【環(huán)球科技網(wǎng)】隨著信息技術的不斷發(fā)展和普及�,國產(chǎn)化軟件已經(jīng)成為我國信息化建設的重要組成部分。然而��,在享受國產(chǎn)化軟件帶來的便利的同時���,我們也面臨著來自各種攻擊威脅的挑戰(zhàn)��。尤其是國產(chǎn)化的辦公應用����、知名軟件����,已廣泛覆蓋各個企業(yè)單位,境外攻擊者早已盯牢這些陣地���,想以此為突破口��,以其利益相關者為目標實施間諜竊密和監(jiān)控活動��。
獵影實驗室在高級威脅對抗過程中����,曾多次發(fā)現(xiàn)了境外黑客組織實施APT攻擊的情況。前段時間�,安恒獵影實驗室捕獲到一起“偽獵者”APT組織的攻擊,在深入研究過程中�����,我們發(fā)現(xiàn)該組織已掌握多個國產(chǎn)化0day武器�,如WPS 0day漏洞只需根據(jù)誘導點擊一次����,就足以使目標失陷;Foxmail 0day漏洞�����,用戶使用客戶端打開郵件時�����,無需其它任何操作,就可以執(zhí)行惡意代碼進而控制目標�;126郵箱/163郵箱XSS漏洞,被攻擊者用來隱蔽的竊取用戶郵箱的Cookies�����,從而使攻擊者無需密碼即可登錄郵箱��,進而竊取郵箱內的信件��,或者利用該郵箱向其他人發(fā)送釣魚郵件等�。
利用此類漏洞進行攻擊,表現(xiàn)出了其對我國目標的針對性����,通過排查分析,我們發(fā)現(xiàn)其意圖針對包括我國多個涉外政府部門���、以及多個行業(yè)人員實施攻擊竊密活動�,且這些人員都與中韓關系相關���。經(jīng)過縝密的溯源分析��,結合“偽獵者”組織背景�,我們確定該攻擊來自于韓國,其目的為竊取我國中韓相關情報����。
0day漏洞武器分析
在本次攻擊過程中,攻擊者使用的漏洞���,或是Windows平臺下����,中國大陸地區(qū)流行的辦公軟件漏洞:WPS表格漏洞和Foxmail郵件程序漏洞����,或是中國大陸地區(qū)廣泛使用的163郵箱的漏洞。這些漏洞對大陸地區(qū)用戶針對性強�,影響范圍廣泛;所用漏洞是邏輯漏洞�,漏洞觸發(fā)穩(wěn)定�,危險程度高。
WPS 0day漏洞
該漏洞為1-click點擊邏輯漏洞����,只需要用戶點擊表格中的圖片即可觸發(fā)漏洞����。攻擊樣本的后綴名為et�����,雖然后綴為et�,但實際內容為mhtml格式。攻擊者在表格中插入兩個圖片�,并通過這兩個圖片來觸發(fā)漏洞。
第一個圖片為指向惡意鏈接的空白圖片��,在樣本執(zhí)行后會自動下載惡意文件并存儲在特定目錄��。
該漏洞是Foxmail的一個遠程代碼執(zhí)行漏洞���,黑客使用自定義郵件客戶端向受害者發(fā)送一封特殊構造的郵件��,受害者使用Windows系統(tǒng)的Foxmail客戶端打開此類郵件時����,會自動執(zhí)行郵件中的惡意腳本代碼�,從而啟動郵件附件中的木馬文件,無需任何點擊�。
攻擊者構造了兩個惡意附件,F(xiàn)oxmail在郵件解析時��,由于驗證缺失會導致惡意代碼被執(zhí)行�����,從而執(zhí)行郵件附帶的兩個惡意附件����。
這兩個附件的功能分別如下:
(1)第一個附件為JS腳本文件,惡意代碼注入執(zhí)行后時優(yōu)先執(zhí)行它��。首先它實現(xiàn)隱藏Foxmail的附件欄功能�,使受害者在查看郵件時看不見附件,讓其誤以為郵件沒有附件�,從而放松警惕;然后會在等待100ms后�,模擬鼠標左鍵雙擊的動作,執(zhí)行第二個附件。
(2)第二個附件為“偽獵者”APT組織特種木馬���,由第一個腳本附件模擬點擊觸發(fā)���。
郵箱XSS漏洞
該漏洞是126/163郵箱某網(wǎng)頁的一個XSS漏洞,具體屬于一個“反射式”XSS漏洞��。該攻擊的具體過程如為:攻擊者發(fā)送帶有XSS漏洞鏈接的釣魚郵件給受害者�����;之后�����,誘導受害者打開帶有XSS漏洞的126郵箱鏈接�����,觸發(fā)XSS漏洞��,導致惡意代碼執(zhí)行�����。惡意代碼執(zhí)行,獲取當前頁面(126郵箱頁面)的Cookies�����,之后構造一個Get請求���,將Cookies作為參數(shù),傳遞給攻擊者控制的服務器���,從而竊取了用戶的Cookies�����。同時���,我們發(fā)現(xiàn),回傳的服務器為一個.kr域名��,屬于韓國��。
攻擊者可以利用竊取的Cookies��,登錄被攻擊者的126郵箱�����,竊取郵件,或者向其他用戶發(fā)送釣魚郵件等��。
木馬載荷與攻擊流程分析
攻擊流程
攻擊者發(fā)送與中韓關系相關的釣魚郵件����,包括利用前面所述的0day漏洞,從而觸發(fā)惡意載荷�����。
使用被攻陷郵箱作為跳板
在對釣魚郵件收件人和發(fā)現(xiàn)人的信息統(tǒng)計中����,我們清理出一條使用被攻陷郵箱作為跳板,進行進一步攻擊的攻擊鏈路�,如下圖所示:
以上圖為例,攻擊者在獲取郵箱A的控制權后�����,長時間潛伏監(jiān)控���,精心挑選郵箱A聯(lián)系人列表中���,與韓國相關的重要中方人士�,定向發(fā)送定制化含漏洞利用的釣魚郵件對相關人員進行攻擊�,攻擊目標非常明確。
主木馬載荷分析
WPS漏洞和Foxmail漏洞所投遞的載荷����,都是同一種木馬文件��。該木馬是一個dll文件�����。運行后���,會濫用合法的windows的照片庫查看器組件shimgvw.dll�,通過其中的函數(shù)ImageView_Fullscreen�����,從遠程服務器上下載文件eqlist.txt和mylink.tmp��。
文件eqlist.txt中保存了加密數(shù)據(jù)�。該木馬所使用的加密算法��,是一個經(jīng)過修改的base64編碼算法��。樣本隨后會將該文件解密��,并釋放出兩個后續(xù)載荷文件�,保存到%appdata%MicrosoftCryptocrypt86.da和%localappdata%MicrosoftProofsprofapii.da����。
mylink.tmp是一個lnk文件,木馬會將其復制到%temp%mylink.lnk���,并創(chuàng)建計劃任務CLSUpdateService���,濫用合法系統(tǒng)程序pcalua.exe執(zhí)行該文件。
mylink.tmp的功能是將之前釋放的文件crypt86.da和profapii.da分別重命名為crypt86.dat和profapii.dat�,并劫持系統(tǒng)COM組件0b91a74b-ad7c-4a9d-b563-29eef9167172,利用該COM組件執(zhí)行crypt86.dat�。
子crypt86.dat模塊模塊
crypt86.dat是一個dll文件。文件中的字符串�,使用與之前相同的修改版base64算法進行編碼。Dll文件執(zhí)行后���,解密需要加載的API名稱����,然后獲取受害者主機名稱和用戶名等信息,并與字符串hebei進行拼接��。
樣本解密出內置的C2地址http://104.xxx.xxx.112/cache���,并將之前拼接的字符串進行編碼后�,作為UA���,對該地址進行訪問����。該地址返回的數(shù)據(jù)���,以“ref”作為起始字符。樣本從該數(shù)據(jù)中��,提取出下一步需要訪問的地址的路徑X����。之后,樣本解密出下一階段C2地址http://104.xxx.xxx.112/list/�,并根據(jù)上一階段獲取到的路徑X�,拼接出一個cab文件的地址���,例如http://104.xxx.xxx.112/list/0.cab����,然后進行訪問��。
該地址返回的內容不是一個cab文件�����,而是加密的數(shù)據(jù)�����。數(shù)據(jù)解密后如下圖所示�,該數(shù)據(jù)用于調用profapii.dat文件中的導出函數(shù)mscuicrypt,并包含需要傳遞給mscuicrypt函數(shù)的參數(shù)����。
該數(shù)據(jù)中,包含有profapii.dat文件的完整路徑����,該路徑中包含受害人的用戶名���。通過資產(chǎn)測繪,我們獲取了多個C2服務器的加密配置����。
經(jīng)過我們對多個不同數(shù)據(jù)的對比發(fā)現(xiàn),不同受害人執(zhí)行的命令也不同��。因此可以推測出��,該數(shù)據(jù)是攻擊者針對每個受害人定制化生成的�����,可能與攻擊所達到的不同階段有關�����。
若獲取cab內容失敗�����,樣本還會嘗試訪問https://bitbucket.org/xxxxx/refresh/downloads/update.txt����,獲取profapii.dat文件的執(zhí)行參數(shù)。之后�����,crypt86.dat便會根據(jù)獲取到的路徑和參數(shù)���,執(zhí)行profapii.dat的導出函數(shù)mscuicrypt����。
子profapii.dat模塊分析
該dll只有一個導出函數(shù)mscuicrypt�����。該函數(shù)的功能�����,是解密傳入的參數(shù)���,從中獲取指令���、路徑等信息����,并執(zhí)行不同的操作�����。經(jīng)過分析���,該函數(shù)可執(zhí)行的操作共有三種���。
1.從參數(shù)中,解密出一個遠程地址和一個本地路徑�,從遠程地址下載文件,并進行解密后�����,保存在本地路徑下
2.從參數(shù)中�,解密出一個本地路徑,并加載執(zhí)行�����。這個路徑通常是“%appdata%MicrosoftWindowsTemplatessamtamples.dat”
3.從參數(shù)中����,解密出一個遠程路徑和一個本地路徑。對本地路徑下的文件進行遍歷����,獲取所有文件名,拼接上特殊的字符后�,進行加密,并設置為UA字符串��,連接遠程路徑
通過對這批郵件收件人�、發(fā)件人等信息的收集分析,以及郵件涉及的木馬行為的溯源�����,我們可以確定����,這批釣魚郵件,屬于“偽獵者”APT組織針對我國涉韓相關人員的攻擊活動樣本�����,并且攻擊來自于韓國��。
攻擊水平高
1.僅在我們捕獲到的樣本中,就發(fā)現(xiàn)了攻擊者使用了三個重量級的0day漏洞����,合理推測,其漏洞儲備��,尤其是針對中國大陸地區(qū)進行攻擊的漏洞儲備����,可能非常豐富。這需要豐富的資金支持和強大的技術能力����。
2.攻擊者對不同的攻擊對象,針對性生成釣魚郵件�����,說明其組織實力強大�����,人員數(shù)量多�����,能夠對不同的攻擊對象進行針對性操作。
3.在木馬運行后���,攻擊者針對不同的主機,下發(fā)不同的攻擊命令�,這也是攻擊者是有組織性,團隊作戰(zhàn)��,有足夠的精力來進行針對性操作的體現(xiàn)�����。
4.整個攻擊過程中涉及到的遠程服務器地址����,從發(fā)件IP到各個階段的數(shù)十個C2服務器,全部都是VPN或托管主機����,說明該組織具有強大的資金支持來購買如此多的資產(chǎn),且反溯源意識強�。
與“偽獵者”組織的關聯(lián)
通過對木馬樣本的分析與關聯(lián),我們發(fā)現(xiàn)這批釣魚郵件使用的木馬�,與之前披露的“偽獵者”APT所使用的木馬,有著極高的相似度���。
1.使用的名稱相同:釋放的文件名��、創(chuàng)建的計劃任務名稱��、導出函數(shù)名稱等��;
2.攻擊手法相同:例如都利用COM劫持�����,運行惡意載荷�、都使用cab文件來進行通信等;
3.與“偽獵者”組織使用相同的特殊方式來拼接受害者信息�����,都為“Hebei,用戶名;計算機名;profile路徑”的方式���。因此�,可以確定這些釣魚郵件為“偽獵者”APT組織的攻擊郵件�。
韓國相關證據(jù)
1.在樣本分析過程中,部分木馬帶有PDB字符串�,且PDB字符串中帶有韓文字符:
4.部分受害者所處的城市,是地理位置距離韓國較近����,與韓國交流較為頻繁����,或者對韓國有外貿(mào)往來等政策的城市��。
5.此次攻擊所屬的“偽獵者”組織�����,與“虎木槿”APT組織�,共享部分基礎設施,而“虎木槿”組織���,是來自韓國的“DarkHotel”組織的一部分�。
結合此次攻擊事件的高技術水平����,雄厚的資金實力,與韓國有關的證據(jù)��,以及“偽獵者”組織與韓國的關系�,我們認定,此次攻擊來自于韓國。
防范建議
軟件漏洞向來是APT組織對目標進行攻擊����,運行木馬的入口點。及時對系統(tǒng)��、軟件進行升級��,可以大大減少被攻擊者利用漏洞進行攻擊的可能性���。截至目前,該組織所利用的WPS漏洞和Foxmail漏洞都已修復�����,用戶可通過官方網(wǎng)站�,升級安裝最新版軟件來避免被這兩個漏洞攻擊,也可以選擇安裝安恒信息辦公智盾進行防護����。
安恒信息辦公智盾是面向辦公網(wǎng)場景,解決復雜辦公環(huán)境帶來的接入管理難����、入侵防護差、秘密保護虛、終端管理弱等痛點問題的綜合性�、一體化的安全“全家桶”產(chǎn)品!融合零信任����、防病毒、主機審計��、弱點檢測�、文件加密保護、數(shù)據(jù)防泄漏�、基線檢查、資產(chǎn)盤點�、桌面管理、主機防火墻�、隱形水印、綠色上網(wǎng)�、網(wǎng)絡準入、虛擬桌面等多種業(yè)務���。
目前安全數(shù)據(jù)部已具備相關威脅檢測能力��,對應產(chǎn)品已完成IoC情報的集成����。安恒信息產(chǎn)品已集成能力:針對該事件中的最新IoC情報,以下產(chǎn)品的版本可自動完成更新����,若無法自動更新則請聯(lián)系技術人員手動更新:
(1)AiLPHA分析平臺V5.0.0及以上版本
(2)AiNTA設備V1.2.2及以上版本
(3)AXDR平臺V2.0.3及以上版本
(4)APT設備V2.0.67及以上版本
(5)EDR產(chǎn)品V2.0.17及以上版本
安恒信息再次提醒廣大用戶,請謹慎對待互聯(lián)網(wǎng)中來歷不明的文件����,如有需要,請上傳至安恒云沙箱https://sandbox.dbappsecurity.com.cn�,進行后續(xù)判斷。
