“蓝色魔眼”组织(APT-C-41)最新终端侧应急响应排查措施的经验分享

发布时间：2022-04-26 10:45 浏览次数：0

“蓝色魔眼”组织(APT-C-41)自2012年以来一直处于活跃状态。2022年3月，该组织将攻击活动样本伪装成常用压缩软件WinRAR.exe安装包进行情报刺探。本次攻击活动使用了水坑攻击，总体攻击流程如下图所示。

涉及到的攻击活动样本信息如下图所示。

排查措施

终端侧针对此攻击的应急响应有5个排查点，包括外连地址、注册表、文件、进程和启动项，具体排查内容如下：

1►

外连地址

通过技术手段发现，攻击活动样本的源地址sessionprotocol.com，详细域名如下图所示。

在真实环境下，解析远程IP地址为192.236.193.78，排查是否存在该外连IP地址。如存在，则会发现svvsrv.exe样本的进程路径，本机端口详情如下图所示。

2►

注册表

在注册表目录

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run，排查是否存在注册项cnfmgrcheck。

3►

文件

在%temp%/cnfmgrdata文件夹，排查是否存在文件cnfmgrdata和winrar-x64-602。如存在，则如下图所示。

如有Cnfmgrdata文件，如下图所示文件里将含simserv.exe和svvsrv.exe。

4►

进程

打开进程，排查是否显示加载恶意模块svvsrv.exe。如存在，则如下图所示。

5► 启动项