1、简述

2019年4月23日，安天CERT发觉响尾蛇（SideWinder）APT机构对于塔吉克斯坦开展的渔叉式钓鱼邮件攻击恶性事件。该APT机构疑是来源于东亚某一个，最开始活跃性追朔到2012年，关键对于塔吉克斯坦等国开展攻击，近些年内被安全性生产商公布过数次攻击行動/恶性事件，有关攻击恶性事件见下面的图。

图 1?1响尾蛇（SideWinder）APT机构最近主题活动恶性事件时间线

此次恶性事件的攻击电子邮件假冒塔吉克斯坦信德省（Sindh）公安局向旁遮普省（Punjab） *** 部门有关人员推送一份题目为《警察紧急威胁等级常设作业程序》和《行动准备颜色代码》为主题风格的电子邮件，电子邮件文章正文与最近东亚热点话题之一反恐怖组织有关，并在配件中包括存有恶意编码的文档“STANDING OPERATING PROCEDURES FOR POLICE EMERGENCY THREAT LEVELS AND COLOR CODES FOR OPERATIONAL READINESS.docx”。攻击者利用2个文档系统漏洞最后推广恶意代码，再根据木马病毒接受虚拟服务器推广的恶意 *** 脚本文档实行特定的恶意个人行为。

图 1?2对于塔吉克斯坦人员推送的钓鱼邮件

表 1?1电子邮件內容汉语翻译

2、攻击步骤

该恶性事件中攻击者应用了2个文档系统漏洞，根据HTA文档开展原始恶意文档释放出来和配备，利用白加黑（对可靠文档credwiz.exe载入的库文件Duser.dll开展更换）载入恶意荷载并联接虚拟服务器接受恶意 *** 脚本，实际攻击步骤如图2-1所显示：

图2-1 样版实行步骤

3、样版剖析

表 3?1恶意文档标识（邮件附件）

恶意文档实行后会开启CVE-2017-0199系统漏洞，表明掩盖文档并从下列链接下载并运行文档main.rtf。

恶意文档运行后表明的掩盖文档如图所示3-1所显示：

图 3?1掩盖文档截屏

表 3?2 main.RTF

main.RTF的样版标识如表3-2所显示，该文档运行后会开启CVE-2017-11882系统漏洞，并从下载一个hta文件（下列称之为final.hta）并实行（见表3-3）。

表 3?3 final.hta样版标识

final.hta是一个HTML应用软件，它的运行步骤以下：

1. 更先找寻安装文件“C:\\Windows\\System32\\credwiz.exe”

2. 假如寻找credwiz.exe，则将它拷贝到“C:\\ProgramData\\drvr\\srvc2.0\\”文件目录下，并在该文件目录下载入Duser.dll文档（见图3-2）。

图 3?2文档释放出来文件目录

3. 将“C:\\ProgramData\\drvr\\srvc2.0\\credwiz.exe”设为注册表文件自开机启动项。

4. 假如前三个流程都实行取得成功，则向“推送一条HTTP GET要求。假如前三个流程有系统错误而造成 实际操作停止，则将不正确信息附在连接“的最终，并推送此条要求。

final.hta释放出来的Duser.dll为病毒感染文档（样版标识见表3-4），而credwiz.exe是合理合法的安装文件，credwiz.exe的运行必须导进Duser.dll，攻击者利用这一体制尝试绕开安全性软件检测。

表 3?4 Duser.dll样版标识

credwiz.exe运行后，Duser.dll做为启用文档被导进。Duser.dll运行后，每十分钟向连接推送一次GET要求（图3-3），随后破译回到的数据信息，获得一个JavaScript脚本 *** 并运行。（见图3-4）

图 3?3推送HTTPS要求及破译数据信息

图 3?4连接 *** 实际操作

在大家的剖析全过程中，服务端回到的 *** 脚本是用以搜集系统软件信息，随后将这种信息组成 *** ON数据类型，根据HTTP POST要求发送至下列连接（一部分搜集的信息见图3-5），这类更先开展信息收集的攻击 *** 在APT攻击中十分广泛，攻击者会依据接到的信息对被害总体目标开展剖析判断后采用进一步行動，如盗取信息、推广别的恶意程序流程等。