域名国外注册能查到吗_境外黑客团队“白象”突然活跃，针对我国特定单位和个人发起攻击

雷锋网报道（-sz）

4月1日，雷锋网从微博在线获悉，境外黑客组织“白象”在潜伏一段时间后，于今年3月初对我国发起攻击。

2017年12月下旬，在国外网络安全公司趋势科技曝光其攻击活动后，该组织迅速停用所有域名、IP等基础设施，进入“蛰伏期”。但今年3月初至3月中旬，“白象”组织又一次对我国发起网络攻击，所用诱饵文件均为某时期的新闻话题，涉及军事、社会、法律等多个方面。

此次，白象利用诱饵文件，通过漏洞向受害主机植入木马后门。相关程序与该团伙此前使用的木马结构和功能基本相同，并可根据远控服务器发送的指令，完全控制受害主机。本次攻击通过钓鱼邮件针对特定单位和个人发起，目前攻击仍在持续。

根据微博在线捕获的样本文件显示，“白象”使用的多个诱饵文件存储在该团伙注册的仿冒网站上，如、、。文件内容涉及《2018年最新军队工资调整政策》（出现于3月6日）、《民政部公布一批非法社会组织》（生成于3月14日）、《中华人民共和国监察法（草案）》（生成于3月15日）、日本防卫研究所发布的2018年版《中国安全战略报告》（出现于3月13日）等特定时期的热点话题，具有很强的迷惑性和针对性。

雷锋网了解到，这批诱饵文档均利用了微软较新的漏洞CVE-2017-8570，未及时安装补丁的用户一旦打开该文档，就会触发恶意代码，植入后门程序。

样本分析

以下为微步在线提供的样本分析：

我们以名称为“.doc”（361d）的样本为例，对此次攻击涉及的木马程序进行分析如下：

1. 示例流程概述

与2017年12月捕获的样本不同，本次样本的解密流程相较于早期样本更为简单，木马后门并未在内存中解密执行，而是登陆后直接运行，流程对比图如下：

2017 年 12 月样本

2018 年 3 月样本

微步云沙箱检测结果

2.分析（qrat.exe）

a.打开Word文档后，触发漏洞释放并运行qrat.exe，样本采用C#开发，并进行了混淆处理，防止被分析。

b.该样本与之前捕获的“白象”样本功能类似，主要用于安装木马后门。样本运行后会通过资源释放.Win32..dll和.exe，两个文件均存放在qrat.exe的资源中。该资源包含两个PE文件，第一个MZ头为后门程序，第二个MZ头为添加计划任务的dll。通过PE工具可以查看到明显的PE文件特征。

为了验证假设，可以通过PE工具和16进制编辑器对该资源进行提取分离，分别得到后门.exe和动态链接库文件.Win32..dll。

c.将后门释放到路径%%\ \\1.0.0.0目录下，并注册为开机启动项。通过调用.Win32..dll添加计划任务，每5分钟执行一次。

qrat.exe编译时间为2018年2月2日

3.后门分析（.exe）

a.该样本编译时间为2018年1月23日，同样使用C#编写，并经过混淆处理。去除混淆后发现，该样本为远控木马。该木马使用开源远控xRAT源代码编译而成，已被“白象”组织利用。该木马功能与去年12月的样本相比变化不大，但对配置文件选项进行了加密，并采用AES编码。如下图所示：

该木马内部版本号为2.0.0.0、上线域名（目前解析为43.249.37.199，已无法连接）、上线端口号为23558、连接密码为@209.58.185.36、互斥锁为、配置信息解密密钥为。与之前捕获的样本相比，此样本的配置信息有所修改，但端口号仍采用23588。

b.样本运行后获取操作系统基本信息，通过“ ”获取受害者地理位置，然后创建互斥锁等。基本远程控制功能包括：

a) 基础功能：远程Shell、进程管理、屏幕管理、文件操作、获取主机信息、查看启动项、远程关机、重启等；

b) 防病毒软件对抗及防火墙检测；

c) 自动更新功能、dll注入；

d) 获取同一域中其他设备的信息。

相关性分析

对于此次事件涉及的恶意域名及相关发现，除了我们已经掌握的大量该组织的资产，如.xyz、.today等，我们还发现了2018年1月19日新注册的多个可疑域名，其中包括.xyz、.today等。根据域名注册商及服务器信息特征，我们认为这些域名仍为“白象”组织所有，如下图所示：

此外，情报显示，“白象”组织主要通过钓鱼邮件向特定单位和个人传播恶意文档下载链接。截至2018年3月21日，大部分恶意链接仍然可以下载（如hxxp://fprii[.]net/hina.doc），证明攻击仍在持续。雷锋网了解到，用户也可以下载监控或者在自己的日志中查看该组织近期是否有关注相关单位。

- 结尾 -

雷锋网招聘编辑、运营、兼职、外聘翻译等岗位

点击查看更多细节

◆◆◆