“白象”,又名Patchwork、Dropping
Elephant,自2015年12月開始活躍,長期針對中國軍隊、政府等部門開展滲透攻擊,2016年7月被Cymmetria、安天、Forcepoint、卡巴斯基、賽門鐵克等多家安全公司曝光。該團夥主要通過釣魚郵件和仿冒網站傳播木馬,木馬載體通常為軍事、政治相關主題的Doc或PPS文檔,常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。
2017年5月,微步線上通過一份包含漏洞的Word文檔發現了“白象”團夥針對中國政府、軍事相關部門的攻擊活動,挖掘出其注冊的大量可疑域名和木馬樣本。有趣的是,就在印度軍隊于8月28日自洞朗撤軍,中印雙方結束了兩個多月的對峙後,該團夥的釣魚網站于8月29日再次上線,并以“中印邊境”為題誘導通路者下載下傳惡意程式植入後門,繼續對中國目标發起攻擊。具體内容包括:
· 釣魚網站于2017年8月29日上線,以“中印邊境”為話題構造了仿冒優酷的釣魚頁面,誘導通路者下載下傳後門程式。
· 木馬使用C++編寫,執行後會再調用一段加密後的.Net代碼,并僞裝成360安全防護軟體,具備較強的隐蔽性和對抗性。
· 木馬啟動後能夠接受遠端控制伺服器任意指令,完全控制受害主機,遠控伺服器目前仍可正常通信,說明攻擊活動尚在進行中。
· 微步通過對相關樣本進行分析供提取相關的 IOC 13條,部署微步線上威脅情報平台的使用者,可通過系統告警定位到失陷主機(詳見下圖),并使用微步線上提供的應急響應予以分析和處理。
詳情
本次捕獲的釣魚頁面(www.qzonecn.com)于2017年8月29日上線,系仿冒優酷網的一條新聞視訊,标題為“中國和阿三的邊界問題在洞朗”(未發現優酷網上有類似名稱的視訊),視訊位置顯示“您還沒有安裝flash播放器,請點選這裡安裝”。點選該連結後,會打開adobe公司官網,卻從另一惡意站點(www.bdarmy.news)下載下傳名為“Adobeflashplayer26_install_ver9.6.0.exe”的可執行程式,制造該程式來自Adobe官網的假象,具備較強迷惑性。如下圖所示:
檢視網站源碼發現,釣魚連結會先打開Flash Player 官方下載下傳頁面,再從www.bdarmy.news下載下傳仿冒的“安裝包”程式,以混淆視聽。
檢視該程式的屬性發現,其詳細資訊包含“qiho”、“360”、“Defence”等幹擾字元,而原始檔案名為“RAT.exe”。
“RAT.exe”在微步線上分析平台的檢測結果如下:
頁面連結:https://x.threatbook.cn/report/dfc469d0cca07e83e58c6266dcd6ac67c5d5dacd6c6ef2543b3ebbbf6d35a280
樣本分析
對“安裝包”程式分析發現,該樣本的主要執行流程如下圖所示:
樣本的具體行為如下:
1. 樣本執行後會釋放另外兩個檔案,分别為Microsoft.Win32.TaskScheduler.dll和360-services.exe。
2. Microsoft.Win32.TaskScheduler.dll會在Windows系統中添加一個名為Smart_scan的計劃任務,取“智能掃描”之義,意在混淆視聽。該任務用來每隔15分鐘執行一次惡意樣本360-services.exe。
3. 360-services.exe仿冒了360安全衛士的相關程序,是真正執行惡意行為的樣本。該樣本在分析平台的檢測結果為:
頁面連結:
https://x.threatbook.cn/report/684523927a468ed5abea8f6c0d3dc01210ec38aa4e0a533abc75dc891d3b0400
4. 在釋放這兩個檔案後,樣本将使用Windows自帶的指令行工具CMD運作如下指令,使用ping指令嘗試連接配接1.1.1.1,并删除掉釋放樣本自身和Microsoft.Win32.TaskScheduler.dll檔案。
接下來,真正的惡意樣本360-services.exe開始運作。
5. 經過分析發現,360-services.exe實際上是一個基于.NET平台的PE檔案的外殼,該外殼的名稱為.NET Reactor,版本号為4.5-4.7,此保護殼具有較強的反調試和混淆代碼等功能。
6. 在對360-services.exe進行脫殼後,我們得到了其中的.NET PE檔案,其子產品名稱為“Client.exe”,且該可執行檔案的代碼已被高強度混淆。
7. 使用反混淆技術對該PE檔案進行處理,成功還原出大部分代碼。
8.
樣本将通過FindResource函數檢查目前檔案中是否存在“__”資源,若不存在,則說明目前.NET
PE并不是由360-services.exe運作起來的,而是被人工剝離出來獨立運作的,是以樣本會将此情況視為自身正在被分析,則直接退出程式,不執行任何惡意行為。
9. 加載PE檔案中的第3個資源檔案的位元組碼,并使用寫死的方式建立其他若幹數組。将這些數組進行一系列的轉換及計算,最終解密得到要運作的位元組碼,并寫入記憶體。
10. 最終開啟後門,連接配接C&C伺服器,并等待伺服器回複指令。其中C&C位址為:93.115.94.202,端口号為23558。
關聯分析
通過微步線上通過追蹤溯源平台(z.threatbook.cn)對釣魚網站域名檢索發現,其目前指向的IP位址(94.185.82.157)上還存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含“cn”、“pla”、“army”等明顯針對中國的可疑域名,且前文分析的惡意樣本就存放在www.bdarmy.news域名下,是以基本可以斷定相關基礎設施均為“白象”團夥所有。
分析認為,此次攻擊事件出現于印度自洞朗撤軍後,以中印邊境問題為誘餌,且涉及的樣本和域名含有針對中國的元素,符合“白象”團夥的攻擊特點和動機。由于此次攻擊活動仍在繼續,可根據我們提供的IOC及時排查網絡和主機環境中的相關威脅。
附錄
C&C
qzonecn.com
chinamil.info
sinodefence.info
militaryreviews.net
pla-report.net
bdarmy.news
clep-cn.org
94.185.82.157
93.115.94.202
木馬Hash
dfc469d0cca07e83e58c6266dcd6ac67c5d5dacd6c6ef2543b3ebbbf6d35a280
684523927a468ed5abea8f6c0d3dc01210ec38aa4e0a533abc75dc891d3b0400
26697ae1a8ce318ae567a99d2c7fb3fe5a2d5b73fc1ef6408fd0989309eda846
f3d4aec38415555dbb889b3475fb29f2036976fa90be5835e7e1f7e304fa4b85
原文釋出時間為: 2017年9月28日
本文來自雲栖社群合作夥伴至頂網,了解相關資訊可以關注至頂網。