APT15技术手段分析
字数 1497 2025-08-23 18:31:25

APT15技术手段分析与防御教学文档

1. APT15组织概述

APT15(又称Mirage、Vixen Panda、Ke3chang)是一个具有国家背景的高级持续性威胁组织,主要针对政府、外交、军事和能源等领域进行网络间谍活动。该组织具备完善的反侦查手段和目标化工程能力。

2. 反调试技术分析

2.1 PEB结构检测

通过检查PEB(Process Environment Block)中的NtGlobalFlag标志检测调试状态:

fs:0x30->PEB.NtGlobalFlag(0x68)
  • 正常状态:0x68
  • 调试状态:0x70

2.2 Int3异常调试检测

使用Int3断点异常进行反调试:

int 3

当调试器处理Int3断点时,会改变程序正常执行流程,样本通过检测这种异常来判断是否被调试。

2.3 OD(OllyDbg)进程检测

样本会检测系统中是否有OllyDbg等调试器进程运行。

3. 虚拟机检测技术

3.1 物理内存检测

检查实际物理内存大小:

  • 如果总内存小于0x8000000000(512GB),则判定为虚拟机环境并中止程序
  • 这是基于大多数虚拟机分配内存小于物理机的假设

4. 反杀软检测技术

4.1 安全软件进程检测

检测特定安全软件进程:

  • 360安全卫士:360tray.exe
  • Wireshark:wireshark.exe

4.2 系统信息采集

收集以下信息用于环境检测:

  • 主机名
  • 用户名
  • 用户权限级别
  • 系统路径信息

5. 持久化技术

5.1 互斥体创建

创建互斥体确保单实例运行。

5.2 COM接口利用

通过COM接口实现持久化操作:

  • 创建持久化线程
  • 注册表修改
  • 服务安装

6. 浏览器劫持技术

6.1 浏览器检测

检测系统安装的浏览器,如果是特定浏览器则退出。

6.2 代理设置

通过COM接口设置代理服务器:

http://www.apecdns.asia/Users/login.asp?type=query&server_ver=V21&remark=OLEdrv&search=3991
  • 使用server_ver、remark、search等标识识别客户端请求

6.3 安全设置绕过

通过PowerShell修改IE安全设置:

# 禁用区域跨越警告
New-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings' -Property DWORD -name WarnonZoneCrossing -value 0 -Force

# 禁用IE加固
New-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap' -Property DWORD -name IEHarden -value 0 -Force

# 修改钓鱼过滤器设置
New-ItemProperty 'HKCU:\Software\Microsoft\Internet Explorer\PhishingFilter' -Property DWORD -name Enabled -value 1 -Force
New-ItemProperty 'HKCU:\Software\Microsoft\Internet Explorer\PhishingFilter' -Property DWORD -name ShownVerifyBalloon -value 3 -Force

# 禁用关联检查
New-ItemProperty 'HKCU:\Software\Microsoft\Internet Explorer\Main' -Property String -name Check_Associations -value 'no' -Force

# 禁用DEP
New-ItemProperty 'HKCU:\Software\Microsoft\Internet Explorer\Main' -Property DWORD -name DEPOff -value 1 -Force

# 修改自动恢复设置
New-ItemProperty 'HKCU:\Software\Microsoft\Internet Explorer\Recovery' -Property DWORD -name AutoRecover -value 2 -Force

# 修改安全区域设置
New-ItemProperty 'HKCU:\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3' -Property DWORD -name 2500 -value 3 -Force

6.4 证书警告禁用

关闭对无效站点证书的警告提示。

7. 通信技术

7.1 数据加密

  • 早期使用Base64编码
  • 部分已升级为AES加密

7.2 C2通信

通过HTTP请求与C2服务器通信,指令封装在报文中:

  • 使用&Cmd=101/102等参数获取功能指令
  • 功能包括:
    • 文件下载执行
    • VBS脚本释放执行
    • 数据窃取

7.3 备用C2域名

内存解密出的备用域名列表:

press|press.premlist.com|upgrade.aspx|index.aspx|newinfo.aspx|draft.aspx|contexts.aspx|views.aspx|chart.aspx|channels.aspx|global.aspx

8. 防御措施

8.1 检测防御

  1. 反调试检测

    • 使用隐蔽性更强的调试器
    • 修补PEB相关标志位

  2. 虚拟机检测对抗

    • 配置虚拟机环境模拟真实硬件
    • 使用专用沙箱分析

  3. 杀软检测对抗

    • 使用行为检测而非特征检测
    • 部署EDR解决方案

8.2 网络防御

  1. 网络流量监控

    • 检测异常HTTP请求模式
    • 拦截对已知恶意域名的访问

  2. 代理设置监控

    • 监控浏览器代理设置的异常变更
    • 限制PowerShell修改网络设置

8.3 系统加固

  1. 浏览器安全

    • 保持浏览器和插件更新
    • 禁用不必要的ActiveX和COM组件

  2. PowerShell限制

    • 启用PowerShell脚本块日志记录
    • 实施约束语言模式

  3. 注册表保护

    • 监控关键IE安全相关注册表项的变更
    • 实施注册表访问控制

9. IOCs(入侵指标)

文件哈希:

03a2f5ea0cea83e77770a4018c4469ab7d584187e33f58f57d08becf3cc75b729ad5ad17c08632493dfbacb3be84dc21c79b60e5e923f5fde2a02991238ae688ff49b26664070b080d30d824bd2f3064

C2域名:

www.apecdns.asia
press.premlist.com

URI模式:

/Users/login.asp?type=query&server_ver=*

10. 总结

APT15组织采用多层次的技术手段确保其恶意活动的隐蔽性和持久性,包括:

  • 高级反调试和反分析技术
  • 环境感知能力
  • 多种持久化机制
  • 复杂的通信加密和C2基础设施

防御需要采取深度防御策略,结合网络监控、端点保护和用户教育,特别关注浏览器安全设置和PowerShell活动。

APT15技术手段分析与防御教学文档 1. APT15组织概述 APT15(又称Mirage、Vixen Panda、Ke3chang)是一个具有国家背景的高级持续性威胁组织,主要针对政府、外交、军事和能源等领域进行网络间谍活动。该组织具备完善的反侦查手段和目标化工程能力。 2. 反调试技术分析 2.1 PEB结构检测 通过检查PEB(Process Environment Block)中的NtGlobalFlag标志检测调试状态: 正常状态:0x68 调试状态:0x70 2.2 Int3异常调试检测 使用Int3断点异常进行反调试: 当调试器处理Int3断点时,会改变程序正常执行流程,样本通过检测这种异常来判断是否被调试。 2.3 OD(OllyDbg)进程检测 样本会检测系统中是否有OllyDbg等调试器进程运行。 3. 虚拟机检测技术 3.1 物理内存检测 检查实际物理内存大小: 如果总内存小于0x8000000000(512GB),则判定为虚拟机环境并中止程序 这是基于大多数虚拟机分配内存小于物理机的假设 4. 反杀软检测技术 4.1 安全软件进程检测 检测特定安全软件进程: 360安全卫士:360tray.exe Wireshark:wireshark.exe 4.2 系统信息采集 收集以下信息用于环境检测: 主机名 用户名 用户权限级别 系统路径信息 5. 持久化技术 5.1 互斥体创建 创建互斥体确保单实例运行。 5.2 COM接口利用 通过COM接口实现持久化操作: 创建持久化线程 注册表修改 服务安装 6. 浏览器劫持技术 6.1 浏览器检测 检测系统安装的浏览器,如果是特定浏览器则退出。 6.2 代理设置 通过COM接口设置代理服务器: 使用server_ ver、remark、search等标识识别客户端请求 6.3 安全设置绕过 通过PowerShell修改IE安全设置: 6.4 证书警告禁用 关闭对无效站点证书的警告提示。 7. 通信技术 7.1 数据加密 早期使用Base64编码 部分已升级为AES加密 7.2 C2通信 通过HTTP请求与C2服务器通信,指令封装在报文中: 使用&Cmd=101/102等参数获取功能指令 功能包括: 文件下载执行 VBS脚本释放执行 数据窃取 7.3 备用C2域名 内存解密出的备用域名列表: 8. 防御措施 8.1 检测防御 反调试检测 : 使用隐蔽性更强的调试器 修补PEB相关标志位 虚拟机检测对抗 : 配置虚拟机环境模拟真实硬件 使用专用沙箱分析 杀软检测对抗 : 使用行为检测而非特征检测 部署EDR解决方案 8.2 网络防御 网络流量监控 : 检测异常HTTP请求模式 拦截对已知恶意域名的访问 代理设置监控 : 监控浏览器代理设置的异常变更 限制PowerShell修改网络设置 8.3 系统加固 浏览器安全 : 保持浏览器和插件更新 禁用不必要的ActiveX和COM组件 PowerShell限制 : 启用PowerShell脚本块日志记录 实施约束语言模式 注册表保护 : 监控关键IE安全相关注册表项的变更 实施注册表访问控制 9. IOCs(入侵指标) 文件哈希: C2域名: URI模式: 10. 总结 APT15组织采用多层次的技术手段确保其恶意活动的隐蔽性和持久性,包括: 高级反调试和反分析技术 环境感知能力 多种持久化机制 复杂的通信加密和C2基础设施 防御需要采取深度防御策略,结合网络监控、端点保护和用户教育,特别关注浏览器安全设置和PowerShell活动。