󰅡收起

Yu1u Security Club

08
八月

白象的舞步——来自南亚次大陆的网络攻击

作者: 雨路
分类: 深度资讯
发布时间: 2016-08-08 09:45


安天实验室安全研究与应急处理中心(Antiy CERT)

PDF报告下载

概述

在过去的四年中,安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和伪装,我们依然可以将其推理回原点——来自南亚次大陆的某个国家。尽管我们积极地提醒和协助我们的客户进行改进防护,并谨慎而有限地披露信息、给予警告,但这种攻击并未偃旗息鼓,恰恰相反,其却以更高的能力卷土重来。

安天本报告披露其中两组高频度攻击事件,尽管我们尚未最终确定这两个攻击波的内在关联,但可以确定的是其具有相似的目的和同样的国家背景,我们将其两组攻击统称为——“白象行动”

1.1 第一攻击波的概况

2012~2013年,安天陆续捕获了来自白组织的多次载荷投放,此后依托关联信息同源分析,找到了数百个样本,这些样本多数投放的目标是巴基斯坦,少数则针对中国的高等院校和其他机构。20137月,安全厂商Norman所发布的报告,将这一攻击称为HangOver[1]

安天技术负责人在20144月在《中国计算机学会通讯》发表的《反病毒方法的现状、挑战与改进》 [2] 一文中,披露了安天捕获到的该组织针对中国的攻击事件:

 “从20123月起,我们已经陆续捕获了该事件的一些相关的样本。而这些样本对应的网络事件非常稀少,呈现出高度定向的特点。”安天在文章中披露了其中6个相关的样本HASH和被攻击的目标——中国的两所高等院校。在2014年的中国互联网安全大会上,安天在题为《APT事件样本集的度量》[3] 的公开报告中,对这个事件做了首次全面披露。20148月,安天完成了报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》 [4] ,并将这一攻击组织中文命名为 “白象”。

为区分两个不同的攻击波,我们将2012~2013年高度活跃的这组攻击,在本报告中称之为“白象一代”。“白象一代”投放了至少近千个不同HASHPE样本,使用了超过500C&C域名地址;其开发人员较多,开发团队技能混杂,样本使用了VCVB.netAutoit等多种环境开发编译;同时其未使用复杂的加密算法,也未发现使用0day漏洞和1day的漏洞,而更多的是采用被部分中国安全研究者称为“乱扔EXE”的简易社会工程学——鱼叉式网络钓鱼攻击。PE免杀处理是该攻击组织所使用的主要技巧,这也是使这组攻击中的PE载荷数量很大的原因之一。在2015616日的中国反病毒大会上,安天做了题为《A2PT与“准APT”事件中的攻击武器》 [5] 的技术报告,并把这组攻击划分为轻量级APT攻击。

1.2 第二攻击波的概况

在第一攻击波发生后,具有相关基因特点的攻击载荷开始减少,2014年活跃度开始明显下降。直到2015年年底,安天又发现一组来自“西南方向”的攻击进一步活跃,通过持续跟踪发现本次行动的攻击主要目标依然为中国和巴基斯坦,通过安天监控预警体系分析发现,中国的受攻击者主要为教育、军事、科研等领域。

第二攻击波的行动摆脱了“白象一代”杂乱无章的攻击手法,整体攻击行动显得更加“正规化”和“流程化”。第二攻击波普遍使用了具有极高社工构造技巧的鱼叉式钓鱼邮件进行定向投放,至少使用了CVE-2014-4114CVE-2015-1641等三个漏洞;其在传播层上不再单纯采用附件而转为下载链接、部分漏洞利用采取了反检测技术对抗;其相关载荷的HASH数量则明显减少,其中使用了通过Autoit脚本语言和疑似由商业攻击平台MSF生成的ShellCode;同时其初步具备了更为清晰的远程控制的指令体系。

我们将这组攻击称为“白象二代”,我们尚无证据表明“白象一代”和“白象二代”组织间存在人员交叉。从整体上来看,“白象二代”相比“白象一代”的技术手段更为高级,其攻击行动在整体性和技术能力上的提升,可能带来攻击成功率上的提升。而其采用的更加暴力和野蛮的投放方式,使其攻击次数和影响范围远远比“白象一代”更大。”

“白象二代”的技术手法相比“白象一代”有质的提升,其更符合某些研究者对于APT攻击的“技术定义”, 但安天始终要指出,APT的“A(高级)”是相对的,是否称为APT攻击,主要是分析攻击的发起方与其动机和意志,而所谓技术水平则不是定性的主要因素。同时,无论是“白象一代”轻量级的攻击,还是“白象二代”显得更为高明的攻击,对于中国庞大的信息体系,特别是针对高等院校等民用机构,构成了严重的威胁。

2白象一代——HangOver的样本、目标与源头分析

2.1 概述

安天在2012年获取导向相关的载荷最早的投放行为曾淹没于其他海量的安全事件中,并未将相关事件判定为APT攻击。因此需要感谢安全厂商Norman20137月所发布的报告《OPERATION HANGOVER |Executive Summary——Unveiling an Indian Cyberattack Infrastructure[1] Norman在上述报告根据在分析中发现的原始工程名“HangOve”,将此事件命名为“HangOver”。这组事件即是安天称为“白象一代”的行动。这让安天反思过去在发现和追踪APT攻击中,过度考虑攻击技巧和漏洞利用的问题,并开始针对周边国家对中国攻击检测有了新的方法和视角。

安天认为“白象一代”组织中人员较多,人员能力参差不齐,采用开发编译器混杂,作业相对混乱。通过安天后端分析平台的关联统计,查找到该攻击组织的相关样本910个,其模块功能包括键盘记录、下载器,信息窃取等,相关样本最新的版本号为HangOver 1.5.7 (Startup)。并根据分析判断相关组织针对中国高等院校等目标实施了攻击行动。

2.2  样本与资源分析

安天CERT的研究人员对安天的全样本集,制定了针对四种编译二进制文件的关联方法(Method A~D),对样本的动静态信息进行向量比对和关联。对于提取出的样本结果集合,安天CERT研究人员又基于代码结构的对比进行了误报排查,最终在已经被其他分析方认定的样本之外,发现了更多样本。

2 1 使用不同方法关联出的新的样本比例

2 2 “白象一代”挖掘到的关联样本的编译器分布

其中,使用Autoit编译的样本29个,VB编译的样本189个,VC编译的样本127个。

注:Autoit是一个用于编写自动化脚本的语言,其编写的脚本可以编译成压缩、单一的可执行文件,这样就如同其他编译器生成的PE文件一样,可以脱离开发环境,运行于Windows系统。

同时,安天CERT也对样本所使用的C&C IP进行了地理位置对应:

2 3 “白象一代”C&C对应的地理位置

通过对部分样本的时间戳及编译器数据的对比可以发现,“白象一代”的样本编译时间在2010年下半年到2011年下半年之间的数量最多;2010年上半年的数量较少,属于开始阶段;2012年上半年开始下降,属于收尾阶段。

注:Delphi编译器的样本未加入到对比中,这是因为Delphi时间戳在统计分析中未体现出足够价值。

2 4 “白象一代”不同编译器样本的时间戳情况

2.3       对中国境内目标的攻击

2.3.1   攻击样本与事件

安天在2014年4月相关文章中,所披露的针对中国两所大学被攻击的实事件,涉及以下六个样本。

捕获时间 样本hash列表 样本编号
2012-08-10 0D466E84B10D61031A62AFFCFFF6E31A Sample 1
2012-10-21 734E552FE9FFD1FFDEA3434C62DD2E4B Sample 2
2012-07-24 9A20F6F4CDDEABC97ED46AEE05AC7A50 Sample 3
2012-07-06 CE00250552A1F913849E27851BC7CF0A Sample 4
2012-09-24 DE81F0BDBD0EF134525BCE20B05ED664 Sample 5
2012-08-01 F37DD92EF4D0B7D07A4FBDCD9329D33B Sample 6

“白象一代”对中国两所高校攻击的时间链:

2 5 “白象一代”攻击中国两所大学的6个样本的时间戳与安天捕获时间对比

视频链接:http://v.youku.com/v_show/id_XMTYzOTI3MzQ5Ng==.html

2 6 “白象一代”针对中国高等院校的载荷投放攻击与数据控制获取的地理场景可视化复现

2.3.2   样本情况与作业技巧

在上述攻击中,“白象一代”至少使用了6个样本,这些样本采用不同的编译器(含版本)编译,其中有4个未加壳,有2个使用了UPX壳。

2 1 “白象一代”使用的6个样本介绍

  编译器 主要行为 回连地址
Sample 1 Microsoft Visual Basic 5.0 / 6.0 释放的VBScript脚本,脚本执行后连接远程服务器zolipas.info。(域名失效) http://zolipas.info/advd
Sample 2 Microsoft Visual Studio .NET 2005 — 2008 运行后将以下文件设置为Run自启C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\slidebar.exe,记录键盘信息并上传。 http://linkspectra.com/k1.php
Sample 3 UPX Dev-C++ 4.9.9.2 运行后在C:\ApplicationData\Prefetch\ 目录下生成log.txt文件,不断的记录键盘、窗口标题、浏览器搜索内容、计算机用户名等信息。
Sample 4 UPX Microsoft Visual C++ 7.0 运行后试图创建csetup32.dll,但未成功。

链接域名secureplanning.net欲下载其他恶意代码(URL失效)。

http://secureplanning.net/download/logo2.jpg
Sample 5 Microsoft Visual Studio .NET 2005 — 2008 运行后在

c:\Documents and Settings\Administrator\Local Settings\Application Data\NTUSR\目录下创建文件ntusr1.ini,记录用户打开的窗口标题。

不断地上传样本3记录的信息log.txt

http://periodtable.eu/starx.php
Sample 6 Dev-C++ 4.9.9.2 样本运行后在C:\ApplicationData\ 目录下释放logFile.txt文件,收集各种相关扩展名文档名称

2 7 样本与资源间的关联

其中有5个样本投放至同一个目标,这些样本间呈现出模块组合作业的特点。4号样本是初始投放样本,其具有下载其他样本功能;3号样本提取主机相关信息生成日志文件;5号样本负责上传;6号样本采集相关文档文件信息;2号样本则是一个键盘记录器。

2 8 样本的组合模块作业方式

通过对比安天捕获上述样本时各杀毒引擎的检测情况,以及到Norman曝光此事件后各引擎的检测情况,可见该攻击组织使用了一定的免杀技巧。

2 9 样本在捕获时和被曝光时的扫描对比

2.4 样本中的典型组件分析

“白象一代”样本集中包括了多个功能组件,包括:

组件名 功能
Keyloger 键盘记录
download 下载
Upload 上传
http backup HTTP上传
FTP backup FTP上传
Usb  Propagator U盘摆渡
Mail Password Decryptor 邮件口令解密

因报告篇幅所限,我们仅分析其中的窃密组件。这一组件主要功能是遍历磁盘中敏感文件(指定扩展名的文件)、主机信息等,并上传到攻击者指定的服务器中。

2.4.1          样本标签

病毒名称 Trojan/Win32.Uploader
原始文件名 Hangover1.5.9.exe
MD5 0e9e46d068fea834e12b2226cc8969fd
处理器架构 X86-32
文件大小 28,9208 Bytes
文件格式 BinExecute/Microsoft.EXE[:X86]
时间戳 2012-09-13 13:09:03
编译语言 Microsoft Visual C++

2.4.2 功能描述

l  遍历磁盘文件,上传敏感文件及主机信息到服务器;

l  添加启动项;

l  遍历敏感文件(*.doc;*.docx;*.xls;*.ppt;*.pps;*.pptx;*.xlsx;*.pdf);

l  上传文件到服务器;

l  生成上传文件列表;

l  文件上传前,规则化重命名文件;

l  获取电脑主机信息;

l  在当前用户以及所有用户启动文件夹中添加启动项。

2.4.3 功能分析

该样本遍历用户磁盘文件,上传遍历到的指定扩展名文件:

*.doc;*.docx;*.xls;*.ppt;*.pps;*.pptx;*.xlsx;*.pdf

每获取一个文件,在文件上传之前会先获取文件时间,转换为标准时间后和源文件名一起组成新的名字,作为上传的文件名。主要的函数代码如下:

2 10 重命名的格式:[原有文件名称(无后缀)+文件时间+后缀]

样本获取到受害主机的所有指定扩展名的文件后,回传到指定的服务器,回传的主要流程如下:

2 11 回传流程

2.5   攻击来源与攻击目标的分析

2.5.1 样本集中其他对中国有针对性的样本分析

2 2 样本标签

病毒名称 Trojan/BAT.Zapchast.at
原始文件名 未知
MD5 13107B9455561E680FE8C3B9B1E8BC37
处理器架构 X86-32
文件大小 29,4905字节
文件格式 ZIP
时间戳 2011-05-28 16:04:38
数字签名
加壳类型 ZIP SFX
编译语言 Microsoft Visual C++ 6.0
VT扫描结果 40 / 51

样本使用PDF图标进行伪装,运行后衍生多个文件到系统目录并运行,同时显示一张图片(如图2-12)该图片为中国法院的判决书,以迷惑用户。衍生文件会添加注册表开机启动,记录用户键盘输入并回传至远程服务器。

因篇幅有限,请下载pdf电子版阅读!

本文出自 Yu1u Security Club ,转载时请注明出处及相应链接。

本文永久链接: https://www.yu1u.org/post/101.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注