba ara bağlantı diyaloğu-CES2019 Qualcomm röportajı
önceki
"Halo Infinity" ortak geliştiricinin yeni çalışması "Stele" duyuruldu
Sonraki
Telaffuza bağlı kalın ve telaffuzu gözden geçirin, hangisi Çince karakter kültürünü daha iyi koruyabilir?
Film ve televizyon endüstrisinin başı yine dertte, perde arkasındaki gerçek kim?
Aiwei'nin büyümeye özel davetinin ilk halk tarihi
Intelin Kıdemli Başkan Yardımcısı ile Diyalog: Geleceği Atmak ve Bir Sonraki Bilgisayar Devrimine Liderlik Etmek
Microsoft araştırmacıları, konuşma tanımanın "kokteyl partisi sorununu" çözmek için çok sayıda derin çekim ağı önerdiler.
Microsoft'un yeni stüdyosu The Initiative tanıtım videosu: gaziler bir araya geldi, hırslı
Fatura arbitrajı tam olarak nedir? "Çin QE" nin başlığı yanlış mı? Yang'ın acılarını kim anlıyor?
"Golden Brothers" yeni şarkısı sizi 20 yıl öncesine götürüyor, MV nihai fragman kadar popüler
Tam temas Lenovo CES2019 altında Mart yeni duruş düzeni küresel zeka
Büyük Çinli şirketlere çağrı: sahne kadar büyük, yürek kadar büyük Geniş Vizyon
Tanabata'ya şeker serpin! "European Raiders" filmi bugün gösterime giriyor, beş önemli olay en tatlı aksiyon filmini ortaya koyuyor
Mücadele eden Injani halkı-SSHT2018 Şangay Uluslararası Akıllı Ev Sergisini hatırlayın

Copyleft gutx

To Top