摩訶草APT組織大揭秘

責(zé)任編輯:editor005

2016-08-08 15:15:52

摘自:黑客與極客

其中主要以發(fā)送二進(jìn)制可執(zhí)行程序?yàn)橹?,這類程序主要偽造成MP4格式的視頻文件,下表示相關(guān)惡意文件的文件名:相關(guān)釣魚(yú)網(wǎng)站還是通過(guò)載荷投遞中的魚(yú)叉郵件(惡意網(wǎng)址)、即時(shí)通訊工具、社交網(wǎng)絡(luò)等方法進(jìn)行定向傳播。

披露申明

本報(bào)告中出現(xiàn)的IOC(Indicators of Compromise,威脅指標(biāo)),進(jìn)一步包括涉及到相關(guān)攻擊事件的樣本文件MD5等哈希值、域名、IP、URL、郵箱等威脅情報(bào)信息,由于其相關(guān)信息的敏感性和特殊性,所以在本報(bào)告中暫不對(duì)外披露,在報(bào)告中呈現(xiàn)的相關(guān)內(nèi)容(文字、圖片等)均通過(guò)打碼隱藏處理。

*若您對(duì)本報(bào)告的內(nèi)容感興趣,需要了解報(bào)告相關(guān)細(xì)節(jié)或相關(guān)IOC,可與360追日?qǐng)F(tuán)隊(duì)通過(guò)電子郵件進(jìn)行聯(lián)系,另外我們目前只提供電子郵件聯(lián)系方式:360zhuiri@#,敬請(qǐng)諒解!

一、 概述

摩訶草組織(APT-C-09),又稱HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一個(gè)來(lái)自于南亞地區(qū)的境外APT組織,該組織已持續(xù)活躍了7年。摩訶草組織最早由Norman安全公司于2013年曝光,隨后又有其他安全廠商持續(xù)追蹤并披露該組織的最新活動(dòng),但該組織并未由于相關(guān)攻擊行動(dòng)曝光而停止對(duì)相關(guān)目標(biāo)的攻擊,相反從2015年開(kāi)始更加活躍。

摩訶草組織主要針對(duì)中國(guó)、巴基斯坦等亞洲地區(qū)國(guó)家進(jìn)行網(wǎng)絡(luò)間諜活動(dòng),其中以竊取敏感信息為主。相關(guān)攻擊活動(dòng)最早可以追溯到2009年11月,至今還非常活躍。在針對(duì)中國(guó)地區(qū)的攻擊中,該組織主要針對(duì)政府機(jī)構(gòu)、科研教育領(lǐng)域進(jìn)行攻擊,其中以科研教育領(lǐng)域?yàn)橹鳌?/p>

從2009年至今,該組織針對(duì)不同國(guó)家和領(lǐng)域至少發(fā)動(dòng)了3波攻擊行動(dòng)和1次疑似攻擊行動(dòng)。整個(gè)攻擊過(guò)程使用了大量系統(tǒng)漏洞,其中至少包括一次0day漏洞攻擊;該組織所采用的惡意代碼非常繁雜。載荷投遞的方式相對(duì)傳統(tǒng),主要是以魚(yú)叉郵件進(jìn)行惡意代碼的傳播,另外部分行動(dòng)會(huì)采用少量水坑方式進(jìn)行攻擊;值得關(guān)注的是,在最近一次攻擊行動(dòng)中,出現(xiàn)了基于即時(shí)通訊工具和社交網(wǎng)絡(luò)的惡意代碼投遞方式,進(jìn)一步還會(huì)使用釣魚(yú)網(wǎng)站進(jìn)行社會(huì)工程學(xué)攻擊。在攻擊目標(biāo)的選擇上,該組織主要針對(duì)Windows系統(tǒng)進(jìn)行攻擊,同時(shí)我們也發(fā)現(xiàn)了存在針對(duì)Mac OS X系統(tǒng)的攻擊,從2015年開(kāi)始,甚至出現(xiàn)了針對(duì)Android OS移動(dòng)設(shè)備的攻擊。

由于對(duì)摩訶草組織的攻擊行動(dòng)不是第一次披露,通過(guò)針對(duì)相應(yīng)TTPs(Tactics, Techniques and Procedures,戰(zhàn)術(shù)、技術(shù)與步驟)的分析,結(jié)合以往跟進(jìn)或披露的各類APT組織或攻擊行動(dòng),我們認(rèn)為大部分APT組織的相關(guān)攻擊活動(dòng)是不會(huì)停歇的,即使被某些報(bào)告暫時(shí)披露,導(dǎo)致過(guò)去的手段失效,但是只要被攻擊目標(biāo)存在價(jià)值,攻擊組織的行動(dòng)依然持續(xù);存在部分情況,攻擊已達(dá)到最初預(yù)期,攻擊組織選擇暫時(shí)的蟄伏,但最終的目的也都是為了下一次攻擊養(yǎng)精蓄銳,這也是APT本身特性之一。其次,APT組織是否會(huì)對(duì)一個(gè)目標(biāo)發(fā)動(dòng)攻擊,主要取決于被攻擊目標(biāo)的價(jià)值,而不在于被攻擊目標(biāo)本身的安全防護(hù)強(qiáng)弱程度,被攻擊目標(biāo)本身的強(qiáng)弱只是決定了攻擊組織所需的成本,而大多數(shù)APT組織會(huì)為了達(dá)到其意圖,幾乎不計(jì)成本(具有國(guó)家背景的攻擊組織所投入的攻擊成本常常超出我們的想象)。

分析過(guò)去一年中發(fā)生的APT攻擊,我們還發(fā)現(xiàn)中國(guó)一直都是APT攻擊的主要受害國(guó),其中相關(guān)攻擊組織主要關(guān)注科研教育、政府機(jī)構(gòu)領(lǐng)域,以竊取數(shù)據(jù)為目的。這和中國(guó)目前所處的經(jīng)濟(jì)與政治環(huán)境息息相關(guān)。同時(shí),導(dǎo)致針對(duì)中國(guó)目標(biāo)的攻擊頻頻得手,除了被攻擊目標(biāo)本身防御措施薄弱以外,針對(duì)APT等高級(jí)威脅,被攻擊目標(biāo)本身缺乏積極主動(dòng)的響應(yīng),即使在報(bào)告披露之后,甚至得知成為受害者之后,依然無(wú)法引起相應(yīng)的重視,導(dǎo)致對(duì)自身檢查和修復(fù)不足,常常舊傷未愈,又添新恨。

同時(shí),中國(guó)網(wǎng)絡(luò)安全行業(yè)依然缺乏能力型廠商的生存空間,大量的建設(shè)還是圍繞過(guò)去的規(guī)劃思路進(jìn)行,這就導(dǎo)致了防護(hù)措施與高級(jí)威脅之間的脫節(jié),從而給APT攻擊造成了大量可乘之機(jī)。十三五規(guī)劃的第一年,只有我們真正從安全規(guī)劃上改變思路,積極引入能力型廠商,才能形成能力型安全廠商與客戶之間的協(xié)同聯(lián)動(dòng),打通監(jiān)控發(fā)現(xiàn)到檢測(cè)防御的事件響應(yīng)各個(gè)環(huán)節(jié),形成良性的閉合循環(huán)。

 

公開(kāi)時(shí)間 報(bào)告名稱 公司
2013年5月16 OPERATION HANGOVER-Unveiling an Indian Cyberattack Infrastructure Norman
2013年5月20 Operation Hangover: Q&A on Attacks Symantec
2013年5月21 Big Hangover F-Secure
2013年6月5 Operation Hangover: more links to the Oslo Freedom Forum incident ESET
2013年6月7 Rare Glimpse into a Real-Life Command-and-Control Server Crowdstrike
2013年11月5 Microsoft Office Zeroday used to attack Pakistani targets AlienVault
2013年11月5 CVE-2013-3906: a graphics vulnerability exploited through Word documents Microsoft
2013年11月6 Updates and Mitigation to Microsoft Office Zero-Day Threat (CVE-2013-3906) McAfee
2013年11月6 VICEROY TIGER Delivers New Zero-Day Exploit Crowdstrike
2013年11月7 THE DUAL USE EXPLOIT: CVE-2013-3906 USED IN BOTH TARGETED ATTACKS AND CRIMEWARE CAMPAIGNS [ FireEye
2014年6月10 Snake In The Grass: Python-based Malware Used For Targeted Attacks Blue Coat
2016年7月7 Unveiling Patchwork Cymmetria
201678 The Dropping Elephant – aggressive cyber-espionage in the Asian region Kaspersky
2016年7月10 白象的舞步——來(lái)自南亞次大陸的網(wǎng)絡(luò)攻擊 安天
2016年7月25 Patchwork cyberespionage group expands targets from governments to wide range of industries Symantec

 

二、 摩訶草組織的四次攻擊行動(dòng)

摩訶草組織相關(guān)重點(diǎn)事件時(shí)間軸

注:

1、 圓形藍(lán)色里程碑:相關(guān)典型后門首次出現(xiàn)時(shí)間

2、 正方形里程碑:相關(guān)漏洞(CVE編號(hào))首次出現(xiàn)時(shí)間

黑色:發(fā)起相關(guān)攻擊時(shí),漏洞為已知漏洞

橙色:發(fā)起相關(guān)攻擊時(shí),漏洞為0day漏洞

3、 菱形深灰色里程碑:載荷投遞首次出現(xiàn)的時(shí)間

四波攻擊行動(dòng)

第一次攻擊行動(dòng):Norman安全公司于2013年曝光的Hangover組織,我們發(fā)現(xiàn)相關(guān)樣本最早可以追溯到2009年11月,該組織在2012年尤為活躍,相關(guān)惡意代碼和攻擊目標(biāo)的數(shù)量有不斷增加。該攻擊主要針對(duì)巴基斯坦,也有針對(duì)中國(guó)的攻擊,但相關(guān)攻擊事件較少。除了針對(duì)windows操作系統(tǒng)的攻擊,在2012年針對(duì)Mac OS X操作系統(tǒng)的攻擊也出現(xiàn)了。在第一次攻擊行動(dòng)中就已經(jīng)開(kāi)始利用漏洞進(jìn)行攻擊,但暫時(shí)沒(méi)有發(fā)現(xiàn)該組織會(huì)利用0day漏洞。

第二次攻擊行動(dòng):摩訶草組織在2013年10月下旬開(kāi)始針對(duì)巴基斯坦的一次集中攻擊,主要針對(duì)巴基斯坦情報(bào)機(jī)構(gòu)或軍事相關(guān)目標(biāo)。本次攻擊行動(dòng)具有代表性的就是攻擊中采用了一次利用0day漏洞(CVE-2013-3906)的攻擊,該漏洞是針對(duì)微軟Office產(chǎn)品,隨后微軟發(fā)布的漏洞預(yù)警指出該漏洞主要和TIFF圖像解析有關(guān)。

第三次攻擊行動(dòng):第二次小范圍集中攻擊之后,2013年12月底至2014年初,開(kāi)始了新一輪攻擊,相關(guān)目標(biāo)主要還是針對(duì)巴基斯坦軍事領(lǐng)域相關(guān)目標(biāo),本次攻擊行動(dòng)中除了C&C服務(wù)器等從網(wǎng)絡(luò)行為可以聯(lián)系上第一次攻擊行動(dòng)以外,從惡意代碼本身代碼同源性已經(jīng)很難關(guān)聯(lián)到第一次攻擊行動(dòng)了。這主要是本次攻擊行動(dòng)中的惡意代碼大部分是用Python編寫的腳本,然后使用PyInstaller 和 Py2Exe兩種方式進(jìn)行打包。

第四次(疑似)攻擊行動(dòng):本次攻擊行動(dòng)也安全廠商被稱為“Patchwork”或“The Dropping Elephant”,從2015年初開(kāi)始持續(xù)至今的攻擊,其中從2015年8月開(kāi)始至2016年6月攻擊非常頻繁。本次行動(dòng)的攻擊目標(biāo)主要是中國(guó)地區(qū),期間使用了大量文檔型漏洞,以CVE-2014-4114使用最多。我們主要通過(guò)本次攻擊行動(dòng)中C&C的SOA關(guān)聯(lián)到第一次攻擊行動(dòng)中相關(guān)C&C歷史域名注冊(cè)人,由于SOA本身可以被DNS管理者修改,所以存在被刻意修改的可能性,但從我們的分析推斷來(lái)看這種可能性很低,另外結(jié)合相關(guān)行動(dòng)意圖和幕后組織的發(fā)起方,我們更傾向本次攻擊行動(dòng)屬于摩訶草組織的最新一次攻擊行動(dòng)。在本報(bào)告后續(xù)章節(jié)的研究分析,會(huì)將本次攻擊行動(dòng)作為摩訶草組織的第四次攻擊行動(dòng)進(jìn)行描述。

三、 中國(guó)受影響情況

本章主要基于摩訶草組織近期的第四次攻擊行動(dòng),另外會(huì)涉及少量第三次攻擊行動(dòng)。進(jìn)一步對(duì)相關(guān)攻擊行動(dòng)所針對(duì)目標(biāo)涉及的地域和行業(yè)進(jìn)行相關(guān)統(tǒng)計(jì)分析,時(shí)間范圍選擇2015年7月1日至2016年6月30日。

1. 地域分布

國(guó)內(nèi)用戶受影響情況(2015年7月-2016年6月)

國(guó)內(nèi)受影響量排名前三的省市是:北京、廣東、福建,其中北京地區(qū)是主要攻擊目標(biāo),在西藏、寧夏和貴州這三個(gè)省市自治區(qū)暫未發(fā)現(xiàn)受影響的用戶。

注:本報(bào)告中用戶數(shù)量主要指追日?qǐng)F(tuán)隊(duì)監(jiān)控到的計(jì)算機(jī)終端的數(shù)量

2. 行業(yè)分布

主要針對(duì)的行業(yè)分布

與第一次攻擊行動(dòng)類似,第四次攻擊行動(dòng)在針對(duì)中國(guó)的攻擊中,科研教育領(lǐng)域依然是摩訶草組織重點(diǎn)針對(duì)的目標(biāo)。

從第一次攻擊行動(dòng)開(kāi)始軍事領(lǐng)域一直是摩訶草組織關(guān)注的重點(diǎn),期間主要是針對(duì)巴基斯坦地區(qū),很少針對(duì)中國(guó)地區(qū),但從2015年第三方和第四次攻擊行動(dòng)的開(kāi)始,這一趨勢(shì)逐漸改變,針對(duì)中國(guó)地區(qū)的軍事領(lǐng)域的相關(guān)攻擊不斷增加。

四、 載荷投遞

關(guān)于針對(duì)中國(guó)的APT攻擊中常使用的載荷投遞方式,和主流的載荷投遞方式的介紹,我們?cè)凇?015年中國(guó)高級(jí)持續(xù)性威脅(APT)研究報(bào)告》 第四章中也詳細(xì)介紹,讀者可以結(jié)合參看相關(guān)報(bào)告。

1. 魚(yú)叉郵件

魚(yú)叉郵件主要的類型

注:上圖中斜體字內(nèi)容是摩訶草組織較少或從未使用的方式。

攜帶惡意附件

摩訶草組織最常用的是攜帶二進(jìn)制格式的可執(zhí)行惡意程序,相關(guān)惡意可執(zhí)行程序多為“.exe”和“.scr”擴(kuò)展名。惡意代碼文件圖標(biāo)一般為偽裝文檔、圖片圖片,進(jìn)一步一般這類可執(zhí)行程序均進(jìn)行壓縮,以壓縮包形態(tài)發(fā)送。壓縮包和包內(nèi)惡意代碼文件名一般是針對(duì)目標(biāo)進(jìn)行精心構(gòu)造的文件名,相關(guān)文件名一般與郵件主題、正文內(nèi)容和惡意代碼釋放出的誘餌文檔內(nèi)容相符。

另外還頻繁使用文檔型漏洞,文檔型漏洞文件主要作為郵件附件進(jìn)行針對(duì)性投放。相關(guān)文檔漏洞主要是針對(duì)微軟Office系列,主要采用已知漏洞進(jìn)行攻擊,另外也使用過(guò)0day漏洞。關(guān)于摩訶草組織所使用的漏洞我們?cè)谥笳鹿?jié)會(huì)有詳細(xì)介紹。

惡意網(wǎng)址

一般APT攻擊中魚(yú)叉郵件使用惡意網(wǎng)址(或惡意URL)相比攜帶惡意附件還是少很多。但是在摩訶草組織的第四次攻擊行動(dòng)中則為主流的方法。

通常惡意網(wǎng)址會(huì)出現(xiàn)在郵件正文中(以超鏈接或非超鏈接形態(tài)出現(xiàn)),或郵件附件內(nèi)容中。后面這種情況較少,一般都是在正文中出現(xiàn)。惡意網(wǎng)址最終指向的頁(yè)面一般分為幾種

:釣魚(yú)頁(yè)面、漏洞頁(yè)面(瀏覽器漏洞、文檔漏洞)和二進(jìn)制可執(zhí)行程序。釣魚(yú)頁(yè)面指的是不包含最終指向二進(jìn)制可執(zhí)行程序的惡意代碼(基本為腳本),一般是通過(guò)偽造的頁(yè)面信息,誘導(dǎo)目標(biāo)將相關(guān)敏感信息(用戶名、密碼等)通過(guò)頁(yè)面竊取。

在摩訶草組織發(fā)動(dòng)的攻擊行動(dòng)中主要是惡意網(wǎng)址以超鏈接形態(tài)存在與郵件正文中,最終是指向一個(gè)文檔型漏洞文件,相關(guān)文檔型漏洞文件被放置在釣魚(yú)網(wǎng)站(攻擊者依照目標(biāo)所關(guān)注的網(wǎng)站,進(jìn)行偽造的惡意網(wǎng)站)。攻擊者采用這種載荷投遞的方式,可以有效地繞過(guò)以檢測(cè)郵件附件為主的防御體系。

2. 即時(shí)通訊工具

在APT攻擊中利用即時(shí)通訊工具進(jìn)行載荷投遞的情況比較少,主要是由于基于即時(shí)通訊工具的攻擊成本遠(yuǎn)大于使用郵件。關(guān)于使用郵件和即時(shí)通訊工具,我們進(jìn)行了一個(gè)對(duì)比,具體如下表所示:

郵件和即時(shí)通訊工具相關(guān)對(duì)比

首先郵件一般是以辦公為主,而即時(shí)通訊工具(如:QQ,之后涉及到相關(guān)都以QQ為例)除了企業(yè)級(jí)產(chǎn)品,其他以個(gè)人用戶為主的產(chǎn)品通常都是以個(gè)人用途為主。

從上表中“獲得目標(biāo)聯(lián)系方式難度”這項(xiàng)來(lái)看,電子郵箱地址,尤其是對(duì)外辦公聯(lián)系的地址一般都會(huì)公布在互聯(lián)網(wǎng)上,而QQ號(hào)碼,尤其是以個(gè)人名義的QQ號(hào)碼很少會(huì)公布。進(jìn)一步攻擊者已經(jīng)獲得目標(biāo)QQ號(hào),在“投放實(shí)施難度”,需要攻擊者具備這些條件:首先,在偵查跟蹤環(huán)節(jié)已經(jīng)對(duì)目標(biāo)積累了一定的了解,包括目標(biāo)基本信息、關(guān)注的領(lǐng)域、興趣愛(ài)好等;之后,就是需要與目標(biāo)建立起聯(lián)系,一般是攻擊者主動(dòng)添加目標(biāo)QQ號(hào),或者是被動(dòng)等待目標(biāo)添加,無(wú)論是主動(dòng)還是被動(dòng)方式建立聯(lián)系,都需要大量社會(huì)工程學(xué)與目標(biāo)之間進(jìn)行交互。雖然成本較高,但一旦與目標(biāo)之間建立起聯(lián)系,并且取得目標(biāo)的信任,則之后攻擊的成功率會(huì)較高,而且時(shí)效性高。

基于部分客戶反饋提供的相關(guān)攻擊信息,我們發(fā)現(xiàn)摩訶草組織在第四次攻擊行動(dòng)中,從2015年8月底持續(xù)到2016年6月,大量使用即時(shí)通訊工具(主要是騰訊的QQ聊天工具)向目標(biāo)發(fā)送木馬文件和文檔型漏洞文件。其中主要以發(fā)送二進(jìn)制可執(zhí)行程序?yàn)橹?,這類程序主要偽造成MP4格式的視頻文件,下表示相關(guān)惡意文件的文件名:

部分誘餌文件名稱(偽裝MP4視頻文件)

我們發(fā)現(xiàn)同一個(gè)惡意誘餌文件還會(huì)針對(duì)不同的目標(biāo)進(jìn)行多次投放,進(jìn)一步我們也觀測(cè)到同一目標(biāo)在短期內(nèi)也會(huì)被不同的木馬連續(xù)攻擊,如下圖所示,所使用的木馬類型都屬于同類不同的變種,我們推測(cè)出現(xiàn)這種情況是由于攻擊者對(duì)目標(biāo)失去控制權(quán)限后,進(jìn)一步重新獲得權(quán)限,這也能看出目標(biāo)的重要程度。

針對(duì)同一目標(biāo)的三次攻擊(基于即時(shí)通訊工具)

3. 社交網(wǎng)絡(luò)

本月初我們披露了一起名為人面獅(APT-C-15) 的攻擊行動(dòng),此次行動(dòng)是活躍在中東地區(qū)的網(wǎng)絡(luò)間諜活動(dòng)。期間我們介紹了利用社交網(wǎng)絡(luò)(Facebook)進(jìn)行水坑攻擊的事例。利用社交網(wǎng)絡(luò)進(jìn)行載荷投遞的攻擊方式并不常見(jiàn),在摩訶草組織的攻擊行動(dòng)中也采用了類似方式。從2015年3月開(kāi)始我們就陸續(xù)觀察到利用社交網(wǎng)絡(luò)(國(guó)內(nèi)某社交網(wǎng)站)進(jìn)行載荷投遞,但其頻次是遠(yuǎn)低于利用魚(yú)叉郵件和即時(shí)通訊工具。下圖是攻擊者所關(guān)注的兩個(gè)目標(biāo)頁(yè)面。

目標(biāo)社交網(wǎng)絡(luò)帳號(hào)頁(yè)面1

目標(biāo)社交網(wǎng)絡(luò)帳號(hào)頁(yè)面2

利用社交網(wǎng)絡(luò)進(jìn)行載荷投遞一般是分為:SNS蠕蟲(chóng)、放置二進(jìn)制格式可執(zhí)行惡意程序或文檔型漏洞文件,利用SNS蠕蟲(chóng)比較少見(jiàn),主要是需要依賴第三方社交網(wǎng)絡(luò)平臺(tái)自身漏洞,這對(duì)攻擊成本有較高要求。最常見(jiàn)的就是放置二進(jìn)制可執(zhí)行程序或文檔型漏洞文件,一般是放置文件或惡意鏈接地址,具體投遞可能會(huì)直接給目標(biāo)用戶留言、發(fā)信息等,或者放置到目標(biāo)所關(guān)注的其他社交賬號(hào)的頁(yè)面上,后者就是人面獅基于Facebook進(jìn)行水坑攻擊的方式。

4. 水坑攻擊

APT攻擊中主流的水坑攻擊主要分為以下兩種:

第一種:被攻擊目標(biāo)關(guān)注A網(wǎng)站,攻擊者將A網(wǎng)站攻陷,并植入惡意代碼(一般為漏洞腳本文件,俗稱掛馬),當(dāng)目標(biāo)訪問(wèn)被攻陷的A網(wǎng)站并瀏覽相關(guān)頁(yè)面時(shí),當(dāng)目標(biāo)環(huán)境相關(guān)應(yīng)用觸發(fā)漏洞則有可能被植入惡意代碼。

第二種:被攻擊目標(biāo)關(guān)注A網(wǎng)站,攻擊者將A網(wǎng)站攻陷,并將A網(wǎng)站上一些可信應(yīng)用或鏈接替換為攻擊者所持有的惡意下載鏈接,當(dāng)目標(biāo)訪問(wèn)被攻陷的A網(wǎng)站并將惡意下載鏈接的文件下載并執(zhí)行,則被植入惡意代碼。這種攻擊的典型案例是2014年公開(kāi)Havex木馬 ,也被稱作蜻蜓(Dragonfly)和活力熊(Energetic Bear)和我們?cè)?015年5月末發(fā)布的海蓮花(OceanLotus)APT組織 。

這兩種水坑攻擊的共性是攻擊者需要獲得被攻擊目標(biāo)所關(guān)注網(wǎng)站的修改權(quán)限。在摩訶草組織的相關(guān)攻擊行動(dòng)中,幾乎很少采用以上者兩種“標(biāo)準(zhǔn)”的水坑攻擊。期間類似水坑攻擊,如魚(yú)叉郵件正文中嵌入惡意網(wǎng)址(釣魚(yú)網(wǎng)站)或基于社交網(wǎng)絡(luò)的攻擊。

另外在Norman安全公司于2013年曝光的Hangover報(bào)告中,披露的利用Internet Explorer漏洞(CVE-2012-4792)和Java漏洞(CVE-2012-0422),這兩個(gè)漏洞主要出現(xiàn)在水坑攻擊中。

五、 釣魚(yú)網(wǎng)站

1. 攻擊描述

摩訶草組織除了對(duì)目標(biāo)用戶進(jìn)行基于二進(jìn)制可執(zhí)行程序的攻擊以外,還會(huì)對(duì)目標(biāo)用戶進(jìn)行傳統(tǒng)的釣魚(yú)網(wǎng)站攻擊。

釣魚(yú)網(wǎng)站一般偽裝成網(wǎng)易郵箱網(wǎng)站,誘騙用戶在釣魚(yú)頁(yè)面輸入用戶名和密碼,來(lái)達(dá)到竊取目標(biāo)用戶賬號(hào)信息的目的。這種方法沒(méi)有利用一般的二進(jìn)制木馬或漏洞程序,而是完全通過(guò)社會(huì)工程學(xué)的方法進(jìn)行攻擊。

相關(guān)釣魚(yú)網(wǎng)站還是通過(guò)載荷投遞中的魚(yú)叉郵件(惡意網(wǎng)址)、即時(shí)通訊工具、社交網(wǎng)絡(luò)等方法進(jìn)行定向傳播。

相關(guān)釣魚(yú)網(wǎng)站列表

攻擊者對(duì)網(wǎng)易郵箱網(wǎng)站頁(yè)面進(jìn)行了完全的拷貝復(fù)制,以此來(lái)達(dá)到以假亂真,最終只是在登錄驗(yàn)證的環(huán)節(jié)進(jìn)行了替換,將原有地址替換為指向攻擊者所持有的這個(gè)IP:**.***.**.242。

釣魚(yú)網(wǎng)站回傳目標(biāo)用戶賬號(hào)信息源碼

2. 典型案例

案例1:*******web.com

釣魚(yú)頁(yè)面1

釣魚(yú)頁(yè)面1(源碼)

案例2:*******ina.info

釣魚(yú)頁(yè)面2

釣魚(yú)頁(yè)面2(源碼)

六、 漏洞利用

1. 0day漏洞(CVE-2013-3906)

背景

在第二次攻擊行動(dòng)中,針對(duì)巴基斯坦的攻擊摩訶草組織使用了該漏洞,該漏洞在當(dāng)時(shí)還是0day漏洞,從捕獲的攻擊事件來(lái)看最早使用該漏洞是在2013年10月23日,直到11月5日才有相關(guān)安全機(jī)構(gòu)發(fā)布研究報(bào)告,微軟給出安全公告。這也直接證明了該組織是具備持有0day漏洞的能力。該漏洞在其他APT組織中也使用廣泛,如APT-C-05、APT-C-06、APT-C-17 等組織都使用過(guò)該漏洞,但使用時(shí)已經(jīng)不是0day了。

漏洞相關(guān)基本信息

分析

CVE-2013-3906是ogl.dll模塊中在處理TIFF文件時(shí)存在一個(gè)整數(shù)溢出漏洞,精心構(gòu)造數(shù)據(jù)會(huì)導(dǎo)致代碼分配一塊大小為0的內(nèi)存,卻像其中寫入01484大小的數(shù)據(jù),最終導(dǎo)致覆蓋堆中對(duì)象虛表,結(jié)合ActiveX控件進(jìn)行堆噴射攻擊,完成最終利用。

往大小為0的堆拷貝數(shù)據(jù)

調(diào)用棧

拷貝源數(shù)據(jù)

拷貝源數(shù)據(jù)對(duì)于樣本中的內(nèi)容

拷貝目的地堆內(nèi)存大小為0

拷貝源數(shù)據(jù)堆內(nèi)存大小01484

2. 已知漏洞

摩訶草組織發(fā)動(dòng)的每次攻擊行動(dòng)中都會(huì)頻繁的使用漏洞進(jìn)行攻擊,其中大多數(shù)情況還是使用已知漏洞(或稱1day或Nday漏洞),也就是受影響廠商已經(jīng)知道相關(guān)漏洞并發(fā)布更新補(bǔ)丁或者新版本產(chǎn)品代替。

在相關(guān)攻擊行動(dòng)中,該組織更傾向使用文檔型漏洞,這往往需要和載荷投遞方式進(jìn)行配合。另外也會(huì)涉及到瀏覽器等適合水坑攻擊的漏洞,我們?cè)?ldquo;第四章載荷投遞”中就曾提及Internet Explorer漏洞(CVE-2012-4792)和Java漏洞(CVE-2012-0422)這兩個(gè)漏洞的利用。

以文檔型漏洞為主

下表是相關(guān)文檔型漏洞列表,主要針對(duì)Microsoft Word和PowerPoint。其中以CVE-2014-4114在第四次攻擊行動(dòng)中使用最為頻繁。

相關(guān)漏洞列表

CVE-2014-4114

背景

CVE-2014-4114漏洞是iSIGHT公司 在2014年10月14日發(fā)布相關(guān)報(bào)告,報(bào)告其中提到一個(gè)0day漏洞(CVE-2014-4114)用于俄羅斯相關(guān)主要針對(duì)北約、歐盟、電信和能源相關(guān)領(lǐng)域的網(wǎng)絡(luò)間諜活動(dòng)。微軟也是在10月14日發(fā)布相關(guān)安全公告。

而CVE-2014-6352是可以認(rèn)為繞過(guò)CVE-2014-4114補(bǔ)丁的漏洞,微軟之前的修補(bǔ)方案首先在生成Inf和exe文件后添加MakeFileUnsafe調(diào)用,來(lái)設(shè)置文件Zone信息,這樣隨后在漏洞執(zhí)行inf安裝時(shí),會(huì)有一個(gè)安全提示。而CVE-2014-6352漏洞樣本拋棄了使用inf來(lái)安裝exe,轉(zhuǎn)而直接執(zhí)行exe。因?yàn)閤p以上系統(tǒng)可執(zhí)行文件的右鍵菜單第二項(xiàng)是以管理員權(quán)限執(zhí)行,這樣導(dǎo)致如果用戶關(guān)閉了uac會(huì)導(dǎo)致沒(méi)有任何安全提醒。所以微軟6352的補(bǔ)丁是在調(diào)用右鍵菜單添加一個(gè)安全提示彈窗。

 

漏洞編號(hào) CVE-2014-4114
說(shuō)明 Windows OLE 中存在一個(gè)漏洞,如果用戶打開(kāi)包含特制 OLE 對(duì)象的文件,則該漏洞可能允許遠(yuǎn)程執(zhí)行代碼。成功利用此漏洞的攻擊者可以獲得與登錄用戶相同的用戶權(quán)限。如果當(dāng)前用戶使用管理用戶權(quán)限登錄,則攻擊者可隨后安裝程序;查看、更改或刪除數(shù)據(jù);或者創(chuàng)建擁有完全用戶權(quán)限的新帳戶。那些帳戶被配置為擁有較少用戶權(quán)限的用戶比具有管理用戶權(quán)限的用戶受到的影響要小。
公布時(shí)間 2014年10月14日
參考鏈接 https://technet.microsoft.com/zh-cn/library/security/ms14-060.aspx
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4114

 

 

漏洞編號(hào) CVE-2014-6352
說(shuō)明 在用戶下載或接收,然后打開(kāi)經(jīng)特殊設(shè)計(jì)的包含 OLE 對(duì)象的 Microsoft Office 文件時(shí),會(huì)導(dǎo)致當(dāng)前用戶上下文中的遠(yuǎn)程執(zhí)行代碼漏洞。Microsoft 最初通過(guò)協(xié)調(diào)漏洞披露渠道了解到有關(guān)此漏洞的信息。此漏洞最初在 Microsoft 安全通報(bào) 3010060 中進(jìn)行了說(shuō)明。Microsoft 獲悉嘗試使用此漏洞的有限攻擊。此更新通過(guò)修改在訪問(wèn) OLE 對(duì)象時(shí)受影響的操作系統(tǒng)驗(yàn)證內(nèi)存使用的方式來(lái)解決這些漏洞。
公布時(shí)間 2014年10月21日
參考鏈接 https://technet.microsoft.com/zh-cn/library/security/3010060.aspx
https://technet.microsoft.com/zh-cn/library/security/ms14-064.aspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6352

 

分析

由于之前CVE-2014-4114和CVE-2014-6352主要內(nèi)嵌在Microsoft Office 2007(open xml)格式文檔中使用。

Open Xml通過(guò)xml描述文檔構(gòu)造,通過(guò)zip打包在一起,導(dǎo)致安全分析人員很容易提取出樣本中的惡意數(shù)據(jù)。本次樣本(**************************df4715)使用了傳統(tǒng)的office03(復(fù)合文檔格式)文件格式,并且通過(guò)構(gòu)造特殊zlib數(shù)據(jù)來(lái)躲避多數(shù)安全軟件掃描和分析人員分析。

傳統(tǒng)的CVE-2014-4114樣本分析只需要使用zip解壓Microsoft Office 2007文檔后,查看pptembeddings目錄下內(nèi)嵌文件即可知道樣本行為。

Microsoft Office 2007樣本內(nèi)嵌惡意文件

而Microsoft Office 2003格式無(wú)法直接解壓縮,并且原來(lái)embeddings目錄下的文件會(huì)被zlib壓縮后以ExternalObjectStorage 結(jié)構(gòu)保存在PowerPoint Document流中。

通常我們解析到ExOleObjStgCompressedAtom結(jié)構(gòu),調(diào)用zlib解壓其中數(shù)據(jù)即可得到原始的內(nèi)嵌文件,而此樣本利用Office容錯(cuò)能力嵌入了沒(méi)有zlib頭的zlib流導(dǎo)致大部分分析工具解壓識(shí)別,如我們使用oletools解析提示無(wú)效壓縮頭。

Oletools解壓pps內(nèi)嵌zlib數(shù)據(jù)失敗

惡意樣本內(nèi)嵌的zlib流

修正解壓?jiǎn)栴}后,最終拿到了內(nèi)嵌文件,利用inf給內(nèi)嵌的pe寫啟動(dòng)達(dá)到最終目的。

惡意樣本內(nèi)嵌的Inf文件

惡意樣本內(nèi)嵌的PE文件

3. 誘餌文件

誘餌文件主要分為文檔、圖片和視頻,其中主要是文檔類,進(jìn)一步相關(guān)內(nèi)容主要涉及到政治、軍事等,另外還有一些色情相關(guān)內(nèi)容。

視頻類

視頻類惡意文件圖標(biāo)

偽裝視頻類文件的攻擊主要出現(xiàn)在基于即時(shí)通訊工具的這種載荷投遞的方式中。其他方式中很少見(jiàn)。

圖片類

誘餌圖片

文檔類

Word相關(guān)

誘餌文檔1(CVE-2015-1641)

誘餌文檔2(CVE-2012-0158)

誘餌文檔3(CVE-2014-1761)

PowerPoint相關(guān)

誘餌文檔4(CVE-2014-4114)

PDF類

誘餌文檔6(PDF)

七、 后門分析

摩訶草組織第一次攻擊行動(dòng)中,針對(duì)Windows系統(tǒng)安裝植入環(huán)節(jié)的惡意代碼主要分為兩大類:Smackdown下載者和HangOver(或HangOve)后門。Smackdown下載者主要在第一階段實(shí)施,可能是由一個(gè)自稱“Yash”或“Yashu”的人開(kāi)發(fā)編寫,HangOver后門主要應(yīng)用在第二階段,主要作用是竊取敏感信息,其中以竊取指定文件擴(kuò)展名的文件為主。

相關(guān)文件擴(kuò)展名1(windows)

另外,在第一次攻擊行動(dòng)中,就已經(jīng)發(fā)現(xiàn)存在針對(duì)Mac OS X系統(tǒng)的攻擊了,家族名稱為OSX.Kumar,其主要功能還是竊取敏感數(shù)據(jù)信息,和HangOver后門目的類似。

從第三次攻擊行動(dòng)開(kāi)始到第四次攻擊行動(dòng),相關(guān)惡意代碼發(fā)生了較大的變化,其中出現(xiàn)了由Python、AutoIt、Go語(yǔ)言等開(kāi)發(fā)的惡意代碼,在本章節(jié)我們會(huì)有詳細(xì)的介紹。

摩訶草組織主要針對(duì)PC(Windows、Mac OS X)進(jìn)行攻擊,我們?cè)?015年發(fā)現(xiàn)該組織開(kāi)始針對(duì)移動(dòng)設(shè)備(Android系統(tǒng))進(jìn)行攻擊,由于相關(guān)樣本信息的特殊性,本報(bào)告中暫不對(duì)Android版本的惡意代碼展開(kāi)分析介紹。

1. Mac OS X

功能簡(jiǎn)介

Trojan.Spy.OSX.Kumar.A

添加自身為開(kāi)機(jī)自啟動(dòng),惡意代碼在FileBackup.ini中保存了一些變量信息,例如文件后綴名列表,搜索磁盤下為下列后綴名的文檔,壓縮成zip文檔后基于HTTP協(xié)議上傳。

相關(guān)文件擴(kuò)展名2(Mac OS X)

該家族中各個(gè)樣本程序代碼大致,不同點(diǎn)在于上傳的URL不同,如下表所示:

相關(guān)URL列表

Trojan.Spy.OSX.Kumar.B

首先將自己復(fù)制到“/Users/%username%/%bundlename%.app”目錄下,執(zhí)行“/bin/sh -c open -a /Users/%username%/%bundlename%.app”,通過(guò)修改“/Users/%username%/Library/Preferences/com.apple.loginitems.plist”實(shí)現(xiàn)開(kāi)機(jī)自啟動(dòng)。每20s獲取屏幕截圖保存在“$HOME/MacApp”中,命名規(guī)則為yy-MM-dd-HH:mm:ss.png,通過(guò)HTTP上傳到遠(yuǎn)程服務(wù)器。

樣本證書時(shí)間戳和其他樣本信息

OSX.Kumar變種之間的關(guān)聯(lián)

OSX.Kumar.A和OSX.Kumar.B的作者簽名信息相同:“Developer ID Application:Rajinder Kumar”,兩者部分代碼相同,如下圖所示:

代碼對(duì)比圖

兩個(gè)版本惡意代碼共用C&C

從上表也可以看出兩者之間存在共用C&C服務(wù)器的情況,據(jù)上述分析我們認(rèn)為相關(guān)惡意代碼應(yīng)該為同一作者所開(kāi)發(fā),只是兩者在功能上不同,OSX.Kumar.A是上傳文件,OSX.Kumar.B獲取屏幕信息。

2. Python版本

概述

功能流程圖

樣本文件大多偽裝成“pps、doc、pub、pdf、jpg”等類型的文件誘導(dǎo)用戶點(diǎn)擊,樣本程序大多是自解壓文件點(diǎn)擊后在打開(kāi)正常文件的同時(shí)可以釋放并運(yùn)行惡意程序。惡意的文件主要用python編寫的腳本然后使用PyInstaller 和 Py2Exe兩種方式進(jìn)行打包。

自解壓樣本1

功能介紹

Python相關(guān)的exe文件主要通過(guò)PyInstaller和 Py2Exe兩種打包方式將python腳本打包成exe程序的,每一個(gè)打包成的exe都是一個(gè)功能模塊,主要功能有三類,此外還有一個(gè)非python的程序。

模塊A(CxsSvce.exe,send.exe)

調(diào)用系統(tǒng)工具systeminfo.exe檢測(cè)虛擬機(jī),上傳指定目錄下的文件到服務(wù)器,從服務(wù)器下載文件并執(zhí)行

相關(guān)代碼截圖1(模塊A)

模塊B(reg.exe,reg1.exe)

這個(gè)模塊并不是python的而是用MINGW32 C++編寫的,主要功能就是修改注冊(cè)表添加啟動(dòng)項(xiàng)。

相關(guān)代碼截圖2(模塊B)

模塊C(winrm.exe,stisvc.exe)

主要功能就是偷竊文件,格式主要有:“doc, xls, ppt, pps, inp, pdf, xlsx, docx, pptx”

相關(guān)代碼截圖3(模塊C)

模塊D(sppsvc.exe,key.exe)

這是一個(gè)以鍵盤記錄器,hook了鍵盤和鼠標(biāo)時(shí)間,記錄鍵盤操作到日志文件中。

相關(guān)代碼截圖4(模塊D)

3. 2016 AutoIT(Indetectables RAT)

執(zhí)行流程

2016 AutoIT執(zhí)行流程

基于第三方已公開(kāi)方法

基于第三方已公開(kāi)工具、源碼等

相關(guān)第三方已公開(kāi)工具、源碼參考鏈接

相關(guān)第三方已公開(kāi)工具、源碼參考鏈接

具體功能分析

惡意代碼使用AutoIt腳本編譯成的exe來(lái)執(zhí)行功能,其中核心代碼抄襲自一款叫Indetectables RAT的遠(yuǎn)程控制軟件。

主要的庫(kù)函數(shù)全部來(lái)自引用,程序使用了現(xiàn)成的AutoIt庫(kù)函數(shù)來(lái)直接組織程序功能。

庫(kù)函數(shù)引用表

程序主要過(guò)程中的功能通過(guò)使用上述庫(kù)函數(shù)實(shí)現(xiàn),其中部分函數(shù)抄襲自Indetectables RAT

功能函數(shù)表

C&C功能說(shuō)明

4. Go語(yǔ)言

樣本使用GO語(yǔ)言編寫,功能為從C&C下載SHELLCODE,解密后為PE,在內(nèi)存中加載并執(zhí)行。C&C地址為***.***.***.172,端口為8443。

每次下載的內(nèi)容不相同,但是解密后的PE相同,解密時(shí)的大小有錯(cuò)誤,需要patch后才能繼續(xù)執(zhí)行。但是進(jìn)入OEP依然有錯(cuò)誤,代碼為0且不可執(zhí)行。

5. FakeJLI

基本信息

FakeJLI是第四次攻擊行動(dòng)中近期很活躍的一個(gè)家族,通過(guò)樣本時(shí)間戳來(lái)看在2016年6月已經(jīng)出現(xiàn)。

當(dāng)初始樣本被點(diǎn)擊打開(kāi)以后,首先會(huì)釋放各種組件到%temp%目錄,然后觸發(fā)CVE-2014-4114漏洞,將釋放在%temp%目錄的組件之一的sysvolinfo.exe文件運(yùn)行起來(lái),sysvolinfo.exe該文件名曾多次在AutoIt樣本中出現(xiàn)。

通過(guò)分析sysvolinfo.exe是用IExpress打包成的自解壓安裝程序(類似于NSIS),通過(guò)解包在%temp%目錄下釋放MICROS~1.EXE,jij.dll及Msvcr71.dll三個(gè)文件。其中Msvcrt71.dll為正常文件,為VC7.0運(yùn)行庫(kù),之后執(zhí)行MICROS~1.EXE,安裝包的標(biāo)題信息為merged1234。

相關(guān)基本信息

行為隱藏和安全檢測(cè)繞過(guò)

MICROS~1.EXE簽名信息

MICROS~1.EXE是Java的一個(gè)組件,帶有正常的簽名信息。Jil.dll 是真正的惡意程序,Micros~1.EXE默認(rèn)會(huì)加載這兩個(gè)動(dòng)態(tài)庫(kù)。MICROS~.EXE在main函數(shù)中會(huì)直接調(diào)用jil.dll的導(dǎo)出函數(shù)JLI_MemAlloc(),而沒(méi)有經(jīng)過(guò)任何的校驗(yàn),從而導(dǎo)致惡意代碼被執(zhí)行起來(lái)。Msvcrt71.dll為正常文件,為VC7.0運(yùn)行庫(kù),釋放它的目的是為了使樣本能正常運(yùn)行。

jij.dll中所有的導(dǎo)出函數(shù)都被重定向到了惡意代碼開(kāi)始的地方

MICROS~1.EXE 是正常的帶簽名Java組件,原本其調(diào)用的Jli.dll原本也應(yīng)該是正常的Java組件,現(xiàn)在被替換成帶毒的Dll(導(dǎo)出函數(shù)名不變,但是函數(shù)是病毒函數(shù)),即通過(guò)帶簽名的可信程序去加載偽裝成正常組件的病毒Dll,也算是一種Dll劫持。利用這種方法可以繞過(guò)殺軟的主動(dòng)防策略,從而可以執(zhí)行真正惡意代碼,是一種比較常見(jiàn)的繞過(guò)現(xiàn)有病毒查殺體系的方法。

具體功能分析

功能簡(jiǎn)述

隱藏掉自身的窗口以防止被察覺(jué)到。

設(shè)置自身為自啟動(dòng)。

載入其他模塊,并動(dòng)態(tài)加載,或者創(chuàng)建子進(jìn)程。

當(dāng)有U盤插入的時(shí)候遍歷目錄,搜索各種文檔(主要包括:“pdf、doc、docx、ppt、pptx、txt”),并寫入文件,上傳到遠(yuǎn)程服務(wù)器。

連接跳板鏈接獲取真正C&C地址。

與遠(yuǎn)程C&C服務(wù)器通信接收?qǐng)?zhí)行命令,收集各種信息,包括:用戶名、電腦名用戶、樣本版本信息等上傳。

反彈Shell,執(zhí)行命令。

C&C地址的獲取

惡意代碼在獲取C&C地址的時(shí)候,方法比較特殊,相關(guān)C&C地址并未預(yù)留在惡意代碼本身,而是存放在第三方可信網(wǎng)站中。

進(jìn)一步主要是兩種方式:

基于第三方論壇博客:攻擊者會(huì)選擇在論壇回復(fù)發(fā)帖留言,將C&C地址預(yù)留在帖子內(nèi)容中,進(jìn)一步通過(guò)不斷修改已發(fā)帖的內(nèi)容來(lái)達(dá)到更改C&C信息的目的。

入侵可信網(wǎng)站:攻擊者事先會(huì)將正??尚啪W(wǎng)站攻陷后,將相關(guān)C&C地址預(yù)留在指定頁(yè)面。

回復(fù)帖中預(yù)留的相關(guān)C&C地址信息

解密后相關(guān)真實(shí)C&C地址如下:

hxxp://***.***.***.173/yumhong/ghsnls.php

另外關(guān)于本小節(jié)的內(nèi)容,在本報(bào)告的“C&C分析”章節(jié)會(huì)有進(jìn)一步詳細(xì)描述,具體請(qǐng)參看相關(guān)章節(jié)內(nèi)容。

八、 C&C分析

1. Whois隱私保護(hù)

Whois隱私保護(hù)是指域名注冊(cè)服務(wù)商為域名注冊(cè)者提供的一種服務(wù),即域名WHOIS信息會(huì)隱藏域名注冊(cè)者的真實(shí)信息,如電子郵件地址、電話號(hào)碼等,一般這種服務(wù)為收費(fèi)有償服務(wù)。

在APT攻擊中,相關(guān)組織非常喜歡采用whois隱私保護(hù)這種方式來(lái)隱藏自己的真實(shí)身份,安全研究機(jī)構(gòu)或人員很難找到相關(guān)線索信息進(jìn)行關(guān)聯(lián)回溯。下圖是我們就第一次攻擊行動(dòng)和第四次攻擊行動(dòng)中是否采用whois隱私保護(hù)進(jìn)行的統(tǒng)計(jì)分析。

左圖(第一次攻擊)、右圖(第四次攻擊)

上圖分別是兩次攻擊行動(dòng)中C&C域名的保護(hù)情況(目前的狀態(tài),如果相關(guān)域名現(xiàn)在被sinkhole狀態(tài),則以歷史存在whois隱私保護(hù)來(lái)計(jì)算),整體來(lái)看第四次攻擊行動(dòng)基本都采用了whois隱私保護(hù),大部分從域名注冊(cè)后的第二天就開(kāi)始進(jìn)行whois隱私保護(hù)。而第一次攻擊行動(dòng)中,尤其是2011年初期注冊(cè)的域名,很多是未進(jìn)行whois隱私保護(hù),如下表所示,在2011年未進(jìn)行保護(hù),在2012年就開(kāi)始進(jìn)行whois隱私保護(hù)來(lái)進(jìn)行彌補(bǔ)。

第一次攻擊行動(dòng)相關(guān)C&C信息(WHOIS信息)

2. 域名注冊(cè)時(shí)間分布

左圖(第一次攻擊)、右圖(第四次攻擊)

上圖分別是兩次攻擊行動(dòng)中C&C域名注冊(cè)時(shí)間的分布情況,第一次攻擊行動(dòng)主要分布在2011和2012年,相關(guān)攻擊活躍的時(shí)間主要是2012年,而在第四次攻擊中主要是2014和2015年,其相關(guān)攻擊主要活躍的時(shí)間是2015年和2016年。

由此也可以推斷在最新第四次攻擊中,摩訶草組織有計(jì)劃的提前半年到一年左右就將相關(guān)域名資源規(guī)劃好了。

3. C&C對(duì)應(yīng)IP地理位置分布

(第一次攻擊)、右圖(第四次攻擊)

可以看出第一次攻擊行動(dòng)和第四次攻擊行動(dòng)所使用的IP地理位置還是有很多共性的。排除第一次行動(dòng)中的英國(guó)和第四次攻擊中的德國(guó),其使用比例比較接近。

4. 基于第三方可信網(wǎng)站中轉(zhuǎn)

概述

在“后門分析”章節(jié)中我們對(duì)FakeJLI家族進(jìn)行了分析,并發(fā)現(xiàn)了其他特殊的獲取C&C地址的方式。

進(jìn)一步主要是兩種方式:

基于第三方論壇博客:攻擊者會(huì)選擇在論壇回復(fù)發(fā)帖留言,將C&C地址預(yù)留在帖子內(nèi)容中,進(jìn)一步通過(guò)不斷修改已發(fā)帖的內(nèi)容來(lái)達(dá)到更改C&C信息的目的。

入侵可信網(wǎng)站:攻擊者事先會(huì)將正??尚啪W(wǎng)站攻陷后,將相關(guān)C&C地址預(yù)留在指定頁(yè)面。

相關(guān)被利用第三方可信網(wǎng)站鏈接

惡意代碼首先會(huì)從論壇帖子中尋找相關(guān)C&C地址,如果沒(méi)有則會(huì)嘗試從被入侵網(wǎng)站中尋找相關(guān)C&C地址。被作為中轉(zhuǎn)的論壇都是國(guó)內(nèi)大型論壇,攻擊者通過(guò)回復(fù)正常提問(wèn)帖子來(lái)隱藏C& C信息。

相關(guān)案例

某大型論壇1

某大型論壇1相關(guān)用戶信息

相關(guān)回帖信息

如上圖所示,該域名信息在3月20日發(fā)布,最近的一次修改是4月6號(hào),可知作者通過(guò)修改帖子來(lái)不斷更新C&C信息。

某大型論壇2

某大型論壇2相關(guān)用戶信息

相關(guān)回帖信息

C&C信息同樣是3月19發(fā)布,4月6號(hào)修改。另外攻擊者在論壇中提及發(fā)郵件給了*********ch@163.com,不知道是否對(duì)相關(guān)郵箱進(jìn)行了攻擊。

某大型論壇3

某大型論壇3相關(guān)用戶信息

相關(guān)回帖信息

用戶注冊(cè)日期是3月14日,最近回復(fù)也是3月14日。

九、 關(guān)聯(lián)分析

本章主要就摩訶草組織的四次攻擊行動(dòng)之間的聯(lián)系進(jìn)行關(guān)聯(lián)分析,進(jìn)一步主要從相關(guān)攻擊中所使用的惡意代碼、C&C服務(wù)器等技術(shù)層面的分析。

從這四次行動(dòng)的攻擊意圖和背景分析來(lái)看,應(yīng)該都是來(lái)自于同一國(guó)家,且攻擊目標(biāo)基本一致。

1. 第一次攻擊行動(dòng)中Windows和Mac OS X

共用C&C

OSX.Kumar.A基本信息

OSX.Kumar.A樣本代碼截圖(C&C地址)

Hangover樣本基本信息

Hangover樣本代碼截圖(C&C地址)

特殊字符串

對(duì)比OSX.Kumar.A樣本和已知Hangover樣本的分析結(jié)果,可以看出*********zone.net是共用C&C。進(jìn)一步OSX.Kumar.A請(qǐng)求的URL如下:

*********one.net/yash/upload.php

另外我們可以看到Kumar樣本請(qǐng)求的URL中的目錄名稱和Hangover樣本PDB路徑中的用戶名相同。相關(guān)部分PDB路徑如下表所示:

Hangover相關(guān)樣本PDB路徑

2. 第一次和第二次攻擊行動(dòng)

相關(guān)樣本基本信息

從上表是第一次和第二次攻擊行動(dòng)相關(guān)樣本的基本信息,從編譯時(shí)間、C&C,以及URL形態(tài)暫時(shí)看不出有較強(qiáng)的關(guān)聯(lián)。

兩者之間相同信息

上表是兩次攻擊行動(dòng)中樣本的相同信息,其中User-Agent都是“WinInetGet/0.1”,進(jìn)一步兩者都屬于downloader,作用為通過(guò)HTTP連接C&C,下載payload并執(zhí)行,然后將執(zhí)行結(jié)果通過(guò)res參數(shù)上報(bào)C&C,成功為sucessfully(拼寫錯(cuò)誤),失敗為failed。下表示兩者之間網(wǎng)絡(luò)函數(shù)的差別。

兩者之間網(wǎng)絡(luò)函數(shù)的區(qū)別

3. 第一次和第三次攻擊行動(dòng)

共用C&C

第一次和第三次攻擊行動(dòng)中的后門程序都使用了相同的C&C服務(wù)器,如下:

共用的C&C列表

相似的通信控制

第三次攻擊行動(dòng)中也有部分AutoIT惡意程序,AutoIT惡意程序請(qǐng)求的HTTP是“http://server/folder/online.php?sysname=”,這個(gè)格式(dfiles5 = urlopen(“http://”+ getserver + foldername+ “/online.php?sysname=”+cname+”"))在Hangover攻擊案例中的被多次用到,所以說(shuō)兩者的網(wǎng)絡(luò)構(gòu)建是關(guān)聯(lián)的,進(jìn)一步用于控制惡意程序的后端構(gòu)架也是一樣的。

4. 第一次和第四次攻擊行動(dòng)

相同的郵箱地址

第四次攻擊行動(dòng)相關(guān)C&C信息(SOA信息)

對(duì)照上表和下表的內(nèi)容,我們可以看到第四次攻擊中C&C SOA的管理者郵箱地址與第一次攻擊中C&C的域名注冊(cè)郵箱一致,都是“*********24@gmail.com”,上表中所有C&C從注冊(cè)第二天開(kāi)始就采用whois隱私保護(hù),從下表我們也能推測(cè)出攻擊者基本是在2012年注意到域名注冊(cè)郵箱會(huì)暴露相關(guān)信息,而統(tǒng)一更換為whois隱私保護(hù)策略,但由于有相關(guān)歷史WHOIS記錄,所以我們還是發(fā)現(xiàn)了相關(guān)蛛絲馬跡。

但由于SOA的內(nèi)容是可以由DNS管理者自行修改,所以也不排除攻擊組織刻意修改為虛假郵箱地址等信息來(lái)達(dá)到混淆視聽(tīng)的目的。

第一次攻擊行動(dòng)相關(guān)C&C信息(WHOIS信息)

C&C指向同一IP

十、 幕后組織

1. 歸屬分析

PDB路徑

第一次攻擊行動(dòng)

Hangover中OSX.Kumar.A樣本請(qǐng)求的URL是“hxxp://******one.net/yash/upload.php”,其中“yash”在針對(duì)windows平臺(tái)的其他樣本中的PDB中也出現(xiàn)過(guò)。

Hangover相關(guān)樣本PDB路徑

第四次攻擊行動(dòng)

基礎(chǔ)信息

Kanishk是來(lái)自北印度語(yǔ)單詞,意味著“守護(hù)之神毗濕奴的媒介”,一般作為男孩的名字,相關(guān)示例如下表(名+姓)。

相關(guān)姓名示例

另外Kanishk類似Kaniska,Kanishka。

Kaniska維基百科

相關(guān)基礎(chǔ)信息

OSX.Kumar開(kāi)發(fā)者信息

可以看到OSX.kumar家族中的蘋果開(kāi)發(fā)者信息是名為:Rajinder Kuma

OSX.Kumar.B開(kāi)發(fā)者相關(guān)信息

惡意代碼時(shí)間戳

通過(guò)第一次和第四次攻擊行動(dòng)中樣本時(shí)間戳統(tǒng)計(jì)來(lái)看,首先相關(guān)結(jié)果基本接近。

我們假設(shè)攻擊者是職業(yè)組織,即與一般政府、工商等上班時(shí)間類似,則相關(guān)工作時(shí)間趨向于UTC+5 時(shí)區(qū)。

第一次攻擊行動(dòng)

第四次攻擊行動(dòng)

域名注冊(cè)信息

其中以*********ine.org為例,分析相關(guān)WHOIS信息。

域名注冊(cè)相關(guān)信息

2. 組織描述

組織描述表

十一、 總結(jié)

在追日?qǐng)F(tuán)隊(duì)持續(xù)跟蹤監(jiān)控摩訶草組織,通過(guò)對(duì)該組織相關(guān)TTPs的研究分析,以及結(jié)合以往跟進(jìn)或披露的APT組織或攻擊行動(dòng),我們認(rèn)為以下幾點(diǎn)是值得大家關(guān)注的:

1. APT攻擊從未停歇

從2013年Norman安全公司將摩訶草組織(即HangOver)曝光后,該組織并未因此停止相關(guān)攻擊活動(dòng),尤其從2015年至2016年期間,相關(guān)攻擊活動(dòng)愈演愈烈。對(duì)摩訶草組織這四次攻擊行動(dòng)的分析,我們發(fā)現(xiàn)其攻擊意圖中主要的攻擊目標(biāo)和目的也都未發(fā)生改變,這也體現(xiàn)出幕后組織意志的堅(jiān)定性和達(dá)到目標(biāo)的決心。

另外,在跟進(jìn)的APT組織或行動(dòng)中,很多組織都不會(huì)因?yàn)橐淮喂粜袆?dòng)的暴露或失敗而導(dǎo)致該組織停止活動(dòng)或放棄目標(biāo),由于相關(guān)惡意代碼、C&C等暴露的確會(huì)給相關(guān)組織帶來(lái)一定影響,如暫時(shí)的蟄伏,而一旦該組織在重新配備資源,調(diào)整好相關(guān)戰(zhàn)術(shù)和技術(shù)后,就會(huì)立即發(fā)動(dòng)新的攻擊。比如我們之前披露的海蓮花組織(APT-C-00),在我們披露后該組織有很短一段時(shí)間沒(méi)有活躍,但很快又恢復(fù)了“生機(jī)”,相關(guān)攻擊活動(dòng)至今還很活躍。

我們認(rèn)為這種從未停歇的攻擊體現(xiàn)出APT本身的特性,從一定角度很好的解釋了APT里P(Persistent,持續(xù)性)的涵義。針對(duì)持續(xù)的威脅,沒(méi)有一勞永逸的解決方法,與之能抗衡的就是需要我們從未停歇的對(duì)抗,持續(xù)的跟蹤監(jiān)控。

2. APT攻擊“不計(jì)成本”

雖然暫時(shí)沒(méi)有直接的證據(jù)證實(shí)摩訶草組織是一個(gè)由國(guó)家支持的APT組織,但攻擊過(guò)程中所使用的大量資源,都表明這不是一個(gè)人或一般組織能承受的攻擊成本,除非幕后有一個(gè)強(qiáng)大的財(cái)團(tuán)支持,另外,該組織相關(guān)攻擊所表達(dá)出明確的意圖和堅(jiān)定的意志,這也不是個(gè)體所能達(dá)到的,結(jié)合這些客觀現(xiàn)象,我們認(rèn)為摩訶草更有可能是由一個(gè)國(guó)家背景長(zhǎng)期支持的APT組織。

APT組織是否會(huì)對(duì)一個(gè)目標(biāo)發(fā)動(dòng)攻擊,主要取決于目標(biāo)的價(jià)值,而不在于目標(biāo)本身的強(qiáng)弱程度。目標(biāo)本身防御的強(qiáng)弱只是決定了發(fā)動(dòng)相應(yīng)攻擊所動(dòng)用的資源,如是否采用0day漏洞,或使用一般釣魚(yú)網(wǎng)站攻擊即可達(dá)到效果,摩訶草組織很好的詮釋了這一點(diǎn)APT特性,在資源使用方面,摩訶草組織基本是對(duì)目標(biāo)所存在的所有受影響攻擊面都會(huì)涉及考慮到,采用各種方式,從各個(gè)角度進(jìn)行攻擊。幾乎是一種為達(dá)到目的,不擇手段,不計(jì)成本的攻擊方式。

相關(guān)攻擊行動(dòng)中使用了大量漏洞,其中至少包括一次0day漏洞使用,相關(guān)惡意代碼非常繁雜。目前惡意代碼HASH數(shù)量有995個(gè),C&C數(shù)量為731個(gè),而且相關(guān)惡意代碼會(huì)持續(xù)的迭代更新。載荷投遞的方式,主要是以魚(yú)叉郵件進(jìn)行惡意代碼的傳播,另外會(huì)涉及少量水坑攻擊,在最近一次攻擊行動(dòng)中基于即時(shí)通訊工具和社交網(wǎng)絡(luò)也是主要的惡意代碼投遞途徑。尤其是該組織選擇了基于即時(shí)通訊工具這種高成本的攻擊。除了基于惡意代碼攻擊,還會(huì)采用釣魚(yú)網(wǎng)站,用一種純粹社會(huì)工程學(xué)的攻擊方法來(lái)達(dá)到目的。該組織主要除了針對(duì)Windows系統(tǒng)進(jìn)行攻擊,同時(shí)也會(huì)針對(duì)Mac OS X系統(tǒng)進(jìn)行攻擊,不僅如此,隨著智能移動(dòng)終端的普及,針對(duì)Android的攻擊也隨之產(chǎn)生。

3. 中國(guó)是APT主要受害國(guó)

在今年我們發(fā)布的《2015年中國(guó)高級(jí)持續(xù)性威脅(APT)研究報(bào)告》 中已經(jīng)明確指出了中國(guó)是APT攻擊的主要受害國(guó),報(bào)告中“截至2015年11月底,360威脅情報(bào)中心監(jiān)測(cè)到的針對(duì)中國(guó)境內(nèi)科研教育、政府機(jī)構(gòu)等組織單位發(fā)動(dòng)APT攻擊的境內(nèi)外黑客組織累計(jì)29個(gè)”,摩訶草組織就是這29個(gè)組織的其中之一。

摩訶草組織的主要攻擊目標(biāo)是中國(guó),進(jìn)一步主要針對(duì)中國(guó)科研教育和政府機(jī)構(gòu),其主要目的是竊取敏感數(shù)據(jù)情報(bào)。摩訶草組織也代表了以中國(guó)為攻擊目標(biāo)的APT組織一般所具有的特性:關(guān)注科研教育、政府機(jī)構(gòu),以竊取數(shù)據(jù)為目的。

在分析摩訶草組織過(guò)程中,我們發(fā)現(xiàn)在針對(duì)中國(guó)的攻擊,從2015年第三方和第四次攻擊行動(dòng)中,針對(duì)中國(guó)的目標(biāo)行業(yè)除了科研教育外,針對(duì)軍事領(lǐng)域的相關(guān)攻擊不斷增加,尤其是關(guān)于南海爭(zhēng)端等。也就是APT組織會(huì)緊密圍繞政治、經(jīng)濟(jì)、科技、軍工等熱點(diǎn)領(lǐng)域及事件發(fā)動(dòng)相關(guān)攻擊。類似“一帶一路”、“軍民融合”等是除了摩訶草組織以外,也是如海蓮花組織、APT-C-05、APT-C-12、APT-C-17等這些組織重點(diǎn)關(guān)注的領(lǐng)域。

4. 國(guó)內(nèi)能力型廠商依然缺位

摩訶草組織從2009年一直活躍至今,尤其在2016相關(guān)攻擊更為活躍,另外海蓮花組織、APT-C-05、APT-C-06、APT-C-12等我們監(jiān)控到的大部分APT組織都是類似,相關(guān)攻擊從未停歇而且每次攻擊行動(dòng)都不會(huì)空手而歸。在《2015年中國(guó)高級(jí)持續(xù)性威脅(APT)研究報(bào)告》中指出針對(duì)中國(guó)的攻擊,往往低成本的攻擊就能達(dá)到攻擊者的預(yù)期,而導(dǎo)致低成本入侵頻頻得手的主要原因還是由于相關(guān)被攻擊目標(biāo)防御薄弱。這是造成摩訶草組織在曝光披露后依然活躍的原因之一,但更主要的原因是檢測(cè)欠缺和響應(yīng)乏力,我們?cè)诒竟?jié)之后的內(nèi)容中會(huì)詳細(xì)闡述。

針對(duì)每一次攻擊,無(wú)論是安全機(jī)構(gòu)還是被攻擊目標(biāo)都基本需要經(jīng)過(guò)這幾個(gè)步驟:監(jiān)控發(fā)現(xiàn)、分析披露、通報(bào)告警、檢測(cè)防御。從摩訶草、海蓮花組織的相關(guān)攻擊中,我們可以看到中國(guó)的大部分安全機(jī)構(gòu)或被攻擊目標(biāo)單位相關(guān)環(huán)節(jié)和防護(hù)措施還是存在很多問(wèn)題。

首先,在國(guó)內(nèi)只有很少幾家安全廠商能實(shí)現(xiàn)自主發(fā)現(xiàn)APT攻擊,一般機(jī)構(gòu)都是在國(guó)外安全廠商披露后進(jìn)行跟進(jìn)分析,比如摩訶草最早是由Norman安全公司披露。這一現(xiàn)象不單單在APT攻擊事件,如其他重大安全事件和漏洞,都是類似。國(guó)內(nèi)安全廠商基本基于國(guó)外披露的信息進(jìn)行報(bào)告、預(yù)警提交給有關(guān)單位或部門,然后就已經(jīng)“完成”了一次事件響應(yīng),關(guān)于后續(xù)的檢測(cè)防御,基本就是基于公開(kāi)的IOC來(lái)進(jìn)行,然而被攻擊目標(biāo)單位也基本“認(rèn)同”這一處置方式。

我們所說(shuō)的能力型安全廠商,不僅需要完成上述跟蹤國(guó)外廠商報(bào)告的能力,更重要的是依賴自身數(shù)據(jù)或客戶數(shù)據(jù)對(duì)APT攻擊進(jìn)行獨(dú)立發(fā)現(xiàn)、溯源與監(jiān)測(cè),進(jìn)而對(duì)這些攻擊進(jìn)行披露,同時(shí)還能針對(duì)這些APT攻擊為各類受害用戶提供日常的檢測(cè)與響應(yīng)。

國(guó)內(nèi)雖然號(hào)稱能夠檢測(cè)APT的產(chǎn)品很多,但是真正能夠發(fā)現(xiàn)、分析、溯源和防護(hù)高級(jí)威脅的安全產(chǎn)品依然很少,這和國(guó)內(nèi)缺乏能力型安全廠商生存的空間有很大的關(guān)系。從過(guò)去360威脅情報(bào)中心或安天實(shí)驗(yàn)室等能力型廠商已披露的APT組織或行動(dòng)的監(jiān)控來(lái)看,相關(guān)攻擊在披露后,至今在各重要政府機(jī)構(gòu)依然非?;钴S,攻擊中雖然新增了一些木馬變種,但不可思議的是已知木馬或C&C還很活躍。這很像是醫(yī)生與患者之間的關(guān)系,專業(yè)醫(yī)院告知患者傷口未愈,患者表示知曉,但服務(wù)于患者的家庭醫(yī)生并未給予患者縫合治愈,甚至部分患者也未對(duì)未愈的傷口表示重視,最后的結(jié)果就是患者繼續(xù)帶傷前行,直至遍體鱗傷無(wú)力倒地。這種現(xiàn)象確實(shí)和國(guó)內(nèi)安全能力型廠商缺乏其生存的空間有很大的關(guān)系。

與上述醫(yī)患關(guān)系一樣,我們都不希望看到這種結(jié)果。如果在現(xiàn)在的防護(hù)體系中,能夠引入更多能力型廠商,更多能從監(jiān)控發(fā)現(xiàn)到檢測(cè)防御每個(gè)環(huán)節(jié)打通完善,形成良性的閉合循環(huán),各類安全廠商與被攻擊目標(biāo)之間形成協(xié)同聯(lián)動(dòng),即使我們無(wú)法提前知曉摩訶草組織何時(shí)卷土重來(lái),也無(wú)法阻止摩訶草組織發(fā)起下一次攻擊行動(dòng),但我們依然可以將后續(xù)的相關(guān)攻擊拒之門外,讓摩訶草的第五次攻擊行動(dòng)化為泡影。

5. 網(wǎng)絡(luò)安全和信息化協(xié)同發(fā)展

習(xí)總書記在2014年2月27日下午主持召開(kāi)中央網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組第一次會(huì)議并發(fā)表重要講話,其中強(qiáng)調(diào):“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動(dòng)之雙輪,必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)、統(tǒng)一實(shí)施。做好網(wǎng)絡(luò)安全和信息化工作,要處理好安全和發(fā)展的關(guān)系,做到協(xié)調(diào)一致、齊頭并進(jìn),以安全保發(fā)展、以發(fā)展促安全,努力建久安之勢(shì)、成長(zhǎng)治之業(yè)。”

從摩訶草、海蓮花等的相關(guān)攻擊行動(dòng)中,我們除了可以看出被攻擊目標(biāo)本身防御薄弱以外,也暴露出相關(guān)信息化建設(shè)的不完善。在摩訶草組織的攻擊中我們發(fā)現(xiàn)有大量攻擊是通過(guò)第三方個(gè)人版本的即時(shí)通訊工具和社交網(wǎng)絡(luò)為起初攻擊入口來(lái)實(shí)施攻擊,進(jìn)一步攻擊者所投放的釣魚(yú)網(wǎng)站也是假冒的第三方個(gè)人免費(fèi)郵箱,這也從側(cè)面反映被攻擊目標(biāo)可能以個(gè)人免費(fèi)郵箱作為常用聯(lián)系工具。最后大多數(shù)APT組織在針對(duì)中國(guó)地區(qū)的魚(yú)叉郵件攻擊中,被攻擊目標(biāo)所接收郵件的郵箱往往是第三方個(gè)人免費(fèi)郵箱,另外攻擊者也習(xí)慣采用同類第三方免費(fèi)郵箱進(jìn)行載荷投遞。

從《2015年中國(guó)高級(jí)持續(xù)性威脅(APT)研究報(bào)告》中,我們可以了解到被攻擊目標(biāo)主要是集中在科研教育和政府機(jī)構(gòu)等領(lǐng)域。這兩類敏感重點(diǎn)行業(yè)領(lǐng)域更需要在建設(shè)初期就進(jìn)行安全規(guī)劃,特別是與互聯(lián)網(wǎng)相關(guān)的個(gè)人和機(jī)構(gòu),避免將個(gè)人與工作的信息混雜,讓攻擊者找到潛在隱患的入口,最終導(dǎo)致機(jī)構(gòu)被攻擊滲透。2016年4月19日,習(xí)近平總書記在網(wǎng)絡(luò)安全和信息化工作座談會(huì)上強(qiáng)調(diào):“網(wǎng)絡(luò)安全是整體的而不是割裂的”,進(jìn)一步在對(duì)APT等高級(jí)威脅的對(duì)抗過(guò)程中,除了加強(qiáng)網(wǎng)絡(luò)安全環(huán)節(jié)的建設(shè),也需要與信息化建設(shè)統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進(jìn)和統(tǒng)一實(shí)施。

* 企業(yè)賬號(hào):360安全衛(wèi)士,轉(zhuǎn)載請(qǐng)注明來(lái)自FreeBuf黑客與極客(FreeBuf.COM)

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)