亚博全站APP登录

苦象组织近期网络攻击活动及泄露武器分析

时间 :  2020年09月17日  来源:  安天CERT



1 概述


        2012年以来,安天针对南亚次大陆方向的网络攻击进行了持续的跟踪与分析,追踪其攻击行动、溯源其幕后团伙,多年以来持续曝光相关攻击活动,震慑印方攻击组织。安天于2016年7月发布报告;2017年12月发布报告;2019年5月发布报告;2020年1月发布报告。

        印度网络攻击组织名称纷繁复杂,主要是因为网络安全厂商对印方的组织均有各自命名,比如安天首发并命名的“白象”组织,其他厂商也称为:HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork、Chinastrats、摩诃草;卡巴斯基最早发现“响尾蛇”组织,其他厂商也称为:T-APT-04、SideWinder;ASERT首先披露的“肚脑虫”组织,其他厂商也称为:APT-C-35、DoNot Team、Lucky Elephant、SectorE02。

        本次报告涉及的攻击组织,安天在2017年“潜伏的象群”报告中曾披露过其苦酒行动,其他厂商也称为:BITTER、蔓灵花、APT-C-17、T-APT-04等,根据安天的攻击组织中文命名规范,结合其网络攻击活动和地缘政治特点,安天正式将该组织命名为“苦象”。经过长时间的观测发现,该组织近期十分活跃,目前发现多批次涉及钓鱼网站和投递载荷两类攻击活动:

        1. 攻击者注册多个域名,架设钓鱼网站,对国内重要的机构单位进行邮箱钓鱼攻击。相关钓鱼网站地址构造特点和攻击目标符合2019年曝光过的苦象组织对国内钓鱼攻击的特点。

        2. 攻击者将载荷存放于攻陷网站,通过投递快捷方式格式的攻击诱饵向目标的机器植入载荷(组织特有的.NET远控木马)。通过此前对苦象组织泄露的控制后台源码和载荷分析,我们大致还原了该组织其中一常用木马的后台控制细节。经分析比对,我们认为该攻击活动来自苦象组织。

        综上所述,安天CERT认为这一系列攻击应是苦象组织的近期攻击活动。本次系列相关攻击活动特征总结如下:

表 1-1攻击活动特征

事件要(yao)点

内容

事件(jian)概述(shu)

苦象(xiang)组织近期(qi)网络攻击(ji)活动

攻击目标

中国、巴基斯坦等(deng)

攻(gong)击(ji)手法

邮(you)箱钓鱼、投(tou)递木马、利用(yong)攻陷网站

攻击意(yi)图

窃密

攻击(ji)时间

2020年中


2 攻击活动分析


        从目前观测到的数据来看,攻击者的主要手段有钓鱼网站攻击和木马投递。

2.1 钓鱼网站

        攻击者注册多个域名,通过下设若干子域名模仿国内诸多单位的官方域名,然后架设钓鱼网站钓取目标的邮箱账号密码。此次的子域名构造(如以maill.和maiil.开头)、模仿的目标等,皆符合2019年曝光过的苦象组织对国内钓鱼攻击的特点。

图 2 1 钓鱼页面案例

        受害者输入的账号密码会被传入服务器本地的php文件,最终到达攻击者手中:

图 2-2钓鱼登录框源码

        攻击者注册域名后,会建立大量子域名仿冒不同目标网站,部分已捕获仿冒域名如下表:

表 2-1子域名仿冒

域名

模仿对(dui)象(xiang)

maiil.***.tor.org.cn.owaauthlogon.com

中华人民共(gong)和国**

maiil.****.tor.org.cn.owaauthlogon.com

中(zhong)华人民共和国****

mail.***.gov.cn.owaauthlogon.com

中华人民(min)共和国**

mail.126.com.jspsessionindex.com

126邮箱

mail.163.com.jspsessionindex.com

163邮箱

maiil.sina.com.cn.auth98260.logonindexjsp.com

新浪邮箱

maiil.*****.cn.coremail.jspsessionindex.com

*科(ke)技国(guo)际贸易有限公司

mail.********.cn.coremail.xt3.owaauthlogon.com

中国**技术(shu)国(guo)际(ji)控股有限公司

maiil.*****.cn.coremail.xt5.jspsessionindex.com

**进出口有限(xian)责任公司

mail.**********.com.coremail.xt5.jspsessionindex.com

中国**工业贸易(yi)公司

mail.****.cn.coremail.xt5.jspsessionindex.com

中(zhong)国**工业贸易有(you)限公司

login.****.com.cn.jspsessionidrtgpdjifcnikrs.logonindexjsp.com

中国**对(dui)外(wai)工程有限公司

mail.******.cn.coremail.xt5.logonindexjsp.com

**网(北京)电(dian)子商务有限公司

www.thesundayguardianlive.com.jspsessionindex.com

印度星(xing)期日卫(wei)报


2.2 投递木马

        近期苦象组织常用的执行流程有:漏洞文档+MSI程序、CHM文件+MSI程序等,此次也类似,采用LNK+ MSI程序手法。攻击者以未知手段(可能是鱼叉式钓鱼邮件、社交平台等)向目标投递一份RAR压缩包,包内包含恶意快捷方式“Income tax Savings for 2020-2021.lnk”:

图 2-3 诱饵文件


表2-2 LNK样本标签

病(bing)毒(du)名称

Trojan[LNK]/Downloader.LNK.Gen

原始文件名

Income tax Savings for 2020-2021.lnk

MD5

569D721E44E1A31A53AEAA0E514AD794

文件大小

2.03 KB (2076 bytes)

文件格(ge)式(shi)

Windows shortcut

创(chuang)建时间(jian)

2009:07:13 23:49:07+00:00

压缩包存放时间(jian)

2020:08:31 15:08:07

相(xiang)对路径

..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe

图标(biao)文件名

%ProgramFiles%\Windows Photo Viewer\PhotoAcq.dll

VT检测(ce)结(jie)果

16/59


        快捷方式被点击运行后,会执行一段Powershell命令:

        这段Powershell负责加载运行原快捷方式的Description结构值,这个值以分号填充了多个无实际作用的字符串,最终执行的静默安装远程的恶意程序MsAulis.msi:

图 2-4 样本静态解析

        MSI安装包MsAulis.msi包含木马程序MsAulis.exe,深入分析发现,MsAulis.exe属于已知的苦象组织特有.NET远控插件的最新版。

        “jg****.com”属于被攻陷网站,因目录开放,可以发现攻击者在上面挂载了许多载荷。这些载荷除了开源的Invoke-Mimikatz.ps1,也包括苦象组织已知家族的窃密、远控等插件。 其中文件lg和lg2是网络日志,经过几天监控,目前发现少量巴基斯坦疑似受控IP,未发现国内受害者。

图 2-5 沦陷网站开放目录


表 2-3 开放目录载荷功能列表

文件名

功(gong)能

lg2

新网络连(lian)接日志

css.php

用于获取winsce

Invoke-Mimikatz.ps1

开源密码获取工具Mimikatz

lg

历(li)史网络(luo)连接日志(zhi)

winess

MSAService类插件

msess

MSAService类插件

mtess

MSAService类插(cha)件(jian)

winesst

winsvc类(lei)插件(jian)

winsce.msi

打包(bao)后(hou)的winsce

winsce

远控(kong)Loader程序(xu)

MsAulis.msi

打包后的rkftl

rkftl

新版MSAService类插件

putty.php

获取putty.msi

putty.msi

打包(bao)后(hou)的官方Puttty程序(xu)

MSAServices

MSAService类插件(jian)

dlhost

audiodq类插件

logs.php

用于(yu)获取MsAulis.msi,已删除


        除了打包的快捷方式,近期也有苦象组织常用的自解压诱饵,诱饵最终向目标机器植入audiodq类木马:

图 2-6 自解压诱饵


3 泄露武器分析


3.1后台架构

        2019年苦象组织某C2服务器存在一次对后台整站的打包,并挂载于网站某公开路径下,后被情报平台爬取到,造成源码泄露:

图 3-1 泄露源码

        经过分析,发现该打包文件是苦象组织常用木马的控制后台源码,整体架构比较简单,使用“Nginx+PHP+MySQL”搭建,并属于较早的版本,该后台主要负责完成对受控机的管理和功能插件下发,后台架构大致如下:

图 3-2后台大致架构


表 3-1后台文件功能

文件

功能

index.html

疑似被清空的登录页面

index.php

登录窗口

login.php

登(deng)录验证(zheng)

auth.php

新建(jian)会(hui)话

cfg.php

数(shu)据库连接配置

functions.php

获取受控机的(de)总(zong)数(shu)、在线(xian)、离线(xian)、死亡统计

stats.php

展示受控机的总数、在(zai)线(xian)、离(li)线(xian)、死亡统计(ji)

tasks.php

插(cha)件任务管理(状态、排队、删除)

update.php

下发插件任务

deletetasks.php

删除插件任(ren)务

dwsl.php

读取serls.txt文件(jian)内容,作用未知(zhi)

accept.php

与受控(kong)机通讯(xun),记录发来的(de)数据(ju):

a=主机名,b=计(ji)算机名,c=操(cao)作系统,d=硬件IDe=任务标志

返(fan)回"Yes file"+regdl插件的大(da)小

clients.php

记录(lu)连接日志(zhi)

展(zhan)示受控机信息(SNoIPComputerUserOperating systemLast Seen

获取插件(jian)目录(lu)下的文件(jian)信息

deletesystems.php

删除(chu)受控机

error_log

报错日(ri)志(zhi)

logout.php

退出登录(lu)


        从源码整理出存放受控机信息和任务的数据库表结构(未获得数据库实例),猜测各项意义如下:

表 3-2后台数据库

已知(zhi)表名

已知字段

意(yi)义(猜(cai)测)

user

userid | hwid | ip | computer | user | os | fseen | lseen

受控机器信(xin)息

authPersons

name | password

管(guan)理员账号密(mi)码

ddos

tasksid

疑似DDOS任务

downloads

id

插件清理记录

tasks

exename | tid | taskid

下发(fa)插件任务信息

dlex

tasksid

删除插件任务信息


        通过搭建环境,并模拟一台受控机器,这套源代码的运行效果如图3-4。从整体到细节,皆符合2019年苦象组织后台被曝光事件中展现的界面和功能:

图 3-3后台源码模拟运行

图 3-4 2019年曝光的后台界面

        值得注意的是,源码中不仅泄露了攻击者的一对数据库登录凭证,还记录了攻击者一个默认时区位置:Asia/Kolkata — 加尔各答时区

图 3-5 攻击者默认时区位置


3.2 攻击插件


        目前收集到的插件超过20个,功能涵盖击键记录、文件窃密、远程控制等,其中某些远控插件参考自开源远控DarkAgent

表 3-3攻击插件

插件(jian)

开发语(yu)言

主要功能(neng)

audiodq

Visual C/C++

主(zhu)要组(zu)件:信息搜集(ji),接(jie)收指令等

igfxsrvk

Visual C/C++

键盘记录器

kill

Visual C/C++

持久化:添加注册(ce)表启动(dong)项

regdl

Visual C/C++

持久化:添加注册表启动项

rgdl

Visual C/C++

持(chi)久化:添加注册表启动项

lsap / upmp

Visual C/C++

信息/文(wen)件(jian)上传

lsapc

Visual C/C++

信息/文件上传

lsapcr

Visual C/C++

信息/文(wen)件上传

lsapip

Visual C/C++

信息/文件上传

misis

Visual C/C++

文件加密(mi)上传(chuan)

dashost / spoolvs

Visual C/C++

远(yuan)控(kong)能(neng)力:完成文件、进程等操作,通(tong)讯加密(mi)

sessionmanagers

.NET v2

远控能力:信息搜集,操作文(wen)件、进程等

MSAService7

.NET v2

远控能力:信息(xi)搜(sou)集(ji),操作文(wen)件(jian)、进程(cheng)等

MSAServices

.NET v2

远控能力:信息搜集,操作文件(jian)、进程等

MSAServicet

.NET v4

远(yuan)控能(neng)力:信息(xi)搜(sou)集,操作文件、进(jin)程等

onedriveManager

.NET v4

远控能力:信息搜集,操作文(wen)件、进程等

MSAService

.NET v4

远(yuan)控能力:信息搜集,操作文件、进(jin)程等

winsvc

Visual C/C++

远控能力:信息搜(sou)集,操作(zuo)文件、进程等

PuTTY

Visual C/C++

官方(fang)putty程序

sht

Visual C/C++

执行命令

sleep

Visual C/C++

关机


3.3 后台伪装


        今年起,攻击活动的后台登录页面频繁变换模样。例如,某次后台打开后看似仅一张图片,实际通过鼠标点击中心的位置,会发现隐藏的账号密码输入框以及登录按钮:

图 3-6 后台登录页案例

        或者背景是Windows桌面图,点击“Continue to Login”进入实际登录页面:

图 3-7 后台登录页案例

        或者无伪装,背景是风景画,输入凭证后登录:

图 3-8 后台登录页案例


4 威胁框架视角的攻击映射图谱


        本次系列攻击活动共涉及ATT&CK框架中的8个阶段18个技术点,具体行为描述如下表:

表 4-1近期苦象组织攻击活动的技术行为描述表

ATT&CK阶(jie)段(duan)

具(ju)体行(xing)为

初始访问

猜测攻(gong)击者通(tong)过(guo)鱼叉式邮件投(tou)递(di)木马或钓(diao)鱼链接(jie)

执行

利用(yong)命令(ling)和(he)脚本解(jie)释(shi)器(qi)、诱导用(yong)户执(zhi)行

持(chi)久化

利用注册表启动项

凭证(zheng)访问

利用Hook记录击(ji)键、操作系统凭证(zheng)转储

发现

发现特殊文件和目录,发现安全软(ruan)件、系统信息和用户

收集(ji)

收集剪贴板数据

命(ming)令与(yu)控制

使用自定义加密协议、数据回传前通过Base64编码、使用HTTP协议和不常用端口,使用远控(kong)

数据渗出(chu)

数据传输(shu)前经(jing)自定义算(suan)法加密


        将涉及到的威胁行为技术点映射到ATT&CK框架如下图所示:

图 4-1 苦象组织活动映射到ATT&CK框架


5 防范建议


        安天全线产品可以有效对抗上述威胁:

        安天智甲终端防御系统,通过安天AVL SDK反病毒引擎有效查杀相关威胁载荷,并通过黑白双控机制,全面强化服务器、关键工作站、SCADA等关键节点安全环境;通过内核级主防有效拦截邮件、浏览器、内存注射等攻击入口,以及修改MBR、修改注册表、建立内核模块、创建服务等持久化行为;通过威胁情报拦截主机对钓鱼站点的访问和实现既往攻击追溯;并通过分布式主机防火墙有效感知、拦截各种横向移动行为。

        安天铸岳资产安全运维平台通过大规模资产快速补丁分发和统一策略加固,减少系统暴露面,有效降低攻击成功率。

        安天捕风蜜罐可以有效捕获发现主动攻击探测和横向移动,并可以与引流设备配合使用。

        安天探海威胁监测系统可以在流量侧检测攻击活动和载荷投递,并捕获未知载荷与可疑网址。

        安天追影威胁分析系统,通过安天下一代检测引擎和沙箱结合,实现深度动静态分析,有效实现细粒度揭示攻击行为和威胁情报生产。

        安天威胁情报推送服务,为订阅客户提供按照相关标准或客户自定义格式的情报推送。主管部门和相关职能部门客户,可通过安天ATID威胁情报门户账号查询更多攻击关联信息,有效支撑威胁的关联分析与溯源。


参考链接


        [1] 安天:白象的舞步——来自南亚次大陆的网络攻击

       

        [2] 安天:潜伏的象群—来自印方的系列网络攻击组织和行动

       

        [3] 安天:响尾蛇(SideWinder)APT组织针对南亚国家的定向攻击事件

       

        [4] 安天:“折纸”行动:针对南亚多国军政机构的网络攻击