DNSpionage安全事件分析与防御教学文档<\/h1>

1. 事件概述<\/h2>
DNSpionage是一起针对中东地区（主要针对黎巴嫩和阿拉伯联合酋长国）的高级网络攻击事件，攻击者通过精心策划的DNS重定向和恶意软件部署，针对政府机构和私营企业（特别是黎巴嫩航空公司）实施了复杂的网络攻击。<\/p>

2. 攻击技术分析<\/h2>

2.1 初始攻击向量<\/h3>

攻击者使用了两个精心设计的虚假工作网站作为初始攻击入口：<\/p>

hr-wipro[.]com (重定向到wipro.com)<\/li>

hr-suncor[.]com (重定向到suncor.com)<\/li> <\/ul>

这些网站托管了恶意的Microsoft Office文档：<\/p>

hxxp:\/\/hrsuncor[.]com\/Suncor_employment_form[.]doc<\/li> <\/ul>

2.2 恶意文档分析<\/h3>

恶意文档采用以下技术手段：<\/p>

宏代码执行<\/strong>：<\/p>

打开文档时，宏解码base64编码的PE文件并写入%UserProfile%.oracServices\svchost_serv.doc<\/li>
关闭文档时，将文件重命名为svchost_serv.exe<\/li>
创建名为"chromium updater v 37.5.0"的计划任务，每分钟执行一次<\/li> <\/ul> <\/li>

规避技术<\/strong>：<\/p>

宏代码受密码保护，阻止受害者查看<\/li>
使用字符串混淆技术避免检测<\/li>
延迟执行（文档关闭时）规避沙盒检测<\/li> <\/ul> <\/li> <\/ol>
2.3 DNSpionage恶意软件分析<\/h3>
文件结构<\/h4>
恶意软件在以下目录创建并管理数据：<\/p>
%UserProfile%\.oracleServices\/ ├── Apps\/ ├── Configure.txt ├── Downloads\/ # 存储从C2下载的脚本和工具 ├── log.txt # 记录执行命令和结果 ├── svshost_serv.exe └── Uploads\/ # 临时存储待上传文件 <\/code><\/pre> 配置文件(Configure.txt)<\/h4> 包含恶意软件配置：<\/p> 自定义C2服务器URL<\/li> DNS通道使用的域<\/li> 自定义base64字母表（每个目标不同）<\/li> 数据以JSON格式传输<\/li> <\/ul> 2.4 通信机制<\/h3> HTTP通信<\/h4> 初始请求：hxxp:\/\/IP\/Client\/Login?id=Fy<\/code>（获取配置）<\/li> 命令请求：hxxp:\/\/IP\/index.html?id=XX<\/code>（伪装成维基百科页面）<\/li> 数据回传：hxxp:\/\/IP\/Client\/Upload<\/code><\/li> <\/ol> DNS通信（隐蔽通道）<\/h4> 注册请求示例：yyqagfzvwmd4j5ddiscdgjbe6uccgjaq[.]0ffice36o[.]com<\/code><\/li> 状态通知示例：oGjBGFDHSMRQGQ4HY000[.]0ffice36o[.]com<\/code>（base32编码"1Fy2048"）<\/li> 命令传输：请求：RoyNGBDVIAA0[.]0ffice36o[.]com<\/code> → 解码为"0GT\x00"<\/li> 响应：IP地址如0.1.0.3（0x0001=命令ID，0x0003=命令大小）<\/li> <\/ul> <\/li> 结果回传：通过多个DNS请求分片传输<\/li> <\/ol> 3. DNS重定向攻击<\/h2> 3.1 攻击流程<\/h3> 攻击者控制DNS将合法域名解析到恶意IP(185.20.187.8)<\/li> 预先使用Let's Encrypt为这些域名生成合法证书<\/li> 主要针对邮件和VPN服务，可能窃取凭证<\/li> <\/ol> 3.2 受害者分析<\/h3> 黎巴嫩政府<\/h4> 域名：webmail.finance.gov.lb<\/li> 重定向时间：11月6日06:19:13 GMT<\/li> 证书创建时间：同一天05:07:25<\/li> <\/ul> 阿联酋政府<\/h4> adpvpn.adpolice.gov.ae 重定向：9月13日06:39:39 GMT<\/li> 证书：同一天05:37:54<\/li> <\/ul> <\/li> mail.mgov.ae 重定向：9月15日07:17:51<\/li> 证书：06:15:51<\/li> <\/ul> <\/li> mail.apc.gov.ae 重定向：9月24日<\/li> 证书：05:41:49<\/li> <\/ul> <\/li> <\/ol> 黎巴嫩中东航空公司(MEA)<\/h4> 域名：memail.mea.com.lb<\/li> 重定向：11月14日11:58:36<\/li> 证书：11月6日10:35:10（包含多个子域）<\/li> <\/ul> 4. 防御措施<\/h2> 4.1 思科产品防护方案<\/h3> Snort规则<\/strong>：48444和48445可阻止DNSpionage出站连接<\/li> AMP<\/strong>：防止恶意软件执行<\/li> CWS\/WSA<\/strong>：阻止访问恶意网站<\/li> 邮件安全<\/strong>：阻止恶意邮件传播<\/li> NGFW\/NGIPS<\/strong>：检测相关恶意活动<\/li> Threat Grid<\/strong>：分析恶意二进制文件<\/li> Umbrella<\/strong>：阻止恶意域、IP和URL<\/li> <\/ol> 4.2 通用防御建议<\/h3> 禁用Office宏或限制宏执行权限<\/li> 监控异常DNS查询（特别是base32\/64编码的长子域）<\/li> 检查计划任务中的可疑条目<\/li> 监控%UserProfile%.oracleServices\/目录创建<\/li> 实施证书透明度监控，检测异常证书颁发<\/li> 对关键服务（邮件\/VPN）实施多因素认证<\/li> <\/ol> 5. IOC（入侵指标）<\/h2> 虚假网站<\/h3> hr-wipro[.]com<\/li> hr-suncor[.]com<\/li> <\/ul> 恶意文件哈希<\/h3> 9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14<\/li> 15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa<\/li> <\/ul> DNSpionage样本哈希<\/h3> 2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec<\/li> 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969<\/li> 45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff<\/li> <\/ul> C2基础设施<\/h3> IP：185.20.184.138, 185.161.211.72, 185.20.187.8<\/li> 域名：0ffice36o[.]com<\/li> <\/ul> 受攻击域名<\/h3> 参见第3.2节受害者分析部分列出的所有政府和企业域名<\/p>