MMCore針對南亞地區的APT攻擊活動分析

長按二維碼關注

御見威脅情報中心

MMCore是一款有趣的惡意文件，為下載器下載後在內存中解密執行的一個惡意文件。該惡意文件也被稱為BaneChant，最早由fireeye在2013年曝光。此外Forcepoint也在2017年初曝光過而惡意文件的一些攻擊活動。

該惡意文件的活動，主要活躍在亞洲地區，包括中國、巴基斯坦、阿富汗、尼泊爾等。不過Forcepoint也提到該攻擊活動也包含非洲和美國。攻擊的目標主要為軍事目標、媒體、大學等。

該攻擊活動可以追溯到2013年，直到2020年，依然存在。雖然技術上並未發生太大的改變，但也存在一些有趣的變化。此外在歸屬上，我們認為該惡意文件跟印度的一些APT攻擊組織有關聯，包括白象、蔓靈花、孔夫子等，此外我們還意外的發現了一個未被曝光過的攻擊武器，一個.net的RAT。

分析的緣起為一個twitter某個安全研究員的帖子：

雖然我們曾經無數次抓獲過該種類樣本，也曾經多次在攻擊活動中發現過該惡意文件的存在，但一直並未系統的分析和追溯過該惡意文件。因此這次我們決定深入的來跟蹤一下這款有趣的惡意文件。

我們以下面文件為例進行分析：

文件MD5

bbe4ae55f828e020c32e215f4d152cc3

文件大小

75.00  KB (76800 bytes)

文件類型

PE32  executable for MS Windows (GUI) Intel 80386 32-bit

時間戳

2020-01-27  17:31:07

VT上傳時間

2020-03-05  23:57:04

整體功能：

對抗沙箱：

首先獲取最前端窗口，隨後每隔1秒鐘檢測最前端埠是否發生變化，如果不變則無限循環檢測：

殺軟檢測：

檢測snxhk.dll模塊（安全廠商Avast的相關文件），如果有則延時2分鐘：

解密下載URL，然後下載並內存執行：

存儲方式：

 

解密後：

下載執行：

 

shellcode位於偏移+0x14位置：

首先檢測"avp"、"bdagent"兩個殺軟進程，如果找到則退出：

 

然後使用兩輪xor，解密得到一個dll：

 

解密得到的dll具有自加載能力：

dllmain中首先判斷加載的進程是否為rundll32.exe，不是則執行木馬安裝操作：

然後進行install，首先定位自身._code區段，該區段存放了一個PE文件：

 

將PE文件釋放到C:\ProgramData\DailyUpdate\opendrive64.dll：

在啟動目錄下釋放OneDrive(2).lnk文件實現持久化，該lnk快捷方式指向rundll32.exe加載C:\ProgramData\DailyUpdate\opendrive64.dll並調用其IntRun函數：

啟動rundll32.exe加載C:\ProgramData\DailyUpdate\opendrive64.dll並調用其IntRun函數：

該文件功能與loader相似，主要功能為從dailysync.zapto.org/fancycumti/combidation/scale.jpg上拉取payload並加載，確保payload本身無文件落地，每次木馬加載均需從網絡上拉取paylaod。其功能與loader相同，代碼相似，因此不再詳細分析。

下面開始執行真正的惡意payload。
首先創建Mutex 44cbdd8d470e88800e6c32bd9d63d341 防止重複運行：

執行命令收集獲取信息，並將獲取的信息上傳到C&C伺服器：

cmd.exe /q /c tasklistcmd.exe /q /c ipconfig /allcmd.exe /q /c dir C:\\cmd.exe /q /c dir D:\\cmd.exe /q /c dir E:\\cmd.exe /q /c dir F:\\cmd.exe /q /c dir G:\\cmd.exe /q /c dir H:\\
 
收集的信息會保存在臨時木馬下，nnp[4位隨機].tmp：
隨後會讀取到內存中，再刪除該文件，再獲取一些其他的信息後進行拼接，拼接後的信息如下：
 
 
之後開始跟C&C伺服器通信：
獲取指令，根據不同指令執行以下操作：
 
命令和功能對應關係如下表：
命令號
功能
103
從指定url下載文件，後使用cmd.exe /q /c start執行
104
從指定url下載數據，後在內存中CreateThread執行
115
CMDShell：通過cmd.exe  /q /c +命令執行任意cmd指令並返回
117
卸載木馬：刪除OneDrive(2).lnk，退出進程
120
下載文件執行，隨後卸載木馬

從我們的樣本庫裡檢索出大量MMcore的樣本，針對這些樣本我們進行了歸納分析，發現了一些有趣的規律，總結如下：
該惡意文件第一次被稱為MMcore國外安全公司Forcepoint的一篇分析報告，但是該文章並未解釋得名的由來。經過我們的跟蹤發現，最初版本的MMcore中，其互斥量的取名為" MM-Core-Running "，因此我們猜測，Forcepoint因此而給該惡意文件取名為MMCore：
此後，作者對該互斥名進行了一些混淆和變化，如M1M-C1o1r1e-R1u1n1n1i1n1g1：
直至現在，已經完全沒有MMCore的影子了：
此外，從上面的MMCore的詳細分析中，可以發現該惡意文件存在明顯的版本和版本標籤：
我們羅列一下發現的樣本標籤和版本信息，具體信息如下：
Hash
版本號和標籤名
時間戳
1376ab08fb2f7aae5354b4e8fce364d6
2.0-LNK BaneChant
2013-03-08 07:36:19
c26689c166e0898199baa993416984c8
2.1-LNK StrangeLove
2013-05-02 03:49:49
060d13afdb2212a717666b251feda1d3
 
2.2-LNK BigBoss
2016-07-11 12:22:49
bddb10729acb2dfe28a7017b261d63db
 
2.3-LNK SillyGoose
2016-09-19 05:43:44
baa12a311b9029f33c4fc6de6fde06b0
2.4-LNK PwnMan
2018-06-04 08:55:58
0490e54e4cce81d2ab24a6e7787fa595
2.5 FluffyBunny
2018-08-03 12:49:29
5a477d4574983c2603c6f05ff5bae01e
2.5 WankyCat
2019-3-11 18:01:59
0253a9b3ec0c2b18492a3aaf30aac3f4
2.5 FreshPass
2019-11-21 17:01:14
0586090db0121c36c956263b2069eb73
2.5 FreshPass
2020-01-27 17:30:06
可以發現，標籤隨著時間的變化而變化，目前最新的版本號為2.5，標籤名為FreshPass。
MMCore的一大特色就是把shellcode存放在下載回來的jpg文件中，雖然有些jpg已經完全沒有了jpg的標識：
Shellcode的編碼主要有兩種，Shikata ga nai和普通的編碼。Shikata ga nai編碼為常用的一種躲避殺軟檢測的編碼，海蓮花中的shellcode也多採用該編碼。

單次xor解密：
兩次xor解密：
多次xor解密：

MMCore的攻擊團夥比較偏愛動態域名，使用的動態域名包括有ddns.net、zapto.org、no-ip.org、redirectme.net等，部分信息總結如下表：
動態域名商
C&C域名
ddns.net
nakamini.ddns.net
adrev22.ddns.net
waterlily.ddns.net
no-ip.biz
mockingbird.no-ip.org
nayanew1.no-ip.org
kibber.no-ip.org
g-img.no-ip.biz
zapto.org
dailysync.zapto.org
ichoose.zapto.org
redirectme.net
adnetwork33.redirectme.net
webhop.me
adworks.webhop.me

騰訊安全御見威脅情報中心曾經在2019年發布過一篇文章《疑似白象組織針對巴基斯坦、孟加拉國等南亞國家的最新攻擊活動報告》，文中就提到了MMCore部分的分析：
該活動的ip跟該文重點分析的白象存在重疊。
此外，也與奇安信發布的文章《蔓靈花（BITTER）APT組織使用InPage軟體漏洞針對巴基斯坦的攻擊及團夥關聯分析》中的RAT分析一致：
因此我們把該惡意軟體歸屬到印度的相關組織中。雖然暫時還不清楚MMCore為一個獨立小組還是歸屬於白象、蔓靈花、donot、孔夫子等組織中。但是可以確定的是，該些組織在某些重要的活動中，會採用MMcore惡意軟體來進行攻擊，至少說明MMCore跟這些組織共享技術。
此外還有個發現，依然是基於騰訊安全御見威脅情報中心去年的文章《疑似白象組織針對巴基斯坦、孟加拉國等南亞國家的最新攻擊活動報告》，文章中提到的白象的攻擊活動，該文件誘餌使用帶有宏的doc進行攻擊。我們同樣在庫裡發現了類似的宏文件：
PakCERT-Snapchat hacked by Pakistani Hacker Group.doc（92ee6729747e1f37dcae7b36d584760d）
 
 
而文檔釋放的惡意文件為一個.net編寫的RAT：
該.net RAT為之前未公開過的RAT，也為該組織的常規攻擊武器之一。其中文件的pdb為：d:\KL\rav\rav\obj\Release\rav.pdb
類似的，也有其他的pdb信息為：d:\startnew\JackSparow\WinStore\WinStore\obj\Release\WinStore.pdb
該RAT的主要功能包括：
命令代碼
功能
files
查找指定目錄下的以下擴展名的文件
.doc,.txt,.docx,.ppt,.pptx,.rtf,.xls,.xlsx,.jpg,.jpeg,.png,.gif,.wmv,.pst,.csv,.pdf
sfile
上傳文件
cmd
Cmd  shell
distroy
刪除%appdata%\\MicrosoftServices\\rav.exe」
tlist
獲取進程列表
expld
接收文件，並執行
getkeys
獲取WindowsServices\\dasHost\目錄下的文件信息
fldinfo
找到指定目錄下的文檔文件信息
drinfo
獲取驅動器列表
解密C2：
解密結果為"http://188.241.68.127/pmpk/"，拼接參數得到完整URL，執行systeminfo命令獲取系統信息拼接到url尾部，url如下
http://188.241.68.127/pmpk/blue.php?MNVal=JNENIEYOU-PC&FNVal=ConnInfo&DVal=17_

APT組織的攻擊武器庫始終在進行不斷進化，包括從攻擊手段、開發工具和語言等等，也不斷會有新的攻擊武器庫被補充進來。目前曝光的一些攻擊武器庫可能僅僅只是實際攻擊中的冰山一角，但隨著跟蹤的深入以及被發現的攻擊活動越來越多，會有更多的細節被曝光出來。
此外，攻擊活動的歸屬，是一個比較頭疼的問題。在MMCore的歸屬上，我們尚無十足的證據來證明必然歸屬於某個組織，但是至少可以說明，它跟印度的一些組織存在基礎設施的重疊和攻擊武器庫的復用。這也跟印度眾多APT組織的關係錯綜複雜相關。
我們曾不止一次分析過，蔓靈花、白象、孔夫子、donot等等組織存在一定關聯，也不排除為同屬一個大組織。我們會繼續跟蹤該惡意文件的攻擊活動，力圖使得歸屬上更加清晰。
騰訊安全威脅情報中心建議我國重要企業、政府機關對APT攻擊保持高度警惕，可參考以下建議提升信息系統的安全性：

1、建議重要機構網管培訓工作人員不要隨意打開不明來源的郵件附件，在郵件目的及發件人均未知的情況下，建議不要訪問附件。

2、建議企業用戶使用騰訊安全T-Sec終端安全管理系統修補漏洞，及時安裝系統補丁，可減少被漏洞攻擊的風險。同時注意打開Office文檔時，避免啟用宏代碼。

3、推薦企業用戶部署騰訊T-Sec高級威脅檢測系統（騰訊御界）對黑客攻擊行為進行檢測。

騰訊T-Sec高級威脅檢測系統，是基於騰訊安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統，該系統可及時有效檢測黑客對企業網絡的各種入侵滲透攻擊風險。參考連結：https://cloud.tencent.com/product/nta
推薦政府機構、大中型企業採用騰訊安全完整解決方案提升系統整體安全性。
騰訊安全解決方案部署示意圖（圖片可放大）
企業用戶可根據業務節點攔截位置部署適當的安全產品，並根據騰訊安全威脅情報中心提供的情報數據配置各節點聯防聯動、統一協調管理，可參考下表選擇：
攔截
位置
安全產品
解決方案
雲上
業務
 
騰訊雲T-Sec
安全運營中心（雲SOC）
免費試用雲SOC產品
雲上業務的事前安全預防、事中監測與威脅檢測及事後響應處置。
事前環節：雲上資產的自動化動態盤點。識別雲上配置風險，雲上高危埠及組件的自動化檢查。
事中環節：雲上安全產品告警統一監測，流量威脅感知，識別雲上攻擊和失陷主機行為。
事後環節：對特定安全事件實現自動化響應，雲上安全日誌審計與調查溯源。
雲上安全態勢及安全成果的可視化展示。
雲防火牆
（Cloud Firewall，CFW）
一款基於公有雲環境下的 SaaS 化防火牆，主要為用戶提供網際網路邊界的防護，解決雲上訪問控制的統一管理與日誌審計的安全與管理需求。
未
採
用
雲
上
業
務
騰訊T-Sec
安全運營中心（專有雲）
掃碼了解更多信息
以安全檢測、事件關聯及智能分析為核心功能，並以騰訊威脅情報、3D可視化為特色。通過海量數據多維度分析、對威脅及時預警並做出智能處置。
 
適用於多種安全運營管理場景，幫助企業打造全網安全態勢可知、可見、可控的閉環。
https://cloud.tencent.com/product/soc-private
威
脅
情
報
 
騰訊T-Sec
威脅情報雲查服務
（SaaS）
SaaS形式自動化威脅情報查詢產品：
滿足對IP/Domain/文件等對象的威脅查詢、SaaS形式威脅情報查詢及溯源產品「T-Sec高級威脅追溯系統」。
https://cloud.tencent.com/product/tics
騰訊T-Sec
威脅情報平臺（TIP）
將騰訊安全最新的威脅情報能力變成一套可本地部署的威脅情報管理平臺，幫助企業在內網/專網/私有雲等環境實現威脅情報管理和查詢。
根據威脅情報提供的IOCs信息，將失陷數據同步到網絡中的各個設備，對危險訪問、入侵流量、惡意文件進行檢測、識別和攔截。
騰訊TIP平臺的IOCs信息可自動同步，也支持管理員手動添加。
騰訊T-Sec
高級威脅追溯系統
進行線索研判、攻擊定性和關聯分析，追溯威脅源頭，有效預測威脅的發生並及時預警。
https://cloud.tencent.com/product/atts
網絡
資產
風險
檢測
騰訊T-Sec 網絡資產風險檢測系統（騰訊御知）
免費試用騰訊御知
全面檢測企業網絡資產是否受安全漏洞影響。
可全方位監控企業網站、雲主機、小程序等資產存在的風險，包含弱口令檢測、Web 漏洞掃描、違規敏感內容檢測、網站篡改檢測、掛馬挖礦檢測等多類資產風險。
http://yuzhi.qq.com
入侵
流量
檢測
騰訊T-Sec
高級威脅檢測系統
（騰訊御界）
基於騰訊安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統。
可及時有效檢測黑客對企業網絡的各種入侵滲透攻擊風險。
https://cloud.tencent.com/product/nta
主機
終端
保護
騰訊T-Sec終端安全管理系統（御點）
攔截病毒木馬攻擊終端系統；
支持集中檢測、修復各終端系統存在的安全漏洞；
支持啟用文檔守護者功能自動備份重要資料文件。
https://s.tencent.com/product/yd/index.html
 
個人用戶推薦使用騰訊電腦管家保護終端系統。
安全
服務
騰訊安全定期巡檢服務
由騰訊安全團隊專業工程師提供定期巡檢服務，對客戶採購的全系列騰訊安全解決方案的運行維護情況提供詳細專業的技術報告。
更多產品信息，請參考騰訊安全官方網站https://s.tencent.com/
1、IOCs
MMCore：
fa5ca2cba0dab28fa0fb93a9bd7b1d83   
eecbfa73955218181b0bc27c9491bd03
0647bac99b6a8407795134f5d67d4590
0932b703849364ca1537305761bc3429
9e73734ac2ab5293c0f326245658b50e
b5c1b0137181cf818a46126ca613365e
263b6c350cbf7354b99139be17c272d3
9d7953cd0e67e6ebad049faba242a74b
30e519573d04a2e1505d8daafb712406
320e29f867ae579a9db0d04e998e5459
6303059930cfb785c5cf0af1512b2cbe
5024e86b00012a202d6aa55d5502b9e0
86e3e98c1e69f887e23d119d0d30d51c
5a489fb81335a13dff52678bbce69771
9782e1f021fff363b4a6ee196e1aa9cb
a469f3f7eda824bafb8e569deb05b07d
af501dfd35e7d04afd42d9178601a143
851ea11fa3cf5ca859dacf47d066d6df
bac7c5528767d86863532bd31bdd12e2
c0baa532636ecca97de85439d7ae8cb3
eecbfa73955218181b0bc27c9491bd03
d692a057330361f8f58163f9aa7fc3a8
f946ea7d9640023d06c2751dde195eb8
03fa06ac91685e0df4c635339e297e04
0490e54e4cce81d2ab24a6e7787fa595
060d13afdb2212a717666b251feda1d3
5a477d4574983c2603c6f05ff5bae01e
7d19f3547dc900eba548ee5ceb84edae
baa12a311b9029f33c4fc6de6fde06b0
bddb10729acb2dfe28a7017b261d63db
f3a7d55ee47f2b6bdf7ed6259a6f9496
423dbab9d632a1fc318f66dfc370ac28
b692a0f56d2462ba0ec50374c653b6e8
b3286791b22f515ab8d7f8866a154e9c
2826c9c6c25368f773c0e448572585d0
1e8915ccb433ce0406a98faa94db2237
8b2b4bed6db31739686531d11c9e98aa
c4cee8d6f30127938681c93dd19f2af4
0922a6d3d9d9a774eea90853a075056e
b4db105c90d2f2659fd4e930e0b7ad5b
65067f8c60cbc4ee459641c3b704e180
域名：
dailysync.zapto.org
abtprinting.com
adworks.webhop.me
ichoose.zapto.org
theglobalnews24x7.com
timpisstoo.hol.es
burningforests.com
account-support.site
noitfication-office-client.890m.com
mockingbird.no-ip.org
useraccount.co
nayanew1.no-ip.org
nakamini.ddns.net
adrev22.ddns.net
hawahawai123.no-ip.biz
waterlily.ddns.net
pressnorth.net
officeopenxml.co
jospubs.com
davidjone.net
themoondelight.com
g-img.no-ip.biz
adnetwork33.redirectme.net
plansecure.org
kibber.no-ip.org

.net RAT:
0464acc5f3ea3d907ab9592cf5af2ff4
e223ff5a6a961a6c3ff30811e8a2ceb5
517c2c6e5e0f27f6f9c759a04a2bf612
b3a2e376a9a1f9e4d597eb8509aed57a
c69cd5894bdf4c92fcfb324e7db83ce3
f8da3eab85def2cdedd4227eec3114bb
73eb441bcf27a1ee4b1f5c1f78139b3b
5b1d7c4cea8fcb96696a6e9318d36a45
2cc9cd56b2e4c17b6b63bad4dfc5bc10
IP
188.241.68.127
91.211.88.71

2、參考資料
https://s.tencent.com/research/report/711.html
https://ti.qianxin.com/blog/articles/analysis-of-targeted-attack-against-pakistan-by-exploiting-inpage-vulnerability-and-related-apt-groups-english/
https://www.fireeye.com/blog/threat-research/2013/04/trojan-apt-banechant-in-memory-trojan-that-observes-for-multiple-mouse-clicks.html
https://www.forcepoint.com/blog/x-labs/mm-core-memory-backdoor-returns-bigboss-and-sillygoose
https://twitter.com/KorbenD_Intel/status/1237121311450652672