安全路透社
当前位置:安全路透社 > 网络转载 > 正文

一起针对蓄电池等制造企业的“蓄力”APT攻击

背景

2017年7月,腾讯安全反病毒实验室发现了一批行为可疑的邮件,收件方的邮箱地址指向一些欧美大型制造业公司,包括机械制造,生物制药,金属经销商以及蓄电池等企业。邮件类型种类也较丰富,有提醒查看付款账单附件,有通知查收6月份发货单,还有进行询价咨询的邮件。邮件发送时间集中在6月到7月10日之前。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

经过我们的分析,可以确定这是近期一起针对大型企业的APT攻击,目的是窃取商业方面的机密。并且目前国内已发现中招用户。当中招员工点击邮箱附件的文档后,会触发CVE-2017-0199漏洞。该漏洞下载一个hta文件解密运行,进而下载攻击载荷窃取用户隐私,而攻击载荷可接受66多种指令,进行行为监控。下图展示的就是此次APT事件的攻击过程。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

技术分析

当用户点击附件后,触发了CVE-2017-0199漏洞,此漏洞是今年 发现的一个较新的OFFICE漏洞。在无需用户交互的情况下,打开word就可以通过 hta脚本执行任意代码。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

下载hta脚本后,是一个被混淆过得代码。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

通过字符变换后,解密出来发现此vbs会继续下载一个可执行文件。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

我们登录到存放服务器的站点,发现可以看到服务器上保存的文件。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

一起针对蓄电池等制造企业的“蓄力”APT攻击 

一起针对蓄电池等制造企业的“蓄力”APT攻击 

这里可以看到ERPVXX.exe是病毒通过vbs将要下载的文件。而 Filr.hta则是word文档利用漏洞首先下载的脚本文件。简单看了其他的文件Fila.hta 与YUZLKK.exe是配套的另外一组,sab1.hta与YKKDNL.exe 是另外一组。而从时间上来看,此次分析的这一组合,上传时间是7月9号,应该是 黑客更新的最新版。对比两个版本的exe,新版本删除了某些远控指令

一起针对蓄电池等制造企业的“蓄力”APT攻击 

able.vbs文件在后文中介绍。

下载ERPVXX.exe后,继续运行。此PE文件是一个 加壳了的AutoIt的可执行文件。脱壳后,提取其 脚本文件,可以看到还是一个高度混淆的脚本。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

此类型的混淆方式,是一种通用的AutoIt脚本混淆方法。比较重要的函数有A2700004F2C ,主要作用是16进制与字符转换。而$OS则是 关键的一个变量,这是一个数组,去里面的16进制,然后通过A2700004F2C进行 转换,就可以拼接处可阅读的代码。$OS指向了一个字符串,如下图

一起针对蓄电池等制造企业的“蓄力”APT攻击 

通过对0×4578数据进行了三次解密,最终看到 $OS指向了一个文件。

图片12.png 

此文件名是由$A2700004F2Csz_函数返回,对此函数解密后发现会在Temp文件夹下生成一个随机文件名。 去此文件夹下取得文件后,对混淆的代码进行解密,最终 获取到了可阅读的脚本,也是此次攻击的关键所在。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

此文件非常庞大复杂,里面有判断杀软,上报ip 电脑信息,存储了一个pe文件,接受指令进行监控,心跳等功能 。下图展示了病毒与服务器之间的交互。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

下图是接受指令进行录音,并将数据上传的 功能:

一起针对蓄电池等制造企业的“蓄力”APT攻击 

下图是记录键盘功能:

一起针对蓄电池等制造企业的“蓄力”APT攻击 

下图是获取视频内容,并上传:

一起针对蓄电池等制造企业的“蓄力”APT攻击 

其中$DllData是携带的PE文件,此文件是一个dll,主要的功能是操作摄像头 。下图是其导出函数表

一起针对蓄电池等制造企业的“蓄力”APT攻击 

下表列出了病毒所有监控的行为:

一起针对蓄电池等制造企业的“蓄力”APT攻击 

一起针对蓄电池等制造企业的“蓄力”APT攻击 

前文中提到的在病毒站点上看到的able.vbs文件,实际上就是一个携带了PE文件的脚本。 而所携带的pe就是ERPVXX.exe。下图是直接运行able.vbs 脚本的行为

一起针对蓄电池等制造企业的“蓄力”APT攻击 

不排除,黑客可能直接把此脚本嵌入到hta中运行,少去了链接网络的步骤,也有可能直接放在邮件附件中。

溯源

对站点服务器进行扫描后,发现了其他一些有意思的目录。登录到服务器站点的test目录 ,发现此目录下的exe文件链接的C&C地址是内网,可以推测这就是黑客的测试目录。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

从更新时间来看,作者还在“孜孜不倦”的码代码 。

总结了此次攻击的公司地域分布情况,发现美国、 荷兰的公司为本次攻击的重点区域

一起针对蓄电池等制造企业的“蓄力”APT攻击 

另外扫描站点服务器,发现开放了2082,2086,2095等端口,登录后发现部署了一个mail服务器 。

一起针对蓄电池等制造企业的“蓄力”APT攻击 

尝试进行重置密码,可以看到黑客留下的一个提示邮箱地址

一起针对蓄电池等制造企业的“蓄力”APT攻击 

但遗憾的是,并没有在发件人邮箱中找到类似地址。

通过挖掘C&C服务器,找到了其他类似的样本

一起针对蓄电池等制造企业的“蓄力”APT攻击 

总结

此次APT攻击事件利用了最新的cve-2017-0199漏洞,如果用户没有及时更新补丁,很容易中招。同时 攻击手段比较复杂,混淆较多加大了分析,查杀的难度。目前已经检测到有广东 、河北、江苏等三地的国内用户中招,腾讯电脑管家提醒广大用户尽快修复漏洞。

* 本文作者:腾讯电脑管家(企业帐号)

未经允许不得转载:安全路透社 » 一起针对蓄电池等制造企业的“蓄力”APT攻击

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册