我欲封天耳根小说零,天下高月小说

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

APT組織Icefog:一個(gè)斗篷和三把匕首的傳說

簡介

創(chuàng)新互聯(lián)-專業(yè)網(wǎng)站定制、快速模板網(wǎng)站建設(shè)、高性價(jià)比慈溪網(wǎng)站開發(fā)、企業(yè)建站全套包干低至880元,成熟完善的模板庫,直接使用。一站式慈溪網(wǎng)站制作公司更省心,省錢,快速模板網(wǎng)站建設(shè)找我們，業(yè)務(wù)覆蓋慈溪地區(qū)。費(fèi)用合理售后完善，十載實(shí)體公司更值得信賴。

“Icefog”是一個(gè)專注APT的組織，2011年開始活躍起來，主要活躍在日本和韓國。已知的目標(biāo)包括政府機(jī)構(gòu)，軍隊(duì)，海上組織，電信部門，制造業(yè)和高科技公司和大眾媒體。

名稱來源

Icefog的名字來源于曾控制的一臺(tái)服務(wù)器中的字符?？刂栖浖形姆g過來就是”三把劍”。

“Icefog”后門工具(也被叫做”Fucobha”)是一個(gè)受攻擊者控制的交互工具。windows和mac OS平臺(tái)都可以使用。最新發(fā)現(xiàn)，Icefog并不自動(dòng)偷取數(shù)據(jù)，相反，它直接受攻擊者控制，可以在受害系統(tǒng)直接執(zhí)行命令。

攻擊特征

Icefog攻擊時(shí)，為了后續(xù)攻擊，會(huì)將一些惡意工具和后門上傳到受害者的機(jī)器上。本文就講了這些后門和惡意軟件，以及如何防御這類攻擊。#p#

攻擊分析

Icefog會(huì)發(fā)送釣魚用的email，來欺騙目標(biāo)打開其中的惡意附件或者惡意網(wǎng)站。

調(diào)查時(shí)我們確認(rèn)了釣魚email利用了大概利用了以下幾種漏洞

1CVE-2012-1856

2CVE-2012-0158

3CVE-2013-0422 and CVE-2012-1723

4HLP漏洞利用

5HWP漏洞利用

前兩個(gè)漏洞是通過微軟文檔工具(word和excel)來執(zhí)行后門和顯示一個(gè)釣魚用的誘餌給用戶，這種手段經(jīng)常出現(xiàn)。

受害者收到一個(gè)帶有附件的信件，這個(gè)附件要么是一個(gè)word文檔(.doc結(jié)尾)，要么是一個(gè)excel文檔(.xls結(jié)尾)。

假如附件是一份針對(duì)CVE-2012-1856的exp，成功執(zhí)行后，受害者電腦上會(huì)顯示一副”美圖”。

假如附件是針對(duì)CVE-2012-0158的exp，在成功執(zhí)行后，會(huì)顯示一份日語標(biāo)題”Little enthusiasm for regional sovereignty reform”的虛假的誘惑文檔。這是一份日語寫的商業(yè)郵件，同樣的惡意軟件在日本也被用來對(duì)很多目標(biāo)釣魚。#p#

下面是釣魚用的郵件示例

這是一封日本商業(yè)郵件.

同樣的惡意軟件還在日本其他地方出現(xiàn)過.

這是另外一個(gè)樣本.

釣魚攻擊-java漏洞利用

除了Microsoft Office exploits,icefog攻擊者還會(huì)利用java漏洞.

例如，攻擊者有個(gè)惡意網(wǎng)站”money.cnnploicy.com”.從下面的url中java exp會(huì)被下載和執(zhí)行。

1www.securimalware[dot]net/info/update.exe

注:這個(gè)網(wǎng)站被Kaspersky Lab發(fā)現(xiàn)。

update.exe是個(gè)病毒釋放器,帶有以下信息。

執(zhí)行后，它會(huì)安裝Icefog惡意文件”sxs.dll”在IE文件夾下(通常是C:Program FilesInternet Explorer)

為了得到受害主機(jī)的訪問權(quán)，惡意DLL(“sxs.dll”)用了一種“DLL搜索順序劫持”的技術(shù)，這個(gè)利用了IE會(huì)從自己的文件夾里加載sxs.dll,而不是系統(tǒng)目錄的sxs.dll.

Icefog攻擊者還使用HLP文件來感染目標(biāo)。HLP文件并沒有exp，但是利用windows的”特性”來釋放惡意軟件。

非常有趣的是不止是Icefog喜歡用HLP作為工具，非常高效的APT組織，如”Comments Crew”/ APT1,也把HLP當(dāng)作利器。

HLP格式比較老，被稱作”Winhelp”,直到Vista和win7，微軟才把Winhlp32.exe組件獨(dú)立出來解析hlp文件，這才使win7和vista直接支持HLP格式。

保守地說，HLP文件不是exp,但是相反，利用糟糕的Windows Help特性確是exp.這種格式中代碼和數(shù)據(jù)混在一起了，Icefog攻擊者利用定制的宏指令。

關(guān)于”定制宏指令”的說明和在WinHelp項(xiàng)目中的使用風(fēng)險(xiǎn)，Ruben Santamarta在http://reversemode.com/index2.php?option=com_content&do_pdf=1&id=4有說明。

讓我們來看下一個(gè)例子，看看Icefog攻擊者測(cè)試相關(guān)的定制宏指令，API調(diào)用和shellcode,然后利用WinHelp函數(shù)。

這個(gè)例子用了一個(gè)標(biāo)準(zhǔn)Win32 API來分配一個(gè)可執(zhí)行的內(nèi)存區(qū)域，拷貝(使用長字符串拷貝) XOR過的shellcode,然后調(diào)用CreateThread來執(zhí)行payload.

在上圖中，”RR”指RegisterRoutine.

注冊(cè)完后，可以簡單的調(diào)用獨(dú)立函數(shù)。

接下來，分配可執(zhí)行的內(nèi)存區(qū)域，拷貝shellcode.為了執(zhí)行shellcode,調(diào)用CreateThread函數(shù).

shellcode被0XBF XOR操作簡單地加過密了.

執(zhí)行完后，shellcode在www.samyongonc.com/jd/upload.aspx和www.625tongyi.com/jd/upload.aspx會(huì)留下一個(gè)連接C2S的后門.

調(diào)查發(fā)現(xiàn)，Icefog攻擊者還使用HWP文件.這些文件被用在Hangl Word Processor.根據(jù)維基百科定義，Hangul是一個(gè)有專利的文字處理程序，由朝鮮公司Hancom發(fā)布.在朝鮮，這款應(yīng)用廣泛

使用，特別是在政府機(jī)構(gòu).不幸的是，我們得不到這些文件，雖然攻擊者確實(shí)成功地利用這些文件來攻擊受害者.

HWP的用戶應(yīng)該小心這類exp，并且升級(jí)Hangul Word Processor到最新版本.#p#

攻擊者’攻擊方法’

攻擊通過釣魚郵件發(fā)起，利用了很多已公開的漏洞.一旦他們成功感染一臺(tái)機(jī)器，攻擊者會(huì)執(zhí)行一系列動(dòng)作來確認(rèn)受害者的情況:

列舉磁盤文件，比如”My Documents”和桌面文件夾的文件

列舉適配器和IP配置

得到受害者的信息和他們的網(wǎng)絡(luò)

如果受害者比較”聰明”(用虛擬機(jī)工作),Icefog會(huì)用別的軟件,包括:

類型’2′的后門，這個(gè)后門用了新協(xié)議來通信

其他工具,如:密碼和hash轉(zhuǎn)存工具

IE保存的密碼轉(zhuǎn)存工具

Outlook e-mail帳號(hào)和密碼轉(zhuǎn)存工具

調(diào)試工具

合法的RAR軟件來壓縮偷取的數(shù)據(jù)

我們已經(jīng)歸類了三種被偷的數(shù)據(jù):

Windows地址通訊錄,.WAB文件

文檔，包括HWP,XLS和DOC文件

用戶帳號(hào)證書

如果被偷的數(shù)據(jù)有很大的文件，那這些數(shù)據(jù)會(huì)被WinRAR工具或者CABARC工具壓縮.#p#

后門信息

一些已知的Icefog后門,我們列舉出來:

老版本–通過郵件發(fā)送偷取的信息，這個(gè)版本的后門對(duì)日本的一些機(jī)構(gòu)使用過

版本1–攻擊者與受害服務(wù)器交互

版本2–攻擊者和代理服務(wù)器交互，代理服務(wù)器發(fā)送命令控制受害服務(wù)器

版本3–沒有這個(gè)例子，但是我們發(fā)現(xiàn)一種用了不同連接方法的C&C，我們預(yù)計(jì)是惡意軟件感染了這些機(jī)器.

版本4–和版本3一樣

Icefog-NG–通過TCP 5600端口連接

老版本的”2011″后門

2011年，我門發(fā)現(xiàn)惡意軟件攻擊了許多日本機(jī)構(gòu).其中有日本”眾議院”和”參議員”.

兩個(gè)木馬都指向位于www.cloudsbit.com的C&C,盡管指向不同的腳本:”/dj/upload.aspx”和”/jd2web/upload.aspx”.

除了常規(guī)的方法，這些木馬還有別的功能.其中牽扯到了AOL.COM的email用戶.

惡意軟件可以連接到這些帳號(hào)上，并且從郵箱收到命令.并且，它還可以通過e-amil發(fā)送偷取的信息.

一次會(huì)話看起來是這樣的:

其中的一個(gè)木馬發(fā)送了一張日本聽眾的照片.

有一個(gè)e-mail帳號(hào)比較有意思，叫[email protected]

攻擊發(fā)生的時(shí)候，郵箱收到了非常多的偷取的信息.

#p#

版本”1″后門

這個(gè)版本的后門可以遠(yuǎn)程執(zhí)行很多功能，適用于Windows和Mac OS平臺(tái).

這個(gè)后門能做這些事:

上傳系統(tǒng)信息到攻擊者的C&C服務(wù)器上

使攻擊者能夠上傳，并且能在受害的機(jī)器上執(zhí)行命令

竊取和上傳文件到攻擊者的服務(wù)器上

下載C&C服務(wù)器上的工具到受害的機(jī)器上

使攻擊者可以在MSSQL服務(wù)器上直接執(zhí)行SQL命令

更多詳情，請(qǐng)看目錄B

版本”2″后門

這個(gè)后門跟版本1的差不多.只不過，它從一個(gè)代理服務(wù)器來接受命令.

版本2的后門像shellcode文件，通常叫”msuc.dat”.通過一個(gè)特殊的工具加載這些文件.

就功能而言,版本2的后和版本1的差不多.唯一的區(qū)別就是版本1的后門在系統(tǒng)重啟后就沒了.

版本3和4后門

盡管我們沒有這些后門的實(shí)例，但是我們發(fā)現(xiàn)一種跟icefog相關(guān)的后門，這種后門還用到了不同的通信方法.

版本3的后門用到了名叫view.asp和update.asp的腳本.已知的C&C urls:

1www.krentertainly[dot]net/web/view.asp

1disneyland.website.iiswan[dot]com/web/view.asp

版本4的后門用到了名叫update.asp的腳本.已知的url:

1www.pinganw[dot]org/sugers/upfile.asp

我們會(huì)繼續(xù)觀察這種后門,一旦確認(rèn),我們會(huì)更新paper.

版本”NG”后門

版本NG的后門是最新的版本.它可以直接與windows主機(jī)交互.

MAC OS版本的后門

2012年底,icefog的攻擊者用mac os x版本的后門發(fā)起了攻擊.當(dāng)時(shí)這個(gè)特定平臺(tái)的軟件在許多中國的BBS論壇出現(xiàn).

文檔中包含一個(gè)mac os x軟件，這個(gè)軟件可以釋放和安裝macfog后門.我們發(fā)現(xiàn)了兩個(gè)這樣的文檔，估計(jì)還有更多的.

惡意模塊有以下特征:

macfog后門是一個(gè)64位的可執(zhí)行文件，通過LLVM Clang包編譯.簡要的描述如下

macfog總結(jié)

macfog后門和win32平臺(tái)的后門非常相似.它收集系統(tǒng)信息，并且把這些信息發(fā)送到一個(gè)url.

并且可以上傳和下載文件，執(zhí)行系統(tǒng)命令.

macfog后門和windows平臺(tái)下的后門用法不同.目前我們沒有發(fā)現(xiàn)mac用戶被這個(gè)后門感染，但我們相信肯定存在.我們相信這個(gè)版本只是攻擊者在mac平臺(tái)下的一次嘗試. #p#

后續(xù)工具

攻擊者后面要傳送很多工具到受害機(jī)器上.我們發(fā)現(xiàn)的工具有各種功能，比如轉(zhuǎn)存windows用戶憑證,Outlook和IE存的密碼,還有收集系統(tǒng)信息.

在其中的一個(gè)服務(wù)器上，我們看到一個(gè)文件夾中有很多工具,盡管打算書執(zhí)行成功的時(shí)候

被截?cái)喑?

這些工具特征如下:

除了這些,一些其他的工具.比如,在一個(gè)受害機(jī)器上，我們觀察到攻擊者利用內(nèi)核exp,通過java程序提升權(quán)限.不過我們不知道這個(gè)是不是內(nèi)核0day，因?yàn)楣粽哂猛旰髣h除了這些程序.#p#

命令和控制服務(wù)器

調(diào)查期間，我們發(fā)現(xiàn)很多的icefog的命令和控制服務(wù)器.其中大多數(shù)部署在共享主機(jī)上.但是一些重要的部署在專用服務(wù)器上.

這些命令和控制服務(wù)器的一個(gè)重要的特性就是”點(diǎn)擊和運(yùn)行”攻擊者搞個(gè)惡意軟件，然后用這個(gè)軟件來攻擊受害機(jī)器.感染完后，和受害機(jī)器保持聯(lián)系.共享主機(jī)會(huì)在一個(gè)月或者兩個(gè)月消失，并且C&C消失.

多數(shù)情況下,攻擊者已經(jīng)知道自己想要的是什么.文件名快速確定后，傳送到C&C,然后受害機(jī)器就被棄之.

根據(jù)C&C名稱，我們可以確認(rèn)2011-2013年間,很多icefog活動(dòng)還在繼續(xù).

從上面的時(shí)間軸上，我們可以看出攻擊者2013年的活動(dòng)比往年要頻繁,盡管可能先前的

木馬失效了.不過，這張表只能代表攻擊者活動(dòng)的一小部分.#p#

C&C服務(wù)器基礎(chǔ)設(shè)施

我們確認(rèn)了四種C&C服務(wù)器,類型”1″,”2″,”3″,”4″.還有第五種，被用作Icefog-NG,這個(gè)服務(wù)器被用作windows桌面程序.

類型1的服務(wù)器可以讓攻擊者通過瀏覽器來控制受害者.這個(gè)服務(wù)器后端用ASP.NET寫的.

類型2的服務(wù)器是一個(gè)虛擬的，定制的代理服務(wù)器，處于攻擊者和受害者之間.用ASP寫的，并且使用非常簡單.這個(gè)更好,因?yàn)樗[藏了攻擊者的身份.攻擊者可以通過一個(gè)控制

工具來控制受害者.

類型3的服務(wù)器似乎只是用來做實(shí)驗(yàn)的，并且只有兩個(gè)基本功能:查看和更新.它具體的用途我們也沒有發(fā)現(xiàn)，并且我們沒找到連接了這種服務(wù)器的惡意軟件.

類型4的服務(wù)器和類型3的服務(wù)器差不多.Icefog C&C服務(wù)器不需要web服務(wù)，它直接在5600端口監(jiān)聽.

我們主要分析類型1的服務(wù)器,它是被攻擊者使用最多的.

看一下類型1的服務(wù)器登錄界面:

命令控制腳本有一個(gè)有意思的注釋”shiyan11111111111″.頁面標(biāo)題是”尖刀三號(hào)”.

對(duì)軍事粉絲來說,”尖刀三號(hào)”和”三尖刀”，三尖刀是中國一種古代的兵器.

類型1的界面是用ASP.NET寫的，提供了非常方便的界面來管理受害機(jī)器:

控制面板實(shí)際上是一個(gè)Visual Basic.NET web程序，有以下結(jié)構(gòu):

#p#

應(yīng)用程序使用原生的文件系統(tǒng)存偷取的數(shù)據(jù),日志和暫存文件.下面是對(duì)C&C程序使用的目錄的簡要描述:

ok: 可以顯示上次受害機(jī)器在線時(shí)間的心跳文件

downloads: 接受攻擊者的指令，獲取受害機(jī)器上的文件

uploads: 會(huì)傳送到受害機(jī)器上的文件

order: 包含會(huì)被執(zhí)行的命令的文件

result: 包含命令執(zhí)行結(jié)果的文件

info：包含受害機(jī)器系統(tǒng)信息的文件

logs: 可以被攻擊者刪除的操作日志文件

files: 包括js,css和圖片這些會(huì)被用在web界面的文件

也許最有意思的部分是類型1的C&C面板含有攻擊者操控受害機(jī)器的完整過程.這個(gè)過程被保存成一個(gè)加密的日志文件，位于logs目錄下.除了這個(gè),服務(wù)器還記錄了對(duì)受害機(jī)器命令的結(jié)果.

下面,我們看到攻擊者把一個(gè)USB里文件拷到”c:tempmslog”,這個(gè)USB連接到一臺(tái)韓國windows系統(tǒng)上.拷完以后，把這些文件再上傳到C2服務(wù)器上.

另一個(gè)示例中，我們看到他們完成類型1的感染后，緊接著上傳并運(yùn)行類型2的后門.

有意思的是，現(xiàn)在的Icefog-NG C&C程序看起來和Icefog web UI非常相似.用了同樣的多tab布局，連tab的標(biāo)題都是一樣額.我們想Icefog-NG是用來代替Icefog bot和基于web

的控制面板.

Icefog-NG設(shè)計(jì)的更加簡介和高效.數(shù)據(jù)還是存儲(chǔ)在本地文件系統(tǒng)中，設(shè)置連文件名都和先前的Icefog版本一樣.這是一個(gè)Icefog-NG C&C程序的用戶界面截圖.

和其他的基于web的Icefog程序一樣，這個(gè)c&c程序也需要驗(yàn)證操作者.但是在web版本中，驗(yàn)證遠(yuǎn)程用戶是比較容易的，但是在這個(gè)桌面程序中，這個(gè)驗(yàn)證機(jī)制很容易被過,因?yàn)閹ぬ?hào)和密碼在二進(jìn)制文件中硬編碼了.

這是Icefog-NG C&C軟件的”受害者”面板:

讓人蛋疼的是只有你的分辨率高于1280×1024,Icefog-NG才能用.即使在標(biāo)準(zhǔn)分辨率1024×768,下，不是所有的控件都能適應(yīng)屏幕.這個(gè)程序是用Microsoft Visual Studio MFC AppWizard創(chuàng)建的.我們分析的樣本是在2013五月編譯的，但是那個(gè)項(xiàng)目很像是在2012年創(chuàng)建的，因?yàn)樵凇标P(guān)于程序”消息框是這么說的.#p#

感染數(shù)據(jù)和統(tǒng)計(jì)

命令控制服務(wù)器包含很多攻擊者對(duì)受害機(jī)器操作的日志.這些日志用了簡單的xor操作加密了，只要你知道日志位置和名稱，就很容易解密.這是一個(gè)已經(jīng)解密的log文件:

這些日志文件有時(shí)可以幫助確認(rèn)攻擊的目標(biāo).

在我們的研究過程中，我們發(fā)現(xiàn)很多起對(duì)針對(duì)朝鮮，臺(tái)灣和日本的攻擊.攻擊很多針對(duì)國防工業(yè)承包商,如Lig Nex1和Selectron Industrial公司,造船業(yè)，如DSME Tech，Hanjin HeavyIndustries,電信工業(yè)，如Korea Telecom，媒體，如Fuji TV和Japan-China Economic Association.

發(fā)現(xiàn)信息

研究時(shí),我們sinkhole 13個(gè)攻擊者使用的域名:

>>spekosoft.com

>>kechospital.com

>>unikorean.com

>>pasakosoft.net

>>chinauswatch.net

>>msvistastar.com

>>defenseasia.net

>>pinganw.org

>>kevinsw.net

>>avatime.net

>>shinebay.net

>>securimalware.net - 在釣魚攻擊中使用

>>appst0re.net - MacFog的命令控制

這些域名全都被定向到Kaspersky Sinkhole服務(wù)器95.211.172.143上了.

總地來說，我們觀察到超過4500個(gè)IP感染了Macfog,超過430個(gè)受害主機(jī).

對(duì)于windows系統(tǒng)機(jī)器，在六個(gè)國家,我們接受到大約200個(gè)獨(dú)一無二的ip的連接.

應(yīng)該注意的是，從所有圖片看出，這些發(fā)現(xiàn)的域名只提供一個(gè)受感染機(jī)器的一小部分，特別是那些先前感染的機(jī)器由于一些未知原因又不受感染了.新的攻擊變得更難追蹤了，因?yàn)樾碌腃&C域名不是那么容易發(fā)現(xiàn).

受害機(jī)器的地理分布也很重要.雖然我們看到很多的連接來自中國，但這個(gè)并不就是說這個(gè)組織的目標(biāo)在中國.因?yàn)槲覀儼l(fā)現(xiàn)的macfog樣本很多分布在中國的論壇,網(wǎng)友(特別是能讀懂中文的)網(wǎng)友)，不論來自哪里都能被感染.我們相信攻擊者做這些的主要目的只是測(cè)試一下惡意軟件在不同環(huán)境下的效果.這就能解釋為什么作為C2的域名被廢棄了–用來測(cè)試的受害機(jī)器對(duì)攻擊者來說沒有多少價(jià)值.

更加可靠的結(jié)果來自攻擊特定目標(biāo)時(shí)用到的C&C服務(wù)器,釣魚樣本和其他我們收集到的數(shù)據(jù),分析這些，我們得到Icefog的主要目標(biāo)是在韓國和日本.#p#

攻擊者的IP

由那些監(jiān)控基礎(chǔ)設(shè)施的IP，我們估計(jì)攻擊者至少在三個(gè)國家

>中國(受害機(jī)器連接最多)

>朝鮮

>日本

更多的信息在我們提交給政府的報(bào)告中可以得到.(聯(lián)系[email protected])

惡意軟件

“MSUC.DAT”類型2后門有一個(gè)ASCII字符串:”Yang.ZC Wang.GS Zhan.QP Ma.J Li.X Hu.HXU”.

Icefog類型2后門 loader with md5″be043b0d1337f85cfd05f786eaf4f942″,在C2域”infostation.com”發(fā)現(xiàn)以下

調(diào)試路徑信息:

“C:Usersyang.zcDesktop代碼片調(diào)用程序 4ReleaseUCCodePieceGo.pdb”

注意到”Yang.zc”在兩個(gè)字符串都出現(xiàn)了.

語言使用

C&C后端控制腳本中有一個(gè)”control.aspx”頁面標(biāo)題是”尖刀三號(hào)”.

ASPX服務(wù)端的腳本有很多中文的信息和代碼注釋:

攻擊者后面使用的一個(gè)文件是中文名:windows版本號(hào).txt.jpg

訪問命令控制用戶界面但是登錄沒有通過驗(yàn)證的話，頁面會(huì)被重定向到”sohu.com”:

#p#

注冊(cè)

更多的信息可以在我們提交給政府的報(bào)告中看到.

(聯(lián)系[email protected])

怎么防御

怎么樣算是被黑了

C&C域名和主機(jī)名

>>40yuan.8.100911.com

>>625tongyi.com

>>9-joy.net

>>agorajpweb.com

>>appst0re.net - Kaspersky實(shí)驗(yàn)室發(fā)現(xiàn)

>>bigbombnews.com

>>chinauswatch.net - Kaspersky實(shí)驗(yàn)室發(fā)現(xiàn)

>>cloudsbit.com

>>cnnpolicy.com

>>dabolloth.com

>>dancewall228.com

>>dashope.net

>>daxituzi.net

>>defenseasia.net - Kaspersky實(shí)驗(yàn)室發(fā)現(xiàn)

>>disneyland.website.iiswan.com

>>dosaninfracore.com

>>dotaplayers.com

>>electk.net

>>esdlin.com

>>fruitloop.8.100911.com

>>gamestar2.net

>>gangstyleobs.com

>>globalwebnews.net

>>icefog.8.100911.com

>>infostaition.com

>>kakujae.com

>>kansenshu.com

>>kevinsw.net - Kaspersky實(shí)驗(yàn)室發(fā)現(xiàn)

>>kechospital.com - Kaspersky實(shí)驗(yàn)室發(fā)現(xiàn)

>>kimjeayun.com

>>koreanmofee.com

>>kreamnnd.com

>>krentertainly.net

>>lexdesign152.net

>>mashuisi.net

>>minihouse.website.iiswan.com

>>msvistastar.com - Kaspersky實(shí)驗(yàn)室發(fā)現(xiàn)

>>mudain.net

>>namoon-tistory.com

>>newsceekjp.com

>>nk-kotii.com

>>msvistastar.com - Kaspersky實(shí)驗(yàn)室發(fā)現(xiàn)

>>mudain.net

>>namoon-tistory.com

>>newsceekjp.com

>>nk-kotii.com

>>yahoowebnews.com

>>zhpedu.org

惡意軟件的路徑

>>%TEMP%scvhost.exe

>>%TEMP%svohost.exe

>>%TEMP%msuc.dat

>>%TEMP%order.dat

>>%TEMP%cmd1.dat

>>%TEMP%tmpxor.dat

>>%SYSTEMROOT%msld.exe

>>%SYSTEMROOT%wdmaud.drv

>>%PROGRAM FILES%Internet Explorersxs.dll

>>my_horse_mutex_jd2_new

>>my_horse_mutex_jd2_923

>>myhorse_macfee

>>horse_for360

>>myhorsemutexjd3_wm_1226

>>myhorsemutex

>>myhorse_qianfu001

>>myhorse_ie001

>>myhorse_ie_001

用戶代理字符串(HTTP流量)

>>“MyAgent”

>>“mydownload”

E-MAILS帳號(hào)

老的”2011″Icefog使用發(fā)送郵件的帳號(hào):

>>[email protected]

>>122.10.87.252

>>113.10.136.228

>>103.246.245.130

注:由于共享主機(jī),屏蔽Icefog C2的這些IP可能會(huì)導(dǎo)致一些錯(cuò)誤.這些ip是一些專用服務(wù)器的ip.

卡巴斯基檢測(cè)到的Icefog后門和相關(guān)工具的名稱

>>Backdoor.ASP.Ace.ah

>>Backdoor.Win32.Agent.dcjj

>>Backdoor.Win32.Agent.dcwq

>>Backdoor.Win32.Agent.dcww

>>Backdoor.Win32.CMDer.ct

>>Backdoor.Win32.Visel.ars

>>Backdoor.Win32.Visel.arx

>>Exploit.MSWord.CVE-2010-3333.cg

>>Exploit.MSWord.CVE-2010-3333.ci

>>Exploit.MSWord.CVE-2012-0158.ae

>>Exploit.MSWord.CVE-2012-0158.az

>>Exploit.MSWord.CVE-2012-0158.bu

>>Exploit.MSWord.CVE-2012-0158.u

>>Exploit.Win32.CVE-2012-0158.j

>>Exploit.Win32.CVE-2012-0158.u

>>Exploit.WinHLP.Agent.d

>>Trojan-Downloader.Win32.Agent.ebie

>>Trojan-Downloader.Win32.Agent.gxmp

>>Trojan-Downloader.Win32.Agent.gzda

>>Trojan-Downloader.Win32.Agent.gznn

>>Trojan-Downloader.Win32.Agent.tenl

>>Trojan-Downloader.Win32.Agent.vigx

>>Trojan-Downloader.Win32.Agent.vkcs

>>Trojan-Downloader.Win32.Agent.wcpy

>>Trojan-Downloader.Win32.Agent.wqbl

>>Trojan-Downloader.Win32.Agent.wqdv

>>Trojan-Downloader.Win32.Agent.wqqz

>>Trojan-Downloader.Win32.Agent.xrlh

>>Trojan-Downloader.Win32.Agent.xsub

>>Trojan-Downloader.Win32.Agent.xyqw

>>Trojan-Downloader.Win32.Agent.yavh

>>Trojan-Downloader.Win32.Agent.yium

>>Trojan-Dropper.Win32.Agent.gvfr

>>Trojan-PSW.Win32.MailStealer.j

>>Trojan-Spy.Win32.Agent.bwdf

>>Trojan-Spy.Win32.Agent.bxeo

>>Trojan.PHP.Agent.ax

>>Trojan.Win32.Genome.ydxx

>>Trojan.Win32.Icefog.*

總結(jié)

這篇paper介紹了APT組織Icefog,這個(gè)組織的目標(biāo)在韓國和日本.攻擊在2011年開始,攻擊規(guī)模逐年擴(kuò)大.基于受害機(jī)器，分析出攻擊者主要對(duì)一下機(jī)構(gòu)比較感興趣:

軍事

大眾媒體和電視

造船和海上業(yè)

計(jì)算機(jī)和軟件

研究公司

電信業(yè)

衛(wèi)星運(yùn)營商

盡管相對(duì)來說不是很復(fù)雜，但是攻擊者已經(jīng)成功的淪陷了上面機(jī)構(gòu)的一些目標(biāo),造成韓國很多的受害主機(jī).

Icefog攻擊者有windows和Mac OS X平臺(tái)的木馬.對(duì)于Mac OS X后門,安全解決方案大都不能檢測(cè)出來,這種后門在全世界范圍內(nèi)已經(jīng)感染了很多機(jī)器.”點(diǎn)擊并且執(zhí)行”的特性使得這個(gè)木馬不同尋常.但是在其他情況下,受害機(jī)器受感染持續(xù)幾個(gè)月甚至幾年,并且數(shù)據(jù)一直在被盜取,Icefog攻擊者非常清楚他們需要從受害者那里需要什么.

一旦需要的信息獲取到了，受害機(jī)器就不管了.在過去的幾年，我們觀察到APT攻擊的數(shù)量持續(xù)增長,這種攻擊對(duì)各種類型的目標(biāo)都很實(shí)用.

在將來，我們估計(jì)有針對(duì)性的APT小型組織數(shù)量會(huì)增加,特別是網(wǎng)上雇傭兵這種做點(diǎn)擊操作的人.

預(yù)防這種攻擊的建議(對(duì)windows用戶和mac os x都適用)

更新java到最新版本,如果你不用Java的話，卸載掉

更新windows和office到最新版本.

更新所有第三方軟件,如Adobe Reader.

不要輕易點(diǎn)擊連接和陌生人發(fā)的附件

windows用戶可以安裝Microsoft EMET 4.0,一個(gè)幫助預(yù)防hacker的工具

目前，我們沒看到Icefog用到了什么0day.為了防御攻擊，AEP(Automatic ExploitPrevention)和DefaultDeny技術(shù)非常有效.

網(wǎng)頁名稱：APT組織Icefog:一個(gè)斗篷和三把匕首的傳說
分享網(wǎng)址：http://m.fisionsoft.com.cn/article/cogogec.html

新聞中心

其他資訊