• 欢迎访问安全专题网站,安全专题信息,安全专题教程,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入安全专题 QQ群
  • 安全专题现已支持滚动公告栏功能,兼容其他浏览器,看到的就是咯,在后台最新消息那里用li标签添加即可。
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏安全专题吧

蔓灵花攻击行动(简报)

安全技术 网络收集 2年前 (2016-12-26) 400次浏览 0个评论

一、概述

美国网络安全公司 Forcepoint 近期发布了一篇报告,该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式,在受害者计算机中植入了定制的 AndroRAT,意图窃取敏感信息和资料。Forcepoint 研究人员认为该组织与 BITTER 相关,而且可能还不止发起了这一起攻击事件。BITTER 攻击始于 2013 年 11 月,且多年来一直未被检测到,目前攻击者背景尚未明确。相关 APP 信息包括提供关于印度和巴基斯坦之间的争议地区新闻的 Kashmir News 等。

基于 360 拥有的大数据资源,我们针对该事件进行了进一步分析,我们发现中国地区也遭受到了相关攻击的影响,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。截至目前我们已捕获到了 33 个恶意样本,恶意样本涉及 Windows 和 Android 多个平台,恶意样本的回连域名(C&C)共 26 个。

从这次攻击事件与近期发布的摩诃草、索伦之眼,以及之前的伊朗核电站、乌克兰电网断电等事件,我们看到网络空间的争夺成为了大国博弈的焦点,APT 作为一种行之有效的手段不断在各类对抗中出现;随着 APT 对抗烈度的增加,跨平台的攻击将会成为主流,而不再聚焦在单一的 Windows 平台,包括移动设备、智能硬件、工业控制系统、智能汽车等多种平台都会成为攻击者的目标或跳板;面对国家之间的网络安全对抗和日益复杂的攻击事件,单一的安全防护设备不再能够有效的针对攻击进行检测与响应,只有通过协同纵深的防御体系,才能有效应对日益变化的高级威胁。

二、国内受影响情况

活跃时间:

从恶意样本的时间戳来看,国外样本最早出现在 2013 年 11 月,样本编译时间集中出现在 2015 年 7 月至 2016 年 9 月期间。国内感染用户的样本的编译时间集中在 2016 年 5 月到 9 月期间,其网络活动的活跃时间集中在 9 月份,其 CC 至今依然存活。

主要受影响单位:

中国某国家部委

中国某工业集团

中国某电力单位

三、鱼叉式邮件攻击

我们的研究人员发现,该组织经常使用鱼叉邮件攻击的手法,鱼叉邮件中包含 Word 漏洞文档来诱导用户点击,其使用的漏洞是 Office 的经典漏洞 CVE-2012-0158。

用户点击之后,漏洞文档中的 Shellcode 被执行,调用 URLDownloadToFileA 从指定的网址中下载木马程序,使用 CMD 命令重命名后执行,实现 RAT 的下载安装。

除了基本的漏洞文档,还有图标伪装成图片文件的 exe,诱导用户进行点击,exe 执行后释放图片并下载安装 RAT 程序。

漏洞文档的文件名列表如下:

蔓灵花攻击行动(简报)

蔓灵花攻击行动(简报)

图 1 诱饵图片文件

蔓灵花攻击行动(简报) 蔓灵花攻击行动(简报)

图 2 漏洞文档中的 shellcode

四、后门程序分析

Windows 端

Windows 平台上运行程序目前发现的有三大类,第一类是 Downloader 程序,当用户触发漏洞文档时,最先从 CC 上下载 Downloader 并且执行;第二类是后门程序 FileStolen,功能较简单,意在窃取文件;第三类是具有完整功能的 RAT,其有各种功能,体积较大。

DownLoader

样本 MD5:         c195****************************

技术细节

首先,程序运行时检测路径是否是在%UserData%/AddData/Roaming 下,如果不是的话,拷贝自身到%UserData%/AddData/Roaming 目录,名称为 tasklist.exe,添加此路径到注册表 HKCU/Software/Microsoft/Windows/Currentversion/Run 启动项,并启动 tasklist.exe

当在%UserData%/AddData/Roaming/tasklist.exe

目录下启动时,检查 C:/ProgramData/VWDLR.cab 文件,没有的话,向服务器发送上线包,服务器返回版本号,将版本号写入此文件。

蔓灵花攻击行动(简报)

然后连接 C&C 的 80 端口,向服务器请求命令,当服务器返回的命令为 DWN 时,下载 RAT 模块并启动。

命令: NLL (无操作)

蔓灵花攻击行动(简报)

FXAPIFile.logs 文件内容,数据包内容为 PE 文件,文件名为 lsass.exe

蔓灵花攻击行动(简报)

启动 RAT 的代码

蔓灵花攻击行动(简报)

FileStolen

样本 MD5 0b2c****************************

功能概述

该程序的主要功能为文件窃取,窃取指定逻辑磁盘下指定文件名的文件并且上传的到 CC 服务器。

蔓灵花攻击行动(简报)

窃取的文件类型列表

蔓灵花攻击行动(简报)

图 3 程序执行的主要流程示意

详细分析

该程序的主要任务是进行文件窃取,其具体流程如下描述:

首先遍历目录下的文件

  1. 文件类型为文件夹
    1. 名称是”.”,”..”,”$recycle.bin”,”program files”,”windows”,”temp”,”system.sav”,”wwwroot”之一,遍历当前目录下一个文件
    2. 不是,拼接对应路径,递归调用本函数
  2. 文件类型是文件
    1. 后缀不是”txt”,”ppt”,”pptx”,”pdf”,”doc”,”docx”,”xls”,”xlsx”,”zip”,”7z”,”rtf”
    2. 后缀是,检测 list 文件是否已存在
      1. 不存在,调用发送文件函数。如果成功,将信息“文件名-系统时间”添加到文件 tmp1,upd,ucopy 中
      2. 存在,检测列表中“文件名-系统时间”是否已存在当前的文件
        1. 存在,把当前“文件名-系统时间”信息添加到 tmp1 文件中
        2. 不存在,调用发送文件函数。如果成功,将信息“文件名-系统时间”添加到文件 tmp1,upd,ucopy 中

3. 遍历当前目录下一个文件

完成文件窃取后,其会通过 POST 的方式将文件上传到 CC 服务器中。报文的格式如下表。

蔓灵花攻击行动(简报)

RAT

样本 MD5:d195****************************

功能概述

该程序是典型的后门程序,运行后通过写入注册表实现自启动,与 CC 建立链接并且执行 CC 的命令。

蔓灵花攻击行动(简报)

详细分析

病毒程序伪装信息,尝试伪装成 Microsoft Printer Spooling Service

蔓灵花攻击行动(简报)

有的样本带有不受信任的数字签名

蔓灵花攻击行动(简报)

程序首先尝试在 C:/ProgramData/Microsoft/DeviceSync 下创建名为 temp.txt 的文件,创建失败则调用 SHGetFolderPath 获取 CSIDL_APPDATA 的路径。

之后程序创建名为 mpss 的窗口,并以隐藏的方式启动。

蔓灵花攻击行动(简报)

程序通过调用 GetEnvironmentVariableA 通过参数 ComSpec 获取当前系统 cmd 的路径,之后通过该 cmd 路径执行 cmd 命令 reg add 在注册表

Software/Microsoft/Windows/Currentversion/Run

下添加名为 MPSpoolingService 的表项,并将以下路径添加到键值中实现自启动。

蔓灵花攻击行动(简报)

再次调用 cmd copy 命令,将自身复制到如下位置并重命名

C:/Documents and Settings/Administrator/Application Data/mpss.exe

程序通过遍历系统进程文件名,查找包含字符串“avg”的进程,检测杀毒软件 avg 是否存在。

蔓灵花攻击行动(简报)

之后程序再次调用 cmd copy 将自身复制到如下目录中

C:/ProgramData/Microsoft/DeviceSync

程序会检测上述目录下是否有 mpsd.exe、mpst.exe 和 mpss.exe 是否存在,推测为不同的拷贝名称。

之后程序创建多个线程来与 CC 建立链接并循环接受消息执行命令。

蔓灵花攻击行动(简报)

与 CC 通信的报文有明显的头部标记串“BITTER1234”

蔓灵花攻击行动(简报)

发送的数据也经过简单的异或处理

蔓灵花攻击行动(简报)

程序对所使用的字符串数据使用了简单的加减或者是异或的方式进行加密处理,不同的样本中的加密方式是不同的,但是整体的流程框架是相同的。

蔓灵花攻击行动(简报) 蔓灵花攻击行动(简报)

调试过程中发现,程序会从 CC 接受指令,在目录

C:/Documents and Settings/Administrator/Application Data 下下载名为 igfxsrv.exe 的文件

※igfxsrv.exe 分析

该程序的主要内容为键盘记录,将用户的键盘操作记录在指定文件中。

蔓灵花攻击行动(简报)

Android 端

基本情况

样本:

448b****************************

8aff****************************

9edf****************************

功能概述

软件冒充正常应用,启动后上传用户信息,并监控用户操作

详细分析

  1. 监听” android.intent.action..BOOT_COMPLETED”广播,开机启动。

 

蔓灵花攻击行动(简报)

图 4 样本开机启动

2. 启动后立即开启异步线程 SystemInfo,然后启动 RAT 模块。

蔓灵花攻击行动(简报)

图 5 运行核心模块

3.  SystemInfo 首先上传如下数据:

  • 固件信息(Phone Number、IMEI、CountryCode、OperatorCode)
  • Sim 卡信息(SIM SerialNo、SIM OperatorName、SIM CountryCode)
  • 位置信息(GPS 定位、NetWork 定位)
  • 通讯录
  • 通话记录
  • 短信
  • Email

蔓灵花攻击行动(简报)

图 6  SystemInfo 上传固件信息

然后上传 SDcard 中的文件,其中 448b****************************、8aff****************************这两个样本上传的文件格式为:

“txt”,“doc”,“jpg”,“png”,“GIF”,“jpeg”

而 9edf****************************上传的文件主要是聊天纪录的数据库文件,比如 WhatsApp:

“db”,“crypt8”,“db.crypt8”。

蔓灵花攻击行动(简报)

图 7 上传 SDcard 中的 txt、doc 等文件

蔓灵花攻击行动(简报)

图 8 Http Post 方式上传短信数据

4. 启动 Android RAT 模块。 RAT 模块与 141.105.***.***这个 Ip 建立 Socket 连接,接受命令和参数,并把监控到的数据直接上传到 141.105.***.***。

蔓灵花攻击行动(简报)

图 9 启动 RAT 监控模块

蔓灵花攻击行动(简报)

图 10 RAT 各个功能模块

5. RAT 模块的命令号和对应功能如下

蔓灵花攻击行动(简报)

6. 分析过程中有个疑点,RAT 模块完全可以实现 SystemInfo 的上传功能。RAT 的 C&C 地址和 SystemInfo 不一样,且 RAT 的地址直接以 IP 地址方式硬编码。因此猜测,攻击者主要目的或许只是盗取目标用户的数据文件,不排除使用 RAT 迷惑分析员的可能性。

五、总结

网络安全成为国与国之间博弈的新战场。蔓灵花攻击的目标为国内某部委以及大型能源央企,意在窃取情报。这充分显示,随着我国“一带一路”等国家战略的逐步推进,给沿线国家及国际社会带来深远影响,一些境外有组织的黑客团队将会不断利用包括 APT 攻击等手段试图窃取相关情报或者实施破坏行为。类似“一带一路”、“军民融合”等战略方向,也是海莲花组织(APT-C-00)、摩诃草组织(APT-C-09)、APT-C-05、APT-C-12、APT-C-17 等这些攻击组织重点关注的领域。

从这个角度来看,“没有网络安全就没有国家安全”的论断具有很强的现实意义。可以说,网络空间成为大国博弈新的制高点,网络安全也成为国家安全的重要领域。网络安全对于国家的政治安全、经济安全、文化安全、军事安全都会产生深刻影响。

在 2016 年美国总统大选中,黑客组织利用 APT 攻击获得并泄露了美国民主党邮件和文件,给民主党总统候选人希拉里造成了极大的负面影响。APT 攻击对国家政治的影响由此可见一斑。2010 年攻击伊朗核电站的震网事件、2015 年末导致乌克兰大规模停电的攻击事件,更是对让我们每个人对 APT 攻击的现实危害有了深刻认识。

因此,我们认为,网络安全成为大国博弈的新战场,高级持续攻击也成为网络安全对抗的重要手段。当前世界范围内的网络监听、网络攻击、网络犯罪等此起彼伏,并向国防、经济、文化等多领域渗透。作为国家继陆海空天电之后的“第六疆域”,我们需要对网络空间严守以待。

移动平台攻击增加,跨平台攻击渐成趋势。本次捕获的蔓灵花攻击行动中,不仅有针对 Windows 目标的攻击,还有针对移动 Android 系统的攻击,黑客通过假冒应用侵入目标的移动设备,上传用户信息,并监控用户操作。

在传统 PC 时代,黑客组织的攻击目标和攻击链往往比较单一。随着移动与智能设备的广泛部署和应用,黑客组织的攻击目标逐步扩大,攻击链也更加复杂。移动与智能设备不仅是攻击目标,也可以在控制之后成为黑客攻击的跳板或源头。

事实上, 在 2016 年 8 月 360 追日团队发布的《摩诃草组织(APT-C-09)——来自南亚的定向攻击威胁》报告中,除了针对 Windows 系统发动了相应攻击,同时也发现存在针对 Mac OS X 系统的攻击。从 2015 年开始,甚至出现了针对 Android OS 移动设备的攻击。

近期导致美国东部发生的大面积断网事件的 DDoS 攻击中,攻击的源头是由恶意软件 Mirai 感染并控制的智能设备形成的僵尸网络。我国在此前也发生过类似的由智能摄像头僵尸网络发起的攻击。

在《2015 中国高级持续性威胁研究报告》中,我们预测“针对非 Windows 的攻击频率持续增高”。从 2016 年我们监控到的 APT 组织来看,Windows 不再是 APT 攻击的主战场,相关攻击会从只针对 Windows 操作系统逐步过渡到针对如 Linux、Android、Mac OS X 操作系统,针对的目标平台除了传统 PC,针对移动设备、工业控制系统相关攻击出现的频率和次数将会持续增高,进一步针对车联网、智能家居等物联网设备的攻击也将成为发展趋势。

协同纵深防御成为应对高级威胁的重要方法。APT 攻击一般具有针对性极强、高隐蔽性、代码复杂度高的特点,这也是很多 APT 攻击能够持续攻击多年而不被发现的主要原因。针对这类顶尖的 APT,传统的安全手段往往应对乏力,很多时候在被侵入数月,甚至数年之后才会发现,数据泄露的损失比较惊人。因此,针对我们需要革新传统的安全理念和防护手段,目前数据驱动的安全协同正在成为各方认可的方向。

从技术角度看,针对高级威胁的发现,需要将多维度检测手段的综合应用、大数据分析、威胁情报这三个方面结合起来。大数据是基础,要尽量多的掌握被保护对象的一手数据,如全流量的还原。如果能够有终端的文件级、进程级数据,则能达到更好的效果。通过互联网大网数据的综合分析与挖掘所产生的威胁情报,能够做到对于高级威胁所应用的攻击资源、攻击手法、组织背景等方面的关联判定,从而与大数据分析平台结合,针对高级威胁进行实时与历史的综合发现与持续监测。360 提倡的数据驱动的安全协同防御,正是用较低的成本帮助客户建立轻量级的大数据安全平台,通过探针采集还原一手数据,并结合多源头的可机读威胁情报的应用,以及沙箱动态行为发现与关联引擎分析等多维度方法,进行高级威胁的判定。并可进一步联动网关处的 NDR(Network Detection & Response,网络检测与响应)及终端处的 EDR(Endpoint Detection & Response,终端检测与响应)系统进行快速协同联动处置。

从更广阔的协同思路上,我们认为协同分为数据协同、智能协同和产业协同三个层面,第一个层面是数据协同,是希望能够打破数据的孤岛和数据的鸿沟,数据的协同和共享,是数据驱动安全体系里最关键性的基石。正如上面所提到的技术方案,多维度数据的关联分析及威胁情报应用是关键。第二个层面是智能协同,这个层面的协同是解决分析能力不足导致的不可做。即使有海量多维度数据,如果没有足够的分析能力,数据的价值无法得到发挥,基于数据的协同分析,可以借助机器与机器的协同、机器与人的协同以及人与人的协同多个方面,最终目的还是为了便于人能够更加有效的分析和处理,提升分析的效率和效果。第三个层面是产业协同。产业协同需要政府和企业共同推进,达成政府间、企业间包括政府和企业间的互信,从而形成更安全的产业生态。

作者:追日团队

 


Selinux 中国 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:蔓灵花攻击行动(简报)
喜欢 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址