0x00 簡介

---

這個簡短的報告介紹了一系列針對以色列和巴勒斯坦的攻擊行為，透過惡意檔案為傳播源對大量的具有影響或者政治相關的組織，透過我們的調查，之前並無行為上與此相同的apt記錄。不過還是可以找到一些相似的攻擊行為。link to (1](2]

話說那是一個2014年的夏天，我們在一些小型的基礎設施中獲得了惡意樣本，這些行為表明，攻擊者是窮逼，或者被限制了可利用的資源。

最初我們對檔案 ecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9 進行了分析，並且push到了 malwr.com (3]進行自動分析。順帶說下該樣本的原名為Israel Homeland Defense Directory 2015 _Secured_.exe 一旦執行會顯示如下介面。

實際上最初的檔案是一個rar的自解壓檔案，包含三個元件，事實上後期我們的分析師表示這種惡意軟體不屬於原來熟知的一些用於apt惡意軟體型別，我們進行了進一步的分析希望瞭解其的目的，細節，與攻擊目標。

0x01 進一步分析

---

該型別的惡意軟體最常見的方式是打包成一個rar壓縮包，當然並不是僅限於此，攻擊者也使用了一些別的手法，比如 Visual Basic 打包，和原始的安裝包，我們認為傳播的途徑是將惡意軟體push到第三份下載站點。下面的圖顯示了一些相關的資訊

Pomf.se是一個總部設定在瑞典的小型檔案共享和託管站點，使用一些小型站點作為傳播途徑似乎是他們的特徵之一，同樣的我們也從其他的一些小型站點上發現了類似的惡意軟體，並且都是可執行檔案。我們先對惡意檔案SHA256雜湊檔案ecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9 進行了分析。

我們選擇了一個名稱DownExecute用來指代惡意軟體，同時我們對其所有變體進行了確認，下面的圖片是共同的打包模式，此外的curl被用於網路連線，或者說用於下載最終的惡意軟體。

另外的發現是其中的一些二進位制檔案進行了自簽名

那麼，這個惡意軟體能做什麼，事實上他的作用只是一個下載器，同時用於進行本地環境的一個檢查，其中包括了debugging的檢查，使用一個叫IsDebuggerPresent的函式，檢查是否存在VirtualBox，透過檢查路徑.\VBoxMiniRdrDN。

同時還檢查了一系列的反病毒軟體的存在，檢查甚至包括了存在單詞'security'的程式。

之後惡意軟體會開始解密自身的一些資料，其中包括了攻擊者的控制伺服器。

同時惡意軟體會開始連線攻擊者伺服器，同時會在同一個資料夾建立一個明文文字開始記錄日誌。。。。。(mlgb.....)

就其初步得到的資訊我們可以看出，downloadexcute的作用就跟其名字一樣，用於下載另一個惡意軟體並且執行，因為其本身的攻擊行為幾乎沒有，downloadexcute像是給攻擊者用來站穩腳跟的工具，只有downloadexcute成功了，才會進行下一步入侵。

如上，我們進行了大量的調查，在一些基礎設施中發現了一些功能更加全面的惡意軟體屬於Xtreme RAT和Poison Ivy家族並且使用與downloadexcute相同的域名，我們可以認為其屬於在downloadexcute之後第二階段的而已軟體。其中觀察到的Poison Ivy使用admin2014和 admin!@#$%作為密碼

我們對其中連線的域名進行了調查，不過絕大多數連線的域名為動態域名。主要關聯到no-ip.com。透過PwC情報小組的追蹤，關聯到一些中東的一些規模較小的惡意行為，透過對這些的調查，我們使用了Maltego進行了威脅視覺化。

這次的攻擊行動與以往的稍許不同，從以往監控到的對於中東的駭客行動，我們已經熟悉其中大部分的ip，相對與一些常被用於用於的主機商，這次主要指向貝里斯的Host Sailor。

如我們之前的報告中提到的(5]，攻擊者習慣使用與目標看起來相似的域名，來其看起來稍微正常一些。基於此我們做了一些簡單的分析用於這次的目標識別。對於具體的list可以參閱附錄B。

從上面的資訊中我們判斷，攻擊目標可能以以色列的新聞媒體為主。

之後我們對文件的內容進行了調查，其中的部分文件顯然是針對以色列為主的，以軍事，政治為主題。

其檔案的主題關聯到巴勒斯坦解放組織領導人Abbas，可以看出攻擊者預計目標會使用流利的阿拉伯語。

0x02 結論

---

事實上，我們無法斷定這次的攻擊是特別針對中東地區發起的，不過其中的幾個行為模式可以給我們一些提醒。

• 不明白為什麼這麼喜歡使用no-ip.com和其相關的服務。不過我們發現阿拉伯地下論壇中的幾個駭客特別推薦使用no-ip的服務。
• 使用公開的惡意軟體，而不是自己寫一個 (such as Poison Ivy/Xtreme RAT)
• 目標似乎侷限於中東，或者說以色列的一些敏感問題。
• 密碼模式，之前Fireeye的一篇博文(7]顯示了一個團體MoleRats，使用 Poison Ivy 和Xtreme RAT，使用!@#GooD#@!,或者說是!@#作為密碼的模式。

不過攻擊者選擇自行開發dropper可能表明瞭如何進入系統是他們最大的問題，(畢竟是可執行。。。),我們能找到最早的樣本在2014年6月編譯，之後陸續發現的其他樣本，都在不久之前進行編譯，我們相信這種攻擊還會持續12個月。

附錄A

---

SHA256

8993a516404c0dd62692f3ce5055d4ddee7e29ad4bb6aa29f67114eeeaee26b9

bfe727f2f238f11eb989e5b76efd24ad2b41df3cf7dabf7077dfaace834e7f03

dad34d2cb2aa9662d4a4148481ae018f5816498f30cc7aee4919e0e9fe6b9e08

2cb9df0d52d09c98f0a97ce71eb8805f224945cadab7d615ef0257b7b09c80d3

f53fd5389b09c6ad289736720e72392dd5f30a1f7822dbc8c7c2e2b655b4dad9

1d533ddaefc7859a3f6c6751114e895b7aa5935eb0ed68b01ec61aa8560ae3d9

95b2f926ae173ab45d6dac4039f0b91eb24699e6d11b621bbcebd860752e5d5e

da63f6392ce6af83f6d944fa1bd3f28082345fec928647ee7ef9939fac7b2e6c

a7aeeead233fcdfe1c7475db982497a82d8ae745ec1c58bd87215e8869c3f9e4

2eb7aa306551d693691d14558c5dc4f6d80ef8f69cf466149fbba23953c08f7f

e945b055fb4057a396506c74f73b873694125e6178a40d10cabf24b2d89d598f

c9e084eb1ce1066ee063f860c13a8f7d2ead97495036855fc956dacc9a24ea68

047e8d542e2fcdf0f4dd45e2b19848771d01abc90d161d05242b79c52cdd248d

25e6bf67410dffb95c527c19dcff5223dbc3bf4c987650e45fbea1267072e8ff

b0edbd0f44df72e0fad3fb73948444a4df5143ed954c9116eb1a7b606841f187

da63f6392ce6af83f6d944fa1bd3f28082345fec928647ee7ef9939fac7b2e6c

de3e25a69ba43b9f236e544ece7f2da82a4fafb4489ad2e263754d9b9d88bc5c

ecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9

f969bf3b7a9821b3b2d5de889b5af7af25972b25ba59e4e9439f87fe90f1c404

14be3a9a2a4261cb365915e720486a0632dbebb06fe68fb669ae67aa9b18507b

488ba22d6cb8c9b0310c58fa4c4739692cdf45676c3164b357314322542f9dff

b3a47e0bc0af49b46bc0c1158089bf200856ff462a5334df2b5c11e69c8b1ada

324ce011b913feec4adb916f32c743a243f07dccb51b49c0122c4fa4a8e2bded

d6df5943169b48ac58fc28bb665fe8800c265b65fff8a2217b70703a4d3a7277

88e7a7e815565b92af81761ae7b9153b7507677df3d3b77e8ce68787ad1826d4

f51d4155534e10c09b531acc41458e8ff3b7879f4ee7d3ee99f16180c4caf0ee

b3a47e0bc0af49b46bc0c1158089bf200856ff462a5334df2b5c11e69c8b1ada

bc846caa05939b085837057bc4b9303357602ece83dc1380191bddd1402d4a2b

附錄b 控制伺服器

---

過長 請參考原文。

附錄c 簽名

---

Yara

rule DownExecute_A

{

meta:

       author = "PwC Cyber Threat Operations :: @tlansec"

       date = "2015-04"

       reference = "http://pwc.blogs.com/cyber_security_updates/2015/04/attacks-against-israeli-palestinian-interests.html"

       description = “Malware is often wrapped/protected, best to run on memory”



strings:

       $winver1 = "win 8.1"

       $winver2 = "win Server 2012 R2"

       $winver3 = "win Srv 2012"

       $winver4 = "win srv 2008 R2"

       $winver5 = "win srv 2008"

       $winver6 = "win vsta"

       $winver7 = "win srv 2003 R2"

       $winver8 = "win hm srv"

       $winver9 = "win Strg srv 2003"

       $winver10 = "win srv 2003"

       $winver11 = "win XP prof x64 edt"

       $winver12 = "win XP"

       $winver13 = "win 2000"



       $pdb1 = "D:\\Acms\\2\\docs\\Visual Studio 2013\\Projects\\DownloadExcute\\DownloadExcute\\Release\\DownExecute.pdb"

       $pdb2 = "d:\\acms\\2\\docs\\visual studio 2013\\projects\\downloadexcute\\downloadexcute\\downexecute\\json\\rapidjson\\writer.h"

       $pdb3 = ":\\acms\\2\\docs\\visual studio 2013\\projects\\downloadexcute\\downloadexcute\\downexecute\\json\\rapidjson\\internal/stack.h"

       $pdb4 = "\\downloadexcute\\downexecute\\"



       $magic1 = "<Win Get Version Info Name Error"

       $magic2 = "P@$sw0rd$nd"

       $magic3 = "[email protected]"

       $magic4 = "|*|123xXx(Mutex)xXx321|*|6-21-2014-03:06PM" wide



       $str1 = "Download Excute" ascii wide fullword

       $str2 = "EncryptorFunctionPointer %d"

       $str3 = "%s\\%s.lnk"

       $str4 = "Mac:%s-Cpu:%s-HD:%s"

       $str5 = "feed back responce of host"

       $str6 = "GET Token at host"

       $str7 = "dwn md5 err"



condition:

       all of ($winver*) or

       any of ($pdb*) or

       any of ($magic*) or

       2 of ($str*)

}

Network IDS

alert http any any -> any any (msg:"--[PwC CTD] -- Unclassified Middle Eastern Actor - DownExecute URI (/dw/gtk)";  flow:established,to_server; urilen:7; content:"/dw/gtk"; http_uri;  depth:7; content:"GET" ; http_method; content:!"User-Agent:"; http_header; content:!"Referer:"; http_header; reference:md5,4dd319a230ee3a0735a656231b4c9063; classtype:trojan-activity; metadata:tlp WHITE,author @ipsosCustodes; sid:99999901; rev:2015200401;)



alert http any any -> any any (msg:"--[PwC CTD] -- Unclassified Middle Eastern Actor - DownExecute URI (/dw/setup)";  flow:established,to_server; urilen:>8; content:"/dw/setup"; http_uri;  depth:9; content:"POST" ; http_method; reference:md5,4dd319a230ee3a0735a656231b4c9063; classtype:trojan-activity; metadata:tlp WHITE,author @ipsosCustodes; sid:99999902; rev:2015200401;)



alert http any any -> any any (msg:"--[PwC CTD] -- Unclassified Middle Eastern Actor - DownExecute Headers";  flow:established,to_server; urilen:>7; content:"Accept */*";  http_client_body; content:"Content-Type: multipart/form-data\; boundary=------------------------"; http_header; content: "ci_session="; http_cookie; depth:11; content: "POST"; http_method; content:!"Referer:"; http_header; content:!"User-Agent:"; http_header; reference:md5,4dd319a230ee3a0735a656231b4c9063; classtype:trojan-activity; metadata:tlp WHITE,author @ipsosCustodes; sid:99999903; rev:2015200401;)

(1] https://github.com/kbandla/APTnotes/blob/master/2012/Cyberattack_against_Israeli_and_Palestinian_targets.pdf

(2] https://www.fireeye.com/blog/threat-research/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html

(3] https://malwr.com/analysis/N2I1YmExMjNkMmM3NGQwMThlNjg5YmI4OGY3Mjc3ZmI

(4] http://curl.haxx.se

(5] See CTO-TAP-20140328-01B or http://pwc.blogs.com/cyber_security_updates/2014/12/apt28-sofacy-so-funny.html for examples of this.

(6] http://pwc.blogs.com/cyber_security_updates/2015/04/attacks-against-israeli-palestinian-interests.html#_ftnref6

(7] https://www.fireeye.com/blog/threat-research/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html