4 月 1 日,雷鋒網從微步線上瞭解到,境外黑客組織“白象”在蟄伏了一段時間後,於今年 3 月上旬對國內發起攻擊。
2017年12月下旬,國外網路安全公司趨勢科技對其攻擊活動曝光後,該團伙迅速停用了所有域名、IP等基礎設施,進入“蟄伏期”。然而在今年 3 月上旬至 3 月中旬,“白象”團伙再次發起針對我國的網路攻擊,使用的誘餌文件均為某特定期間的新聞話題,涉及軍事、社會、法律等多個方面。
此次,白象利用誘餌文件,通過 Office 漏洞向受害主機植入木馬後門,相關程式與該團伙此前使用的木馬結構功能基本一致,可根據遠端控制伺服器傳送的指令完全控制受害主機。此次攻擊活動系通過釣魚郵件對特定單位和個人發起,且攻擊活動仍在繼續。
據微步線上捕獲的樣本文件顯示,“白象”使用的多個誘餌文件,分別存放在 fprii.net、ifenngnews.com和chinapolicyanalysis.org 等該團伙註冊的仿冒網站上,文件內容涉及“2018最新部隊工資調整政策” (3月6日出現)、 “民政部公佈一批非法社會組織” (3月14日生成)、“中華人民共和國監察法(草案)”(3月15日生成)、以及日本防衛研究所釋出的2018年版《中國安全戰略報告》(3月13日出現)等某特定期間的熱點話題,具備較強的迷惑性和針對性。
這批誘餌文件均利用了微軟Office較新漏洞CVE-2017-8570,未及時安裝補丁的使用者一旦開啟文件就會觸發惡意程式碼,並被植入後門程式。
樣本分析
以下為微步線上出具的樣本分析:
我們以名為“Chinas_Arctic_Dream.doc”的樣本(21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d)為例對此次攻擊涉及的木馬程式分析如下:
1.樣本流程概要
與2017年12月捕獲的樣本不同的是,此次樣本較早期樣本解密流程更加簡潔,木馬後門不在記憶體解密執行,而是落地後直接執行。流程對比圖如下:
2017年12月份樣本
2018年3月份樣本
微步雲沙箱檢測結果
2. Droper分析(qrat.exe)
a. Word文件被開啟後,會通過觸發漏洞釋放並執行qrat.exe,樣本為C#開發,並做了混淆以防止被分析。
b. 該Droper樣本和以往捕獲的“白象”樣本功能相似,主要是進行木馬後門的安裝。樣本執行後會通過資源先後釋放Microsoft.Win32.TaskScheduler.dll和microsoft_network.exe。這兩個檔案都被存放在qrat.exe的資源中,該段資源包含兩個PE檔案,最開始的MZ頭是後門程式,而第二個MZ頭是新增計劃任務的dll。通過PE工具可以檢視明顯的PE檔案特徵。
為了驗證猜想,可通過PE工具和16進位制編輯器對這段資源進行提取和分離然後分別得到後門microsoft_network.exe和動態連結庫檔案Microsoft.Win32.TaskScheduler.dll。
c. 釋放後門到路徑%APPDATA%\Microsoft Network\microsoft_network\1.0.0.0目錄,並註冊開機啟動,通過呼叫Microsoft.Win32.TaskScheduler.dll新增計劃任務,每5分鐘執行一次。
qrat.exe的編譯時間為2018年2月2日
3. 後門分析(microsoft_network.exe)
a. 樣本從編譯時間來看是2018年1月23日,同樣採用C#編寫,也同樣做了混淆,去掉混淆後發現該樣本為遠控木馬。木馬採用開源遠控xRAT的原始碼編譯,一直被“白象”團伙所使用。此次木馬在功能能上相比去年12月份的樣本,並沒有什麼功能性的變化,但是對配置檔案選項進行了AES加密,並進行了Base64編碼。如下圖所示:
該款木馬的內部版本號為2.0.0.0 RELEASE3,上線域名tautiaos.com(當前解析43.249.37.199,已無法連線),上線埠號23558,連線密碼g00gle@209.58.185.36,互斥體為eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM,配置資訊解密金鑰為Kkbnev10lq5zOdKl51Aq。與之前捕獲的樣本相比,此次樣本的配置資訊均進行了修改,但埠號仍然使用23588。
b. 樣本執行後獲取作業系統基本資訊,通過“ freegeoip.net”獲取受害者的地理位置,然後建立互斥體等。遠控基本功能包括:
a) 基礎功能:遠端 Shell,程式管理,螢幕管理,檔案操作,獲取主機資訊,檢視開機啟動項,遠端關機、重啟等;
b) 殺軟對抗,防火牆檢測;
c) 自動更新功能,dll 注入;
d) 獲取同一個域下的其它裝置的資訊。
關聯分析
對此次涉及的惡意域名ifenngnews.com、chinapolicyanalysis.org關聯發現,除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我們此前已經掌握該團伙資產外,我們還發現了包括wipikedia.xyz、armynews.today等多個於2018年1月19日最新註冊的可疑域名,從域名註冊商、伺服器資訊等特點研判認為,這些域名仍為“白象”團伙所有,如下圖所示:
此外,有情報顯示,“白象”團伙此次攻擊主要利用釣魚郵件向特定單位和個人傳播惡意文件的下載連結,截至 2018 年 3 月 21 日,大多數惡意連結仍可訪問下載(如hxxp://fprii[.]net/The_Four_Traps_for_China.doc),證明攻擊活動仍在繼續。雷鋒網瞭解到,使用者還可以下載放入監控或者在自己的日誌中檢視,近期這個團伙是否關注了相關單位。
來源:雷鋒網