Silence:针对银行的APT攻击
字数 1597 2025-08-29 08:32:30

Silence APT组织攻击银行系统技术分析

1. Silence组织概述

Silence是一个活跃的APT组织,主要针对银行等金融机构进行攻击。该组织自2016年7月开始活动,具有以下特点:

  • 自主开发工具:拥有完整的攻击工具链
  • 分工明确:团队分为运营者和开发者两个角色
    • 运营者:负责渗透测试,精通银行系统渗透
    • 开发者:经验丰富的逆向工程师,开发攻击工具

2. Silence攻击工具集

2.1 Silence框架(模块化结构)

  1. Silence.Downloader(加载器)

    • 伪装为Office文件附件传播
    • 安装到开始菜单等待命令
    • 可执行自毁命令

  2. Silence主模块

    • 注册到C2服务器
    • 执行远程命令循环
    • 功能:下载和启动任意程序

  3. Silence.SurveillanceModule(监视模块)

    • 秘密截图
    • 将截图隐藏在伪数据流中

  4. Silence.ProxyBot(代理模块)

    • 两个版本:Delphi和C#编写
    • 功能:通过受感染设备重定向C2通信

  5. Kikothac后门

    • 与Silence服务器通信
    • 命令格式以"#"开头(如#wget
    • 其他命令通过cmd.exe执行

2.2 Atmosphere工具集(针对ATM攻击)

  • Atmosphere.Dropper

    • 包含DLL库(主体部分)
    • 注入到ATM进程fwmain32.exe
    • 远程控制ATM

  • 进化特征

    • 早期版本支持PIN pad控制(后移除)
    • 改进进程注入逻辑
    • 增加灵活注入器扩展目标ATM列表

2.3 其他工具

  1. Farse:从受感染计算机获取密码
  2. Cleaner:删除远程连接日志
  3. Undernet DDoS bot
    • 基于Perl IrcBot修改
    • 通过IRC消息控制
  4. Smoke Bot
    • 多功能恶意软件(2011年出现)
    • 功能包括:
      • 凭证收集
      • 邮件地址收集
      • 数据拦截
      • DDoS攻击
      • 加密货币挖矿

3. 攻击流程分析

  1. 初始入侵

    • 发送钓鱼邮件(含恶意Office附件)
    • 附件执行Silence.Downloader

  2. 持久化

    • 加载器安装到开始菜单
    • 连接C2服务器等待指令

  3. 横向移动

    • 使用ProxyBot穿透内网隔离区域
    • 通过Meterpreter stager进行内网导航

  4. 信息收集

    • SurveillanceModule进行屏幕监控
    • Farse收集凭证

  5. ATM攻击

    • 部署Atmosphere工具
    • 远程控制ATM进行非法操作

  6. 痕迹清除

    • 使用Cleaner删除日志
    • 覆盖并删除命令文件

4. 技术特征分析

  1. C2通信

    • 使用静态服务器地址(如46.183.221[.]89)
    • 命令结构特殊(以#开头)

  2. 代码特征

    • 存在特定错误模式(如文件写入错误)
    • 多语言实现(Delphi/C#)

  3. 攻击演变

    • 工具持续更新改进
    • 移除不必要功能(如PIN pad控制)
    • 增加新功能(灵活注入器)

5. 防御建议

  1. 邮件安全

    • 加强Office附件检测
    • 实施沙箱分析

  2. 终端防护

    • 监控开始菜单异常项
    • 检测可疑进程注入

  3. 网络防护

    • 阻断已知C2地址
    • 监控异常IRC通信

  4. ATM防护

    • 限制远程管理功能
    • 监控fwmain32.exe异常行为

  5. 日志管理

    • 集中日志收集
    • 监控日志删除行为

  6. 安全意识

    • 针对金融员工的专项培训
    • 模拟钓鱼测试

6. 取证线索

  1. 磁盘分析

    • 查找被覆盖的命令文件残留
    • 检查开始菜单异常项

  2. 内存分析

    • 查找注入的ATM进程
    • 分析Meterpreter痕迹

  3. 网络流量

    • 识别C2通信模式
    • 分析IRC控制流量

  4. 样本关联

    • 比对代码错误模式
    • 分析命令结构相似性

7. 总结

Silence组织展示了针对金融系统的高度专业化攻击能力,其工具集的完整性和持续进化能力使其成为银行安全的重要威胁。防御需要结合技术防护、员工培训和持续监控,特别关注其特有的攻击模式和工具特征。

Silence APT组织攻击银行系统技术分析 1. Silence组织概述 Silence是一个活跃的APT组织,主要针对银行等金融机构进行攻击。该组织自2016年7月开始活动,具有以下特点: 自主开发工具 :拥有完整的攻击工具链 分工明确 :团队分为运营者和开发者两个角色 运营者 :负责渗透测试,精通银行系统渗透 开发者 :经验丰富的逆向工程师,开发攻击工具 2. Silence攻击工具集 2.1 Silence框架(模块化结构) Silence.Downloader (加载器) 伪装为Office文件附件传播 安装到开始菜单等待命令 可执行自毁命令 Silence主模块 注册到C2服务器 执行远程命令循环 功能:下载和启动任意程序 Silence.SurveillanceModule (监视模块) 秘密截图 将截图隐藏在伪数据流中 Silence.ProxyBot (代理模块) 两个版本:Delphi和C#编写 功能:通过受感染设备重定向C2通信 Kikothac后门 与Silence服务器通信 命令格式以"#"开头(如 #wget ) 其他命令通过cmd.exe执行 2.2 Atmosphere工具集(针对ATM攻击) Atmosphere.Dropper 包含DLL库(主体部分) 注入到ATM进程 fwmain32.exe 远程控制ATM 进化特征 : 早期版本支持PIN pad控制(后移除) 改进进程注入逻辑 增加灵活注入器扩展目标ATM列表 2.3 其他工具 Farse :从受感染计算机获取密码 Cleaner :删除远程连接日志 Undernet DDoS bot 基于Perl IrcBot修改 通过IRC消息控制 Smoke Bot 多功能恶意软件(2011年出现) 功能包括: 凭证收集 邮件地址收集 数据拦截 DDoS攻击 加密货币挖矿 3. 攻击流程分析 初始入侵 : 发送钓鱼邮件(含恶意Office附件) 附件执行Silence.Downloader 持久化 : 加载器安装到开始菜单 连接C2服务器等待指令 横向移动 : 使用ProxyBot穿透内网隔离区域 通过Meterpreter stager进行内网导航 信息收集 : SurveillanceModule进行屏幕监控 Farse收集凭证 ATM攻击 : 部署Atmosphere工具 远程控制ATM进行非法操作 痕迹清除 : 使用Cleaner删除日志 覆盖并删除命令文件 4. 技术特征分析 C2通信 : 使用静态服务器地址(如46.183.221[ . ]89) 命令结构特殊(以#开头) 代码特征 : 存在特定错误模式(如文件写入错误) 多语言实现(Delphi/C#) 攻击演变 : 工具持续更新改进 移除不必要功能(如PIN pad控制) 增加新功能(灵活注入器) 5. 防御建议 邮件安全 : 加强Office附件检测 实施沙箱分析 终端防护 : 监控开始菜单异常项 检测可疑进程注入 网络防护 : 阻断已知C2地址 监控异常IRC通信 ATM防护 : 限制远程管理功能 监控 fwmain32.exe 异常行为 日志管理 : 集中日志收集 监控日志删除行为 安全意识 : 针对金融员工的专项培训 模拟钓鱼测试 6. 取证线索 磁盘分析 : 查找被覆盖的命令文件残留 检查开始菜单异常项 内存分析 : 查找注入的ATM进程 分析Meterpreter痕迹 网络流量 : 识别C2通信模式 分析IRC控制流量 样本关联 : 比对代码错误模式 分析命令结构相似性 7. 总结 Silence组织展示了针对金融系统的高度专业化攻击能力,其工具集的完整性和持续进化能力使其成为银行安全的重要威胁。防御需要结合技术防护、员工培训和持续监控,特别关注其特有的攻击模式和工具特征。