中东地区DNSpionage安全事件分析
字数 2343 2025-08-18 11:35:40

DNSpionage安全事件分析与防御教学文档

1. 事件概述

DNSpionage是一起针对中东地区(主要针对黎巴嫩和阿拉伯联合酋长国)的高级网络攻击事件,攻击者通过精心策划的DNS重定向和恶意软件部署,针对政府机构和私营企业(特别是黎巴嫩航空公司)实施了复杂的网络攻击。

2. 攻击技术分析

2.1 初始攻击向量

攻击者使用了两个精心设计的虚假工作网站作为初始攻击入口:

  • hr-wipro[.]com (重定向到wipro.com)
  • hr-suncor[.]com (重定向到suncor.com)

这些网站托管了恶意的Microsoft Office文档:

  • hxxp://hrsuncor[.]com/Suncor_employment_form[.]doc

2.2 恶意文档分析

恶意文档采用以下技术手段:

  1. 宏代码执行

    • 打开文档时,宏解码base64编码的PE文件并写入%UserProfile%.oracServices\svchost_serv.doc
    • 关闭文档时,将文件重命名为svchost_serv.exe
    • 创建名为"chromium updater v 37.5.0"的计划任务,每分钟执行一次

  2. 规避技术

    • 宏代码受密码保护,阻止受害者查看
    • 使用字符串混淆技术避免检测
    • 延迟执行(文档关闭时)规避沙盒检测

2.3 DNSpionage恶意软件分析

文件结构

恶意软件在以下目录创建并管理数据:

%UserProfile%\.oracleServices/
├── Apps/
├── Configure.txt
├── Downloads/  # 存储从C2下载的脚本和工具
├── log.txt     # 记录执行命令和结果
├── svshost_serv.exe
└── Uploads/    # 临时存储待上传文件

配置文件(Configure.txt)

包含恶意软件配置:

  • 自定义C2服务器URL
  • DNS通道使用的域
  • 自定义base64字母表(每个目标不同)
  • 数据以JSON格式传输

2.4 通信机制

HTTP通信

  1. 初始请求:hxxp://IP/Client/Login?id=Fy(获取配置)
  2. 命令请求:hxxp://IP/index.html?id=XX(伪装成维基百科页面)
  3. 数据回传:hxxp://IP/Client/Upload

DNS通信(隐蔽通道)

  1. 注册请求示例:yyqagfzvwmd4j5ddiscdgjbe6uccgjaq[.]0ffice36o[.]com
  2. 状态通知示例:oGjBGFDHSMRQGQ4HY000[.]0ffice36o[.]com(base32编码"1Fy2048")
  3. 命令传输:
    • 请求:RoyNGBDVIAA0[.]0ffice36o[.]com → 解码为"0GT\x00"
    • 响应:IP地址如0.1.0.3(0x0001=命令ID,0x0003=命令大小)
  4. 结果回传:通过多个DNS请求分片传输

3. DNS重定向攻击

3.1 攻击流程

  1. 攻击者控制DNS将合法域名解析到恶意IP(185.20.187.8)
  2. 预先使用Let's Encrypt为这些域名生成合法证书
  3. 主要针对邮件和VPN服务,可能窃取凭证

3.2 受害者分析

黎巴嫩政府

  • 域名:webmail.finance.gov.lb
  • 重定向时间:11月6日06:19:13 GMT
  • 证书创建时间:同一天05:07:25

阿联酋政府

  1. adpvpn.adpolice.gov.ae
    • 重定向:9月13日06:39:39 GMT
    • 证书:同一天05:37:54
  2. mail.mgov.ae
    • 重定向:9月15日07:17:51
    • 证书:06:15:51
  3. mail.apc.gov.ae
    • 重定向:9月24日
    • 证书:05:41:49

黎巴嫩中东航空公司(MEA)

  • 域名:memail.mea.com.lb
  • 重定向:11月14日11:58:36
  • 证书:11月6日10:35:10(包含多个子域)

4. 防御措施

4.1 思科产品防护方案

  1. Snort规则:48444和48445可阻止DNSpionage出站连接
  2. AMP:防止恶意软件执行
  3. CWS/WSA:阻止访问恶意网站
  4. 邮件安全:阻止恶意邮件传播
  5. NGFW/NGIPS:检测相关恶意活动
  6. Threat Grid:分析恶意二进制文件
  7. Umbrella:阻止恶意域、IP和URL

4.2 通用防御建议

  1. 禁用Office宏或限制宏执行权限
  2. 监控异常DNS查询(特别是base32/64编码的长子域)
  3. 检查计划任务中的可疑条目
  4. 监控%UserProfile%.oracleServices/目录创建
  5. 实施证书透明度监控,检测异常证书颁发
  6. 对关键服务(邮件/VPN)实施多因素认证

5. IOC(入侵指标)

虚假网站

  • hr-wipro[.]com
  • hr-suncor[.]com

恶意文件哈希

  • 9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14
  • 15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa

DNSpionage样本哈希

  • 2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec
  • 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969
  • 45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff

C2基础设施

  • IP:185.20.184.138, 185.161.211.72, 185.20.187.8
  • 域名:0ffice36o[.]com

受攻击域名

参见第3.2节受害者分析部分列出的所有政府和企业域名

DNSpionage安全事件分析与防御教学文档 1. 事件概述 DNSpionage是一起针对中东地区(主要针对黎巴嫩和阿拉伯联合酋长国)的高级网络攻击事件,攻击者通过精心策划的DNS重定向和恶意软件部署,针对政府机构和私营企业(特别是黎巴嫩航空公司)实施了复杂的网络攻击。 2. 攻击技术分析 2.1 初始攻击向量 攻击者使用了两个精心设计的虚假工作网站作为初始攻击入口: hr-wipro[ . ]com (重定向到wipro.com) hr-suncor[ . ]com (重定向到suncor.com) 这些网站托管了恶意的Microsoft Office文档: hxxp://hrsuncor[ .]com/Suncor_ employment_ form[ . ]doc 2.2 恶意文档分析 恶意文档采用以下技术手段: 宏代码执行 : 打开文档时,宏解码base64编码的PE文件并写入%UserProfile%\.oracServices\svchost_ serv.doc 关闭文档时,将文件重命名为svchost_ serv.exe 创建名为"chromium updater v 37.5.0"的计划任务,每分钟执行一次 规避技术 : 宏代码受密码保护,阻止受害者查看 使用字符串混淆技术避免检测 延迟执行(文档关闭时)规避沙盒检测 2.3 DNSpionage恶意软件分析 文件结构 恶意软件在以下目录创建并管理数据: 配置文件(Configure.txt) 包含恶意软件配置: 自定义C2服务器URL DNS通道使用的域 自定义base64字母表(每个目标不同) 数据以JSON格式传输 2.4 通信机制 HTTP通信 初始请求: hxxp://IP/Client/Login?id=Fy (获取配置) 命令请求: hxxp://IP/index.html?id=XX (伪装成维基百科页面) 数据回传: hxxp://IP/Client/Upload DNS通信(隐蔽通道) 注册请求示例: yyqagfzvwmd4j5ddiscdgjbe6uccgjaq[.]0ffice36o[.]com 状态通知示例: oGjBGFDHSMRQGQ4HY000[.]0ffice36o[.]com (base32编码"1Fy2048") 命令传输: 请求: RoyNGBDVIAA0[.]0ffice36o[.]com → 解码为"0GT\x00" 响应:IP地址如0.1.0.3(0x0001=命令ID,0x0003=命令大小) 结果回传:通过多个DNS请求分片传输 3. DNS重定向攻击 3.1 攻击流程 攻击者控制DNS将合法域名解析到恶意IP(185.20.187.8) 预先使用Let's Encrypt为这些域名生成合法证书 主要针对邮件和VPN服务,可能窃取凭证 3.2 受害者分析 黎巴嫩政府 域名:webmail.finance.gov.lb 重定向时间:11月6日06:19:13 GMT 证书创建时间:同一天05:07:25 阿联酋政府 adpvpn.adpolice.gov.ae 重定向:9月13日06:39:39 GMT 证书:同一天05:37:54 mail.mgov.ae 重定向:9月15日07:17:51 证书:06:15:51 mail.apc.gov.ae 重定向:9月24日 证书:05:41:49 黎巴嫩中东航空公司(MEA) 域名:memail.mea.com.lb 重定向:11月14日11:58:36 证书:11月6日10:35:10(包含多个子域) 4. 防御措施 4.1 思科产品防护方案 Snort规则 :48444和48445可阻止DNSpionage出站连接 AMP :防止恶意软件执行 CWS/WSA :阻止访问恶意网站 邮件安全 :阻止恶意邮件传播 NGFW/NGIPS :检测相关恶意活动 Threat Grid :分析恶意二进制文件 Umbrella :阻止恶意域、IP和URL 4.2 通用防御建议 禁用Office宏或限制宏执行权限 监控异常DNS查询(特别是base32/64编码的长子域) 检查计划任务中的可疑条目 监控%UserProfile%\.oracleServices/目录创建 实施证书透明度监控,检测异常证书颁发 对关键服务(邮件/VPN)实施多因素认证 5. IOC(入侵指标) 虚假网站 hr-wipro[ . ]com hr-suncor[ . ]com 恶意文件哈希 9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14 15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa DNSpionage样本哈希 2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969 45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff C2基础设施 IP:185.20.184.138, 185.161.211.72, 185.20.187.8 域名:0ffice36o[ . ]com 受攻击域名 参见第3.2节受害者分析部分列出的所有政府和企业域名