2015年12月31日，微步線上對一起利用Flash零日漏洞的APT攻擊做了分析和預警，並透過溯源分析確定了其幕後的駭客組織為“DarkHotel”。此後，透過我們的持續監控跟蹤，發現DarkHotel的定向魚叉式攻擊依然在繼續，主要目標為我國境內企業及其管理層人員，且有多起成功攻擊案例。因此微步線上決定進一步披露攻擊中所利用的手段和技術，並全面公開相應的威脅情報IOC(攻陷指標)，與業界共同攜手抵禦來自境外勢力的APT攻擊。

0x00 攻擊概況

---

微步線上的監測資料和分析顯示，此次DarkHotel發起的定向攻擊從2015年11月起一直持續到現在，被攻擊的國家地區包括：

• 中國
• 俄羅斯
• 朝鮮

同時，我們注意到這個境外組織對中國存在異乎尋常的興趣和關注，可以認為中國是它主要的攻擊目標之一，除本次行動外：

• 2014年卡巴斯基發現該組織利用Flash 0day（CVE-2014-0497）對中國境內的3個163.com郵箱使用者進行定向攻擊；
• 在之前的攻擊中，該組織使用了163pics.net、163services.com作為C2C域名，此次又使用manage-163-account.com的C2C域名，這說明攻擊者對中國有一定了解並且嘗試在特殊環境下進行結合社會工程學進行魚叉式攻擊。

0x01攻擊渠道

---

此次攻擊的渠道是透過魚叉式釣魚郵件定向發給被攻擊物件。整體流程如下圖：

郵件附件的word 文件中內嵌惡意的SWF 連結，該SWF exploit檔案的metadata如下。根據其metadata推測，此攻擊檔案生成於2015年11月25日：

點選惡意的SWF連結將觸發整數溢位漏洞，該漏洞正是12月28日被Adobe修復的CVE-2015-8651，利用成功後跳轉到下面這段shellcode：

shellcode 被執行後將下載的惡意木馬updata.exe儲存在被感染系統的%temp%路徑下， RC4解密後，再利用Windows自帶的echo命令新增可執行檔案的“MZ”頭來構建有效的PE檔案, 然後updata.exe透過呼叫mshta.exe 進一步下載並執行惡意程式碼，盜取系統的資訊。

截止到1月13日，部分樣本已經可以被少部分安全廠商查殺

0x02 updata.exe簡析

---

updata.exe是一個PE檔案，編譯時間為 2014年4月24日 04:38:20，具有完整的檔案屬性，看上去是生成SSH金鑰的一個工具：

透過逆向分析其彙編碼，可以看到有許多編譯留下的原始檔路徑：

我們初步判斷，這是一個被惡意篡改的開源工具，篡改後程式僅提供一個引數：-genkeypair。無論是否傳遞此引數，updata.exe都會釋放一個公鑰在當前目錄用於干擾判斷。釋放公鑰後便進入了真正的惡意程式碼。此樣本未進行程式碼混淆，但採用了多種反除錯/反虛擬機器技術及欄位加密，動態解密部分我們後面的“在反逆向跟蹤分析”一節詳細描述。

0x03 C2C

---

updata.exe 是一個Trojan Downloader，利用執行mshta.exe 從以下C2C下載檔案。遺憾的是我們沒有獲取到更多的payload資料。

透過VirusBook的威脅分析平臺，我們可以看到攻擊者使用的Manage-163-account.com域名註冊於2015年9月30日， IP解析為82.221.129.16. 伺服器位於冰島。

域名威脅情報分析：

域名IP變化：

Whois資訊變化：

視覺化分析：

0x04 反逆向跟蹤分析

---

updata.exe並沒有進行程式碼混淆和加殼。木馬對其所有的欄位都進行了加密處理。目的是為了反檢測，增加逆向分析的難度。同時它還採用了動態解密，對解密記憶體重置，目的也是為了起到反記憶體跟蹤分析，增加逆向分析難度。

讓我們來看一個具體例項：

m_CreateFileA的所有引數均為Decryption函式動態解密生成，而API函式CreateFileA的呼叫也是透過在一個加密函式表中查詢並解密後呼叫。

gEncWinDlls與gEncApis兩張表中的加密字串被傳遞給Decryption函式進行解密，最後動態解密的字串會透過DynMem_Erase函式重置，這樣做起到了反記憶體dump擷取的分析。

DynMem_Erase 用來重置解密後的記憶體

0x05 反沙箱及反檢測技術

---

updata.exe也用到了很多反沙箱技術，透過檢測各種系統環境來判斷是否有沙箱存在，比如： 查詢是否執行模組存在如下路徑：

查詢是否執行程式包括如下關鍵字：

查詢是否當前程式匯出表中所有模組存在以下函式：

查詢是否當前系統使用者名稱包含以下關鍵字：

查詢是否系統中有如下程式關鍵字：

0x06 攻擊組織的“駭客畫像”

---

隨著對此攻擊事件的目標、工具、手法和過程更詳細的分析，我們發現其特點和Darkhotel團伙驚人的一致。
Darkhotel APT攻擊團伙的蹤跡最早可以追溯到2007年，其從2010年開始更多的利用企業高管在商業旅行中訪問酒店網路的時機，進行APT攻擊來竊取資訊。因此在2014年卡巴斯基釋出針對此團隊的研究報告時，將其命名為“Darkhotel”。此團伙攻擊目標集中在亞太地區開展業務和投資的企業高管（如：CEO、SVP、高管及高階研發人員），攻擊的行業包括大型電子製造和通訊、投資、國防工業、汽車等。但從2014年開始，該組織更多的利用魚叉式攻擊。

此團隊擁有充沛的資源，多次使用零日漏洞（特別是Flash型別）來進行攻擊，並規避最新的防禦措施，同時也會盜竊合法的數字證書為後門軟體及監聽工具進行簽名。如果有一個目標已經被有效感染，往往就會從作案點刪除他們的工具，進而隱藏自己的活動蹤跡。從其行動特點看，具有極高的技術能力及充沛的資源。
我們對此次事件和暗駭客棧（Darkhotel）的特點進行了對比，認為有充足理由認定其就是始作俑者。

0x07 小結

---

綜合微步線上掌握的情報線索及合作伙伴資料，我們可以肯定Darkhotel這個存在了至少9年的網路犯罪組織，具備豐富的技術、資金及人力資源（2010-2014年之間善於利用酒店網路進行攻擊，但從2014年開始，更多的使用Flash 0day進行魚叉式攻擊），目標集中針對亞洲特別是中國的企業，手法靈活多變且注重反檢測對抗，可以發起多種傳統檢測技術難以檢測的攻擊。因此需要國內企業及安全同行引起足夠的重視。我們建議大家使用附錄中功能提供的IOC資料，對其活動進行檢測及歷史追溯，以儘早消除風險、保護企業的關鍵業務和資訊。

0x08 致謝

---

感謝VirusBook合作伙伴安天、百度防毒、騰訊電腦管家、360防毒、瑞星、金山、雲堤、微軟、趨勢、卡巴斯基、小紅傘、AVG、Dr.Web、火絨、IKARUS、Sophos、ClamAV、Avast!、Panda、Gdata、ESET等

附錄：IOC

一、 利用CVE-2015-8651漏洞的SWF檔案 (MD5)：

• f74b90e77f38a06ff3f48d6de182a45a
• 06d9330a56373d4bc4f57e28b8827ed5

二、 SWF下載的木馬檔案(MD5)：

• 5f4c355c95927c5712e9deacd31a2fa8
• abda7ced5fddf2339d076d62a6b91d4e
• d8a06811385e0fd463f215a43b366169
• 3acdef50a42d038de579f5ced74eb97f
• a5ec201b518ce52c50cd8175ad79d5ea
• eac466fb9be8f98c29bfe513949f2ab5
• d0399ca4c86909bc03ccf470534264c5

三、 C2C 域名:

• manage-163-account.com