1、概述

Donot（肚腦蟲）是一個(gè)從2016年開(kāi)始一直活躍至今的APT組織。該組織主要針對(duì)巴基斯坦、中國(guó)、斯里蘭卡、泰國(guó)等國(guó)家和克什米爾地區(qū)發(fā)起攻擊，攻擊目標(biāo)包括政府機(jī)構(gòu)、國(guó)防軍事部門、外交部以及大使館。Donot組織主要使用釣魚郵件作為初始接入的手段，利用宏代碼加載下一階段載荷，通過(guò)下載者下載各類功能插件，包括：鍵盤記錄、屏幕捕捉、文件竊取、瀏覽器信息竊取以及反向shell等插件。

近日，觀成科技捕獲到Donot組織的一個(gè)惡意文檔類樣本（Hash：ab5cc990a6f4a196daa73bf655286900e7c669b2a37c32f92cbb54631bc3a565），該樣本的執(zhí)行過(guò)程與Donot以往的此類樣本基本一致，通過(guò)HTTP協(xié)議從服務(wù)器處獲取模塊下載器，下載器的插件下載以及數(shù)據(jù)上傳階段通信均通過(guò)TLS加密協(xié)議實(shí)現(xiàn)。

2、多階段通信過(guò)程

惡意文檔執(zhí)行后，通過(guò)3個(gè)階段的通信完成整個(gè)竊密過(guò)程。第一階段，從服務(wù)器A處通過(guò)HTTP協(xié)議獲取模塊下載器；第二階段，模塊下載器從服務(wù)器B處通過(guò)TLS協(xié)議獲取多個(gè)插件；第三階段，各個(gè)插件將竊取的數(shù)據(jù)通過(guò)TLS協(xié)議上傳到服務(wù)器C上。

 執(zhí)行過(guò)程

2.1第一階段：獲取下載者木馬

文檔中包含惡意宏代碼，執(zhí)行后會(huì)將shellcode注入到Excel.exe進(jìn)程中。shellcode通過(guò)HTTP協(xié)議從http://one.localsurfer.buzz/*****/MU3gLGSnHhfDHRnwhlILSB27KZaK2doaq8s9V5M2RIgpeaD8.（png|mp4）獲取下載者木馬。

獲取下載者木馬

2.2第二階段：獲取多個(gè)插件

下載者木馬difg02rf.dll創(chuàng)建名為“OneSingUpdate”的計(jì)劃任務(wù)，從服務(wù)器下載3個(gè)插件，插件名稱硬編碼在樣本中，分別為Kyingert（鍵盤記錄器插件）、tr2201dcv（文件竊取插件）和SSrtfgad（屏幕截圖插件）。下載者木馬使用TLS協(xié)議與服務(wù)器進(jìn)行通信，通過(guò)https://grap******/DoPstRgh512nexcvv.php將用戶名和插件名發(fā)送給服務(wù)器。

獲取Kyingert.dll（TLS）

獲取Kyingert.dll(TLS解密后)

2.3第三階段：數(shù)據(jù)竊取

文件竊取插件讀取Desktop、Document、Downloads文件夾中后綴名為xls、xlxs、ppt、pptx、pdf、inp、opus、amr、rtf、ogg、txt、jpg和doc的文件，將相關(guān)數(shù)據(jù)使用AES-128-CBC加密后存儲(chǔ)到C:\ProgramData\Pack0ges\Tvr\目錄下，通過(guò)TLS協(xié)議經(jīng)過(guò)https://*****/kolexretriya78ertdcxmega895200.php上傳到服務(wù)器。

使用TLS協(xié)議傳輸數(shù)據(jù)

 解密后的HTTP頭部

鍵盤記錄插件和屏幕捕捉插件使用相同URL將竊取的數(shù)據(jù)上傳到服務(wù)器。

3、總結(jié)

Donot組織在攻擊的各個(gè)階段使用不同的服務(wù)器提供服務(wù)，在使用了TLS協(xié)議進(jìn)行加密通信后，還通過(guò)AES-128-CBC對(duì)上傳的數(shù)據(jù)再次進(jìn)行了加密，這些操作增加了通信的隱蔽性，降低了被檢出的概率。