Transparent Tribe行動

wyzsk發表於2020-08-19
作者: virustracker · 2016/03/22 10:58

https://www.proofpoint.com/sites/default/files/proofpoint-operation-transparent-tribe-threat-insight-en.pdf

0x00 簡介

Proofpoint的研究人員近期發現了一起針對印度大使館和軍方的APT攻擊行動。我們首先調查了印度駐沙特大使館收到的一些惡意郵件,以及具備檔案竊取功能的RAT木馬。經過分析,我們發現這些攻擊活動使用的IOC,攻擊途徑,有效載荷和語言都很常規,但是,具體的APT特徵仍需要我們進一步的調查。

在本文中,我們提供了相關的背景知識,一些實用的分析證據,並詳細的探討了我們對“MSIL/Crimson”木馬的思考。

0x01 攻擊印度駐沙特和哈薩克大使館

2016年2月11日,我們發現了兩次攻擊活動,這兩次活動只有兩分鐘的間隔,分別攻擊了印度駐沙特大使館和印度駐哈薩克斯克大使館。相關的郵件(圖1和圖2)都是傳送自同一個IP地址(5.189.145[.]248),這個IP屬於Contabo GmbH,目前來看,攻擊者非常喜歡利用這家提供商的服務。另外,這些郵件似乎還利用了Rackspace的MailGun服務,而且這兩封郵件的附件也都是一樣的。

郵件:

#!bash
4a0728a48c393a480dc328c0e972d57c5493ee5619699e9c21ff7e800948c8e8,”def.astana” <[email protected] gov.in>

839569f031a2cb6e9ae1dc797b1bd7cce53d3528c8b5fbec21cecb0de3f5ac88,”def.riyadh” <[email protected] gov.in>

附件:3966f669a6af4278869b9cce0f2d9279, Harrasment (sic) Case Shakantula.doc

  • 漏洞:CVE-2012-0158
  • 投放的doc:6a69cd7a2cb993994fccec7b7e99c5daa5ec8083ba887142cb0242031d7d4966,svchost.exe
  • 功能:downloader

p1 圖1-傳送到印度駐哈薩克阿斯坦納大使館的第一封郵件

p2 圖2-傳送到印度駐沙特利雅得大使館的第二封郵件

在這次事件中,利用的附件是一個經過處理的RTF文件,這個文件會利用漏洞CVE-2012-0158來投放一個經過編碼的PE可執行程式。要想解碼這個內嵌PE,文件的shellcode首先會查詢0xBABABABA標記,在找到相應的標記時,會指示出PE的開始位置(圖3)。然後,透過使用解密秘鑰0xCAFEBABE就可以加密這個PE了,但是所有無效的DWORD都會被跳過(圖4)。最後一個標記指示的是PE檔案的結束位置,在這裡,最終標記是0xBBBBBBBB。在此之前,已經有一些毫不相關的攻擊事件曾經利用過這個解碼例程以及漏洞文件中的其他元件。

p3 圖3-shellcode正在查詢0xBABABABA標記

p4 圖4-正在解碼PE檔案並查詢終止標記

在成功利用了漏洞並解碼了有效載荷後,MSIL/Crimson家族木馬就會在受害者的裝置上執行。在感染的第一階段,downloader會下載具備完整功能的RAT元件。MSIL/Crimson的downloader(md5: 3a67ebcab5dc3563dc161fdc3c7fb161)會嘗試從213.136.87[.]122:10001下載完整的RAT木馬。我們在技術分析部分會詳細的說明和分析MSIL/Crimson家族木馬。

p5 圖5-MSIL/Crimson正在下載RAT

0x02 虛假的印度軍方部落格引誘目標下載MSIL/Crimson木馬

在研究MSIL/Crimson木馬的過程中,Proofpoint的研究人員發現了一個惡意的blogspot.com網站(圖6)-intribune.blogspot[.]com,這個網站的目的似乎是為了誘使印度軍官感染MSIL/Crimson木馬,njRAT和其他的惡意工具。根據CC基礎設施來看,很這個網站的管理者很可能就是先前攻擊印度大使館的攻擊者。在這個網站上公佈的文章中,有很多會把受害者定向到惡意有效載荷,在我們分析時,只有少數的幾篇沒有包含惡意程式碼。從網站上的一些文章中,我們瞭解到攻擊者可能會透過不同的方式來實施其惡意活動:

  1. 透過圖片或文字使用超連結
  2. 在文章配圖的文字上或iframe中使用超連結
  3. 在本節的最後一篇文章中出現了一個連結,這個連結指向了攻擊者的另一個網站,並且與其他的郵件活動有一定關聯。

誘餌文章

**4 Sikh Army Officers being trialed in military court on alleged involvement with KLF **

  • 連結:hxxp://intribune.blogspot[.]com/2015/11/4-sikh-army-officers-being-trialed-in.html
  • 惡意文件位置:hxxp://bbmsync2727[.]com/news/4%20Sikh%20Army%20Officers%20being%20trialed. doc*Document: *0197ff119e1724a1ffbf33df14411001
  • 型別:漏洞,CVE-2012-0158,

投放的嵌入式有效載荷: njRAT - 27ca136850214234bcdca765dfaed79f*C&C: *5.189.145[.]248:10032

p6 圖6-這篇誘餌文章會導致受害者下載到漏洞文件,在受害者的機器上安裝njRAT

p7 圖7-“4 Sikh Army Officers being trialed.doc”投放的誘餌文件

這篇文章的獨特之處在於其中包含有一個iframe,指向了同一個透過“Read More”超連結下載的文件。這個iframe會提示網站訪客立刻下載文件,在最高階別的惡意網站上也是同樣。

p8 圖8-連結到惡意檔案的iframe

連結:hxxp://intribune.blogspot[.]com/2015/11/seventh-pay-commission-recommends.html

在分析時,這個網頁上沒有出現任何惡意連結,但是,我們發現了一個文件,這個文件可能就是為這個網頁所準備的,也可能是網頁上曾經使用的一個文件。

惡意文件位置:hxxp://bbmsync2727[.]com/cu/seventh%20pay%20commission%20salary%20calculator.xls

  • 文件:0e93b58193fe8ff8b84d543b535f313c
  • 其他文件位置:hxxp://bbmsync2727[.]com/cu/awho_handot_2015.xls
  • VBS位置:hxxp://bbmsync2727[.]com/cu/su.exe
  • 有效載荷(舊版):07e44ffcffde46ad96eb9c018bed6193 (DarkComet)
  • CC(舊版):5.189.145[.]248:1453
  • 有效載荷(新版):708a1af68d532df35c34f7088b8e798f (Luminosity Link RAT)
  • CC(新版):5.189.145.248:6318

p9 圖9-誘餌文章可能指向DarkComet或其他木馬

**Army Air Defence (sic),Engineers and Signal to get additional colonels posts **

  • 連結:hxxp://intribune.blogspot[.]com/2015/11/army-air-defenceengineers-and-signal-to.html
  • 惡意文件位置:hxxp://birthdaywisheszone[.]com/pml/army-air-defenceengineers-and-signal.doc
  • 文件:68773f362d5ab4897d4ca217a9f53975
  • 型別:漏洞,CVE-2012-0158,
  • 投放的嵌入式有效載荷:dac4f8ba3190cfa1f813e79864a73fe1 (MSIL/Crimson Downloader)
  • CC:213.136.87[.]122:10001
  • 下載的 MSIL/Crimson RAT:f078b5aeaf73831361ecd96a069c9f50

p10 圖10-誘餌文章最終會指向MSIL/Crimson RAT

p11 圖11-“army-air-defenceengineers-and-signal.doc”投放的誘餌文件

  • 連結: hxxp://intribune[.]blogspot[.]com/2015/09/sc-seeks-army-response-on-batch-parity.html
  • 惡意文件位置: hxxp://www[.]avadhnama[.]com/latest/batchparity-command-exit-policy.doc

不幸的是,我們沒能獲取到相應位置上的誘餌文件,不過,在這個目錄下,我們找到了另一個檔案。

  • 位置: hxxp://avadhnama[.]com/latest/ssbs.exe
  • 雜湊: df6b3946d1064f37d1b99f7bfae51203 (MSIL/Crimson Downloader)
  • CC: 213.136.87.122:10001
  • 下載的MSIL/Crimson RAT: c2bc8bc9ff7a34f14403222e58963507

p12 圖12-誘餌文章可能會指向MSIL/Crimson RAT

**Seniors Juniors and coursemates please take a serious note about it **

  • 位置:hxxp://intribune[.]blogspot[.]com/2015/05/seniors-juniors-and-coursemates-please.html
  • 潛在的有效載荷位置:hxxp://sms[.]totalworthy[.]com/intribune.zip

我們沒能獲取到intribune.zip,而且也無法確定其中是否包含有效載荷。

p13 圖13-誘餌文章指向一箇舊版的惡意有效載荷

**AWHO– Defence (sic) and Para-Military Forces Personnel Plots Scheme 2016 **

**連結: **hxxp://intribune[.]blogspot[.]com/2015/07/awho-defence-and-para-military-forces.html

  • 惡意文件位置:hxxp://bbmsync2727[.]com/upd/AWHO-Upcoming-Projects.doc
  • 位置:1f82e509371c1c29b40b865ba77d091a
  • 型別:漏洞,CVE-2012-0158,
  • 投放的嵌入式 有效載荷:643d6407cd9a4f1c6d2742f24aed34f5 (MSIL/Crimson Downloader)
  • CC:213.136.87.122:10001
  • 下載的 MSIL/Crimson RAT:0e3e81f4d2054746f74442075f82a5c5

p14 圖14-誘餌文章最終指向MSIL/Crimson和另一個惡意網站

AWHO文章中包含有一個指向hxxp://cdrfox[.]xyz/的連結,其超連結是“GET CALL DETAIL RECORDS ONLINE”。這個網站的管理員很可能就是這群攻擊者,而這個惡意網站能夠向受害者投放VBS惡意文件(圖15)。並且,從中能很明顯的看出,惡意網站的攻擊目標是印度。在填寫了大量的提交表單後,受害者會被定向到另一個頁面上,在這個頁面上會包含有下載惡意文件的最終連結(圖16)。

p15

p34 圖15-cdrfox[.]xyz的登入頁

p16 圖16-下載誘餌檔案,其中包含的文件最終會致使受害者感染Crimson Downloader

  • 位置:hxxp://fileshare[.]attachment[.]biz/?att=1455255900
  • 文件:18711f1db99f6a6f73f8ab64f563accc
  • 文件名稱:“Call Details Record.xls”*Type: *VBS Macro
  • VBS 位置:hxxp://afgcloud7[.]com/logs/ssc.mcom
  • 有效載荷:3cc848432e0ebe25e4f19effdd92d9c2 (MSIL/Crimson Downloader)
  • 下載的MSIL/Crimson RAT:463565ec38e4d790a89eb592435820e3

在同一個伺服器的其他目錄下,還有另外的一些有效載荷:

  • hxxp://afgcloud7[.]com/com/psp.dlc-bk (hash: 62d254790834f30a79ee79305d9be837, also previously named psp.dlc)
  • hxxp://afgcloud7[.]com/com/psp.dlc (hash: dd0fc222852f5d12fda2fb66e61b22f6)
  • hxxp://afgcloud7[.]com/upld/updt.dll (hash: 0ad849121b4656a239e85379948e5f5d)

“/com/”目錄下的兩個檔案都是惡意dropper型別,最終會投放一個Excel誘餌文件和一個MSIL/Crimson downloader。Excel文件使用的主題都會涉及到印度陸軍軍官福利組織(AFOWO),並且投放的dropper以及RAT會像之前討論過的樣本一樣與相同的CC通訊。我們還發現一個命名為“AFOWO Broucher 2016.xls”(雜湊:98bdcd97cd536ff6bcb2d39d9a097319)的文件中也包含有惡意宏,會嘗試從hxxp://afgcloud7[.]com/com/psp.dlc下載一個有效載荷。另外,IP地址50.56.21[.]178會解析到email. books2day.com(曾經用來攻擊大使館)。這個IP近期不再解析到email.afowoblog[.]in。我們並不意外,[email protected]“AFOWO Broucher 2016.xls”文件。在下面的分析部分中,我們又進一步的分析了這個域名。

**62d254790834f30a79ee79305d9be837 / dd0fc222852f5d12fda2fb66e61b22f6: **

  • 投放的誘餌dropper:29054da7a1f1fbd0cb3090ee42335e54
  • 誘餌文件:66cd38a03282b85fceec42394190f420
  • 有效載荷:83a8ce707e625e977d54408ca747fa29 or 2c9cc5a8569ab7d06bb8f8d7cf7dc03a (both MSIL/Crimson Downloader)
  • CC:213.136.87.122:10001
  • 下載的MSIL/Crimson RAT:463565ec38e4d790a89eb592435820e3

**0ad849121b4656a239e85379948e5f5d **

在“/upld/”目錄下發現的有效載荷(md5: 0ad849121b4656a239e85379948e5f5d)是一個MSIL/Crimson SecApp模組,這個模組能夠下載一個具備完整功能的MSIL/Crimson RAT和所有的後續模組。另外,這個有效載荷還會投放一個叫做“Cv of IMA Chief.docx”的誘餌文件(圖17,雜湊:8e5610d88c7fe08ac13b1c9f8c2c44cc)。這個誘餌文件中可能包含有與Brigadier General相關的資訊,(誘餌文件中稱)此人是阿富汗國際軍事事務部部長。

p17 圖17-0ad849121b4656a239e85379948e5f5d投放的誘餌文件

0x03 分組分析

在這一部分中,我們研究了MSIL/Crimson木馬以及一部分Transparent Tribe活動。雖然,其他的攻擊者也曾經使用過這一工具,但是,我們透過研究,縮小了上百個Crimson樣本所屬的攻擊活動範圍。

分類1-Transparent Tribe行動等

有上百個樣本屬於第一分組,是規模最大的一次活動,其中最早的樣本可以追溯到2012年(圖18)。對於這一分組,我們首先分析了針對印度大使館的郵件攻擊活動和假冒的印度新聞部落格。透過研究,我們在攻擊者控制的CC上發現了大量的樣本,藉此我們又另外找到了一期郵件攻擊活動。在其中一個CC上,有一個基於Python的RAT(Python/Peppy),這個RAT的活動與Transparent Tribe行動中使用的樣本非常相似。另外,我們還發現Andromeda downloader在下載和執行MSIL/Crimson木馬時,也會同樣下載和執行這個RAT。除了Crimson和Peppy,我們觀察到了Luminosity Link RAT,njRAT,Bezigate,Meterpreter以及其他幾個自定義downloader。

p18 圖18-分組1活動的Maltego圖

負責這次活動的攻擊者既利用了被攻破的基礎設施,也利用了他們手中掌握的基礎設施(比如,bbmsync2727[.]com)。很多情況下,攻擊者採用了相同的模式來命名其域名:

  • 域名和檔名中出現sync
  • 域名和檔名中重複使用bb,大部分是bbm
  • 使用4位數作為二級域名的結尾

除此之外,在這一分組的活動中,大量使用了Contabo GmbH作為CC。但是,在進行分類時,我們還考慮了其他因素。接下來,我們會談論另一起郵件攻擊-attachment.biz活動,最後,我們還分析了域名afowoblog.in,所有這些活動都屬於這一分組。

使用“2016 Pathankot attack”作為誘餌的郵件活動

在研究這次活動的過程中,我們發現了另外一起郵件攻擊活動,在這次郵件活動中使用的誘餌是2016年帕坦克特襲擊事件(圖19)。這次攻擊利用了一個URL(hxxp://comdtoscc.attachment[.]biz/?att=1451926252)投放了一個壓縮檔案(md5:f689471d59e779657bc44da308246ac4),在這個壓縮檔案中包含有兩個MSIL/Crimson有效載荷,都使用了193.37.152[.]28:9990作為CC。

p19 圖19-使用“2016年帕坦克特襲擊事件”作為誘餌的郵件活動

攻擊者為了提升成功機率,在每個MSIL/Crimson有效載荷中都新增了誘餌檔案:

樣本 1:65f6143d69cb1246a117a704e9f07fdc

  • 初始名稱:“Call Record and Tracking Route.scr”
  • 投放的誘餌:2f821d8c404952495caae99974601e96, 帶有影像的音訊檔案(圖20)
  • 誘餌名稱:“Call Record and Tracking Route.mp3”

p20 圖20-音訊誘餌,可能是在討論帕坦克特襲擊事件

樣本2:723d85f905588f092edf8691c1095fdb

  • 初始名稱:*“detail behind the scenes.scr”
  • 投放的誘餌:a523b090e9a7e3868d8d1fde3e1ec57d,PDF (Fig. 21)
  • 誘餌名稱:“detail behind the scenes.pdf”

p21 圖21-以帕坦克特襲擊事件作為誘餌

ATTACHMENT.BIZ域名

我們發現了一起圍繞ATTACHMENT.BIZ域名實施的活動,在這次活動中投放了惡意文件和有效載荷。我們觀察到了下面的一些域名:

  • fileshare.attachment[.]biz• comdtoscc.attachment[.]biz
  • ceengrmes.attachment[.]biz
  • email.attachment[.]biz (沒有發現連結)

所有這些域名都解析到了同一個IP 91.194.91[.]203 (Contabo GmbH)。目前為止,我們已經發現了三次獨立進行的活動,但是我們還不知道該從哪裡入手,但是我們能確定的是,這次活動屬於這一分組。

連結1: hxxp://ceengrmes.attachment[.]biz/?att=1450603943

  • 有效載荷:07defabf004c891ae836de91260e6c82, MSIL/Crimson
  • 有效載荷名稱:Accn Letter.scr
  • CC:5.189.143[.]225:11114

連結 2: hxxp://fileshare.attachment[.]biz/?att=1455264091

  • 有效載荷:18711f1db99f6a6f73f8ab64f563accc,XLS VBS-downloader
  • 有效載荷名稱:Air India Valid Destinations.xls

在攻擊者的cdrfox.xyz網站上,hxxp://fileshare[.]attachment[.]biz/?att=1455255900投放的也是同一個有效載荷。

連結 3: hxxp://comdtoscc.attachment[.]biz/?att=1453788170

  • 有效載荷:45d3130a901b7a763bf8f24a908b1810,
  • 壓縮後的有效載荷名稱:Message.zip
  • Decompressed Payload:765f0556ed4db467291d48e7d3c24b3b, MSIL/Crimson
  • 解壓後的有效載荷名稱:Message.scr*C&C: *193.37.152[.]28:9990

AFOWOBLOG.IN域名

有證據表明,afowoblog.in域名應該屬於這一活動分組。這個域名是在2016年2月14日前後註冊的,[email protected],“AFOWO Broucher 2016.xls”就是在同一天上傳到了VT。我們發現使用了thefriendsmedia[.]com的相關活動最早可以追溯到2013年6月,在當時,這個地址是用作了一個Andromeda C&C。

在一起活動中(圖22,maltego圖),我們觀察到一個Andromeda有效載荷正在與brooksidebiblefellowship[.]org通訊,從olxone[.]com上獲取了另外一個Andromeda有效載荷,接著又使用了thefriendsmedia[.]com作為其CC。初始的Andromeda還獲取了一個Bezigate有效載荷。

p22 圖22-thefriendsmedia與Andromeda,lolxone[.]com,Bezigate之間的聯絡

此外,我們發現lolxone[.]com上託管著其他的Bezigate有效載荷,以及Python/Peppy木馬(圖23)。如Maltego圖所示,透過與Peppy,Bezigate和Andromeda C&C之間的聯絡來看,這次活動也是屬於這一分組(圖25)。

p23 圖23-lolxone[.]com與Andromeda 和Python/Peppy,Bezigate之間的聯絡

分組2-guddyapps/appstertech/sajid

我們遇到的一些Crimson SecApp模組,在第一次與CC通訊時,並不會下載RAT或downloader的有效載荷。比如,樣本:85429d5f2745d813e53b28d3d953d1cd會從178.238.228[.]113:7861獲取downloader。一旦downloader執行,就會下載一個XMPP二進位制(md5: fee34da6f30a17e1fcc5a49fd0987169)和一個基於XMPP的木馬(md5: d3094c89cad5f8d1ea5f0a7f23f0a2b1)-我們一般稱呼這個木馬為Beendoor。Beendoor是一個很有意思的木馬,這個變種的CC是178.238.235[.]143。

與 Crimson和Peppy類似,Beendoor能夠獲取桌面截圖。在Beendoor的CC上,我們恢復了一張貌似來自木馬開發者的桌面截圖(圖24)。在這個修改過的截圖中,我們注意到了一些關鍵資訊:

  • 桌面上出現了同一張 “Anushka” 圖片,曾經出現在Beendoor 的C&C上,Beendoor樣本也曾經使用過這個圖片
  • 資料夾結構與CC的資料夾結構類似
  • 在Beendoor的dropper二進位制中發現了硬編碼的路徑(md5: 9b98abb9a9fa714e05d43b08b76c0afa)
  • Beendoor和XMPP二進位制使用了相同的檔名

p24 圖24-可能是Beendoor開發者的桌面截圖

從圖中可以看出,巴基斯坦公司Appstertech連線到了Beendoor木馬。透過分析Beendoor CC上的資料夾和檔案,我們總結出去年年末CloudSek研究的就是這次活動。

在連線到Beendoor(圖25)的Crimson樣本中,有幾個使用了同一個“Binder” dropper,我們在其他的一些分組中也觀察到了對這個dropper的使用,其中也包括分組1。而且,Crimson和Beendoor的CC都是託管在Contabo GmbH,其他分組中的Crimson木馬也有相似之處。

p25 圖25-Crimson的Maltego圖<->Beendoor分組

分組3-“Nadra attack in Mardan”誘餌

除了使用帕坦克特襲擊事件作為誘餌的攻擊活動,我們還在近期的活動中發現,有幾個樣本利用了12月份在馬爾丹發生的國家資料庫和註冊局(Nadra)襲擊事件作為誘餌。有幾個樣本被上傳到了VT,在壓縮檔案中包含有Crimson有效載荷,以及各自dropper投放的誘餌。例如,其中一個有效載荷(md5: 51c57b0366d0b71acf05b4df0afef52f, “NADRA OFC.exe”)是和一張圖片 (md5: be0b258e6a419b926fe1cfc04f7e575a)一起上傳到了VT,這張照片的連結是hxxp://i.dawn[.]com/ medium/2015/12/56825d6d8f1a5.png,來自一篇與襲擊事件相關的文章:hxxp://www.dawn[.]com/ news/1229406。

對於這一分組中的活動,我們還沒有發現任何dropper,所以我們決定將這些活動單獨列到一組中。在弄清楚了這一點後,你會發現這次行動的TTP與分組1中“以帕坦克特襲擊事件作為誘餌”的行動基本一致。不出所料的是,在此次行動中使用的CC也是託管在Contabo GmbH。最後一點,這些樣本使用的埠是11100,分組1中的一些樣本也使用了這一個埠。

分組4-DDNS與巴基斯坦

在最後一個分組中,有幾個樣本使用了DDNS作為其CC,這些CC都指向了巴基斯坦的IP地址(根據Whois資訊)。大部分活動都是始於2013年。從TTP的細微差別(只使用DDNS)和沒有使用Contabo GmbH來看,我們把這些活動與其他活動進行了區分,儘管分組1中的一些活動也使用了DDNS和相同的工具。圖26中描繪的就是這類活動。我們在IOC章節討論了這類活動。

p2626-DDNS和巴基斯坦IP地址反映在Maltego

還缺少足夠的資訊來串聯所有的活動分組

雖然,不同的活動分組之間有大量的相似點,包括使用“Binder” dropper,攻擊誘餌,更明顯的是使用了Contabo GmbH。不過,還有一些樣本是我們不瞭解的,比如,這些樣本的使用方式,是在哪次活動中使用的,所以我們還無法串聯起所有的活動。隨著我們的繼續研究,我們應該能夠找到更多的資訊,從而確定各個分組之間的聯絡。

0x04 技術分析

MSIL/Crimson

Crimson更像是一個模組化木馬,因為主RAT模組可以下載其他的有效載荷,執行鍵盤記錄或竊取瀏覽器憑證等功能。Crimson會分階段感染目標。Crimson感染的第一階段是由downloader元件下載一個具備完整功能的RAT,通常是Crimson的RAT模組。然後,RAT模組會將系統資訊傳送給CC,而CC可能會響應另外的模組化有效載荷。

Crimson利用了一個自定義的TCP協議來進行CC通訊(圖27)。有些Crimson會選擇性的下載不具備CC通訊能力的模組,而是透過RAT元件來向外輸送資訊。

p2727-Crimson的自定義TCP CC協議

感染了Crimson的受害者會處在監控中,可以監控攝像頭,竊取Outlook中的郵件,記錄使用者的螢幕。有些Crimson RAT變種能夠支援至少40種命令。在表1中列出了各個版本的RAT所支援的所有命令。

表1-MSIL/Crimson支援的命令

命令 介紹
afile 提取檔案到CC
audio 從CC下載合法的NAudio庫,儲存為NAudio.dll(不會執行或新增到startup)。用於透過麥克風記錄聲音。
autf 向檔案擴充套件列表中新增擴充套件。可選擇查詢符合檔案擴充套件列表要求的檔案並提取。
autoa 提取所有符合檔案擴充套件列表要求的檔案
capcam 靜態捕捉webcam
camvdo 持續性捕捉webcam(使用stops命令停止)
clping 將runTime設定成DataTime.Now
clrklg 停止鍵盤記錄模組並刪除鍵盤記錄日誌
cnls 停止上傳,下載和截圖
cscreen 單次截圖
delt 刪除提供的路徑/檔案
dirs. 傳送磁碟驅動器
dotnet 下載URLDownload有效載荷,儲存為dotnetframwork.exe,並透過登錄檔新增到startup
dowf 從CC獲取檔案
dowr 從CC獲取檔案並執行
email 能夠獲取郵箱賬戶名稱,郵件數量,並提取Outlook中的郵件
endpo 殺死指定PID的程式
fbind 從CC現有目錄中儲存檔案,在名稱後新增.exe擴充套件
file 將檔案傳輸給CC
filez 傳送檔案資訊:CreateTimeUtc,檔案大小
fldr 列出一個目錄下的資料夾
fles 列出一個目錄下的檔案
ftyp 向檔案擴充套件列表中新增擴充套件
info 傳送PC資訊(MAC, PC Name, User, LAN IP, OS, AV, 缺失的模組...)
klgs 有時候不會實現,但是存在這個命令(先前的版本會自動提取鍵盤記錄)
listf 搜尋指定的檔案擴充套件
mesg 彈出“警告”對話方塊,顯示提供的資訊
msdlf 點選滑鼠
muspo 移動滑鼠指標
obind 儲存CC上的檔案到目錄,名稱後新增.exe擴充套件
outdwn 搜尋特定名稱的郵件附件並提取
passl 獲取密碼記錄模組的日誌
procl 列出程式
runf 執行命令
rupth 獲取木馬的執行路徑
savaf 從CC儲存檔案
scrsz 設定scrSize(由scren和cscreen使用)
secup 從CC下載“secApp”有效載荷,透過登錄檔新增到startup
sndpl 從CC下載“pssApp”(瀏覽器憑證竊取模組),並開始提取日誌
sndps 從CC下載“pssApp”(瀏覽器憑證竊取模組)
splitr 按照提供的分割數量分割檔案,但是,我們認為由於程式設計錯誤,這個功能無法正常執行
stops 停止截圖
stsre 獲取麥克風音訊
sysky 將鍵盤記錄傳送到CC
systsk 更新模組,類似secApp
thumb 獲取200x150 GIF 影像縮圖
uclntn 設定RegKey:把[variable]_ver設定成提供的值,可能是用作版本標識
udlt 從CC下載“remvUser”有效載荷,儲存為msupdate.exe,然後執行
uklog 從CC下載鍵盤記錄模組的有效載荷,儲存為win_services.exe,然後透過登錄檔新增至startup
updatc 下載控制器/客戶端/主RAT,儲存為servicesdefender.exe,然後執行
updatu “OR” usbwrm 下載USB有效載荷,儲存為udriver.exe,然後透過登錄檔新增至startup

MSIL/Crimson 模組分析

和先前提到的一樣(以及命令表),Crimson需要依靠模組化的有效載荷才能擴充套件其功能,包括,記錄鍵盤敲擊,竊取瀏覽器憑證,自動搜尋並竊取移動磁碟上的檔案,另外還有兩個不同的有效載荷更新模組。最後一點,我們沒能夠找到“remvUser”模組。

URLDownload

在執行時,這個模組首先會檢查登錄檔鍵值:HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\last_edate是否存在。如果不存在,這個模組就會建立這個鍵值並分配一個DateTime.Now字串。這個鍵值會定期檢查已經度過的天數。一旦木馬檢測到已經過去了15天,木馬就會傳送一個HTTP GET請求到硬編碼的地址,從而獲取一個文字檔案,而這個文字檔案會指向另外一個HTTP位置,在這裡有最終的有效載荷。比如,在我們分析的一個樣本中(md5: 532013750ee3caac93a9972103761233)就包含有一個硬編碼的URL:hxxp://sahirlodhi[.]com/usr/api.txt。到目前為止,我們已經發現攻擊者兩次修改了api.txt,首先是加入了一個指向hxxp://bbmsync2727[.]com/upd/secure_scan.exe的連結,隨後,又把這個連結修改為了hxxp://bbmsync2727[.]com/ccmb/ssm.exe。

我們分析了這個模組後發現,其downloader的邏輯是從一個硬編碼URL:hxxp:// sahirlodhi[.]com/usr/api.txt獲取檔案,這個地址很可能是一個被攻破的網站。這個模組會認為在先前獲取到的URL上儲存著另一個URL,最開始,我們發現的URL是:hxxp://bbmsync2727[.]com/upd/secure_scan. exe (md5: e456d6035e41962a4e49345b00393dcd)。這個有效載荷是一個MSIL/Crimson Downloader變種,在執行時,會透過下載一個新的控制器/協調器重新重新整理Crimson的生命週期。

secApp

我們分析的secApp(md5: ccfd8c384558c5a1e09350941faa08ab)在功能上與初始downloader非常類似,但是,secApp傳送到CC的初始beacon是doupdat,而不是updatc,並且會連線到相同的硬編碼CC,而不是另一個埠。除了支援CC發出的updatc命令外,這個模組還支援下面的命令: info,upsecs和upmain。info命令支援與主RAT模組相同的功能,而upsecs和upmain允許控制器修改secApp和mainApp的路徑和應用名稱。

憑證竊取工具

pssApp是一個密碼收集模組,這個模組最初的時候支援獲取Chrome,Firefox和Opera瀏覽器中儲存的密碼。成功收集到的憑證會儲存在一個硬編碼位置,例如:%APPDATA%\Roaming\chrome\chrome_update。如果沒有找到任何憑證,憑證日誌中就會簡單的記錄“Not Found> > <”。圖28中表示成功竊取到憑證。在我們的有限測試中,這個模組無法收集Opera 35.0.2066.68或Firefox 44.0.2中的密碼,但是能夠收集Chrome 48.0.2564.116 m中的密碼。

p28 圖28-pssApp模組成功收集到憑證

有些樣本(md5: 8a991eec65bd90f12450ee9dac0f286a)似乎也支援從Windows Live,FileZilla,Vitalwerks動態更新客戶端 (DUC)和Paltalk中收集憑證。

Keylogger

鍵盤記錄模組很基礎,鍵盤輸入會記錄到一個明文檔案中(圖29),儲存在一個硬編碼位置。我們分析的鍵盤記錄模組 (md5: f18172d7bb8b98246cb3dbb0e9144731)會把鍵盤記錄儲存到%APPDATA%\NVIDIA\位置下的“nvidia”檔案。

p29 圖29-“nvidia”檔案中儲存的記錄

USB模組

如果發出了updatu 或 usbwrm命令,USB磁碟模組就會被下載並設定在下次開機時啟動。我們分析的這個有效載荷似乎只會在可移動磁碟上搜尋潛在感興趣的檔案,並將其複製到本地磁碟上,以便後續傳輸。這個有效載荷配置了一系列的檔案擴充套件(圖30),用於搜尋USB磁碟上符合要求的檔案。如果找到了感興趣的檔案,這些檔案會被複制到本地磁碟上的某個指定目錄,而已經複製的檔案列表會記錄到一個單獨的日誌中,這樣就不會導致重複複製某個檔案。但是,這種避免重複的方法只是根據檔名稱來判斷,所以如果某個檔案的內容發生改變而名稱沒有變化,那麼修改後的檔案不會被提取。雖然說這個有效載荷可以透過命令下載,由此來看,這個有效載荷可能具有“蠕蟲”功能,但是,實際情況並不是這樣。

remvUser

在我們研究期間,我們沒有找到這個模組;所以我們也無法確定其功能。我們猜測,這個模組可能是一個木馬清理工具。

Python/Peppy

Peppy是一個基於Python的RAT,經常與MSIL/ Crimson一起出現。Peppy會透過HTTP協議進行CC通訊,利用SQLite來執行其內部功能,並跟蹤向CC傳輸的檔案。Peppy的主要目的是使用可配置的搜尋引數開頭,自動地將感興趣的檔案傳輸給攻擊者(圖30)。檔案傳輸使用的是HTTP POST請求(圖31)。

p30 圖30-Peppy的可配置搜尋引數

p31 圖31-Peppy正在提取檔案

除了鍵盤記錄和檔案竊取功能,Peppy還能夠接收CC傳送的命令,從而自我更新,自我禁用,竊取指定的檔案,自我解除安裝,執行shell命令,獲取螢幕截圖,生成逆向shell,下載遠端檔案並執行。

另外,我們還發現了一個基於Python的簡易downloader(md5: 82719f0f6237d3efb9dd67d95f842013),從這個downloader的功能程式碼與Peppy download_exec 例程之間的相似性來看(圖32,圖33),這個downloader很可能是Peppy的作者編寫的。

p32 圖32-Python downloader的程式碼

p33 圖33-Peppy download_exec 例程和MyURLOpener類

0x05 總結

很顯然,在這些攻擊活動中,存在有大量的共同線索。我們已經在不同的活動,攻擊載體,有效載荷,甚至是基礎設施之中發現了聯絡,但是,還會有更詳細的資訊會隨著時間的推移而出現。在短期來看,我們要時刻牢記,不要侷限於表面,攻擊者(無論是政府還是個人性質)會利用各種各樣的網路工具來實現他們的目的。

本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!

相關文章