1.Donot(腹脑虫)是一个自2016年开始活跃的APT组织,该组织主要针对巴基斯坦、中国、斯里兰卡、泰国等国家和克什米尔地区发起攻击。袭击目标包括政府机构、国防和军事部门、外交部和大使馆。Donot组织主要利用钓鱼邮件作为初始访问手段,利用宏代码加载下一阶段的加载,通过下载器下载各种功能插件,包括:键盘记录器、截屏、文件窃取、浏览器信息窃取、以及反向外壳和其他插件。近日,观城科技抓获了Donot组织的恶意文档样本(Hash:ab5cc990a6f4a196daa73bf655286900e7c669b2a37c32f92cbb54631bc3a565)。插件下载和数据上传阶段的通信都是通过TLS加密协议实现的。2.多阶段通信过程恶意文档执行后,通过3阶段通信完成整个窃取过程。第一阶段,通过HTTP协议从服务器A获取模块下载器;第二阶段,模块下载器通过TLS协议从服务器B获取多个插件;第三阶段,各插件将窃取的数据上传到服务器C上。执行过程2.1第一阶段:获取下载器木马文件,其中包含恶意宏代码,执行后会向Excel.exe进程注入shellcode。shellcode从http://one.localsurfer.buzz/*****/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8获取下载器木马。(png|mp4)通过HTTP协议。获取下载器木马2.2第二阶段:获取多个插件下载器木马difg02rf.dll创建名为“OneSingUpdate”的定时任务,从服务器下载3个插件,插件名称硬编码在样本中,分别是Kyingert(键盘记录器浏览器插件)、tr2201dcv(文件窃取插件)和SSrtfgad(截图插件)。下载器木马使用TLS协议与服务器通信,通过https://grap******/DoPstRgh512nexcvv.php将用户名和插件名发送给服务器。获取Kyingert.dll(TLS)获取Kyingert.dll(TLS解密后)2.3Phase3:DataStealingFileStealingPlug-in读取Desktop、Document、Downloads文件夹中后缀为xls、xlxs、ppt、pptx、pdf、inp、opus、amr、rtf、ogg、txt、jpg和doc文件,相关数据用AES-128-CBC加密后存放在C:\ProgramData\Pack0ges\Tvr\目录下,通过https://*****/kolexretriya78ertdcxmega895200.php上传到服务器。解密后的HTTP头keylogger插件和截屏插件使用相同的URL将窃取的数据上传到使用TLS协议传输数据的服务器。3.总结Donot组织在攻击的各个阶段使用不同的服务器提供服务。使用TLS协议进行加密通信后,上传的数据通过AES-128-CBC再次加密。这些操作增加了通信的隐蔽性,降低了被发现的概率。
