APT攻击事件分析教学文档：针对中东地区的APT攻击案例分析

1. 事件概述

这是一起针对中东地区能源行业的疑似APT攻击事件，攻击者利用最新披露的Adobe Flash Player漏洞(CVE-2018-15982)发起攻击。

关键时间点：

漏洞披露时间：2018年12月初
攻击样本出现时间：2018年12月12日
相关文件上传时间：2018年7月至11月

2. 攻击样本分析

2.1 初始攻击载体

样本名称：Terminals.xls
伪装内容：海事卫星设备(Inmarsat IsatPhone)清单
利用漏洞：CVE-2018-15982 (Adobe Flash Player漏洞，影响32.0.0.101之前版本)
攻击链：
1. 用户打开恶意Excel文档
2. 触发Flash漏洞
3. 连接远程服务器获取指令

2.2 恶意文件路径

C:\Users\User\AppData\Local\Temp\Excel8.0\ShockwaveFlashObjects.exd
C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
c:\CVE-2018-15982_PoC.swf

2.3 第二阶段载荷

下载URL：http://190.2.145.149/putty2.exe
后门程序：putty2.exe
行为特征：
- 设置持久化
- 连接C2服务器接收指令

3. 溯源追踪

3.1 C2服务器分析

IP地址：190.2.145.149
ISP：荷兰WorldStream公司(提供托管服务)
历史活动：
- 2018年11月25日在RaidForums论坛被披露存在目录遍历漏洞
- 7月搭建Web环境，9-11月上传大量文件(约100GB)
- 包含阿联酋国家石油公司(ENOC)员工邮件备份

3.2 论坛活动线索

发布者：teamkelvinsecteam
联系方式：vipsuscriptionkelvinsecurityv1@protonmail.com
发布内容：ENOC公司邮件备份文件
文件示例：
- fardin.malahi@enoc.com.pst (人力资源主管)
- ammary@enoc.com.pst
- anishkam@enoc.com.pst

3.3 代码特征分析

使用Intezer分析工具比对样本
未发现与已知样本的强关联
发现研究人员上传的内存dump样本(MD5:24F7E3422B1DB69289D47F1025DB1598)

4. 攻击者分析

4.1 受害者信息

主要目标：阿联酋国家石油公司(ENOC)
具体受害者：Fardin Malahi (人力资源部主管)

4.2 攻击者身份推测

安全社区观点：
- Drunk Binary(威胁情报分析师)：认为可能是APT34(OilRig)组织
- FireEye研究人员Andrew：认为证据不足，无法确定
THOR检测结果：将putty2.exe归为APT34或APT33
ClearSky报告：暗示Oilrig组织可能在9-10月渗透ENOC网络

4.3 攻击特征

针对中东能源行业
结合网络渗透和鱼叉式钓鱼
具备反追踪意识
使用新型后门程序
显示有组织的犯罪特征

5. 攻击手法总结

初始入侵：可能通过鱼叉邮件或漏洞利用
横向移动：部署专用工具在内部网络扩散
数据窃取：收集邮件和敏感文件
持久化：使用定制后门维持访问
C2通信：使用荷兰托管服务器

6. 相关IOC(入侵指标)

6.1 文件哈希(MD5)

A51A86A773B7134C2D43BAFC2931E6A4
94715ED2A09A88BE026E8B2BA7C0F9B0
24F7E3422B1DB69289D47F1025DB1598
954CA41B7367191180A44C7221BB462A
28145CE332718337AF59ACA2469784A9
94296CCDD83161D7FB87645591B3D3AF

6.2 IP地址

190.2.145.149

6.3 相关URL

http://190.2.145.149/putty2.exe
http://190.2.145.149/abdul.khaliq.rar
http://190.2.145.149/ahmed.salem.rar
http://190.2.145.149/ammary@enoc.com.pst
http://190.2.145.149/anishkam@enoc.com.pst
[...其他URL见原文附录...]

7. 防御建议

漏洞管理：
- 及时修补Flash Player漏洞(CVE-2018-15982)
- 保持所有软件更新至最新版本
邮件安全：
- 对可疑邮件附件进行沙箱分析
- 教育员工识别鱼叉式钓鱼
端点防护：
- 部署能够检测APT攻击的高级端点保护
- 监控异常进程创建和网络连接
网络监控：
- 监控与已知恶意IP的通信
- 实施网络流量分析检测异常数据外传
事件响应：
- 制定针对APT攻击的响应计划
- 定期进行红队演练

8. 教学要点总结

APT攻击通常具有明确的目标性和持续性
最新漏洞常被APT组织快速利用
攻击链分析需要结合静态和动态分析方法
溯源工作需综合利用多种情报来源
防御APT需要多层安全措施的组合

9. 扩展学习资源

CVE-2018-15982漏洞详细分析
APT34(OilRig)组织的历史活动报告
高级持续性威胁检测技术
威胁情报平台的使用方法
企业网络取证分析技术

APT攻击事件分析教学文档：针对中东地区的APT攻击案例分析 1. 事件概述这是一起针对中东地区能源行业的疑似APT攻击事件，攻击者利用最新披露的Adobe Flash Player漏洞(CVE-2018-15982)发起攻击。关键时间点：漏洞披露时间：2018年12月初攻击样本出现时间：2018年12月12日相关文件上传时间：2018年7月至11月 2. 攻击样本分析 2.1 初始攻击载体样本名称：Terminals.xls 伪装内容：海事卫星设备(Inmarsat IsatPhone)清单利用漏洞：CVE-2018-15982 (Adobe Flash Player漏洞，影响32.0.0.101之前版本) 攻击链：用户打开恶意Excel文档触发Flash漏洞连接远程服务器获取指令 2.2 恶意文件路径 2.3 第二阶段载荷下载URL ：http://190.2.145.149/putty2.exe 后门程序：putty2.exe 行为特征：设置持久化连接C2服务器接收指令 3. 溯源追踪 3.1 C2服务器分析 IP地址：190.2.145.149 ISP ：荷兰WorldStream公司(提供托管服务) 历史活动： 2018年11月25日在RaidForums论坛被披露存在目录遍历漏洞 7月搭建Web环境，9-11月上传大量文件(约100GB) 包含阿联酋国家石油公司(ENOC)员工邮件备份 3.2 论坛活动线索发布者：teamkelvinsecteam 联系方式：vipsuscriptionkelvinsecurityv1@protonmail.com 发布内容：ENOC公司邮件备份文件文件示例： fardin.malahi@enoc.com.pst (人力资源主管) ammary@enoc.com.pst anishkam@enoc.com.pst 3.3 代码特征分析使用Intezer分析工具比对样本未发现与已知样本的强关联发现研究人员上传的内存dump样本(MD5:24F7E3422B1DB69289D47F1025DB1598) 4. 攻击者分析 4.1 受害者信息主要目标：阿联酋国家石油公司(ENOC) 具体受害者：Fardin Malahi (人力资源部主管) 4.2 攻击者身份推测安全社区观点： Drunk Binary(威胁情报分析师)：认为可能是APT34(OilRig)组织 FireEye研究人员Andrew：认为证据不足，无法确定 THOR检测结果：将putty2.exe归为APT34或APT33 ClearSky报告：暗示Oilrig组织可能在9-10月渗透ENOC网络 4.3 攻击特征针对中东能源行业结合网络渗透和鱼叉式钓鱼具备反追踪意识使用新型后门程序显示有组织的犯罪特征 5. 攻击手法总结初始入侵：可能通过鱼叉邮件或漏洞利用横向移动：部署专用工具在内部网络扩散数据窃取：收集邮件和敏感文件持久化：使用定制后门维持访问 C2通信：使用荷兰托管服务器 6. 相关IOC(入侵指标) 6.1 文件哈希(MD5) 6.2 IP地址 6.3 相关URL 7. 防御建议漏洞管理：及时修补Flash Player漏洞(CVE-2018-15982) 保持所有软件更新至最新版本邮件安全：对可疑邮件附件进行沙箱分析教育员工识别鱼叉式钓鱼端点防护：部署能够检测APT攻击的高级端点保护监控异常进程创建和网络连接网络监控：监控与已知恶意IP的通信实施网络流量分析检测异常数据外传事件响应：制定针对APT攻击的响应计划定期进行红队演练 8. 教学要点总结 APT攻击通常具有明确的目标性和持续性最新漏洞常被APT组织快速利用攻击链分析需要结合静态和动态分析方法溯源工作需综合利用多种情报来源防御APT需要多层安全措施的组合 9. 扩展学习资源 CVE-2018-15982漏洞详细分析 APT34(OilRig)组织的历史活动报告高级持续性威胁检测技术威胁情报平台的使用方法企业网络取证分析技术