背景
近期,360威脅情報中心協助用戶處理了多起非常有針對性的郵件釣魚攻擊事件,被攻擊目標包括中國境內的巴基斯坦重要商務人士,該輪攻擊活動最早發生在2018年5月,攻擊者對目標機器進行了長時間的控制。360威脅情報中心在本文中對本次的釣魚攻擊活動的過程與技術細節進行揭露,希望相關組織和個人能夠引起足夠重視並採取必要的應對措施。
2017年,360公司發現並披露了主要針對巴基斯坦等南亞地區國家進行網絡間諜活動的組織[1],內部跟蹤代號為APT-C-35,其後網絡安全廠商Arbor公開了該組織的活動並命名為Donot[2]。此APT組織主要針對政府機構等領域進行攻擊,以竊取敏感信息為主要目的。從2017年至今,該組織針對巴基斯坦至少發動了4波攻擊行動,攻擊過程主要是以攜帶Office漏洞或者惡意宏的魚叉郵件進行惡意代碼的傳播,並先後使用了兩套獨有的惡意代碼框架:EHDevel和yty。而在這一波攻擊中,Donot團夥瞄準了在我國境內的巴基斯坦商務人士。
攻擊者針對目標的整個攻擊過程如下:
360威脅情報中心對整個攻擊過程進行了詳細分析,過程如下。
攻擊者通過向目標郵箱發送帶有惡意宏的Excel誘餌文檔誘騙目標執行,宏代碼成功執行後會在C:\micro釋放office_update.exe,並執行該EXE文件。誘餌文檔內容為寶馬汽車促銷的相關信息,這和受害者所從事的商務活動密切相關,極易取得受害者的信任:
文件名
office_update.exe
MD5
2320ca79f627232979314c974e602d3a
office_updata.exe則是一個下載者,其會通過http://bigdata.akamaihub.stream/pushBatch下載一個BAT文件並執行:
該BAT文件主要功能為設置自啟動項實現持久化、創建隱藏的文件目錄等,office_updata.exe還會從http://bigdata.akamaihub.stream/pushAgent下載文件保存到%USERPROFILE%\BackConfig\BackUp目錄下,並命名為wlidsvcc.exe:
office_updata.exe最後會實現自刪除:
文件名
wlidsvcc.exe
MD5
68e8c2314c2b1c43709269acd7c8726c
wlidsvcc.exe也是一個下載者,wlidsvcc.exe會與C2通信下載後續需要執行的插件:wuaupdt.exe、kylgr.exe、svchots.exe等等,並啟動wuaupdt.exe。樣本運行後通過創建互斥量「wlidsvcc」以保證只有一個實例運行:
隨後判斷當前進程路徑是否為%USERPROFILE%BackConfig\BackUp\wlidsvcc.exe:
若路徑滿足條件後,以POST方式與C2:bigdata.akamaihub.stream進行通信,並獲取後續的控制指令:
通過判斷C2返回數據,根據不同指令執行不同操作,當指令為「no」時,則Sleep 90秒後再與C2繼續通信:
當命令為「cmdline」時,則啟動插件執行器:%USERPROFILE%\BackConfig\BackUp\wuaupdt.exe,並繼續與C2通信:
當指令不是上述兩條指令,則從http://bigdata.akamaihub.stream/orderMe下載文件保存到路徑C:\Users\%s\BackConfig\BigData,之後繼續與C2通信獲取需要執行的指令:
文件名
Wuaupdt.exe
MD5
35ec92dbd07f1ca38ec2ed4c4893f7ed
wuaupdt.exe本身的功能是一個CMD後門,其會與C2通信執行一些CMD命令。並且還會通過攻擊者下發的指令執行其他的插件,所有後門插件的分析見下節。
通過C2獲取指令執行:
wuaupdt.exe會根據攻擊者下發的指令執行對應的插件,相關插件分析如下。
Keylogger - Kylgr.exe文件名
Kylgr.exe
MD5
88f244356fdaddd5087475968d9ac9bf
PDB路徑
c:\users\user\documents\visualstudio2010\Projects\newkeylogger\Release\new keylogger.pdb
該插件的主要功能為鍵盤記錄,其首先會在當前目錄創建文件inc3++.txt,並檢索%USERPROFILE%\Printers\Neighbourhood目錄下是否已有歷史鍵盤記錄文件存在,若有則將文件名與最後修改時間保存到inc3++.txt:
如果%USERPROFILE%\Printers\Neighbourhood路徑下有歷史鍵盤記錄文件,則將歷史鍵盤記錄文件移動到%USERPROFILE%\Printers\Neighbourhood\Spools目錄下:
之後在%USERPROFILE%\Printers\Neighbourhood下創建格式為「用戶名_年_月_日(時_分_秒)」的文本文件,用於記錄當前的鍵盤記錄,最後循環獲取是否有鍵盤滑鼠操作:
如果獲取到窗口名,將窗口名和按鍵信息保存到創建的文本文件中:
file-listing - svchots.exe
文件名
svchots.exe
MD5
14eda0837105510da8beba4430615bce
文件搜集插件首先會遍歷C、D、E、F、G、H盤:
並排除以下目錄:
然後獲取以下擴展名的文件:
當找到有以上擴展名的文件後,將文件名與最後的修改日期寫入當前目錄下的test.txt文件中,並將搜集到的文件加上txt後綴後複製到%USERPROFILE%\Printers\Neighbourhood\Spools目錄下:
Systeminfo - spsvc.exe
文件名
spsvc.exe
MD5
2565215d2bd8b76b4bff00cd52ca81be
系統信息搜集插件使用UPX加殼,脫殼後根據字符串相關信息可以知道是go語言編寫的程序。該插件會創建多個CMD進程執行命令,獲取系統相關信息,並將獲取的信息保存到目錄%USERPROFILE%\Printers\Neighbourhood\Spools:
Uploader - lssm.exe
文件名
lssm.exe
Md5
23386af8fd04c25dcc4fdbbeed68f8d4
文件上傳插件主要用於將%USERPROFILE%Printers\Neighbourhood\Spools目錄下,由木馬收集的敏感信息和文件上傳到C2:bigdata.akamaihub.stream
Uploader - lssmp.exe文件名
lssmp.exe
MD5
b47386657563c4be9cec0c2f2c5f2f55
數字籤名
COMODO CA Limited
和lssm.exe功能類似的另外一個文件上傳插件為lssmp.exe,該樣本包含數字籤名:
插件執行後會從當前進程列表中找到explorer.exe進程:
然後獲取插件的資源節,並解密出一個PE文件:
將解密的PE文件注入到explorer.exe執行:
注入的PE文件在功能與lssm.exe插件一致,上傳其他插件收集的鍵盤信息到C2:
關聯樣本分析
360威脅情報中心通過內部大數據關聯到此次的攻擊團夥使用的其它一些誘餌文檔和插件,相關分析如下。
CSD_Promotion_Scheme_2018.xls文件名
CSD_Promotion_Scheme_2018.xls
MD5
82a5b24fddc40006396f5e1e453dc256
該誘餌文檔同樣是利用惡意宏的Excel樣本,打開文檔後會提示啟用宏:
惡意宏代碼的主要功能為在%APPDATA%目錄下釋放Skype.exe,在C:\Skype目錄下釋放Skype.bat,並執行Skype.bat文件:
宏代碼執行後同樣會顯示一個寶馬汽車促銷的相關圖片:
Skyep.batSkyep.bat會重新創建%USERPROFILE%Printers\Neighbourhood\Spools、%USERPROFILE%\BackConfig\BackUp和%USERPROFILE%\BackConfig\BigData文件夾,並將這些文件夾屬性設置為隱藏:
該BAT文件還會獲取計算機名,將獲取到的計算機名和5位隨機數字組成字符串保存到%USERPROFILE%\BackConfig\Backup\pcap.txt中:
並創建多個自啟動項,為後續下載執行的插件設置持久化。最後啟動Skyep.exe,並刪除自身:
Skyep.exe文件名
Skyep.exe
MD5
f67595d5176de241538c03be83d8d9a1
PDB
C:\Users\spartan\Documents\Visual Studio 2010\Projects\downloader new 22 jun use\downloader\Release\downloader.pdb
Skyep.exe的主要功能為下載執行,文件名則偽裝成語音軟體Skype,其會從http://databig.akamaihub.stream/pushBatch(還存活)下載文件保存到\BackConfig\BackUp\csrsses.exe並執行,且Skyep.bat文件中已經把該文件寫入到自啟動項:
Csrsses.exe
文件名
Csrsses.exe
MD5
e0c0148ca11f988f292f527733e54fca
該樣本與前面分析的wlidsvcc.exe功能類似,都是與C2通信獲取後續插件執行。
樣本主要功能是與C2通信獲取後續插件執行,首先從\\BackConfig\\BackUp\\pcap.txt讀取出計算機名:
然後將計算機名封裝成字符串:「orderme/計算機名-隨機數」,以POST方式與C2:databig.akamaihub.stream進行通信,獲取後續命令執行:
之後通過判斷返回網絡數據中的Content-Type進行後續操作:如果是「application」,則從C2獲取文件保存到\\BackConfig\\BigData\\目錄下:
如果是「cmdline」,則執行\\BackConfig\\BigData\\wuaupdt.exe,並繼續與C2通信:
當等於「batcmd」時,則啟動\\BackConfig\\BigData\\test.bat,並且繼續與C2通信:
360威脅情報中心通過對此次攻擊中使用的宏代碼、插件、域名/IP關聯分析,以及使用360威脅情報中心分析平臺對相關樣本和網絡基礎設施進行拓展,我們確認此次攻擊的幕後團夥為Donot APT組織(APT-C-35)。
2018年3月ASERT曝光的DONOT APT組織[2]的宏利用樣本和本次攻擊活動中使用的宏利用樣本相似度極高,並且都是執行完宏後彈出一個誘餌圖片。
和之前的Donot樣本一致,這次的樣本也是通過重C&C獲取插件執行的插件式木馬。其中都有UPX加殼的go語言木馬,且代碼邏輯高度一致:
本次攻擊活動中的wuaupdt.exe在之前的Donot攻擊活動中[1]也曾出現,且C2地址一致。
從本次捕獲到的Donot APT攻擊活動來看,該APT團夥依然以巴基斯坦相關人士作為首要攻擊目標,甚至將攻擊範圍擴大到包括在華的巴基斯坦人員和機構。種種跡象表明,Donot APT組織(APT-C-35)從未停止自己的攻擊活動,或許近期會再次發動新的網絡間諜攻擊。
360威脅情報中心再次提醒各企業用戶,加強員工的安全意識培訓是企業信息安全建設中最重要的一環,如有需要,企業用戶可以建設態勢感知,完善資產管理及持續監控能力,並積極引入威脅情報,以儘可能防禦此類攻擊。
目前,基於360威脅情報中心的威脅情報數據的全線產品,包括360威脅情報平臺(TIP)、天眼高級威脅檢測系統、360 NGSOC等,都已經支持對此APT攻擊團夥攻擊活動的檢測。
MD5
82a5b24fddc40006396f5e1e453dc256
f67595d5176de241538c03be83d8d9a1
e0c0148ca11f988f292f527733e54fca
2320ca79f627232979314c974e602d3a
68e8c2314c2b1c43709269acd7c8726c
35ec92dbd07f1ca38ec2ed4c4893f7ed
88f244356fdaddd5087475968d9ac9bf
14eda0837105510da8beba4430615bce
2565215d2bd8b76b4bff00cd52ca81be
23386af8fd04c25dcc4fdbbeed68f8d4
b47386657563c4be9cec0c2f2c5f2f55
C&C
databig.akamaihub.stream
bigdata.akamaihub.stream
185.236.203.236
unique.fontsupdate.com
PDB路徑
C:\Users\spartan\Documents\Visual Studio 2010\Projects\downloader new 22 jun use\downloader\Release\downloader.pdb
C:\users\user\documents\visualstudio2010\Projects\newkeylogger\Release\new keylogger.pdb
[1]. https://ti.360.net/blog/articles/latest-activity-of-apt-c-35/
[2]. https://asert.arbornetworks.com/donot-team-leverages-new-modular-malware-framework-south-asia/