Tropic Trooper組織自2011年來���,主要針對臺灣�,菲律賓、香港的政府�����,軍事��,醫(yī)療保健��,運(yùn)輸和高科技行業(yè)進(jìn)行攻擊�����。該組織使用帶有惡意附件的魚叉式網(wǎng)絡(luò)釣魚郵件為主要手段��。
近期發(fā)現(xiàn)Tropic Trooper在利用USBferry進(jìn)行攻擊�����,主要針對臺灣和菲律賓的物理隔離網(wǎng)絡(luò)�,還發(fā)現(xiàn)了軍事/海軍機(jī)構(gòu),政府機(jī)構(gòu)���,軍事醫(yī)院甚至國家銀行等受害目標(biāo)。USBferry是一種USB惡意軟件,可以對特定目標(biāo)執(zhí)行不同的命令�����,在目標(biāo)環(huán)境中隱藏自身���,通過USB存儲設(shè)備竊取關(guān)鍵數(shù)據(jù)���。USBferry自2014年以來一直保持活躍,該組織專注于從目標(biāo)網(wǎng)絡(luò)竊取與國防�,海洋和船舶有關(guān)的文檔。
版本分析
目前已發(fā)現(xiàn)USBferry惡意軟件的三個版本�,以下是分析要點(diǎn):
第一個版本具有TROJ_YAHOYAH的一小部分。 該惡意軟件會檢查目標(biāo)計(jì)算機(jī)是否有USB插件���,并將USBferry安裝程序復(fù)制到USB中��,從而執(zhí)行命令��,獲取目標(biāo)文件或文件夾列表����,將文件從物理隔離的主機(jī)復(fù)制到受感染的主機(jī)等�����。
第二個版本與第一個版本功能相同,并將組件組合成一個可執(zhí)行文件���。該版本還將惡意軟件的位置及其名稱更改為UF�,即USBferry的縮寫�。
第三個版本保留了先前版本的功能,并提高了其在目標(biāo)環(huán)境中的隱蔽性�。
技術(shù)分析
該組織通過USB蠕蟲感染策略,將USB將惡意軟件安裝到物理隔離主機(jī)中來實(shí)現(xiàn)感染��。
下圖分析了在UF1.0 20160226版本中該組織的攻擊鏈:
1�、誘餌文件首先植入flash_en.inf DLL文件(即USBferry加載器),然后加載加密的USBferry惡意軟件
2���、加密的USBferry惡意軟件嵌入在加載程序資源中���,加載程序?qū)⑵浞湃隒:\Users\Public\Documents\Flash 文件夾并命名為flash.dat
3、加載有效負(fù)載后�����,加載程序會將惡意DLL注入rundll32.exe�����,USBferry惡意軟件還會加載C&C配置文件和flash_en.dat,它們也位于C:\Users\Public\Documents\Flash
4��、USBferry惡意軟件嘗試連接到c&c�����,并使用Windows命令收集/復(fù)制目標(biāo)主機(jī)數(shù)據(jù)���。
如果發(fā)現(xiàn)網(wǎng)絡(luò)不可用,它將嘗試從目標(biāo)計(jì)算機(jī)收集信息���,并將收集的數(shù)據(jù)復(fù)制到USB存儲設(shè)備中���,等待可訪問網(wǎng)絡(luò)后再發(fā)送。
接下來介紹Tropic Trooper使用的后門:
WelCome To Svchost 3.2 20110818后門(檢測為BKDR_SVCSHELL.ZAHC-A)���。 根據(jù)惡意軟件的版本號����,此后門的第一個版本是在2011年或之前開發(fā)的�,這意味著Tropic Trooper攻擊活動已經(jīng)進(jìn)行了至少十年���。
WelCome To IDShell 1.0 20150310后門(檢測為BKDR_IDSHELL.ZTFC-A),此后門具有兩種類型���,其中包括隱寫jpg版本����,目的是對目標(biāo)計(jì)算機(jī)進(jìn)行偵察����。 與其他版本一樣,它使用DNS協(xié)議與服務(wù)器通信���,并加密通信流量來逃避檢測���。
Hey! Welcome Server 2.0’s后門(檢測為BKDR_TEBSHELL.ZTGK),這是最新版本后門��,有32位和64位版本�,它使用不可見的Web Shell遠(yuǎn)程控制目標(biāo)。它會以服務(wù)的形式運(yùn)行�����,將后門通信隱藏在正常流量中,并使用自定義的TCP協(xié)議�。
Tropic Trooper在攻擊中還使用了其他工具,例如:
1�����、多版本Command-line遠(yuǎn)程偵聽/端口中繼工具��,可與目標(biāo)后門進(jìn)行通信�����。
2��、后門/隱寫載荷加載器�����,可用加載加密的有效載荷并刪除自身和有效載荷��。
3��、端口掃描工具��。
隱寫術(shù)不僅用于傳遞加密的有效載荷�����,也可以將信息傳輸?shù)紺&C服務(wù)器��。Tropic Trooper使用不可見的Web Shell來隱藏其C&C服務(wù)器位置�,使事件響應(yīng)分析變得更加復(fù)雜。
MITRE ATT&CK Matrix
解決方案
Tropic Trooper最新發(fā)現(xiàn)表明�,它們已經(jīng)可以針對政府機(jī)構(gòu)和軍事機(jī)構(gòu)竊取情報(bào)。該組織還需要很長時間來執(zhí)行前期偵察�,滲透到物理隔離的網(wǎng)絡(luò)中����?梢圆扇∫韵麓胧﹣碜柚垢呒壋掷m(xù)性威脅:
1、強(qiáng)制執(zhí)行最小特權(quán)原則�����,使用網(wǎng)絡(luò)分段和數(shù)據(jù)分類來阻止橫向移動��。
2����、保持系統(tǒng)及其應(yīng)用程序更新,實(shí)行補(bǔ)丁管理策略�。
3����、定期監(jiān)察網(wǎng)關(guān)�,端點(diǎn),網(wǎng)絡(luò)和服務(wù)器之間的檢測響應(yīng)�����,及時發(fā)現(xiàn)各種網(wǎng)絡(luò)安全威脅�。防火墻和入侵檢測系統(tǒng)可以幫助發(fā)現(xiàn)阻止網(wǎng)絡(luò)攻擊。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價(jià)
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
