針對以色列和巴勒斯坦的apt式攻擊

0x00 簡介

這個簡短的報告介紹了一系列針對以色列和巴勒斯坦的攻擊行為，通過惡意文件為傳播源對大量的具有影響或者政治相關的組織，通過我們的調查，之前並無行為上與此相同的apt記錄。不過還是可以找到一些相似的攻擊行為。link to (1](2]

話說那是一個2014年的夏天，我們在一些小型的基礎設施中獲得了惡意樣本，這些行為表明，攻擊者是窮逼，或者被限制了可利用的資源。

最初我們對文件 ecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9 進行了分析，並且push到了 malwr.com (3]進行自動分析。順帶說下該樣本的原名為Israel Homeland Defense Directory 2015 _Secured_.exe 一旦運行會顯示如下界面。

實際上最初的文件是一個rar的自解壓文件，包含三個組件，事實上後期我們的分析師表示這種惡意軟體不屬於原來熟知的一些用於apt惡意軟體類型，我們進行了進一步的分析希望了解其的目的，細節，與攻擊目標。

0x01 進一步分析

該類型的惡意軟體最常見的方式是打包成一個rar壓縮包，當然並不是僅限於此，攻擊者也使用了一些別的手法，比如 Visual Basic 打包，和原始的安裝包，我們認為傳播的途徑是將惡意軟體push到第三份下載站點。下面的圖顯示了一些相關的信息

Pomf.se是一個總部設置在瑞典的小型文件共享和託管站點，使用一些小型站點作為傳播途徑似乎是他們的特徵之一，同樣的我們也從其他的一些小型站點上發現了類似的惡意軟體，並且都是可執行文件。我們先對惡意文件SHA256哈希文件ecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9 進行了分析。

我們選擇了一個名稱DownExecute用來指代惡意軟體，同時我們對其所有變體進行了確認，下面的圖片是共同的打包模式，此外的curl被用於網絡連接，或者說用於下載最終的惡意軟體。

另外的發現是其中的一些二進位文件進行了自籤名

那麼，這個惡意軟體能做什麼，事實上他的作用只是一個下載器，同時用於進行本地環境的一個檢查，其中包括了debugging的檢查，使用一個叫IsDebuggerPresent的函數，檢查是否存在VirtualBox，通過檢查路徑.\VBoxMiniRdrDN。

同時還檢查了一系列的反病毒軟體的存在，檢查甚至包括了存在單詞'security'的進程。

之後惡意軟體會開始解密自身的一些數據，其中包括了攻擊者的控制伺服器。

同時惡意軟體會開始連接攻擊者伺服器，同時會在同一個文件夾建立一個明文文本開始記錄日誌。。。。。(mlgb)

就其初步得到的信息我們可以看出，downloadexcute的作用就跟其名字一樣，用於下載另一個惡意軟體並且執行，因為其本身的攻擊行為幾乎沒有，downloadexcute像是給攻擊者用來站穩腳跟的工具，只有downloadexcute成功了，才會進行下一步入侵。

如上，我們進行了大量的調查，在一些基礎設施中發現了一些功能更加全面的惡意軟體屬於Xtreme RAT和Poison Ivy家族並且使用與downloadexcute相同的域名，我們可以認為其屬於在downloadexcute之後第二階段的而已軟體。其中觀察到的Poison Ivy使用admin2014和admin!@#$%作為密碼

我們對其中連接的域名進行了調查，不過絕大多數連接的域名為動態域名。主要關聯到no-ip.com。通過PwC情報小組的追蹤，關聯到一些中東的一些規模較小的惡意行為，通過對這些的調查，我們使用了Maltego進行了威脅可視化。

這次的攻擊行動與以往的稍許不同，從以往監控到的對於中東的黑客行動，我們已經熟悉其中大部分的ip，相對與一些常被用於用於的主機商，這次主要指向貝里斯的Host Sailor。

如我們之前的報告中提到的(5]，攻擊者習慣使用與目標看起來相似的域名，來其看起來稍微正常一些。基於此我們做了一些簡單的分析用於這次的目標識別。對於具體的list可以參閱附錄B。

從上面的信息中我們判斷，攻擊目標可能以以色列的新聞媒體為主。

之後我們對文檔的內容進行了調查，其中的部分文檔顯然是針對以色列為主的，以軍事，政治為主題。

其文件的主題關聯到巴勒斯坦解放組織領導人Abbas，可以看出攻擊者預計目標會使用流利的阿拉伯語。

0x02 結論

事實上，我們無法斷定這次的攻擊是特別針對中東地區發起的，不過其中的幾個行為模式可以給我們一些提醒。

不明白為什麼這麼喜歡使用no-ip.com和其相關的服務。不過我們發現阿拉伯地下論壇中的幾個黑客特別推薦使用no-ip的服務。

使用公開的惡意軟體，而不是自己寫一個 (such as Poison Ivy/Xtreme RAT)

目標似乎局限於中東，或者說以色列的一些敏感問題。

密碼模式，之前Fireeye的一篇博文(7]顯示了一個團體MoleRats，使用 Poison Ivy 和Xtreme RAT，使用!@#GooD#@!,或者說是!@#作為密碼的模式。

不過攻擊者選擇自行開發dropper可能表明了如何進入系統是他們最大的問題，(畢竟是可執行。。。),我們能找到最早的樣本在2014年6月編譯，之後陸續發現的其他樣本，都在不久之前進行編譯，我們相信這種攻擊還會持續12個月。

附錄A

SHA2568993a516404c0dd62692f3ce5055d4ddee7e29ad4bb6aa29f67114eeeaee26b9bfe727f2f238f11eb989e5b76efd24ad2b41df3cf7dabf7077dfaace834e7f03dad34d2cb2aa9662d4a4148481ae018f5816498f30cc7aee4919e0e9fe6b9e082cb9df0d52d09c98f0a97ce71eb8805f224945cadab7d615ef0257b7b09c80d3f53fd5389b09c6ad289736720e72392dd5f30a1f7822dbc8c7c2e2b655b4dad91d533ddaefc7859a3f6c6751114e895b7aa5935eb0ed68b01ec61aa8560ae3d995b2f926ae173ab45d6dac4039f0b91eb24699e6d11b621bbcebd860752e5d5eda63f6392ce6af83f6d944fa1bd3f28082345fec928647ee7ef9939fac7b2e6ca7aeeead233fcdfe1c7475db982497a82d8ae745ec1c58bd87215e8869c3f9e42eb7aa306551d693691d14558c5dc4f6d80ef8f69cf466149fbba23953c08f7fe945b055fb4057a396506c74f73b873694125e6178a40d10cabf24b2d89d598fc9e084eb1ce1066ee063f860c13a8f7d2ead97495036855fc956dacc9a24ea68047e8d542e2fcdf0f4dd45e2b19848771d01abc90d161d05242b79c52cdd248d25e6bf67410dffb95c527c19dcff5223dbc3bf4c987650e45fbea1267072e8ffb0edbd0f44df72e0fad3fb73948444a4df5143ed954c9116eb1a7b606841f187da63f6392ce6af83f6d944fa1bd3f28082345fec928647ee7ef9939fac7b2e6cde3e25a69ba43b9f236e544ece7f2da82a4fafb4489ad2e263754d9b9d88bc5cecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9f969bf3b7a9821b3b2d5de889b5af7af25972b25ba59e4e9439f87fe90f1c40414be3a9a2a4261cb365915e720486a0632dbebb06fe68fb669ae67aa9b18507b488ba22d6cb8c9b0310c58fa4c4739692cdf45676c3164b357314322542f9dffb3a47e0bc0af49b46bc0c1158089bf200856ff462a5334df2b5c11e69c8b1ada324ce011b913feec4adb916f32c743a243f07dccb51b49c0122c4fa4a8e2bdedd6df5943169b48ac58fc28bb665fe8800c265b65fff8a2217b70703a4d3a727788e7a7e815565b92af81761ae7b9153b7507677df3d3b77e8ce68787ad1826d4f51d4155534e10c09b531acc41458e8ff3b7879f4ee7d3ee99f16180c4caf0eeb3a47e0bc0af49b46bc0c1158089bf200856ff462a5334df2b5c11e69c8b1adabc846caa05939b085837057bc4b9303357602ece83dc1380191bddd1402d4a2b

附錄b 控制伺服器

過長 請參考原文。

附錄c 籤名

Yara

rule DownExecute_A{meta: author = "PwC Cyber Threat Operations :: @tlansec" date = "2015-04" reference = "http://pwc.blogs.com/cyber_security_updates/2015/04/attacks-against-israeli-palestinian-interests.html" description = 「Malware is often wrapped/protected, best to run on memory」strings: $winver1 = "win 8.1" $winver2 = "win Server 2012 R2" $winver3 = "win Srv 2012" $winver4 = "win srv 2008 R2" $winver5 = "win srv 2008" $winver6 = "win vsta" $winver7 = "win srv 2003 R2" $winver8 = "win hm srv" $winver9 = "win Strg srv 2003" $winver10 = "win srv 2003" $winver11 = "win XP prof x64 edt" $winver12 = "win XP" $winver13 = "win 2000" $pdb1 = "D:\\Acms\\2\\docs\\Visual Studio 2013\\Projects\\DownloadExcute\\DownloadExcute\\Release\\DownExecute.pdb" $pdb2 = "d:\\acms\\2\\docs\\visual studio 2013\\projects\\downloadexcute\\downloadexcute\\downexecute\\json\\rapidjson\\writer.h" $pdb3 = ":\\acms\\2\\docs\\visual studio 2013\\projects\\downloadexcute\\downloadexcute\\downexecute\\json\\rapidjson\\internal/stack.h" $pdb4 = "\\downloadexcute\\downexecute\\" $magic1 = "<Win Get Version Info Name Error" $magic2 = "P@$sw0rd$nd" $magic3 = "$t@k0v2rF10w" $magic4 = "|*|123xXx(Mutex)xXx321|*|6-21-2014-03:06PM" wide $str1 = "Download Excute" ascii wide fullword $str2 = "EncryptorFunctionPointer %d" $str3 = "%s\\%s.lnk" $str4 = "Mac:%s-Cpu:%s-HD:%s" $str5 = "feed back responce of host" $str6 = "GET Token at host" $str7 = "dwn md5 err"condition: all of ($winver*) or any of ($pdb*) or any of ($magic*) or 2 of ($str*)}

Network IDS

alert http any any -> any any (msg:"--[PwC CTD] -- Unclassified Middle Eastern Actor - DownExecute URI (/dw/gtk)"; flow:established,to_server; urilen:7; content:"/dw/gtk"; http_uri; depth:7; content:"GET" ; http_method; content:!"User-Agent:"; http_header; content:!"Referer:"; http_header; reference:md5,4dd319a230ee3a0735a656231b4c9063; classtype:trojan-activity; metadata:tlp WHITE,author @ipsosCustodes; sid:99999901; rev:2015200401;)alert http any any -> any any (msg:"--[PwC CTD] -- Unclassified Middle Eastern Actor - DownExecute URI (/dw/setup)"; flow:established,to_server; urilen:>8; content:"/dw/setup"; http_uri; depth:9; content:"POST" ; http_method; reference:md5,4dd319a230ee3a0735a656231b4c9063; classtype:trojan-activity; metadata:tlp WHITE,author @ipsosCustodes; sid:99999902; rev:2015200401;)alert http any any -> any any (msg:"--[PwC CTD] -- Unclassified Middle Eastern Actor - DownExecute Headers"; flow:established,to_server; urilen:>7; content:"Accept */*"; http_client_body; content:"Content-Type: multipart/form-data\; boundary=----"; http_header; content: "ci_session="; http_cookie; depth:11; content: "POST"; http_method; content:!"Referer:"; http_header; content:!"User-Agent:"; http_header; reference:md5,4dd319a230ee3a0735a656231b4c9063; classtype:trojan-activity; metadata:tlp WHITE,author @ipsosCustodes; sid:99999903; rev:2015200401;)

(1] https://github.com/kbandla/APTnotes/blob/master/2012/Cyberattack_against_Israeli_and_Palestinian_targets.pdf

(2] https://www.fireeye.com/blog/threat-research/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html

(3] https://malwr.com/analysis/N2I1YmExMjNkMmM3NGQwMThlNjg5YmI4OGY3Mjc3ZmI

(4] http://curl.haxx.se

(5] See CTO-TAP-20140328-01B or http://pwc.blogs.com/cyber_security_updates/2014/12/apt28-sofacy-so-funny.html for examples of this.

(6] http://pwc.blogs.com/cyber_security_updates/2015/04/attacks-against-israeli-palestinian-interests.html#_ftnref6

(7] https://www.fireeye.com/blog/threat-research/2013/08/operation-molerats-middle-east-cyber-attacks-using-poison-ivy.html