PKPLUG: Chinese Cyber Espionage Group Attacking Asia "中國間諜組織持續攻擊東南亞"

原文

中文摘要
摘要

Palo Alto Networks威脅情報小組第42部門已經跟踪了一系列針對東南亞的網絡間諜活動，這些活動結合了已發布和自定義的惡意軟件。第42部門將這些攻擊和其他攻擊背後的威脅攻擊者組織列為代號PKPLUG。目前無法確定是使用相同的工具或執行相同任務的人或小組。這個代號，PKPLUG源自攻擊技術，該技術將PlugX惡意軟體作為ZIP壓縮檔中，DLL動態連結函式庫的一部分，並且在ZIP壓縮檔格式的標頭包含ASCII字節PK。
在跟踪這些攻擊者時，42部門發現不僅使用了PlugX，還使用了其他惡意軟體。這些負載包括Android應用程式的HenBox和Windows後門程式的Farseer。攻擊者還使用9002木馬，這些木馬被認為在少數攻擊群組之間共用。由於觀察了PKPLUG的活動，還發現使用了其他惡意軟體，例如Poison Ivy和Zupdax。
42部門將此攻擊與六年前其他公司先前的攻擊關聯起來。42部門將這些調查結果和我們自己的調查結果匯總為PKPLUG，並繼續進行跟踪。
儘管PKPLUG的最終目標尚不清楚，但是由於在行動設備上安裝了後門木馬，因此假定目標是跟踪受害者並收集資訊。
受害者主要分佈在東南亞地區，尤其是緬甸，台灣，越南和印度，還有可能存在其他地區，例如西藏，新疆維吾爾自治區和蒙古。42部門相信PKPLUG的來源和先前分析的攻擊結構有關聯，因為它與某些惡意軟體的內容和中國國家攻擊組織有關。

Holynix CTF

這一關是檔案上傳的漏洞

掃描靶機
要修改mac為00:0C:29:BC:05:DE
192.168.1.104

發現只有80有開
登入網頁看看

Dina CTF

這一關的主要漏洞有兩個分別是
PlaySMS 1.4 - '/sendfromfile.php' Remote Code Execution / Unrestricted File Upload

檔案名稱寫入漏洞，主要的問題是PHP裡面的$filename變數寫入方式有問題

PlaySMS 1.4 - 'import.php' Remote Code Execution

電話簿寫入漏洞

靶機是192.168.1.101

掃描靶機

Bob CTF

這一關是網頁式命令注入跟解GPG密碼，取得root權限跟旗標
掃描靶機
靶機192.168.1.105

Covfefe CTF

這一關是關於SSH的公私鑰，還有一個簡單的緩衝區溢位的漏洞，要取得三個旗標
先掃描靶機
靶機是192.168.1.102

W1R3S CTF

靶機為192.168.1.103
掃描靶機

Pluck CTF

靶機為192.168.1.115
掃描靶機

Pwnlab.init CTF

靶機為192.168.1.102
這一關有LFi的漏洞，跟一個命令注入的漏洞，反向連結要用cookie觸發
掃描靶機

Stapler CTF

靶機為192.168.1.100
因為用wpscan無法爆破網誌的帳密
所以繞了一圈，進資料庫取進後台的帳密
掃描靶機

Fristileaks 1.3 CTF

靶機 192.168.1.102
這個VM要設定網卡的MAC，才能連
掃描ip，只發現80阜，有開啟

webgoat 8 -ubuntu-18.04

安裝java 11
apt-get install openjdk-11-jdk

到這裡下載webgoat
https://github.com/WebGoat/WebGoat/releases

執行WebGoat
java -jar webgoat-server-8.0.0.M25.jar --server.port=8080 --server.address=localhost
//設定本機連，外面連不進來，要重別台連，須給ip

http://127.0.0.1:8080/WebGoat/

滲透測試平台資源分享

Vulnerable Web Applications

架設滲透測試練習平台在ubuntu16.04

先安裝
apt-get install apache2 php libapache2-mod-php mysql-server
安裝mysql時設定的密碼要記住
可安裝phpmyadmin觀看資料庫，有無匯入
安裝web滲透測試練習平台DVWA，bWAPP，SQLI-labs，Mutillidae II

RickdiculouslyEasy CTF

靶機192.168.1.103
先用nmap掃描
這一關是要找到130分的旗標，跟拿到root權限

kioptrix level 1.3 # 4 CTF

靶機為192.168.1.102
先用nmap掃描靶機

發現主要服務為80網頁，22SSH服務

LAMP CTF5

靶機IP是192.168.1.103
攻擊機是192.168.1.102
此實作會用到shell反彈
先用nmap掃描靶機

發現22 25 80等些服務

LAMP CTF4

靶機的IP是192.168.1.101
使用NMAP掃描服務

發現開啟22，25，80等服務，還有找到一個文字檔跟五個目錄

kioptrix level 1.2 # 3 CTF

靶機的IP是192.168.1.102
先在kali linux的host中，加入192.168.1.102  kioptrix3.com 對應
掃描服務nmap

發現22跟80服務，打開狀態

hp switch 5120 web介面設定

參考別人的設定，在service-type web這一行就是有問題
service-type https也不行，最後找到HP的代工廠H3C-5120的設定文件，才解決
原來是用service-type telnet 才設定完成

Kioptrix level 1.1 # 2 CTF

先掃描靶機，靶機IP為192.168.1.102

發現80 443網頁服務開啟，發現3306 SQL資料庫服務開啟

Kioptrix: Level 1 #1 CTF

靶機的IP是192.168.1.103
先用NMAP掃服務  nmap -A 192.168.1.103

發現 22 80 139 443的服務