本文講的是針對巴基斯坦的某APT活動事件分析,
事件背景
2017年6月,360威脅情報中心發現了一份可疑的利用漏洞執行惡意程式碼的Word文件,經過分析後,我們發現這有可能是一起針對巴基斯坦的政府官員的APT攻擊事件,釋放出來的載荷會收集受害者的鍵盤記錄和重要軟體密碼、文件等。本文件對並對此次攻擊事件的攻擊鏈條進行梳理,並對使用的木馬相關技術進行分析。
樣本分析
Dropper
|
Hash
|
4f4cc89905bea999642a40d0590bdfa3
|
|
檔案型別
|
Word文件
|
|
檔案大小
|
66Kb
|
|
檔名
|
peace-along-the-border-is-not-a-one-process-says-Lt-gen-ds-hooda.doc
|
該文件所利用的漏洞為CVE-2015-2545(關於該漏洞的分析已經有不少詳細分析的資料,這裡就不再贅述),當受害者點開該文件時,會載入EPS檔案從而觸發漏洞,這裡攻擊者使用的漏洞利用程式碼是已經在野外流傳很久的成熟利用,這套利用的特點是通過shellcode注入explorer程式下載木馬檔案,但shellcode後附加一個DLL檔案以利用CVE-2015-2546許可權提升漏洞得到系統最高許可權。
注入explorer.exe的程式碼如下:
explorer.exe中下載載荷的程式碼如下:可以看到下載地址為hxxp://tes[.]sessions4life[.]pw/quiz/WelcomeScrn.exe
CVE-2015-2546許可權提升DLL部分程式碼:
WelcomeScrn.exe
|
Hash
|
feea1d90e77dff5ff9f896122cf768f6
|
|
檔案型別
|
PE可執行檔案
|
|
檔案大小
|
124Kb
|
|
檔名
|
WelcomeScrn.exe
|
這是個downloader,功能非常簡單,直接連線到內建網址hxxp://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe ,下載並執行檔案。
DefenderReference.exe
|
Hash
|
c43bab60cbf7922a35979e4f41f9aa9e
|
|
檔案型別
|
PE可執行檔案
|
|
檔案大小
|
747Kb
|
|
檔名
|
DefenderReference.exe
|
DefenderReference.exe通過HTTP協議與伺服器通訊的竊密木馬,被執行起來後,會先完成一些初始化的工作,釋放並載入WER167893459067.dll後建立以下目錄:
%Local%SharedFilesLog
%Local% SharedFiles Sys
%Local% SharedFiles Temp
%Local% SharedFiles WinAero
%Local% SharedFiles WinDataShots
%Local% SharedFiles WinInternetData
%Local% SharedFiles WinLog
%Local% SharedFiles WinRM
然後終止cmd.exe、PATHPING.EXE、TRACERT.EXE、net.exe、systeminfo.exe程式,並判斷自身程式啟動路徑是否為% Local % SharedFiles Sys,如果不是,則將自身拷貝到% Local % SharedFiles Sys DefenderReference.exe,釋放MSOBuild.exe、AdminNewDll.dll、AdminServerDll.dll等檔案,最後啟動MSOBuild.exe
MSOBuild.exe
|
Hash
|
c5f76015b2cb15f59070d2e5cfdd8f6e
|
|
檔案型別
|
PE可執行檔案
|
|
檔案大小
|
147Kb
|
|
檔名
|
MSOBuild.exe
|
這個檔案其實還是個downloader,在初始化和檢查執行環境(虛擬機器、沙箱、除錯)後,訪問hxxp://docs.google.com/uc?id=0Bx9cf6a5Mapaa3g4MlI4T244SlU&export=download,獲取C&C的地址185.109.144.102
接著下載以下配置檔案:
hxxp://185[.]109.144.102/DistBuild/getAllFiles.php(指明需要下載的元件)
hxxp://185[.]109.144.102/DistBuild/getExecutables.php (指明要執行的元件)
hxxp://185[.]109.144.102/DistBuild/getExtensions_doc.php (指明關心的文件型別檔案字尾名)
hxxp://185[.]109.144.102/DistBuild/ getExtensions_nondoc.php (指明關心的非文件檔案型別)
hxxp://185[.]109.144.102/DistBuild/getExtensions_rmdrive.php (指明要執行的元件)
接著下載配置檔案中指定的元件,再一一啟動這些元件:
下表是木馬的各個元件資訊:
|
檔名
|
備註
|
|
DefenderReference.exe
|
Dropper
|
|
MSOBuild.exe
|
通過呼叫AdminServerDll.dll下載其他元件
|
|
AdminServerDll.dll
|
功能模組,每個匯出函式對應一種功能
|
|
AdminNewDll.dll
|
檢測到虛擬機器沙箱時載入的無效dll
|
|
PackageMSOffce.exe
|
上傳文件型別檔案
|
|
PlayMedia.exe
|
上傳非文件型別檔案
|
|
TimeSyncApp.exe
|
傳送受害者資訊,等待指令
|
|
FoldrOpt.exe
|
設定啟動項、檢查環境、收集計算機資訊
|
|
OptimisedDisply.exe
|
螢幕截圖、上傳截圖
|
|
LangEngUTF16.exe
|
上傳鍵盤記錄
|
|
LangEngUTF8.exe
|
鍵盤記錄
|
|
InstntAccelx.exe
|
檢測U盤,自拷貝進行傳播
|
|
InstntAccelx.exe
|
檢測U盤,上傳U盤內的檔案
|
經過以上分析,我們發現這個木馬家族有以下功能:上傳/下載檔案、執行指定檔案、鍵盤記錄、螢幕截圖、感染U盤、傳送感染電腦位置資訊等,竊取的檔案列表如下:
.doc
.docx
.ppt
.pps
.pptx
.ppsx
.xls
.xlsx
.pdf
.inp
.vcf
.txt
.jpg
.jpeg
.bmp
.gif
.png
.avi
.wmv
.mp4
.mpg
.mpeg
.3gp
.mp3
.wav
並且該木馬可以通過線上獲取新外掛的形式迅速方便地擴充套件更多的功能。木馬的程式碼清晰、結構嚴謹,受控端通過HTTP請求與控制伺服器通訊,訪問不同的php頁面代表執行不同的功能,可能是高度定製的專用木馬,或者是專門出售的商業間諜木馬。
下面介紹該木馬比較有特色的地方:
1. 不同的元件都通過呼叫同一個AdminServerDll.dll來完成具體功能,高度模組化。例如MSOBuild.exe和DefenderReference.exe中,分別獲取AdminServerDll.dll的不同匯出函式,然後呼叫這些匯出函式,程式裡只有基本的邏輯而沒有具體的功能實現,下面左邊是MSOBuild.exe,右邊是DefenderReference.exe
其中AdminServerDll.dll是主要的功能模組,其每一個匯出函式對應一個功能,可以從匯出函式名知道其功能,如下:
|
匯出函式
|
備註
|
|
EHCheckDownloadedFilesInDownloadFolderAreCompleteForModuleFile
|
檢查元件是否完整
|
|
EHCheckFolderRecursive
|
遍歷檔案目錄
|
|
EHCopyDirectory
|
拷貝目錄
|
|
EHCountFilesInFolder
|
遍歷目錄下面檔案數
|
|
EHCreateCompleteDirectoryStructure
|
建立前面提到的Log、Sys等全部目錄
|
|
EHCreateDirectoryStructureFolderPath
|
建立前面提到的Log、Sys中的指定目錄
|
|
EHCreateFileListForFolder
|
獲取目錄檔案列表
|
|
EHCreateFolderHerarchyOnServer
|
在服務端建立對應主機的目錄
|
|
EHCreateFolderHerarchyOnServerNeo
|
在服務端建立對應主機的目錄
|
|
EHCreateFolderOnServerWithName
|
|
|
EHCreateFolderOnServerWithNameNeo
|
|
|
EHDeleteDirectory
|
|
|
EHDeleteFilesInFolder
|
|
|
EHDeleteListerUploaderFileOnServer
|
|
|
EHDownLoadListerUploaderFileFromServer
|
|
|
EHDownloadClientMachineGeoLocation
|
|
|
EHDownloadDownloadFilesInDownloadFolderForModuleFile
|
下載新模組
|
|
EHExecuteDwonloadFilesInDownloadFolderForModuleFile
|
|
|
EHExecuteFile
|
執行指定檔案
|
|
EHExecuteFile_Parameters_With_Wait_To_Close
|
|
|
EHExtractBinResource
|
|
|
EHExtractBufferFromFile
|
讀取指定檔案的內容
|
|
EHGetAeroModuleExeState
|
|
|
EHGetDirectoryStructureFolderPath
|
|
|
EHGetFileNameFromFilePath
|
|
|
EHGetFilePathFromFilePath
|
|
|
EHGetLastWriteTime
|
|
|
EHGetListerUploaderExeState
|
|
|
EHGetListerUploaderStateFromServer
|
|
|
EHGetModuleFilePath
|
|
|
EHGetOnlineModuleFile
|
|
|
EHGetThisFinalRealeaseORNot
|
|
|
EHGetWinExePath
|
|
|
EHIsAeroFilesNeededServerState
|
|
|
EHIsDots
|
|
|
EHIsInternetDataFilesNeededSeverState
|
|
|
EHMyFileSeek
|
|
|
EHPathFileExists
|
|
|
EHPerformMainAllFunctionsOfApplication
|
|
|
EHPerformOnLineModuleFunctions
|
|
|
EHPutLogMessage
|
|
|
EHScreenShotGrabberCreateAndGetNewScrnShotFolderNeo
|
上傳螢幕截圖
|
|
EHScreenShotGrabberGetConfigDataNeo
|
|
|
EHSetAeroFilesServerStateFalse
|
|
|
EHSetAeroModuleExeState
|
|
|
EHSetInternetDataFilesServerStateFalse
|
|
|
EHSetListerUploaderExeState
|
|
|
EHSetLogFilePath
|
|
|
EHSetValueForEHApplicationServer
|
|
|
EHSetValueForEHApplicationServerNeo
|
|
|
EHTerminateThisProcess
|
|
|
EHUploadFileKeyLogArchiveNeo
|
上傳鍵盤記錄
|
|
EHUploadFileMainUpload
|
上傳檔案
|
|
EHUploadFileRemoveableDrive
|
|
|
EHUploadFolderRecursive
|
|
|
EHUploadFolderRecursiveNeo
|
|
2. 通訊控制:
受控端通過HTTP請求與控制伺服器通訊,通過訪問不同的php頁面與控制端互動:
經過整理後的路徑如下:
|
/EHGetScrnShotConfig.php
/getAllFiles.php
/getExecutables.php
/getExtensions_doc.php
/getExtensions_nondoc.php
/getExtensions_rmdrive.php
/EHCreateUploadFolder.php
/EHOnlineModuleOperations.php
/EHListerFunction.php
/EHAeroFunction.php
/EHAeroFunctionFalse.php
/EHDeleteListerFile.php
/EHFolderWithName.php
/EHDelFolderWithName.php
/EHInternetDataFiles.php
/EHInternetDataFilesFalse.php
/EHCreateAndGetScrnShotFolder.php
/EHMainUpload.php
/EHMergeAndMoveMainUpload.php
/EHRemoveableDriveUpload.php
/EHMergeAndMoveRemoveableDrive.php
/EHFileFolderUpload.php
/EHMergeAndMoveFileFolder.php
/EHUploadKeylogArchive.php
/DO_NOT_NEED_A_URI
|
3. 檢查VM、沙箱和除錯
通過特權指令檢查Virtual PC和VMWare:
通過dll來識別Sandboxie和是否除錯:
擴充套件與關聯分析
使用360威脅情報中心的威脅情報平臺(http://ti.360.com)對樣本連線的C&C地址(185.109.144.102)做進一步關聯,我們發現了更多的資訊。
其中有幾個樣本引起了我們的注意:
1. MD5:a6c7d68c6593b9dd2e9b42f08942a8b0,檔名:isi_report_of_2016.rar
這個樣本是一個郵件附件,解壓後為Name of Facilitators revealed.scr,這個其實是一個sfx自解壓檔案,點選後會將explorerss.pub改名為explorerss.exe,註冊啟動項並執行,然後開啟Pakistan army officers cover blown.pdf迷惑受害人。
而explorerss.exe是由python打包成exe的,功能是竊取指定檔案內容並上傳到hxxps:// 185[.]109[.]144[.]102/browse.php?folder=%s&%s中。將其中的python程式碼還原後,部分程式碼如下:
2. MD5:872e7043ee8490db6e455942642c2c86 檔名:Current vacancies.doc
這個樣本利用CVE-2012-0158釋放一個downloader,downloader會下載執行hxxp://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe,之後的流程就和前面分析的一樣,就不再多說了,值得注意的是文件的內容。顯示為聯合國招聘檔案,這明顯是對安全相關人員投遞的郵件,有明顯的政治動機:
3. MD5: 1b41454bc0ff4ee428c0b49e614ef56c檔名:Ramadan Mubaraq.rtf
這個樣本所利用的漏洞為CVE-2017-0199,olelink的地址為hxxp://138[.]197[.]129[.]94/logo.doc
從以上的分析和其他關聯到的樣本中,我們注意到一些有趣的事情:這些樣本應該都是通過郵件附件的形式傳遞的,並且使用office Nday漏洞或者社工手段引誘目標點開;從檔名、文件內容來看,都是對政治領域的相關人員進行的釣魚郵件投遞。綜合多個樣本的來源資訊,這很有可能是一起針對巴基斯坦政府人員的定向攻擊事件。
IOC
|
檔名
|
|
Current vacancies.doc
|
|
peace-along-the-border-is-not-a-one-process-says-Lt-gen-ds-hooda.doc
|
|
Name of Facilitators revealed.scr
|
|
isi_report_of_2016.rar
|
|
Pakistan army officers cover blown.pdf
|
|
Ramadan Mubaraq.rtf
|
|
MD5
|
|
154ee0c3bb8250cae00d5ed0e6f894b4
|
|
4f4cc89905bea999642a40d0590bdfa3
|
|
6d7ef5c67604d62e63aa06c4a7832dac
|
|
842e125beca97c185b33235e54e77d3a
|
|
9cddfd8fa9dc98149e63f08f02a179cf
|
|
c2be017b2fb3ad6f0f1c05ef10573b90
|
|
c43bab60cbf7922a35979e4f41f9aa9e
|
|
c5f76015b2cb15f59070d2e5cfdd8f6e
|
|
cbd2340e37b2ae9fc85908affbb786a7
|
|
d0dd1c70581606aa2a4926c5df4a32ee
|
|
1b41454bc0ff4ee428c0b49e614ef56c
|
|
PDB
|
|
E:EHDevelopmentSolution3EHDevelopmentSolution3ReleaseDefenderReference.pdb
|
|
D:EH_DEVELOPMENT_SVNEHDevelopmentSolution3EHDevelopmentSolution3ReleaseEsstnalUpdte.pdb
|
|
D:EH_DEVELOPMENT_SVNEHDevelopmentSolution3EHDevelopmentSolution3ReleaseProcNeo.pdb
|
|
E:EHDevelopmentSolution3EHDevelopmentSolution3ReleaseAdminNewDll.pdb
|
|
E:EHDevelopmentSolution3EHDevelopmentSolution3ReleaseAdminServerDll.pdb
|
|
E:EHDevelopmentSolution3EHDevelopmentSolution3ReleaseMSOBuild.pdb
|
|
C:UsersFireDocumentsVisual Studio 2015Projectsnewfiles sentnewfilesobjReleasePro-Gaurd.pdb
|
|
E:EHDevelopmentSolution3EHDevelopmentSolution3ReleaseWelcomeScrn.pdb
|
|
C&C
|
|
185.109.144.102:80
|
hxxp://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe
hxxp://185[.]109[.]144[.]102/DO_NOT_NEED_A_URI
|
|
185.109.144.102:443
|
Tcp
|
|
tes.sessions4life.pw
|
hxxp://tes[.]sessions4life[.]pw/quiz/WelcomeScrn.exe
|
|
138.197.129.94:80
|
hxxp://138[.]197[.]129[.]94/logo.doc
|
|
Mutex
|
|
EHWinHTTPWebServiceCall_MUTEX
|
|
EHGetListerUploaderExeStateNeo_MUTEX
|
原文釋出時間為:2017年6月24日
本文作者:360天眼實驗室
本文來自雲棲社群合作伙伴嘶吼,瞭解相關資訊可以關注嘶吼網站。