瞞天過海：某APT組織利用魚叉郵件滲透多個行業竊取敏感資料

0x0 背景

近日，深信服安全團隊通過安全感知平臺持續跟蹤了一個以國內沿海電子製造業、能源行業、大型進出口企業、科研單位等為目標的APT組織，該組織通過魚叉式釣魚郵件，在最近的三個月裡面持續對國內至少60餘個目標發起針對性的攻擊。通過偽造office、pdf圖示的PE檔案迷惑目標，在目標點選之後，釋放出AutoIt指令碼執行器，然後將高度混淆的AutoIt指令碼程式碼傳入指令碼執行器執行釋放Nanocore RAT竊取受害者主機上面的敏感資料並作為跳板進行內網滲透。

0x1 詳細分析

該APT組織使用誘餌文件誘使使用者點選執行，執行自解壓程式，完成攻擊和木馬的釋放。在這個過程中使用一個帶有正常數字簽名的AutoIt指令碼解釋程式去執行一個加混淆後的指令碼，該指令碼會檢測當前系統環境“安全”之後才會解密安裝.net程式，再對其進行真正的惡意行為，該指令碼具備繞過了大多數安全軟體的檢測能力。具體行為見以下詳細分析。

/攻擊流程圖/

該APT組織使用sales@globaltrade.com郵箱地址傳送了一個偽造成pdf文件圖示的exe檔案，並將附件命名為Payment Slip（付款單）以誘使受害者點選執行。為了降低使用者的警惕性，該組織同時構造了一個郵箱主題為RE:FWD:PROFORMA INVOICE // OverDue Payment Update(逾期付款更新)用於麻痺受害者。

郵件正文內容如下：

 病毒自解壓

該病毒偽裝為一個PDF檔案，誘使使用者點選執行，通過Exeinfo PE檢視可以發現這個樣本為一個SFX檔案。

在其被雙擊執行後，會跳過自解壓對話方塊，並且將檔案釋放到”%temp%\08419794”資料夾下，並且自動執行rml.vbs指令碼。

在rml.vbs指令碼中，使用WshShell.Run執行dsh.exe pwl=xui。

dsh.exe是一個帶正常簽名檔的Autolt的指令碼直譯器，用於執行.au3指令碼。

pwl=xui是一個300M大小的檔案，指令碼里面新增了大量無用的註釋，通過這種方式防止殺軟檢測出此惡意指令碼，這種方式可以繞過大多數殺軟的檢測。

為了方便閱讀，去掉指令碼中的一些無用註釋，得到淨化後的指令碼如下：

該指令碼具有以下功能：

1、虛擬機器檢測

2、禁用UAC策略

3、禁用工作管理員

4、註冊開機自啟動程式

5、解密.NET程式

6、啟動.NET程式

 指令碼核心功能

該指令碼實現這些功能的原理如下：

1、虛擬機器檢測：通過判斷程式名、是否存在D盤等操作實現反虛擬機器檢測。

2、禁用UAC策略：通過修改登錄檔鍵值禁用UAC策略。

3、 禁用工作管理員：通過修改登錄檔鍵值禁用任務管理功能。

4、 註冊開機自啟動程式：通過新增登錄檔自啟動項實現開機自啟。

5、 解密.net程式：通過正則匹配替換、字元顛倒、CryptDecrypt()函式等混合手段解密出程式。

（1）正則匹配替換：

（2）字元顛倒

（3）CryptDecrypt解密

6、啟動.NET程式：查詢本機.NET服務安裝程式安裝.NET服務程式。

 NanoCore RAT

NanoCore RAT是在.Net框架中開發的，最新版本是“1.2.2.0”。2018年年初，其作者“Taylor Huddleston”被聯邦調查局抓獲，現於監獄服刑。該遠控能夠在受害者的計算機上執行許多惡意操作，例如登錄檔編輯、程式控制、升級、檔案傳輸、鍵盤記錄、密碼竊取等。

根據目前網際網路上的一些資訊，獲取最新版本的原始碼僅僅需要$20。

本次通過指令碼釋放出來的.NET程式為nano core client 1.2.2.0版本的遠控程式。遠端連線的C&C地址為：185.244.31.203；通訊埠為8484。

該IP歸屬地在荷蘭繫結了一個meter.ddns.net的域名。

0x2 安全建議

不管攻擊者的入侵計劃是多麼的縝密，總會由於技術的限制留下些許蛛絲馬跡，譬如軟體的植入、網路流量的產生，這些痕跡可能並不足以作為APT攻擊的證據，但一旦發現，就必須提高警惕，並及時的儲存現場，通知安全相關人員，對疑似感染的主機進行隔離和檢查。同時也要注意日常防範措施，在思想上和技術上雙管齊下：
1、加強人員安全防範意識。不要開啟來歷不明的郵件附件，對於郵件附件中的檔案要謹慎執行，如發現指令碼或其他可執行檔案可先使用防毒軟體進行掃描；

2、升級office系列軟體到最新版本，不要隨意執行不可信文件中的巨集；

3、部署分層控制，實現深度網路安全防禦，構建端到端的立體安全防護網路。在網路規劃時需要充分考慮終端接入安全、內網安全防護、應用系統安全等多個維度，並根據不同的業務需求和安全等級進行合理的分割槽隔離；

4、重視網路資料、系統執行狀態的審計和分析。嚴格把控系統的訪問許可權，持續對資料流的進出進行有效的監控，及時更新安全補丁，定時進行安全配置基線的審視和系統安全風險的評估，及時發現可以行為並通過通訊線路加密、應用層安全掃描與防護、隔離等有效技術手段將可能的安全風險扼殺在搖籃裡；

5、深信服推出安全運營服務，通過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力，針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務，確保第一時間檢測風險以及更新策略，防範此類威脅。

6、使用深信服安全產品，接入安全雲腦，使用雲查服務，啟用SAVE安全智慧檢測引擎防毒功能可即時檢測新威脅，防禦APT攻擊。