肚腦蟲(Donot)組織和C-Major組織的鉤沉拾遺

近期，安恆安全研究院獵影威脅分析團隊對肚腦蟲(donot)組織進行了一些梳理，在梳理過程中，又發現了一些和C-Major組織的關聯項。於是對這兩個組織做了對比分析。

關於Donot組織

Donot「肚腦蟲」（APT-C-35）是一個疑似具有印度背景，主要針對巴基斯坦和克什米爾地區國家機構等領域進行網絡間諜活動，以竊取機密信息為目的的組織。

關於C-Major組織

C-Major組織，又稱Transparent Tribe，ProjectM，具有巴基斯坦背景，攻擊目標為印度政府、軍方和軍事研究機構等。

 

這兩個組織從攻擊目標看立場是相互對立的。本文主要講述了兩組織的相似之處和部分區分方法以及一些新內容的挖掘。

 

（由於篇幅原因，這裡給出簡要內容，詳細內容請點擊閱讀原文進行閱讀。）

2018年3月國外安全團隊ASERT披露了Donot組織使用新的惡意代碼框架yty，並根據樣本中的pdb路徑將該組織命名為Donot。我們留意到ASERT披露的文檔樣本中使用的宏代碼有一些特殊性，並在安恆文件威脅分析平臺上，根據宏代碼等多方面特性進行關聯，在一系列關聯之後可以劃分出幾個批次的樣本，部分樣本並未歸屬披露。我們將所關聯的樣本梳理成表格方便後面分析。

關聯樣本歸檔如下，（宏相關信息可詳見附錄一：宏類型圖錄）

通過對這些樣本進行分析，可以對這幾個批次的樣本做一個基本的組織判別。

批次1的樣本hash未曾披露，我們從釋放樣本代碼結構，PDB信息，回連IP，回連URL結構等多方面關聯分析樣本歸屬性，可以確定這些樣本屬於C-Major組織。

批次2包含部分未披露樣本，通過鑑別，可將其歸為Donot組織。

批次3也是未披露樣本。最終載荷為通用型，缺少參考意義。可以從宏代碼特徵、釋放文件的文件名等進行關聯。發現其可能與Donot組織存在關聯。

（詳細分析過程請點擊閱讀原文進行閱讀。）

有意思的是，類似的宏出現在了兩個不同組織的樣本中。為了尋求合理解釋，我們繼續對兩個組織的樣本進行深挖分析。

我們會在分析樣本時發現Donot和C-Major這兩個互為對立面的組織有許多非常相似的地方，

如宏代碼相似：

圖：左側為Donot組織樣本，中間和右側為C-Major組織樣本

載荷行為相似 ：

「Donot」組織和「C-Major」組織分別擁有不同的載荷體系，但是在某些行為特性上存在相似點，如從google獲取C2地址。

文檔相關的相似：

在對兩個組織的一些相關樣本做了羅列整理後，發現了更多有意思的信息。

「Qaatil」等用戶名同時出現在了這兩個組織的樣本文檔中，經過整理分析懷疑「Qaatil」屬於「C-Major」組織，Donot組織在不斷的對C-Major組織進行仿製。

（詳細分析過程請點擊閱讀原文進行閱讀。）

以下結論主要基於對兩個組織的已整理樣本分析，文檔漏洞利用等其它利用手段不在本文討論範圍內。

1）通過載荷關聯分析發現，各組織使用的木馬遠控程序仍是區分不同組織的最直接有力的依據。Donot組織使用EHDevel和yty框架的惡意程序及衍生版本。而C-Major組織使用MSIL/Crimson RAT，Python/Peppy RAT，ISqlManager系列等遠程控制工具。

2）雖然兩組織之間的宏代碼有類似之處，但是仍有明顯的區分度，如一些特性，比如Donot組織的惡意宏文檔樣本喜歡主動彈出一個錯誤窗口，

而C-Major組織中並沒有過多這類操作。

再如像下面這類宏代碼，Donot執行的的是bat，而C-Major執行的是exe。

圖：左側為Donot組織樣本，右側為C-Major組織樣本

3）文檔作者信息，Donot的文檔作者名多使用「testing」和「user」等統一名稱，C-Major組織的文檔作者更多樣化。 

4）樣本發現地區，兩組織攻擊目標立場不同。

5）釣魚文檔內容，向目標投遞的釣魚文檔，如果包含迷惑性文檔內容，可以根據目標的針對性作為區分該兩組織的一定依據。根據前述羅列表格的文檔內容表現，Donot的攻擊文檔很多都是空白內容，而C-Major會使用一些偽裝數據。C-Major組織的文檔內容稍微比Donot組織豐富了一些。

（詳細分析過程請點擊閱讀原文進行閱讀。）

網絡「暗戰」已然成為國家間競爭和地緣政治博弈的延伸。可以預見，伴隨印巴炮火連天局勢的持續，該地區的APT攻擊活動勢必也會持續紅熱高發，而網絡偵察與反偵察之間的較量也將一直處於魔高一尺道高一丈，道高一尺魔高一丈的博弈狀態。Donot既借鑑和模仿了C-Major流程化的定向攻擊模式，又在偽裝和反分析等方面巧妙設計，特別是，該組織擁有兩套獨有的成熟的惡意代碼框架，並且還在持續迭代升級中，後續應該會有更多的攻擊活動。未來，像Donot這樣的後起之秀會層出不窮，在跟隨模仿中異軍突起，甚至能夠彎道超車，成為未來網絡「暗戰」的新主角。所以，在未來，面對這些攻擊者我們仍不能掉以輕心。

這裡有三點建議可供參考：

1、各大組織、企業和個人用戶，要及時修補系統補丁和重要軟體補丁；

2、提升安全意識，不輕易打開未知來源的郵件及附件，不隨意點擊未知連結，不隨意打開未驗證可靠來源的文檔，不輕易啟用Office的宏代碼；

3、部署安恆APT預警平臺。安恆APT預警平臺能夠發現已知或未知威脅，其實時監控能力能夠捕獲並分析郵件附件投遞文檔或程序的威脅性，並能夠對郵件投遞，漏洞利用、安裝植入、回連控制等各個階段做強有力的監測。結合安恆威脅情報系統，可將國內外威脅數據進行匯總，分析攻擊演進和聯合預警。

獵影威脅分析團隊將持續關注網絡安全動態。

獵影威脅分析團隊是安恆安全研究院一支專注於攻防技術研究的團隊，團隊由一支擅長攻防技術研究、APT分析、二進位研究的年輕隊伍組成。歡迎有志於安全檢測、二進位研究和攻防技術研究的小夥伴加入我們團隊。

招聘二進位安全研究員

職位描述：

1、在日常可疑文件分析的基礎，進行數據挖掘，尋找APT攻擊事件；

2、分析客戶反饋的可疑文件，編寫分析報告，提供解決方案等；

3、負責熱門安全事件、最新漏洞的分析，編寫分析報告或poc代碼等

4、研究新的檢測方法，維護和完善APT檢測等產品策略

5、協助內部威脅分析平臺建設等

職位要求：

1、熟悉windows、Linux上調試手段，能夠熟練使用常用逆向分析工具（IDA、WinDbg、OD等);

2、熟悉C/C++、彙編語言，至少熟悉一門腳本程式語言，能快速完成POC代碼編寫；

3、熟悉病毒、木馬通信原理和常用技術以及常見加密算法等；

4、熟悉安全漏洞原理，有獨立文檔漏洞分析能力；

5、至少1年以上逆向分析、安全研究相關工作經驗，能力優先不受工作年限限制；

6、具備大數據挖掘能力，對數據極度敏感，能夠快速對數據進行關聯分析；

7、思路清晰，善於主動思考，有創新、能獨立分析和解決問題，具有良好的溝通能力和團隊合作精神；

8、有漏洞分析、病毒木馬分析、Web攻防、威脅情報挖掘、反APT攻擊、機器學習相關、IOT、ICS等工作經驗的優先。

聯繫方式：

xiaoyi.tu@dbappsecurity.com.cn