�quipe pirate outre-mer � �l�phant blanc � soudainement devenir actif, de lancer des attaques contre nos unit�s sp�cifiques de pays et d'individus

1er avril Lei Feng net de la micro-�tape en ligne a appris que les pirates �trangers � �l�phant blanc � apr�s une p�riode de repos de temps, au d�but de Mars de cette ann�e, crise nationale.

� la fin de D�cembre 2017, apr�s la firme de s�curit� �trang�re exposition Trend Micro de leurs attaques, le groupe d�sactiver rapidement tous les noms de domaine, IP et d'autres infrastructures, pour entrer dans la � p�riode de repos �. Cependant, � la mi-Mars � d�but Mars de cette ann�e, un gang � �l�phant blanc � � nouveau lanc� divers aspects de la cyber-attaques contre notre pays, les documents d'app�t sont utilis�s au cours d'un sujet de nouvelles en particulier, impliquant militaire, sociale, juridique et ainsi de suite.

Cette fois-ci, Baixiang Li documents app�t, implant�s par des vuln�rabilit�s Office au cheval de Troie de porte d�rob�e h�te affect� li� � l'utilisation ant�rieure de la structure des gangs de Troie et la fonction fondamentalement la m�me, un contr�le total sur l'h�te victime contr�le � distance selon les instructions envoy�es par le serveur. Les attaques par courrier �lectronique phishing lanc�es par le D�partement de l'unit� ou un individu, et les attaques se sont poursuivies.

Selon les �chantillons de capture de documents en ligne micro-�tape a montr� que le � �l�phant blanc � plus app�t utilis� par le document sont stock�s sur des bandes fprii.net, ifenngnews.com et chinapolicyanalysis.org tels que l'enregistrement des sites de faux documents concernant � la derni�re 2018 les troupes de politique salariale d'ajustement � (6 aspect Mars), � Minist�re des Affaires civiles a annonc� un certain nombre d'organisation sociale ill�gale � (g�n�r� 14 Mars), � R�publique de Chine loi sur la surveillance populaire (projet) � (15 g�n�ration Mars), et d�fense Institut de recherche du Japon a publi� l'�dition 2018 du � rapport sur la strat�gie de s�curit� de la Chine � (aspect 13 Mars) et d'autres sujets d'actualit� pour une p�riode donn�e, avec une forte confusion et cibl�e.

Lei Feng r�seau appris ces app�ts documents utilisent la plus r�cente vuln�rabilit� Microsoft Office CVE-2017-8570, l'utilisateur n'installe pas rapidement le patch d�s que vous ouvrez un document d�clenchera un code malveillant et est implant� backdoors.

Analyse d'�chantillon

Ce qui suit est un probl�me en ligne micro-�tape d'analyse de l'�chantillon:

Notre �chantillon appel� � Chinas_Arctic_Dream.doc � Le (21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d) comme un exemple des chevaux de Troie impliqu�s dans l'attaque sont analys�es comme suit:

1. Proc�d� d'�chantillon R�sum�

Et l'�chantillon en D�cembre 2017 diff�rence captur�e est que l'�chantillon est plus concis que le processus de d�chiffrement plus t�t exemple, le d�chiffrement ex�cuter Troie de porte d�rob�e est pas en m�moire, mais ex�cut� directement apr�s l'atterrissage. processus de comparaison figure est la suivante:

D�cembre 2017 �chantillon

Mars 2018 �chantillons

Micro r�sultat de d�tection de bac � sable Buyun

2. Analyse Droper (qrat.exe)

a. document Word apr�s avoir �t� ouvert, sera publi� par le d�clenchement de la vuln�rabilit� et ex�cuter qrat.exe, des �chantillons C # d�veloppement, afin d'�viter toute confusion et de faire l'analyse.

b. Cet �chantillon Droper et captur� �chantillon � �l�phant blanc � classique fonctionnellement similaire, rootkits est principalement install�. Apr�s que l'�chantillon a publi� Microsoft.Win32.TaskScheduler.dll et traversera les ressources microsoft_network.exe. Les deux fichiers sont stock�s dans le qrat.exe des ressources dans la section des ressources contient deux en-t�te de fichier PE est le d�but de la porte d�rob�e MZ, tandis que le second est d'ajouter une t�che planifi�e t�te MZ de dll. Vous pouvez voir les caract�ristiques des fichiers �videntes PE PE gr�ce � l'outil.

Afin de v�rifier la conjecture, peuvent �tre extraites et isol�es par des outils de PE et �diteur hexad�cimal pour cette ressource ont ensuite �t� obtenir les fichiers microsoft_network.exe de porte arri�re et d'une biblioth�que de liens dynamiques Microsoft.Win32.TaskScheduler.dll.

c. lib�rer la porte arri�re sur le chemin% APPDATA% \ Microsoft Network de l'microsoft_network \ r�pertoire 1.0.0.0, start-up et vous inscrire en appelant Microsoft.Win32.TaskScheduler.dll Ajouter une t�che, effectu�e une fois toutes les 5 minutes programm�.

qrat.exe compilation pour 2 F�vrier, 2018

3. Analyse de la porte arri�re (de microsoft_network.exe)

a. �chantillons d'une vue de la compilation est le 23 Janvier 2018, �crit en C # en utilisant le m�me, faire la m�me confusion, enlever la confusion trouve la t�l�commande �chantillons de Troie. Les chevaux de Troie usages du compilateur open source de contr�le � distance XRAT, utilise la bande � �l�phant blanc �. Les chevaux de Troie peuvent fonctionner dans l'�chantillon par rapport � D�cembre de l'ann�e derni�re, et il n'y a pas de changement fonctionnel, mais les options du fichier de configuration sont le chiffrement AES et un cod� en base64. Comme indiqu� ci-dessous:

Quels sont les chevaux de Troie num�ro de version interne 2.0.0.0 RELEASE3, en ligne nom de domaine tautiaos.com (actuel 43.249.37.199 analytique, a �t� incapable de se connecter), en ligne num�ro de port 23558, le mot de passe de connexion g00gle@209.58.185.36, mutex est eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM, configuration information cl� de d�chiffrement est Kkbnev10lq5zOdKl51Aq. Par rapport aux �chantillons pr�c�dents captur�s les informations de configuration pour l'�chantillon ont �t� effectu�es modifi�, mais toujours utiliser le num�ro de port 23588.

B. Apr�s l'obtention d'un �chantillon ex�cuter les informations du syst�me d'exploitation de base, l'acc�s � l'emplacement de la victime par � freegeoip.net �, puis cr�er un mutex et ainsi de suite. les fonctions de base de contr�le � distance comprennent:

a) les fonctions de base: Shell � distance, la gestion des processus, la gestion de l'�cran, les op�rations de fichiers, l'acc�s � l'information h�te, voir l'entr�e de d�marrage, l'arr�t � distance, red�marrage et ainsi de suite;

b) tuer confrontation douce, la d�tection de pare-feu;

c) mise � jour automatique, injection dll;

d) acqu�rir des informations sur d'autres dispositifs dans le m�me domaine.

Analyse de corr�lation

ifenngnews.com, chinapolicyanalysis.org association des noms de domaine malveillants impliqu�s dans la d�couverte, en plus de datapeople-cn.com, sinamilnews.com, ustc-cn.org et beaucoup d'autres que nous avions d�j� ma�tris� les actifs de gangs, nous avons �galement constat�, y compris wipikedia xyz, armynews.today et d'autres noms de domaine suspect au 19 Janvier, 2018 date d'enregistrement, jug� � partir d'un bureau d'enregistrement de domaine, informations sur le serveur, et que ce nom de domaine est encore un gang � �l�phant blanc � de tous, comme indiqu� ci-dessous:

De plus, il y a l'intelligence, un gang � �l�phant blanc � a attaqu� l'utilisation principale du phishing e-mail pour diffuser lien malveillant t�l�charger le document � des unit�s sp�cifiques et aux particuliers, en date du 21 Mars 2018, la majorit� des liens malveillants peuvent toujours acc�der au t�l�chargement (par exemple hxxp: //fpriinet/The_Four_Traps_for_China.doc), prouvent que les attaques se poursuivent. Lei Feng r�seau a appris que les utilisateurs peuvent t�l�charger ou visualiser l'�cran dans votre journal, que les gangs r�centes pr�occupations des unit�s li�es.

Route de la soie

Apprenez � conna�tre la Chine

�quipe pirate outre-mer � �l�phant blanc � soudainement devenir actif, de lancer des attaques contre nos unit�s sp�cifiques de pays et d'individus

Analyse d'�chantillon

Analyse de corr�lation