亚博全站APP登录

“绿斑”行动——持续多年的攻击

时间  2018年(nian)09月(yue)19日  来源(yuan):  Antiy

PDF报告下载

1、概述

在过去的数年时间里,安天始终警惕地监测、分析、跟踪着各种针对中国的APT攻击活动,并谨慎地披露了“海莲花”(APT-TOCS)、“白象”(White Elephant)、“方程式”(Equation)等攻击组织的活动或攻击装备分析,同时也对更多的攻击组织和行动形成了持续监测分析成果。本报告主要分析了某地缘性攻击组织在2015年前的攻击活动,安天以与该地区有一定关联的海洋生物作为了该攻击组织的名字——“绿斑”(GreenSpot)。为提升中国用户的安全意识,推动网络安全与信息化建设,安天公布这份报告。
综合来看,“绿斑”组织的攻击以互联网暴露目标和资产为攻击入口,采用社工邮件结合漏洞进行攻击,其活跃周期可能长达十年以上。

1.1 疑似的早期(2007年)攻击活动

在(zai)2007年,安天(tian)对来自(zi)该地(di)区的网络入侵活动进(jin)行了应(ying)急(ji)响应(ying),表1-1是(shi)在(zai)相(xiang)关被攻(gong)击(ji)的服(fu)务器系统(tong)上所提取到的相(xiang)关攻(gong)击(ji)载(zai)荷的主(zhu)要行为和(he)功(gong)能列表。

表 1-1 早期“绿斑”组织攻击活动相关载荷及功能列表

这(zhei)些(xie)(xie)工具多数(shu)为开源或免费(fei)工具,从而(er)形成了攻(gong)击(ji)方鲜(xian)明(ming)的(de)(de)(de)(de)DIY式(shi)的(de)(de)(de)(de)作业风格。由(you)于这(zhei)些(xie)(xie)工具多数(shu)不是专门为恶(e)意意图(tu)所(suo)编写的(de)(de)(de)(de)恶(e)意代码,有的(de)(de)(de)(de)还是常见(jian)的(de)(de)(de)(de)网(wang)管工具,因此反(fan)(fan)而(er)起到了一(yi)定的(de)(de)(de)(de)“免杀”效(xiao)果。但同时,这(zhei)种(zhong)DIY作业,并无Rootkit技术的(de)(de)(de)(de)掩护,给系(xi)统(tong)环境(jing)带来的(de)(de)(de)(de)变化较为明(ming)显,作业粒度也较为粗糙。同时只能(neng)用于控(kong)制(zhi)可(ke)以(yi)被攻(gong)击(ji)跳板直接(jie)(jie)链(lian)接(jie)(jie)的(de)(de)(de)(de)节点,而(er)无法反(fan)(fan)向链(lian)接(jie)(jie)。和其他一(yi)些(xie)(xie)APT攻(gong)击(ji)中出现的(de)(de)(de)(de)自研木马、商用木马相比(bi),是一(yi)种(zhong)相对低(di)成本、更多依靠作业者技巧的(de)(de)(de)(de)攻(gong)击(ji)方式(shi)。

图 1-1 早期“绿斑”组织攻击活动相关载荷调用关系图

这些工具可以在被入侵环境中形成一个作业闭环。攻击者使用网络渗透手段进入目标主机后,向目标主机上传表1-1中的多种攻击载荷,利用持久化工具达成开机启动效果,实现长期驻留;通过NC开启远程Shell实现对目标主机远程命令控制;调用Mt1.exe获取系统基本信息和进一步的管理;同时攻击者可以通过Spooler.exe形成磁盘文件列表并记录、通过keylog.exe收集键盘输入并记录、通过Rar.exe收集指定的文件并打包、通过HTTP.exe开启HTTP服务,即可远程获取全盘文件列表,获取用户击键记录,回传要收集的文件和日志。
我们倾向认为,2007年前后,相关攻击组织总体上自研能力有限,对开源和免费工具比较依赖,喜好行命令作业。同时,作业风格受到类似Coolfire式的早期网络渗透攻击教程的影响较大。目前我们无法确认这一攻击事件与我们后面命名的“绿斑”组织是同一个组织,但可以确定其来自同一个来源方向。

1.2 2011-2015年攻击活动

从时间上来看,自2010年以后,该地区组织攻击能力已经有所提升,善于改良1day和陈旧漏洞进行利用,能够对公开的网络攻击程序进行定制修改,也出现了自研的网络攻击装备。2010年以后相关活动明显增多、攻击能力提升较快。
“绿斑”组织主要针对中国政府部门和航空、军事相关的科研机构进行攻击。该组织通过鱼叉式钓鱼邮件附加漏洞文档或捆绑可执行文件进行传播,主要投放RAT(Remote Administration Tool,远程管理工具)程序对目标主机进行控制和信息窃取,其典型攻击手法和流程是以邮件为载体进行传播,邮件附件中包含恶意文档,文档以MHT格式居多(MHT是MIME HTML的缩写,是一种用来保存HTML文件的格式),该文档打开后会释放并执行可执行载荷。作为迷惑用户的一种方法,嵌入在MHT中的一份起到欺骗作用的正常的文档文件也会被打开显示,攻击过程图1-2所示:

图 1-2 “绿斑”组织活动攻击流程

通(tong)过(guo)人工分(fen)析(xi)结合安天追影威(wei)胁分(fen)析(xi)系统(tong)及安天分(fen)析(xi)平台(tai)进(jin)(jin)行关联(lian)分(fen)析(xi),我们(men)对其攻(gong)击(ji)目标、攻(gong)击(ji)者(zhe)采用(yong)的(de)(de)(de)IP和常(chang)(chang)见的(de)(de)(de)手(shou)法(fa)进(jin)(jin)行了(le)梳理(li)。该(gai)(gai)组(zu)织利用(yong)漏洞(dong)的(de)(de)(de)文件(jian)是(shi)不常(chang)(chang)见的(de)(de)(de)附件(jian)文件(jian)格式,相关攻(gong)击(ji)技术(shu)和手(shou)法(fa)也是(shi)经过(guo)长(zhang)期准(zhun)备(bei)和试验的(de)(de)(de)。安天基于(yu)原始线索(suo)对该(gai)(gai)组(zu)织进(jin)(jin)行了(le)全面跟踪、关联(lian)、分(fen)析(xi),最终获得(de)了(le)近百条IoC(信标)数据(ju)。通(tong)过(guo)对事件(jian)和样(yang)本的(de)(de)(de)整体分(fen)析(xi),我们(men)梳理(li)了(le)该(gai)(gai)组(zu)织在2011-2014年的(de)(de)(de)部分(fen)活动时间轴。

图 1-3 “绿斑”组织2011-2014攻击活动时间轴

1.3 近期的部分攻击活动(2017年)

“绿斑”组织在2015年后(hou)继(ji)续(xu)活跃,我们(men)在2017年监测到该组织建立了(le)一个(ge)新的(de)传播源,该次活动(dong)的(de)载(zai)荷(he)都(dou)存储在同一个(ge)WEB服(fu)务器(qi)上,每一个(ge)攻(gong)击(ji)流(liu)程内的(de)载(zai)荷(he)都(dou)按照目录存放,其(qi)攻(gong)击(ji)流(liu)程是首先(xian)传播含有漏洞的(de)Office文档,通过漏洞文档下载(zai)执行恶(e)意(yi)载(zai)荷(he)(EXE),随后(hou)通过C2对目标主机进(jin)行远程控(kong)制,具体攻(gong)击(ji)流(liu)程参(can)见图(tu)1-4。

图 1-4 最新活动攻击流程

该WEB服务器上存放了多(duo)个(ge)不(bu)同配(pei)置的(de)恶(e)意脚本和可执行文件,一(yi)(yi)个(ge)目录(lu)下(xia)是一(yi)(yi)组攻击样本,最终运行的(de)Poison Ivy ShellCode(Poison Ivy是一(yi)(yi)个(ge)远(yuan)程(cheng)管理工(gong)具)都会连接(jie)一(yi)(yi)个(ge)单独C2地址,图1-5中红色的(de)域(yu)名(pps.*.com)是与2011-2015年活(huo)动相关联的(de)C2域(yu)名。

图 1-5 传播源服务器样本部署及C&C关系图


2、攻击手法分析:通过定向社工邮件传送攻击载荷

2.1 典型案例

针对“绿斑”组织2011-2015年间的攻击活动中,安天通过监测发现和关联分析,梳理出了数十起事件和载荷的关联关系。通过对典型案例的基本信息和诱饵文件等进行分析,我们可以看出“绿斑”组织多采用通过定向社工邮件传送攻击载荷,攻击载荷有两种:一种是捆绑型PE恶意代码,在被攻击者打开执行后,其会打开嵌入在PE中的欺骗收件人的“正常”文档文件;另一种是格式攻击文档,利用漏洞CVE-2012-0158来释放并执行可执行文件,同时打开欺骗收件人的“正常”文档文件。但在两种攻击方式中,所释放的可执行文件路径和名称相同,除部分案例采用%TEMP%路径外,其他均为C:\Documents and Settings\All Users\「开始」菜单\程序\启动\update.exe,来达成开机执行的持久化效果,从释放路径、文件名称可以看出这些样本是具有关联性的(具体分析参见4.4节)。从时间上来看,使用捆绑型PE恶意代码的攻击晚于漏洞文档,这有可能是在利用漏洞文档攻击无效后,才使用了这种虽然简单粗暴但可能最有效的方式。

2.1.1 案例1

2.1.2 案例2

2.1.3 案例3

另外值得注意的地方是图2-3中相关文字内容为从“全国人民代表大会网站”(文档内容出处:“http://www.npc.gov.cn/npc/xinwen/node_12435.htm”2013年的网页内容,目前网页内容已更新。)页面直接复制粘贴的内容。

2.1.4 案例4

2.1.5 案例5

2.1.6 案例6

2.1.7 案例7

2.1.8 案例8

2.1.9 案例9

2.2 社工技巧分析

“绿斑”攻击(ji)组(zu)织主要(yao)针对(dui)被攻击(ji)者(zhe)的(de)职业、岗位、身份(fen)等(deng)定制文(wen)(wen)档(dang)内(nei)容,伪(wei)装成(cheng)中国(guo)政府的(de)公告、学会(hui)(hui)组(zu)织的(de)年会(hui)(hui)文(wen)(wen)件、相关单位的(de)通知、以(yi)及被攻击(ji)者(zhe)可能感(gan)兴(xing)趣的(de)政治、经济、军(jun)事、科研、地缘(yuan)安全等(deng)内(nei)容,其(qi)所(suo)使用(yong)的(de)欺骗性文(wen)(wen)档(dang)多数下载自(zi)中国(guo)相关部委机构(gou)、学会(hui)(hui)的(de)网(wang)站。


3、攻击载荷分析:漏洞、后门及可执行文件

3.1 CVE-2012-0158漏洞利用

CVE-2012-0158是(shi)(shi)一个(ge)文档(dang)格(ge)式(shi)(shi)溢(yi)出(chu)漏洞(dong),格(ge)式(shi)(shi)溢(yi)出(chu)漏洞(dong)的(de)(de)(de)利用(yong)方式(shi)(shi)是(shi)(shi)在正(zheng)常(chang)(chang)(chang)的(de)(de)(de)文档(dang)中(zhong)插(cha)入精心构造的(de)(de)(de)恶意代码,从表面上(shang)看其是(shi)(shi)一个(ge)正(zheng)常(chang)(chang)(chang)的(de)(de)(de)文档(dang),很难(nan)引起用(yong)户(hu)的(de)(de)(de)怀疑,因此(ci)经常(chang)(chang)(chang)被用(yong)于APT攻(gong)击(ji)。CVE-2012-0158漏洞(dong)是(shi)(shi)各(ge)种APT攻(gong)击(ji)中(zhong)迄今为止使(shi)用(yong)频度(du)最高的(de)(de)(de)。利用(yong)该漏洞(dong)的(de)(de)(de)载体通常(chang)(chang)(chang)是(shi)(shi)RTF格(ge)式(shi)(shi)的(de)(de)(de)文件,其内部数据以十六进制字符串(chuan)形式(shi)(shi)保存。

3.1.1 由RTF到MHT的高级对抗

传统的CVE-2012-0158漏洞利(li)用格(ge)式(shi)(shi)主要以RTF为主,而(er)该组织则使(shi)用了MHT格(ge)式(shi)(shi),这种格(ge)式(shi)(shi)同样可以触发漏洞,而(er)且(qie)在当时一(yi)段时间内可以躲避多种杀毒软(ruan)件的查杀。

图 3-1 RTF与MHT文件格式对比

如(ru)果使用(yong)(yong)(yong)RTF文(wen)(wen)(wen)件格式构造可触发漏洞的(de)文(wen)(wen)(wen)件,在(zai)解码后会在(zai)文(wen)(wen)(wen)件中(zhong)(zhong)出现(xian)CLSID(CLSID是指(zhi)Windows系统对于(yu)不同(tong)的(de)应用(yong)(yong)(yong)程(cheng)序、文(wen)(wen)(wen)件类型(xing)、OLE对象(xiang)、特殊文(wen)(wen)(wen)件夹以(yi)及(ji)各种系统组件分配一个唯一表示(shi)它的(de)ID代码),而新的(de)利(li)用(yong)(yong)(yong)方式使用(yong)(yong)(yong)MHT文(wen)(wen)(wen)件格式,CLSID会出现(xian)在(zai)MHT文(wen)(wen)(wen)件中(zhong)(zhong),由于(yu)之前(qian)的(de)RTF溢(yi)出格式嵌套DOC文(wen)(wen)(wen)档(dang)(dang)(dang)(如(ru)图(tu)3-2,红框中(zhong)(zhong)是DOC文(wen)(wen)(wen)档(dang)(dang)(dang)文(wen)(wen)(wen)件头),CLSID存(cun)放于(yu)嵌套的(de)DOC文(wen)(wen)(wen)档(dang)(dang)(dang)里(li)(如(ru)图(tu)3-3,红框中(zhong)(zhong)是CLSID,部(bu)分采用(yong)(yong)(yong)了网(wang)络(luo)字节(jie)序,部(bu)分采用(yong)(yong)(yong)了主机字节(jie)序)。

图 3-2 以RTF为载体的溢出文件

图 3-3 以RTF为载体的溢出文件

MHT文(wen)(wen)件(jian)(jian)格(ge)式的CLSID不会存放在(zai)嵌套的DOC里(li),而是直(zhi)接(jie)在(zai)MHT文(wen)(wen)件(jian)(jian)中(如图3-4,红框中所(suo)示),这样可以(yi)逃(tao)避大部分(fen)安全软件(jian)(jian)的检测,而且在(zai)MHT中编(bian)(bian)码(ma)格(ge)式也发生(sheng)了变化(hua),因此如果使用以(yi)前根据RTF文(wen)(wen)件(jian)(jian)编(bian)(bian)写的CVE-2012-0158检测程序则会失效。

图 3-4 案例6涉及的MHT文件

MHT文件的主要功能是将一个离线网页的所有文件保存在一个文件中,方便浏览。将文件后缀修改为.doc后,Microsoft Word是可以正常打开的。
该文件可以分为三个部分:第一部分是一个网页;第二部分是一个base64编码的数据文件,名为“ocxstg001.mso”,该文件解码后为一个复合式文档即DOC文档;第三部分的数据是二进制文件。
在第一部分我们发现了一段这样的代码,该代码描述了第一部分和第二部分的关系也是导致漏洞触发的关键:

这段代(dai)码大致表(biao)示当网(wang)页加(jia)载(zai)的(de)(de)时候同时加(jia)载(zai)一(yi)个(ge)COM控(kong)件(jian)去(qu)解释(shi)第(di)二部分的(de)(de)数据。该(gai)控(kong)件(jian)的(de)(de)CLSID是{**********-11D1-B16A-00C0F0283628},经(jing)过查询该(gai)控(kong)件(jian)便是MSCOMCTL.OCX.。当时已知的(de)(de)与(yu)该(gai)控(kong)件(jian)有(you)关的(de)(de)最新(xin)漏洞是CVE-2012-0158,因此可以确定这三个(ge)案例是通过精心构造(zao)MHT文件(jian),利用漏洞CVE-2012-0158来执(zhi)行(xing),从而实现可执(zhi)行(xing)文件(jian)的(de)(de)释(shi)放和(he)执(zhi)行(xing)。

3.1.2 值得关注漏洞载荷免杀技巧的利用

“绿斑”组织高频使(shi)用MHT漏洞(dong)格(ge)式文档的(de)(de)传播利(li)用时间主要在(zai)2013年5月之前,这(zhei)是(shi)一个高度值得关注(zhu)的(de)(de)信息。我(wo)们基于(yu)对某个著名的(de)(de)第三方威(wei)胁情报源利(li)用CVE-2012-0158漏洞(dong)并采用MHT文件格(ge)式的(de)(de)恶意代码数据进行(xing)了(le)相关统计。

图 3-5 安天捕获部分“绿斑”免杀样本(红色)与MHT漏洞格式文档(黄色)大量出现时间的对比

从图3-5中我们(men)(men)可以(yi)看到(dao),2013年3月(yue)前,MHT文件(jian)格式(shi)的(de)(de)(de)(de)CVE-2012-0158漏(lou)(lou)洞(dong)相关文件(jian)并(bing)未出现在(zai)该威胁情报源当中,但(dan)已经被“绿斑(ban)(ban)”组织使(shi)用。我们(men)(men)尚(shang)不能认为(wei)“绿斑(ban)(ban)”组织是这(zhei)(zhei)(zhei)(zhei)种免杀(sha)(sha)方(fang)(fang)(fang)式(shi)的(de)(de)(de)(de)发明者(zhe)(zhe),但(dan)至少其是这(zhei)(zhei)(zhei)(zhei)种方(fang)(fang)(fang)式(shi)的(de)(de)(de)(de)早期使(shi)用者(zhe)(zhe)。而(er)对(dui)于一(yi)个2012年1月(yue)的(de)(de)(de)(de)陈旧(jiu)漏(lou)(lou)洞(dong),“绿斑(ban)(ban)”组织则较(jiao)早使(shi)用了可以(yi)延(yan)续其攻击(ji)窗口(kou)的(de)(de)(de)(de)方(fang)(fang)(fang)法(fa)。并(bing)不是所有APT攻击(ji)都会使(shi)用0day漏(lou)(lou)洞(dong),这(zhei)(zhei)(zhei)(zhei)取决于攻击(ji)者(zhe)(zhe)的(de)(de)(de)(de)资源储备和突破被攻击(ji)方(fang)(fang)(fang)的(de)(de)(de)(de)防(fang)御的(de)(de)(de)(de)必要(yao)性等(deng)因素,部分APT攻击(ji)组织并(bing)没有能力去挖掘0day漏(lou)(lou)洞(dong),但(dan)其同样(yang)试图采购获得商(shang)业的(de)(de)(de)(de)0day漏(lou)(lou)洞(dong),针对(dui)1day漏(lou)(lou)洞(dong)快速跟进,并(bing)尝试使(shi)用免杀(sha)(sha)方(fang)(fang)(fang)式(shi)来使(shi)陈旧(jiu)漏(lou)(lou)洞(dong)形成新(xin)的(de)(de)(de)(de)攻击(ji)能力。这(zhei)(zhei)(zhei)(zhei)些问题和0day漏(lou)(lou)洞(dong)检测(ce)防(fang)御一(yi)样(yang)值得关注。

3.2 CVE-2014-4114漏洞利用

我们有一(yi)定的(de)分析证据表明,“绿斑”组织在2014年(nian)10月前曾使用CVE-2014-4114漏(lou)洞。这可能表示(shi)该组织与地下漏(lou)洞交易有相应的(de)渠道联系。

3.3 CVE-2017-8759漏洞利用

安天2017年针对“绿斑”组织的一个新的前导攻击文档进行了分析,该文档利用最新的CVE-2017-8759漏洞下载恶意代码到目标主机执行。样本采用RTF格式而非之前的宏代码方式,在无须用户交互的情况下就可以直接下载并执行远程文件,攻击效果更好。
CVE-2017-8759漏洞是由一个换行符引发的漏洞,该漏洞影响所有主流的.NET Framework版本。在. NET库中的SOAP WSDL解析模块IsValidUrl函数没有正确处理包含回车换行符的情况,导致调用者函数PrintClientProxy存在代码注入执行漏洞,目前该漏洞主要被用于Office文档高级威胁攻击。

图 3-6 通过objautlink和objupdate控制字段自动更新链接

图 3-7 嵌入的链接实际上是一个WSDL文件(见下一节TXT文件)

3.3.1 漏洞触发文件:TXT文件

该类文(wen)(wen)件(jian)是WSDL文(wen)(wen)件(jian),是导致漏洞触发(fa)的(de)文(wen)(wen)件(jian)。触发(fa)漏洞会导致执(zhi)行(xing)(xing)其中的(de)代码(ma)即(ji)利用msHTA.exe执(zhi)行(xing)(xing)指定的(de)HTA文(wen)(wen)件(jian),使用HTA文(wen)(wen)件(jian)得(de)到解析(xi)和运行(xing)(xing)。以(yi)样本jin2.txt为例(li)分析(xi),关(guan)键代码(ma)如下(xia):

图 3-8 WSDL文件调用msHTA执行HTA文件

每个txt文(wen)件的(de)不同之处在于(yu)包含的(de)HTA文(wen)件链接(jie)不同,具体(ti)请看(kan)表3-1:

表 3-1 txt调用hta列表

3.3.2 下载指定EXE文件:HTA文件

HTA文件是html页面文件,嵌(qian)入了VBScript脚本,该脚本的主要(yao)功能是利(li)用PowerShell下载指定的EXE文件,保存为(wei)officeupdate.exe并执行该程序(xu)。图(tu)3-9为(wei)样本jin2.HTA的内容:

图 3-9 HTA文件调用powershell下载执行文件

每个(ge)HTA文件的(de)不同之处是下(xia)载(zai)地址(zhi)不相(xiang)同,攻(gong)击者利用漏洞触发(fa)HTA下(xia)载(zai)并(bing)执(zhi)行最终(zhong)的(de)可执(zhi)行文件载(zai)荷,具体(ti)对应关(guan)系请(qing)看表3-2:

表 3-2 HTA对应EXE下载地址

3.4 相关载荷分析

3.4.1 Poison Ivy RAT后门

我们(men)经(jing)(jing)过(guo)分(fen)(fen)析,发现案(an)例(li)(li)1、案(an)例(li)(li)2、案(an)例(li)(li)3、案(an)例(li)(li)9中所释放的(de)update.exe,均(jun)为Poison Ivy RAT后门程序,Poison Ivy是一款已经(jing)(jing)公开的(de)、著名的(de)RAT程序,功(gong)能强大,生成的(de)载荷小巧易于加密和(he)对抗检(jian)测。正(zheng)因Poison Ivy有(you)这些优点,因此也被其(qi)他(ta)攻击(ji)组织使用在其(qi)他(ta)攻击(ji)事件中。以(yi)下为部分(fen)(fen)Poison Ivy后门的(de)功(gong)能:

  • 可以获取系统基本信息;
  • 可以进行全盘文件管理,包括查看所有文件,下载文件,上传文件等;
  • 获取系统进程信息,结束进程,挂起进程等;
  • 获取系统服务程序信息;
  • 查看系统安装的软件,可进行卸载;
  • 获取系统打开的端口号;
  • 可执行远程shell,执行任意命令;
  • 可获取密码Hash值;
  • 可进行键盘记录;
  • 可获取屏幕截图;
  • 可打开摄像头进行监控;

图3-10、3-11为这(zhei)四(si)个案例涉及的样本(update.exe)文件中互斥量和域名相关(guan)的信息:

图 3-10 多案例样本互斥量对比

图 3-11 多案例样本连接域名对比

同(tong)时(shi),我们(men)将四个(ge)案例涉及样本的版本信息、时(shi)间戳、连接域名(ming)等相关信息整理如表(biao)3-3:

表 3-3 Poison Ivy RAT后门版本信息对比

通过上面的信息,我们可以看出,在这四个案例中,虽然均为Poison Ivy RAT的后门,但是还可以分为三类:
第一类是案例1和案例2,它们之间除域名外,其它信息均相同,通过对案例1和案例2中update.exe二进制的对比,发现它们之间90%的二进制是相同的,不同之处是加密的二进制代码,它们的不同是由于加密密钥的不同。

图 3-12 案例1、2涉及样本的解密算法

第(di)二(er)类(lei)是(shi)案例(li)3,第(di)三(san)类(lei)是(shi)案例(li)9,这两类(lei)样(yang)本的加密算(suan)法与第(di)一(yi)类(lei)不同,但解密后的代码,除了(le)相关配置不同,其功能部分几乎完(wan)全(quan)相同。

图 3-13 案例3涉及样本的解密算法

图 3-14 案例9涉及样本的解密算法

根(gen)据案例3中update.exe的时(shi)间(jian)戳,我们可(ke)以判(pan)断该样本出现于(yu)2013年2月6日,虽(sui)然时(shi)间(jian)戳是可(ke)以被修改的,但是结合案例3释放的欺骗(pian)文档的内容(rong)(请参见第2章,doc中内容(rong)的时(shi)间(jian)),我们相信(xin)它具有一(yi)定的参考价值。

3.4.2 Gh0st后门

通过(guo)(guo)我(wo)们对于案(an)例4中update.exe的(de)分(fen)析(xi),得到该样本所使用的(de)互斥(chi)量为“chinaheikee__inderjns”,该互斥(chi)量与我(wo)们分(fen)析(xi)过(guo)(guo)的(de)gh0st样本的(de)互斥(chi)量一致,是默认配置,而且上线数据(ju)包与gh0st 3.75版本非常(chang)一致,因此我(wo)们可(ke)以判(pan)定该update.exe为gh0st后门。

图 3-15 Gh0st RAT后门界面

3.4.3 HttpBots后门

通过我(wo)们对于案例(li)5中svchost.exe的(de)分析,可以确定(ding)该样本实际是一个BOT后门(men)程序。svchost.exe通过Web端来控(kong)制安装有该后门(men)程序的(de)机器,图(tu)3-16为具体指(zhi)令信息截图(tu)。

图 3-16 httpbots后门控制指令

表 3-4 指令说明

3.4.4 ZXSHELL后门(针对性)

经过安天分析,案例6、7、8中释放的PE文件确定为ZXShell后门家族(分别为3个不同版本),是使用ZXShell源码修改后编译的,具有ZXShell后门常规功能:系统信息获取、文件管理、进程查看等。
很特别的一点是作者将版本修改为V3.6(ZXShell最后更新版本为3.0),并新增了窃密功能:样本收集*.doc*、*.xls*、*.ppt*等文档文件(案例6只收集网络磁盘、U盘、CDROM中的文件,案例7-8则收集全盘文件),且为保证收集的文档具有价值,只收集半年内修改过的文档文件并使用RAR打包,以日期加磁盘卷序列号命名(案例6以磁盘卷序列号命名),后缀名和压缩包密码各不相同。

图 3-17 案例6只收集U盘、CD、网络磁盘中的文件

图 3-18 打包收集到的文档

根据已有样本分析配置后,我们统计出样本搜集文档的类型:*.doc*、*.xls*、*.ppt*、*.wps*、*.pdf。
经分析,我们发现了样本新增的功能:
1. 获取IE自动保存的邮箱账户密码和对应网址,对IE6和IE6以上的版本采取不同的方法。
2. 收集网络信息、主机信息、进程信息,记录在如下目录中:
%Application Data%\Microsoft\Windows\Profiles.log
3. 样本根据各自的配置,收集全盘包含指定关键字的文件路径、C盘Program Files目录下的EXE文件路径,将收集到的文件路径信息同样记录在
%Application Data\Microsoft\Windows\Profiles.log

图 3-19 收集指定关键文件列表

根据目前已捕获样本,我们发现每个样本都硬编码了三个关键字,根据关键字对攻击目标进行敏感资料收集,去重后的具体关键字为十二个,包括“战”、“军”、“航”等,通过这些关键字我们可以清晰的了解“绿斑”组织的作业意图:
4. 样本存在一个额外域名,自动回传Profiles.log文件和RAR打包文件。
5. 后门发包:***_IP-计算机名^^//@@&&***(“***”部分各个样本不同)
6. 监听回应:kwo(口令)
7. 后门发包:IP-计算机名-2014010106.tmpp19769(年月日小时.tmpp文件大小)
8. 监听回应:任意(支持以指定偏移读取文件)
9. 后门发包:Profiles.log文件内容(参见图3-20)

图 3-20 Profiles.log文件内容

10. 案(an)例6样本中(zhong)(zhong),指令的帮(bang)助提示为正常中(zhong)(zhong)文,而案(an)例8样本是乱码(ma)(ma),经过分(fen)(fen)析,发现新样本其实对这部(bu)(bu)分(fen)(fen)中(zhong)(zhong)文是其他(ta)编(bian)码(ma)(ma),而在编(bian)译程序时候却(que)将这部(bu)(bu)分(fen)(fen)转换为GB2312编(bian)码(ma)(ma),导致显(xian)示乱码(ma)(ma)。

图 3-21 案例6样本指令提示

图 3-22 案例8样本指令提示

11. 案例7样本对中国安全厂商产品的相关进程的判断,根据安装不同的杀软,采取退出、正常运行、添加特殊启动项等不同的行为,可以看出这是针对中国用户专门设计的恶意程序。
表3-5是该组织使用的样本与ZXShell原版功能的对比,可以发现这批样本只保留了必要的远控功能,并添加了ZXShell原本没有的窃密相关功能,具体功能对比如表3-5所示:

表 3-5 案例6、7、8样本与 ZXShell RAT原版后门对比

3.4.5 攻击期间部分样本的检出情况

事件中的(de)后门(men)样本(ben)(ben)均是互(hu)联(lian)网公开的(de)RAT程序,一(yi)(yi)般(ban)而言安全厂(chang)商对(dui)这些(xie)(xie)程序都会(hui)重(zhong)点关注(zhu),基本(ben)(ben)主(zhu)流安全厂(chang)商都可以检(jian)测和查杀,但是该组织(zhi)对(dui)这些(xie)(xie)公开的(de)RAT程序进(jin)行修改和加密使用,使这些(xie)(xie)样本(ben)(ben)在(zai)其行动的(de)一(yi)(yi)段时间内的(de)整(zheng)体(ti)检(jian)出率不到8%,一(yi)(yi)些(xie)(xie)个别样本(ben)(ben)甚至只有1-2家(jia)安全厂(chang)商检(jian)出,可见(jian)这批样本(ben)(ben)是针对(dui)杀软做了针对(dui)性(xing)的(de)免(mian)杀处理的(de),可以在(zai)目标主(zhu)机持(chi)续化驻留。

图 3-23 部分样本检出率

3.4.6 近期捕获样本分析

3.4.6.1 EXE文件

EXE文(wen)(wen)件(jian)是(shi)3.3.2章节中(zhong)提(ti)到的由HTA文(wen)(wen)件(jian)下载(zai)并执(zhi)行的最终(zhong)载(zai)荷,该类文(wen)(wen)件(jian)主要功(gong)能是(shi)从指定(ding)网址下载(zai)ShellCode,解密之后,创建线程执(zhi)行此ShellCode。以(yi)jin2.exe为例分析(xi),样本(ben)关(guan)键代码如下:

图 3-24 连接指定网址下载ShellCode

图 3-25 解密shellcode函数

从指定(ding)网址下(xia)载完ShellCode后(hou),样本(ben)对ShellCode进行解(jie)密,然(ran)后(hou)分(fen)配(pei)内存(cun)将解(jie)密后(hou)的ShellCode复制过去(qu)。随(sui)后(hou)创(chuang)建一个(ge)线程,将ShellCode的首地址作为参数传(chuan)给线程函数从而(er)运行ShellCode。

图 3-26 分配内存,创建线程执行ShellCode

每(mei)个(ge)(ge)EXE文件(jian)功能代码基本相同,只(zhi)有下载(zai)ShellCode的地(di)址不同的,各个(ge)(ge)地(di)址如(ru)下表所示(shi):

表 3-6 EXE文件下载shellcode对应列表

3.4.6.2 ShellCode(Poison Ivy)

我们对解密后(hou)的ShellCode进行分析,发现(xian)其ShellCode为Poison Ivy程(cheng)序(xu)生(sheng)成,与(yu)3.4.1章节的样(yang)本来自同一远控程(cheng)序(xu)。在传播(bo)源放置(zhi)的不同ShellCode中所连接的IP地址如(ru)表(biao)3-7所示:

表 3-7 shellcode连接c2对应列表

我们通(tong)过本(ben)地(di)劫持的方式,将C2地(di)址重定向到(dao)本(ben)地(di)计算机(ji),通(tong)过配置(zhi)好(hao)的Poison Ivy客(ke)户端可以与样(yang)本(ben)建立(li)连接,确定攻击(ji)者(zhe)使用(yong)的Poison Ivy版本(ben)为2.3.1,具(ju)体信息如(ru)图3-27所示(shi):

图 3-27 重定向C2成功连接分析的样本


4、样本关联性分析

4.1 多案例横向关联

安(an)天CERT对典型案例(li)中的前6个案例(li)的相关(guan)信(xin)(xin)息(xi)进行了关(guan)联(lian)分析,主要涉及文(wen)件(jian)名、互(hu)斥(chi)量、文(wen)件(jian)版本信(xin)(xin)息(xi)等,通过横向关(guan)联(lian)(参(can)见图4-1)以(yi)及之前提(ti)到(dao)的doc文(wen)件(jian)内(nei)容、漏(lou)洞利用方式、可执(zhi)行文(wen)件(jian)的相关(guan)信(xin)(xin)息(xi),我(wo)们初步(bu)判定这些事件(jian)之间是存(cun)在关(guan)联(lian)的。

图 4-1 多案例横向关联

4.1.1 ShellCode部分(CVE-2012-0158)对比

表 4-1 ShellCode部分(CVE-2012-0158)对比

4.1.2 释放的PE文件对比

表 4-2 释放的PE文件对比

4.2 域名关联

通过提(ti)取(qu)和(he)整理十(shi)几个(ge)有关联样本中的域(yu)(yu)(yu)名(ming)(ming)(ming)信息(参见图4-2),我们可以很清晰地看出,所有域(yu)(yu)(yu)名(ming)(ming)(ming)均为(wei)动(dong)态域(yu)(yu)(yu)名(ming)(ming)(ming),且服务提(ti)供商(shang)均处于境(jing)外,同时大部(bu)分域(yu)(yu)(yu)名(ming)(ming)(ming)都是通过changeip.com和(he)no-ip.com注(zhu)册(ce)的,我们认为(wei)这些(xie)域(yu)(yu)(yu)名(ming)(ming)(ming)并非(fei)单(dan)一(yi)散乱注(zhu)册(ce)的,而是属(shu)于同一(yi)来源的、有组织的进行注(zhu)册(ce)。

图 4-2 行动涉及域名信息

4.3 IP地址关联

通过提取和整理(li)十(shi)几个有关联样(yang)本(ben)中域名的(de)(de)曾(ceng)跳转IP和现跳转IP,我们可以很清晰地看出(chu),在所有的(de)(de)IP地址(zhi)中,绝(jue)大(da)多数的(de)(de)IP地址(zhi)都属于同一地区(qu),并且(qie)这(zhei)些IP多数来(lai)自两个互(hu)联网地址(zhi)分派机(ji)构(gou)AS3462、和AS18182,每个互(hu)联网地址(zhi)分派机(ji)构(gou)管理(li)现实(shi)中的(de)(de)一个区(qu)域,这(zhei)也同时说明了(le)这(zhei)是一组有相同来(lai)源(yuan)的(de)(de)攻(gong)击事件。

4.4 恶意代码之间关联性

为了方便(bian)呈现(xian)和理(li)(li)解(jie),我们对(dui)典型案例中所有(you)的样(yang)本(ben)、C2的关联性(xing)进(jin)行了关系梳理(li)(li)(参(can)见(jian)图(tu)4-3)。

图 4-3 恶意代码之间关联图(2011-2015年活动)

通过研究发(fa)现,虽然“绿斑”组织(zhi)使用了多种不(bu)同的后(hou)(hou)门程序,但(dan)是(shi)它们之间共用了C2服务器,这很有可能是(shi)为了方便管理(li)与(yu)控制,这一点从表4-3的后(hou)(hou)门ID与(yu)上线(xian)密码也可以发(fa)现不(bu)同后(hou)(hou)门类型之间的对(dui)应(ying)关系。

图 4-4 不同事件/恶意载荷(PE)共用基础设施C2

通过(guo)对Poison Ivy RAT相(xiang)关样本分析,我(wo)们(men)得(de)出其(qi)上(shang)线ID和密码(ma)。我(wo)们(men)可以看到其(qi)中(zhong)有不同的样本均采用了同样的ID和密码(ma)。

表 4-3 Poison Ivy RAT上线ID和密码

通(tong)过(guo)对(dui)已捕(bu)获的(de)ZXShell RAT相(xiang)(xiang)关样(yang)本进行分析,我们统计出(chu)样(yang)本的(de)上线密(mi)(mi)码(ma)和压缩包加密(mi)(mi)密(mi)(mi)码(ma)。可(ke)(ke)以看出(chu)ZXShell样(yang)本中(zhong)也有很(hen)多采用(yong)了相(xiang)(xiang)同的(de)密(mi)(mi)码(ma),同时这些密(mi)(mi)码(ma)与表4-3(Poison Ivy RAT上线ID和密(mi)(mi)码(ma))中(zhong)的(de)密(mi)(mi)码(ma)也有一些相(xiang)(xiang)同或者相(xiang)(xiang)似,再(zai)通(tong)过(guo)域名(ming)、IP等其他信(xin)息可(ke)(ke)以认为这些样(yang)本为同一攻击组(zu)织所为。

表 4-4 ZXShell RAT上线密码和压缩配置


5、组织关联性分析

除以上样本分(fen)析中所呈现的较为直接(jie)的多起事件的关联性(xing)外,安天(tian)CERT还(hai)进行了对比分(fen)析,从(cong)代(dai)码相似性(xing)、域名使用偏好、C2的IP地址(zhi)关联性(xing)及(ji)地理(li)位置(zhi)特性(xing)等(deng)方(fang)面(mian)得出了这些载(zai)荷均来自“绿斑(ban)”攻击组织的结论。

5.1 代码相似性

在(zai)2011-2015的(de)(de)行动中(zhong),攻击组(zu)(zu)织(zhi)使(shi)用(yong)(yong)了4类远程控制程序,其中(zhong)主要使(shi)用(yong)(yong)ZXShell和Poison Ivy。在(zai)对于Poison Ivy的(de)(de)使(shi)用(yong)(yong)中(zhong),攻击组(zu)(zu)织(zhi)首先(xian)生(sheng)成(cheng)Poison Ivy 的(de)(de)ShellCode,然后对ShellCode异或加(jia)密(mi)(mi)硬编(bian)码(ma)(ma)到Loader中(zhong),在(zai)Loader投放到目(mu)标主机后解密(mi)(mi)执(zhi)行ShellCode。这种(zhong)手(shou)法与2017年(nian)所发现行动中(zhong)的(de)(de)样本完全相(xiang)同,且都(dou)是采用(yong)(yong)三次异或加(jia)密(mi)(mi),样本解密(mi)(mi)算法代码(ma)(ma)对比参见图5-1。

图 5-1 左图为2011-2015年行动中样本解密算法,右图为2017年行动样本解密算法

5.2 域名使用偏好

在2017年发现的行动中全部使用了动态域名商(共计14个),而在2011-2015年的行动中则使用了35个动态域名商。可以发现两起行动的攻击者都偏好使用动态域名,同时本次行动中有7个动态域名商与历史行动涉及的域名商相同。
另外,在此次事件中的一个域名“geiwoaaa.xxx.com”与2013年事件中的域名“givemea.xxx.com”释义相似度较高,我们猜测很可能是同一组织注册。

5.3 C2的IP地址关联性

通过对(dui)两次(ci)行(xing)(xing)(xing)动(dong)(dong)中(zhong)(zhong)C2的(de)IP地址进行(xing)(xing)(xing)关联分析,我们发现在2017年行(xing)(xing)(xing)动(dong)(dong)中(zhong)(zhong)的(de)样本的(de)C2(uswebmail163.xxx.com和l63service.xxx.com)解析到同一(yi)个IP:45.77.xxx.xxx,而(er)在2011-2015年行(xing)(xing)(xing)动(dong)(dong)中(zhong)(zhong)涉及的(de)pps.xxx.com这个域名也曾指向这个IP。

图 5-2 关联到2013年行动中的C2域名

5.4 地理位置特性

在2017年(nian)行动(dong)(dong)中(zhong)(zhong)的(de)一(yi)个域名“geiwoaaa.xxx.com”与2011-2015年(nian)行动(dong)(dong)可能(neng)存(cun)在某(mou)种关联(lian)(lian),因为(wei)该(gai)域名解析的(de)IP(114.42.XXX.XXX)地(di)理位(wei)(wei)置(zhi)与早(zao)期活动(dong)(dong)涉及(ji)的(de)地(di)理位(wei)(wei)置(zhi)相(xiang)(xiang)(xiang)同(其他IP地(di)址多为(wei)美(mei)国),这(zhei)(zhei)可能(neng)是攻(gong)击(ji)者早(zao)期测试遗留的(de),而这(zhei)(zhei)个IP与2013年(nian)行动(dong)(dong)都属于亚洲(zhou)某(mou)地(di)区(qu)电信的(de)114.42段(duan),在我们的(de)监(jian)控中(zhong)(zhong)发现2013年(nian)行动(dong)(dong)中(zhong)(zhong)C2地(di)址多为(wei)这(zhei)(zhei)个IP段(duan)内,这(zhei)(zhei)表示(shi)两(liang)起行动(dong)(dong)的(de)攻(gong)击(ji)组织可能(neng)存(cun)在密切联(lian)(lian)系(xi)。同时该(gai)地(di)区(qu)电信相(xiang)(xiang)(xiang)关网站资料显示(shi):“114.32.XXX.XXX - 114.47.XXX.XXX非固定(ding)浮(fu)动(dong)(dong)IP”,这(zhei)(zhei)说(shuo)明(ming)该(gai)段(duan)内IP地(di)址为(wei)动(dong)(dong)态分配(pei)IP,一(yi)定(ding)区(qu)域内在此电信运营商办(ban)理网络业务的(de)用(yong)户(hu)都可能(neng)被分配(pei)到该(gai)IP地(di)址,这(zhei)(zhei)表示(shi)可能(neng)两(liang)次行动(dong)(dong)的(de)攻(gong)击(ji)者所在位(wei)(wei)置(zhi)相(xiang)(xiang)(xiang)近或者采用(yong)的(de)跳板位(wei)(wei)置(zhi)相(xiang)(xiang)(xiang)近。

图 5-3 指向2011-2015年行动的C2域名

6、小结

“绿斑”攻击组织主要针对中国政府部门和航空、军事、科研等相关的机构和人员进行网络攻击,试图窃取机密文件或数据。这是一组时间跨度非常漫长的攻击行动,目前可以确定该攻击组织的活跃时间超过7年,甚至可能达到11年以上。该攻击组织主要采用的手法是鱼叉式网络钓鱼攻击,即以邮件作为攻击前导,邮件附件使用有社工技巧的格式溢出文档或伪装过EXE可执行文件,进行定向投放,该组织对开源后门程序进行了大量改造,使其符合作业需要,并绕过主机防护软件。在该组织的攻击中,罕有使用0day攻击的情况,而反复使用陈旧漏洞,但其对漏洞免杀技巧的应用是熟练的,甚至是抢先的。在侵入主机后,通过加密和动态加载等技术手段,试图达成进入目标并在目标机器内长期潜伏而不被发现的效果。这些攻击手段看起来并无华丽复杂的攻击装备组合,但其反复地重复使用,恰恰说明这种攻击是可能达成目的的。我们在此前反复强调,APT攻击组织使用相关漏洞的攻击窗口期,如果与可能被攻击目标的未进行对应漏洞修复的攻击窗口期重叠,就不是简单的漏洞修复问题,而是深入的排查和量损、止损问题。
网络入侵相对与传统空间的各种信息窃取破坏行为,无疑是一种成本更低,隐蔽性更强、更难以追踪溯源的方式。尽管“绿斑”组织不代表APT攻击的最高水准,但其威胁依然值得高度警惕。APT的核心从来不是A(高级),而是P(持续),因为P体现的是攻击方的意图和意志。面对拥有坚定的攻击意志、对高昂攻击成本的承受力、团队体系化作业的攻击组织来说,不会有“一招鲜、吃遍天”的防御秘诀,而必须建立扎实的系统安全能力。以“绿斑”攻击组织常用的攻击入口邮件为例,不仅要做好身份认证、通讯加密等工作,附件动态检测分析,邮件收发者所使用终端的安全加固和主动防御等工作也需要深入到位。对于重要的政府、军队、科研人员,更需要在公私邮件使用上、收发公私邮件的不同场景环境安全方面都有明确的规定与要求。邮件只是众多的动机入口之一,所有信息交换的入口,所有开放服务的暴露面,都有可能成为APT攻击者在漫长窥视和守候过程中,首发命中的机会。
面对具有中高能力水平且组织严密的网空威胁行为体,重要信息系统、关键信息基础设施运营者应根据网络与信息系统的国家安全、社会安全和业务安全属性,客观判断必须能够有效对抗哪些层级的网络空间威胁,并据此驱动网络空间安全防御需求。
当前,网络安全对抗已经是大国博弈和地缘安全中的常态化对抗,网络安全工作者必须“树立正确网络安全观”,直面真实的敌情想定,建立动态综合的网络安全防御体系。并以“关口前移”对网络安全防护方法的重要要求为指引,落实安全能力的重要控制点,有效解决安全能力“结合面”和“覆盖面”的问题,将网络安全防御能力深度结合信息系统“物理和环境、网络和通信、设备和计算、应用和数据”等逻辑层次,并全面覆盖信息系统的各个组成实体和全生命周期,包括桌面终端、服务器系统、通信链路、网络设备、安全设备以及供应链、物流链、信息出入乃至人员等,避免由于存在局部的安全盲区或者安全短板而导致整个网络安全防御体系的失效。重要的是,在网络安全体系建设实施的过程中,必须在投资预算和资源配备等方面予以充分保障,以确保将“关口前移”要求落到实处,在此基础上进一步建设实现有效的态势感知体系。
在未来工作中,安天将继续根据总书记的工作要求,努力实现“全天候全方位感知”、“有效防护”和“关口前移”,在实践中,不断提升网络安全能力与信息技术的“结合面”和“覆盖面”问题。更多深入参与用户的信息系统规划建设,将安全管理与防护措施落实前移至规划与建设等系统生命周期的早期阶段,将态势感知驱动的实时防护机制融入系统运行维护过程,协助客户实现常态化的威胁发现与响应处置工作,逐步实现“防患于未然”。安天将直面敌情,不断完善能力体系,协助用户应对高级网空威胁行为体的挑战。