APT-C-53(Gamaredon)在近期攻击中的新变化

阅读量65312

发布时间 : 2022-03-22 16:21:09

APT-C-53又称Gamaredon,长期以来活跃在东欧地区。自今年以来,我们多次观察到APT-C-53在攻击活动中对自身攻击武器进行了调整和优化,同时提高了攻击活动的操作频率。

1.加强版的VBS混淆


在历史攻击活动中,虽然混淆风格不同,但大体上代码的混淆思路就是关键字符串拆开,并插入注释的垃圾内容,垃圾内容可以是上图的垃圾信息,也可以是垃圾代码:


通过对关键字符串的拆分和垃圾字符串的引入,针对这类脚本的自动化IOC提取将变得困难,但对人工阅读影响并不十分明显,借助语法高亮等编辑器功能,分析人员还是可以轻松地从代码中获取C2等重要信息。

但自今年以来,我们观察到该组织对脚本的混淆等级进行了提升,代码可读性几乎为0,分析人员想要用肉眼提取有效信息的可能性基本不存在:


一个简单的VBS下载器经过此类混淆后,原本几十行的代码量可以达到一万行到两万行之间,单个脚本文件大小高达1mb

借助360安全大脑的新一代脚本解析引擎,我们对这些混淆风格激进的脚本进行了解析,其上万行的代码只是在拼接出核心代码,拼接完成后再调用ExecuteEval函数进行执行:

APT-C-53组织将自身VBS系列组件都更新成了这种激进的混淆风格,往期报告中我们提到过的用于自动生成恶意LNKVBS文件也通过这种方式进行了混淆。

2. 隐藏在注册表中的VBS

我们在历史的相关报告中披露过,APT-C-53常用的可持续性控制手法是创建计划任务来执行VBS脚本:


通过对APT-C-53组织相关活动的持续追踪,我们发现该组织的持续化手法发生了一定的变化,在计划任务启动后,调用mshta执行Powershell命令并启动wscript进程,而VBS代码则保存在了注册表的HKCU\Console\FaceNames位置下:


用于创建这一计划任务和计划任务将执行的VBS代码也经过前文所述的高度混淆,最终功能依旧是远程下载并执行payload,下载前依旧需要先对域名进行DNS解析,然后将得到的IP拼接成URL

脚本通过拼接后的URL下载并执行下一阶段的payload,通过这种方式,只要保持对域名的控制,APT-C-53可以不断更换远程服务器的地址,因此在类似攻击活动的检测和拦截中,除了http流量的目标地址以外,还需要关注DNS解析时的数据。

 

本文由360数字安全原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/270477

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360数字安全
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66