微信號:freebuf
寫在前面
上周360發布了一篇關於名為"海蓮花"的分析報告,當時覺得碉堡了。然後我就很好奇——"海蓮花"和"藍蓮花"啥關係,許巍幹的?
當看到29個省和36個國家都被感染後,第一反應是想一下中國有幾個省。看了一下評論,感覺褒貶不一。隱約覺得和以往比較複雜的APT相比"海蓮花"簡直微不足道。
已經公布出來的攻擊事件震網、duqu以及最近的"方程式"遠遠比"海蓮花"複雜。
值得吐槽的是"Tester","Encryptor","Cloudrunner","MAC"這幾個名字。我猜命名者肯定英語也就是"Are you ok?"的水平——年初的"方程式(Equation)"中有幾個命名: Equation Laser、Equation Drug、Double Fantasy、Triple Fantasy、Fanny 和GrayFish,哪個聽起來不是高大上? 說的有點遠.
技術剖析「海蓮花」
周一上午在VT上找到了360報告中給出的文件哈希(有兩個)。很神奇的是:這兩個文件其中一個在今年2月2號和5月30號被提交過,另一個則在今年3月25號和6月1號提交過。
這兩個文件的MD5分別是:
41bced8c65c5822d43cadad7d1dc49fd(NetcaEKeyClient.exe,360報Trojan.Generic).
0529B1D393F405BC2B2B33709DD57153(rtx.exe,360報Win32/Trojan.e08)(連結參看尾部).
簡單的分析了一下發現有如下行為:
(1) 將自身拷貝到臨時目錄,並且以參數"--ping 原始文件路徑 隨機字符串"的形式啟動這個臨時文件。其中隨機字符串大概是計算機和隨機數的組合(沒細看). 參數的意義僅僅是判斷當前進程是否在臨時目錄中。
(2)在臨時目錄中啟動的文件會有查找資源行為,有反虛擬機的行為(Vmware,virtualPC),有遍歷進程終止特定進程的行為等。
這兩個文件代碼基本上一樣,時間戳不一樣。我在它們中發現了一個字符串 {03007495-09bb-4334-987a-ae7586bca024},然後在google中搜索了一下。讓我很詫異:搜索結果全部來自於totalhash.com,顯示有大約有440個結果。
截圖如下(後附連結):
隨便點開一個,在行為描述裡找到如下內容:
和我分析的那個差別是"--ping"變成了"--help".它的版本顯示的是winword.exe,事實上它就是一個偽裝成word的程序。
掃描結果顯示如下:
然後我下載了幾個樣本比較了一下,發現基本上沒有差別。於是我開始懷疑這應該是有一個"生成器"。我和我的小夥伴試圖去找這個"生成器",但是沒有成功。
晚上的時候,小夥伴根據關鍵字"sidebar.exe"和"sidebar.job"找到一個名字為www.shanghai.gov.cn的網站,裡面關於後門Backdoor.Salgorea的介紹引起了我們的注意:它創建一個部分修改的自身文件到一個臨時文件夾,並以參數「--help」運行。然後我們找到了賽門鐵克關於Backdoor.Salgorea的介紹,確定了那篇報告來自於賽門鐵克。報告中提到發現日期為2013年3月17號。
我們這個時候開始推斷360給哈希的樣本有可能是Backdoor.Salgorea的變種。
接著我們在totalhash.com上搜索了Backdoor.Salgorea,共有91個樣本。我下載了一個文件MD5為:aee59100cad266050ba816714551a6ad的文件。這個文件在virusTotal上賽門鐵克報:Backdoor.Salgorea.360報:Malware.QVM10.Gen(應該為老版本QVM)。
<細節分析請點擊最下方「閱讀原文」>
經過更加深入的分析,我們判斷這兩個文件應該是共用了一個載體,也就是共用一個dropper.這個dropper具備基本的功能:將惡意代碼拷貝到臨時目錄,打開偽裝的word文件,後臺運行惡意代碼。
總結
到了這裡我們的"海量數據"分析基本完成了。現在就是"思考"時間,我們考慮了以下問題:
1. Backdoor.Salgorea是個什麼?
Backdoor.Salgorea是賽門鐵克報的名字,其他家報的不盡相同。所以我們推斷這類樣本應該更多。這類樣本大部分都是偽裝成文檔(其實是一個exe),騙取用戶點擊。也有偽裝成KeePass.exe的。偽裝成winword的版本信息常見的有office 2003和office 2007。這些程序是VC開發的,從時間戳上看有的程序可能是2008年就有了,這些樣本在2013年和2014應該屬於比較流行的。對這些樣本360報:Gen:Variant.Graftor.96740, Gen:Variant.Zusy.58276, Backdoor.Generic.773521.前兩個名字應該是bitdefender的啟發檢測結果。
對這些樣本我們推測要麼樣本代碼已經洩露,要麼是有特定的生成器。樣本生成器是最方便的。
2.在360報告中給處的"部分水坑伺服器中出現的惡意文件"和Backdoor.Salgorea有關係嗎?
我們找到了列表中的兩個文件(下圖標紅的文件):
和Backdoor.Salgorea做了分析比較後,我們可以肯定的說dropper功能部分代碼是高度相似的。其中41bced8c65c5822d43cadad7d1dc49fd在virustotal上的行為分析報告中有如下內容:
這個和報告中的OceanLotus Encryptor行為一致,所以我們推測41bced8c65c5822d43cadad7d1dc49fd屬於OceanLotus Encryptor。
"海蓮花"不是APT
好了,到這裡我們給出自己的觀點:"海蓮花"不是APT,它只是一個普通木馬。算起來和Backdoor.Salgorea應該是「親兄弟"。
它們使用的dropper代碼基本上是一樣的。那麼會不會是某組織使用了這個木馬來出於政治目的攻擊政府部門呢?我們覺得這個也不太可能。從歷史上發現的APT看,它們使用的代碼或工具在被發現之前基本上都沒有在真實的環境中出現過,也就是說他們不會使用已經公開的代碼或者工具來實施攻擊。
從我們的分析報告中可以很明顯的看出來OceanLotus Encryptor的手法和Backdoor.Salgorea是一致的。Backdoor.Salgorea是一個釣魚木馬早就被捕獲,目前沒有任何一家聲稱它是有針對性的或者發現了組織來源。
同以往的APT相比"海蓮花"只能算它們的某一個組件,在360的報告中對於OceanLotus Encryptor的描寫只有寥寥幾句共百十個字。而對於」方程式「卡巴以一周或者半月的間隔發布分析報告,每一篇都詳解了每一個模塊,每一個組件的功能。賽門鐵克花了不低於三個月的時間艱苦的分析了qudu,然後發布了長長的分析報告講述了每一個組件的功能。
同時在報告中明確地指出了duqu和震網的關聯性.反觀360的分析報告中只用了"早期出現的Tester木馬在攻擊對象、文件偽裝特徵、連接的C2伺服器域名和竊取文件的特徵等方面,與後來捕獲的其他3種木馬形態的樣本存在諸多交集和共同點"這樣的一句話就交代了關聯性。報告中對於攻擊手段也是語焉不詳。
在報告中提到了「29個省和36個國家被感染」——這種行為也是不符合常理的。一個APT如此明目張胆?這中情況只在普通木馬中最為常見。並且這個數字也是存疑的,感染範圍這麼廣在歷史上恐怕也是非常罕見的,這種情況肯定早就引起了各大安全廠商的重視。
所提我們覺得請不要把一個釣魚木馬拔高為APT,否則震網會哭死在廁所裡,」方程式「會哭死在廁所裡。
評論更精彩
Sandman☭
不錯,不同的聲音。
都APT了,感染量還這麼高,確實有點違和。
但是,那個分析ANTI-VM的部分,為啥只列出了call了啊,我感覺應該是把具體的實現代碼截圖才是(雖然已經滿天飛了),這樣更有說服力。
apt本身這個詞語就是安全廠商提出來問普通機構要錢的,哪有他媽的那麼多0day啊,N多的普通企業,政府單位都好,總會有人安全意識不是那麼好,總會有人發exe他都敢點, 你還以為人人都是007? 另外, 就算, 真的是在搞所謂的apt,(雖然聽起來很高級的樣子) 使用開源 or 普通木馬 這也太正常了.. 例子數不勝數, 什麼ghost,什麼IVY,多了去了.. 再者,搞這種攻擊, 感染幾十個國家或者地區,這也很正常.. 個人控制2千多個目標, 一個木馬, 幾十個國家.. 這也是很正常的事情了.... 也許人家只是發了個exe就回家吃飯了, 沒過多久對方就點了, 你偏說人家這是在搞高級可持續性威脅攻擊, 攻擊者: 這怪我了?
蝸牛的小word
剛搜了下海蓮花是什麼鬼,發現外交部都回應了,360出這麼大風頭,看起來有人吃不到葡萄要說葡萄算了,呵呵,呵呵
@ 蝸牛的小word 外交部是說「如果這一事態屬實,這再次證明中國是網絡黑客攻擊的受害國。」 人家沒有承認這是APT攻擊好伐。。。。。 並且360連是誰都幹的都沒明白,就大肆炒作是國外組織,這好嗎?
上鋪的哥
值得吐槽的是報告裡"Tester","Encryptor","Cloudrunner","MAC"這幾個名字。我猜命名者肯定英語也就是"Are you ok?"的水平——年初的"方程式(Equation)"中有幾個命名: Equation Laser、Equation Drug、GrayFish…哪個聽起來不是高大上?
你們企鵝做不出來就跑來黑360,真是醉了[doge]
silenux
李彥宏說了,APT(Advanced Persistent Threat)——–高級持續性威脅。 利用先進的攻擊手段對特定目標進行長期持續性網絡攻擊的攻擊形式。APT攻擊的原理相對於其他攻擊形式更為高級和先進,其高級性主要體現在APT在發動攻擊之前需要對攻擊對象的業務流程和目標系統進行精確的收集。在此收集的過程中,此攻擊會主動挖掘被攻擊對象受信系統和應用程式的漏洞,利用這些漏洞組建攻擊者所需的網絡,並利用0day漏洞進行攻擊。
報告才發布沒多久就有人上門打臉…..360這是積累了不少仇家呀…. 不知道老周怎麼看
路人甲
作者是在自己的世界裡意淫嗎?你在「點」的世界裡當然是無法理解「面」的世界。
關於如何判斷何為APT攻擊的個人淺見,zz@江海客
關於友商360曝光的「海蓮花(OceanLotus)」相關攻擊是不是APT攻擊的爭論,我要鄭重談談幾個觀點:
第一,相關線索的比對說明,安天5月28日曝光的APT-TOCS(參見我前面微博)和360曝光的海蓮花基本可以確定是同一個或關聯性組織發起的同一組定向攻擊事件。安天初步認為其來自「缺少足夠的成本支撐,也缺少大量精英黑客的國家或組織」。當然因兩個廠商資源體系不同和產品定位差異,我們並未逐一對友商的統計結果和IOC進行驗證。
第二,APT本質上不是一個嚴格的技術概念。其判定要綜合考慮發起方與動機,受害方與後果,作業過程與手段三方面的因素。因此,在前兩個要素符合的情況下,APT的核心表現應是在明確的背景和動機下的定向與持續的攻擊與獲取行為。而其A(高級)沒有絕對標準,其即受到攻擊發起者所具備的技術能力、資源和所能承擔的成本限制,又由攻擊者根據被攻擊者的防禦與發現能力選擇的針對性策略所決定。因此APT通常反映了攻擊者在本國或本體系中的高層級水準,也體現的是相對防禦目標設防水平的穿透和持久化能力。之前某國際研究者提出把是否有0day等作為判定依據,這種觀點我不敢苟同。
第三,根據我們的監控分析,商用木馬、標準化的滲透平臺等已經被廣泛用於各種定向持續攻擊中,特別是針對中國的攻擊中,儘管我們非常謹慎的把APT-TOCS稱為「準APT」攻擊,但需要注意的是,對於攻擊成本能力有限的國家和組織來說,這種模式可能是成本更低,但效果更可靠的選擇,但這就是其能力體現。同時商用木馬、開源木馬和攻擊平臺的引入,將導致依託大數據分析來辯識線索鏈的過程中產生更多幹擾項,包括使我們之前使用過的「編碼心理學」等方法失去效果。
最後想說明的是,儘管在反APT產品上可能與360存在一定競爭關係,但雙方對APT的理解目前看是一致的,在這個問題上我認為需要共同維護正確的安全理念。
*作者:毒舌評論磚家,本文屬FreeBuf原創獎勵計劃,未經許可禁止轉載