安全路透社
当前位置:安全路透社 > 网络转载 > 正文

东巽科技2046Lab团队APT报告:“丰收行动”(DX-APT1)

*本文原创作者:某人

披露声明

本报告由东巽科技2046Lab团队编写。

考虑到相关信息的敏感性和特殊性,本报告中和受害者相关的姓名、邮箱、照片、文档等个人信息我们将做模糊处理;涉及到的具体的方位,我们将做放大模糊处理;同时为预防攻击者利用公开信息进行反情报,本报告涉及到的IP、Domain、URL、HASH等一系列IOC(Indicators of Compromise,攻陷指标)我们将做模糊处理。所有IOC已经整合到东巽的铁穹产品和东巽威胁情报中心,您可访问以下网址进行查询:https://ti.dongxuntech.com

PDF版本:东巽科技2046Lab团队APT报告:“丰收行动”(DX-APT1).pdf

1 概述

2016年7月,东巽科技2046Lab捕获到一例疑似木马的样本,该木马样本伪装成Word文档,实为包含CVE-2015-1641(Word类型混淆漏洞)漏洞利用的RTF格式文档,以邮件附件的形式发给攻击目标,发动鱼叉式攻击。将文件提交到多引擎杀毒平台,发现54款杀毒软件仅8款可以检出威胁,说明攻击者对木马做了大量的免杀处理。随后,2046Lab研究人员对样本进行了深入的人工分析,发现其C&C服务器依然存活,于是对其进行了跟踪溯源和样本同源分析,又发现了其他两处C&C服务器和更多样本。

从溯源和关联分析来看,种种迹象表明,该样本源于南亚某国隐匿组织的APT攻击,目标以巴基斯坦、中国等国家的科研院所、军事院校和外交官员为主,通过窃取文件的方式获取与军事相关情报。由于样本的通信密码含有“January14”关键词,这一天正好是南亚某国盛行的“丰收节”,故把该APT事件命名为“丰收行动”。

2 时间线分析

2.1  从样本进行分析

通过对所有捕获样本的分析,发现较为早期的两个样本最后修改时间为2015年3月9日(..exe)和2015年5月5日(update_microsoft.exe),而其他样本的最后修改时间多数在2016年3月、4月、5月,表明攻击的时间至少可追溯到2015年3月甚至更早,而从2016年频繁修改多个样本可以看出,今年的攻击活动尤其频繁。

2.2  从C&C进行分析

1.jpg

图1 C&C建立时间分析

通过对其位于摩洛哥、德国、香港的三个C&C服务器的跟踪和溯源,发现其三个据点分阶段建立。其中:

摩洛哥为最早的据点,系统初始化时间可追溯到2013年9月19日,但其真正投入使用部署C&C环境为2014年4月,推测攻击者在这段时间内进行准备工作。随后开始活跃了近4个月,然后蛰伏,今年3月开始频繁活跃。

德国的据点建立在2015年12月,但在今年3月才开始部署C&C环境,然后一直保持活跃至今。

香港是最近时间建立的据点,和前两个据点不同,该据点在2016年3月开始,短时间内便完成了系统初始化和C&C环境部署,然后立即投入使用。后续跟踪过程中发现其7月底已失效。

通过对受害者的主机上线时间和DNS解析记录分析,我们推测出其主要活跃期为2014年4月至8月和2016年3月至今。值得关注的是,与样本分析得到结论一致,今年3月至今攻击者尤其活跃,三个C&C同时运行。

1 受害者分析

1.1  区域分析

image006.jpg

图2 受害者区域分布

通过对已知的近800名受害者的互联网IP进行Geo分类统计,得到的统计结论如下:

巴基斯坦77%

中国7%

美国5%

英国0.02%

奥地利0.02%

根据统计结果,推测攻击者主要目标以巴基斯坦为主,中国次之,其中中国以北京区域为主,零星有江苏、内蒙、河北区域。

1.1  领域和群体分析

通过对受害者邮箱、所在单位进行分类统计,我们基本确定攻击者攻击的主要目标领域为:

科研院所

 军事院校

外交官员

在这些领域中的又以对外联系人、教授、官员为主要目标。比如***@gmail.com为某国空军将军相关邮箱,***@***.edu.**为某国防大学官方邮箱。通过对跟踪获得的信息分析,发现被窃取的文件包含部分大使馆通讯录和军事外交相关的文件,与分类统计中以科研院所、军事院校和外交官员为目标的分析结果相吻合。

image008.jpg

图3 受害者群体、领域分析

image010.jpg

图4 失窃文件截图

image012.gif

图5 失窃数据截图

1.2  和中国相关受害者

我们将中国境内的受害者互联网IP做了Geo区域统计,得到图6结论:

image014.jpg

图6 中国相关受害者区域分布

北京为主要被攻击区域,占到了86%,其中又以东城区、朝阳区区域为主,考虑到攻击者的目标群体有外交官员,所以推测原因与大使馆多分布在北京的东城和朝阳有关。

对以上受害者被窃取的数据分析,我们发现部分受害者为他国驻华大使馆相关人员,正好与上述IP区域分布相符。虽无直接证据证明攻击者的目标直指中国军事情报,但在被窃数据中发现多例受害者间接暴露了中国某些军工单位以及和军队相关的敏感信息。

2 攻击者画像

三个C&C服务器,分阶段建立;以科研院所、军事院校、外交官员为目标;近三年持续采用鱼叉、水坑方式进行攻击。其幕后的组织是谁?来自哪里?在研究人员的追踪和分析后,发现了一些端倪。

2.1  他们是谁?

2.1.1    从攻击工具分析

在本次“丰收行动”中,攻击者使用了三套远程控制工具,其中两套远程控制工具与已知的Darkcomet-RAT[[1]]有关,作者为法国的Jean-Pierre Lesueur(通过LinkedIN了解),该作者以darkcoderSC为昵称开设了Facebook、Twitter、G+等社交网络账号,我们推测其与该事件关联性较小,只是远程控制工具的售卖者。

同时,我们还发现在这两款远程控制工具的版权中注释了部分darkcoderSC的版权,而以“Green HAT Group/Team”字样出现,我们暂未发现darkcoderSC隶属于“Green HAT Group/Team”的线索,所以推测该组织被雇佣对远程控制工具进行过二次修改,或者事件背后组织的名字就叫“Green HAT”,不幸的是在搜索引擎和社交网络中暂未能搜索到与之相关的信息,所幸的是这个名字与中国传统文化习惯完全相悖,加之报告后面的一些重要线索,国外厂商的某些言论是站不住脚的。

image016.jpg

图7 远程控制工具中的版权关键词“Green HAT”

两套远程控制工具中残留了部分历史部署信息,从中我们发现“sitar”、“Avatar”两个ID频繁出现在部署或调试的数据中,而且出现时间是2015年6月,说明很早就在准备此次攻击。

image018.jpg

图8 调试/部署bots信息

image020.jpg

图9 调试/部署信息,Avatar为帐户的计算机

image022.jpg

图10 调试/部署信息,sistar为帐户的计算机

据此,我们推测其组织成员中有“sitar”、“Avatar”为昵称的两个成员。

2.1.2    从关联事件分析

本次攻击者使用的域名多为免费的二级动态域名,所以无法从Whois信息中分析注册人和注册组织,但是通过将域名和解析的IP与业界报告进行关联分析,我们发现本次攻击者使用的域名和业界报告的某些APT事件有重合,如下:

The Dropping Elephant – aggressive cyber-espionage in the Asian region[[2]]

同时,我们发现其域名命名习惯和某些APT报告中的域名相似,都以mico***.***.com来命名,比如:

https://securelist.com/files/2014/11/darkhotel_kl_07.11.pdf[[3]]

所以,如果排除攻击者为了反情报而故意模仿其他攻击组织之嫌,我们推测多起APT事件幕后为同一组织。

2.2  来自哪里?

2.2.1    线索一:控制源IP

攻击者具备很强的反侦察能力,C&C域名使用了从freedns.afraid.org申请的动态二级域名,同时利用了多层跳板来访问和控制C&C服务器,这些跳板的来源IP包括南亚某国、美国、德国、英国、荷兰等,其中南亚某国的访问最多。

2.jpg

图11 攻击者来源IP的地理区域分布

研究人员对这些IP进行了逐个排查,最后锁定了三个方位的IP:

美国:*.*.*.64和*.*.*.53

沙特阿拉伯:*.*.*.68

南亚某国:*.*.*.138

随后的深入分析阶段对这三个IP进行了研判:

美国方位的IP段属于VPS的IP段区,可在pivateinternetaccess.com租用,且IP对外开放1723端口,提供VPN服务,确认其为一个跳板;

沙特阿拉伯IP段出现的频率较少且后续很少出现,未排除其为攻击者真实IP的可能性,但推测为被控端可能性较大;

在对南亚某国IP段分析时,发现其为Sophos UTM设备,表明其挂载的至少是一个局域网,故而攻击者来自此区域可能性较大。

2.2.2    线索二:语言文化

在对样本和C&C远程控制工具进行分析时,我们发现攻击者将远程控制系统后台通信密码默认设置为“January14”,而这个时间节点是南亚某国盛行的“丰收节”,表明攻击者可能受此风俗习惯影响,有一定的可能性自南亚某国。

image026.jpg

图12 木马通讯密码配置

除了密码,我们也把上述推测的组织成员昵称放入搜索引擎进行搜索,得到了一些有趣的结果:

 sitar:南亚某国的一种古老的乐器[[4]]。

 avatar:大家最熟悉的是《阿凡达》电影,但其同时又是佛教里的一位神[[5]]。

结合密码和昵称的语言文化,我们认为这些信息进一步印证了控制源IP来源于南亚某国的分析推断。

2.2.3    线索三:遗留数据

研究人员在跟踪溯源采集的数据中,发现了攻击者调试免杀木马时遗留的证据,免杀针对的杀毒软件包含但不限于:

AVAST

Trendmicro

Bitdefender

Panda

GDATA

NOD32

AVIRA

NIS诺顿

攻击者把每个杀毒软件部署在一个或者多个独立的WIN7或者WIN8系统上,已知约10个系统,逐个测试样本免杀情况。并且,这些杀毒软件同属10.*.*.*子网,考虑到终端的数量和部署环境,推测该子网为攻击者真实的工作环境,而非被控端。

3.gif

图13 免杀测试环境和对外链接IP

最重要的是,这个子网对外的出口IP正好是上述南亚某国IP段的*.*.*.138,也就是说这个IP是跳板或另一个受害者的可能性非常低,再次证实了攻击者来源于此IP。

基于相关性分析,推测该组织可能与近期友商公布的一些事件存在关联,或许原本是同一组织活跃在不同时期的不同工作。后续研究人员将持续跟进做进一步的确认。

3 攻击工具分析

我们对攻击工具深度分析后发现,攻击者这次发起的“丰收行动”是精心准备的、有组织的一次网络间谍攻击。其使用了APT攻击中最为典型和常用的攻击方式,有效的绕过了传统防护手段。为预防攻击者利用公开信息进行反溯源,以下仅阐述攻击工具的部分分析结果。

3.1  载荷投递

在本次行动中,我们捕获了伪装成Word文档的RTF格式邮件附件样本,所以可以确定攻击者使用了鱼叉攻击。此外,我们发现攻击者囤积了多个浏览器挂马脚本,脚本的最后修改时间为2016年4月,据此推测攻击者还可能使用了挂马或水坑攻击方式。

3.1.1 鱼叉攻击

利用邮件实施“鱼叉式钓鱼攻击”是典型APT攻击方式之一,将恶意代码作为电子邮件的附件,并命名为一个极具诱惑力的名称,发送给攻击目标,诱使目标打开附件,从而感染并控制目标计算机。我们在《利用邮件实施APT攻击的演示》[[6]]一文进行了视频演示,读者可以参考印证。

3.1.2 水坑攻击

“水坑攻击”,是指黑客通过分析被攻击者的网络活动规律,寻找被攻击者经常访问的网站的弱点,先攻下该网站并植入攻击代码,等待被攻击者来访时实施攻击。这种攻击行为类似《动物世界》纪录片中的一种情节:捕食者埋伏在水里或者水坑周围,等其他动物前来喝水时发起攻击猎取食物。[[7]]

3.2   漏洞利用

3.2.1 鱼叉攻击使用的漏洞

“丰收行动”中,攻击者以邮件形式发送了一份捆绑了漏洞利用代码和远程控制工具的Word文档给受害者。附件文档被点击后会显示一份以乌尔都语描述的网络犯罪法案诱饵文档《PEC Bill as on 17.09.2015》,用以迷惑受害者,如下所示:

image030.jpg

图14 诱饵文档内容

但该附件文档实质是包含CVE-2015-1641(Word类型混淆漏洞)漏洞利用的RTF格式文档,用户在打开的同时除了用诱饵文档显示迷惑性文档内容外,还会利用该漏洞释放恶意程序,从而感染并控制用户主机。

该附件文档样本的MD5为******e0b4a6b6a5b11dd7e35013d13a,样本捕获后不久交由54款杀毒引擎检测,仅8款能够查杀。用二进制编辑工具打开该文件,由开头的几个字符为{\rtf1\adeflang1025\ansi\,可确定文件是一个RTF文件。同时,该样本文件中包含以下内容:

{\object\objemb{\*\objclass None}{\*\oleclsid \’7bA08A033D-1A75-4AB6-A166-EAD02F547959\’7d}

在注册表查询此olecsid,发现是Office的otkload.dll组件,该组件依赖msvcr71.dll动态库,可见此RTF文档打开时会加载msvcr71.dll,而msvcr71.dll文件不支持ASRL,所以判断样本加载该库是借此构建ROP来绕过ASRL&DEP。漏洞利用相关代码如下:

7c341dfa 5e              pop     esi7c341dfb c3              ret 7c341cca 8b06          mov     eax,dWord ptr [esi]  ds:0023:7c38a2d8={kernel32!VirtualProtect (76c62341)}7c341ccc 85c0            test      eax,eax7c341cce 74f1            je        MSVCR71!initterm+0x7 (7c341cc1)         [br=0]7c341cd0 ffd0            call       eax {kernel32!VirtualProtect (76c62341)}7c341cd2 ebed            jmp      MSVCR71!initterm+0x7 (7c341cc1) 7c341cc1 83c604          add      esi,47c341cc4 3b74240c        cmp     esi,dWord ptr [esp+0Ch] ss:0023:06e9fbd4=7c38a2ff7c341cc8 730a            jae      MSVCR71!initterm+0x1a (7c341cd4)        [br=0]7c341cca 8b06            mov     eax,dWord ptr [esi]  ds:0023:7c38a2dc=09c908bc7c341ccc 85c0            test      eax,eax7c341cce 74f1            je        MSVCR71!initterm+0x7 (7c341cc1)         [br=0]7c341cd0 ffd0            call       eax {09c908bc}

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册