白象的舞步——来自南亚次大陆的网络攻击(一)

2016-07-13 17:15:00 作者:红黑联盟 分类 : 比特网

  在过去的四年中,安天的工程师们关注到了中国的机构和用户反复遭遇来自“西南方向”的网络入侵尝试。这些攻击虽进行了一些掩盖和伪装,我们依然可以将其推理回原点——来自南亚次大陆的某个国家。尽管我们积极地提醒和协助我们的客户进行改进防护,并谨慎而有限地披露信息、给予警告,但这种攻击并未偃旗息鼓,恰恰相反,其却以更高的能力卷土重来。

  1.概述

  安天本报告披露其中两组高频度攻击事件,尽管我们尚未最终确定这两个攻击波的内在关联,但可以确定的是其具有相似的目的和同样的国家背景,我们将其两组攻击统称为——“白象行动”。

  1.1第一攻击波的概况

  2012年~2013年,安天陆续捕获了来自白象组织的多次载荷投放,此后依托关联信息同源分析,找到了数百个样本,这些样本多数投放的目标是巴基斯坦,少数则针对中国的高等院校和其他机构。2013年7月,安全厂商Norman所发布的报告,将这一攻击称为HangOver。 [1]

  安天技术负责人在2014年4月在《计算机学会通讯》发表的《反病毒方法的现状、挑战与改进》 [2] 一文中,披露了安天捕获到的该组织针对中国的攻击事件:

  “从2012年3月起,我们已经陆续捕获了该事件的一些相关的样本。而这些样本对应的网络事件非常稀少,呈现出高度定向的特点。”

  安天在文章中披露了其中6个相关的样本HASH和被攻击的目标——中国的两所高等院校。在2014年的中国互联网安全大会上,安天在题为《APT事件样本集的度量》 [3] 的公开报告中,对这个事件做了首次全面披露。2014年8月,安天完成了报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》 [4] ,并将这一攻击组织中文命名为 “白象”。

  为区分两个不同的攻击波,我们将2012~2013年高度活跃的这组攻击,在本报告中称之为“白象一代”。“白象一代”投放了至少近千个不同HASH的PE样本,使用了超过500个C&C域名地址;其开发人员较多,开发团队技能混杂,样本使用了VC、VB、.net、Autoit等多种环境开发编译;同时其未使用复杂的加密算法,也未发现使用0day漏洞和1day的漏洞,而更多的是采用被部分中国安全研究者称为“乱扔EXE”的简易社会工程学——鱼叉式网络钓鱼攻击。PE免杀处理是该攻击组织所使用的主要技巧,这也是使这组攻击中的PE载荷数量很大的原因之一。在2015年6月16日的中国反病毒大会上,安天做了题为《A2PT与“准APT”事件中的攻击武器》 [5] 的技术报告,并把这组攻击划分为轻量级APT攻击。

  1.2 第二攻击波的概况

  在第一攻击波发生后,具有相关基因特点的攻击载荷开始减少,2014年活跃度开始明显下降。直到2015年年底,安天又发现一组来自“西南方向”的攻击进一步活跃,通过持续跟踪发现本次行动的攻击主要目标依然为中国和巴基斯坦,通过安天监控预警体系分析发现,中国的受攻击者主要为教育、军事、科研等领域。

  第二攻击波的行动摆脱了“白象一代”杂乱无章的攻击手法,整体攻击行动显得更加“正规化”和“流程化”。第二攻击波普遍使用了具有极高社工构造技巧的鱼叉式钓鱼邮件进行定向投放,至少使用了CVE-2014-4114和CVE-2015-1641等三个漏洞;其在传播层上不再单纯采用附件而转为下载链接、部分漏洞利用采取了反检测技术对抗;其相关载荷的HASH数量则明显减少,其中使用了通过Autoit脚本语言和疑似由商业攻击平台MSF生成的ShellCode;同时其初步具备了更为清晰的远程控制的指令体系。

  我们将这组攻击称为“白象二代”,我们尚无证据表明“白象一代”和“白象二代”组织间存在人员交叉。从整体上来看,“白象二代”相比“白象一代”的技术手段更为高级,其攻击行动在整体性和技术能力上的提升,可能带来攻击成功率上的提升。而其采用的更加暴力和野蛮的投放方式,使其攻击次数和影响范围远远比“白象一代”更大。”

  “白象二代”的技术手法相比“白象一代”有质的提升,其更符合某些研究者对于APT攻击的“技术定义”, 但安天始终要指出,APT的“A(高级)”是相对的,是否称为APT攻击,主要是分析攻击的发起方与其动机和意志,而所谓技术水平则不是定性的主要因素。同时,无论是“白象一代”轻量级的攻击,还是“白象二代”显得更为高明的攻击,对于中国庞大的信息体系,特别是针对高等院校等民用机构,构成了严重的威胁。

  2 白象一代——HangOver的样本、目标与源头分析

  2.1概述

  安天在2012年获取导向相关的载荷最早的投放行为曾淹没于其他海量的安全事件中,并未将相关事件判定为APT攻击。因此需要感谢安全厂商Norman在2013年7月所发布的报告《OPERATION HANGOVER |Executive Summary——Unveiling an Indian Cyberattack Infrastructure》 [1] ,Norman在上述报告根据在分析中发现的原始工程名“HangOve”,将此事件命名为“HangOver”。这组事件即是安天称为“白象一代”的行动。这让安天反思过去在发现和追踪APT攻击中,过度考虑攻击技巧和漏洞利用的问题,并开始针对周边国家对中国攻击检测有了新的方法和视角。

  安天认为“白象一代”组织中人员较多,人员能力参差不齐,采用开发编译器混杂,作业相对混乱。通过安天后端分析平台的关联统计,查找到该攻击组织的相关样本910个,其模块功能包括键盘记录、下载器,信息窃取等,相关样本最新的版本号为HangOver 1.5.7 (Startup)。并根据分析判断相关组织针对中国高等院校等目标实施了攻击行动。

  2.2 样本与资源分析

  安天CERT的研究人员对安天的全样本集,制定了针对四种编译二进制文件的关联方法(Method A~D ),对样本的动静态信息进行向量比对和关联。对于提取出的样本结果集合,安天CERT研究人员又基于代码结构的对比进行了误报排查,最终在已经被其他分析方认定的样本之外,发现了更多样本。

\

  图 2 ‑ 1 使用不同方法关联出的新的样本比例

\

  图 2 ‑ 2 “白象一代”挖掘到的关联样本的编译器分布

  其中,使用编译的样本29个,VB编译的样本 189个,VC编译的样本127 个。

  注:Autoit是一个用于编写自动化脚本的语言,其编写的脚本可以编译成压缩、单一的可执行文件,这样就如同其他编译器生成的PE文件一样,可以脱离开发环境,运行于Windows系统。

  同时,安天CERT也对样本所使用的C&C IP进行了地理位置对应:

\

  图 2 ‑ 3 “白象一代” C&C对应的地理位置

  通过对部分样本的时间戳及编译器数据的对比可以发现,“白象一代”的样本编译时间在2010年下半年到2011年下半年之间的数量最多;2010年上半年的数量较少,属于开始阶段;2012年上半年开始下降,属于收尾阶段。

\

  图 2 ‑ 4 “白象一代”不同编译器样本的时间戳情况

  2.3对中国境内目标的攻击

  2.3.1 攻击样本与事件

  安天在2014年4月相关文章中,所披露的针对中国两所大学被攻击的实事件,涉及以下六个样本。

  捕获时间

  样本hash列表

  样本编号

  2012-08-10

  0D466E84B10D61031A62AFFCFFF6E31A

  Sample 1

  2012-10-21

  734E552FE9FFD1FFDEA3434C62DD2E4B

  Sample 2

  2012-07-24

  9A20F6F4CDDEABC97ED46AEE05AC7A50

  Sample 3

  2012-07-06

  CE00250552A1F913849E27851BC7CF0A

  Sample 4

  2012-09-24

  DE81F0BDBD0EF134525BCE20B05ED664

  Sample 5

  2012-08-01

  F37DD92EF4D0B7D07A4FBDCD9329D33B

  Sample 6

  “白象一代”对中国两所高校攻击的时间链:

\

  图 2 ‑ 5 “白象一代”攻击中国两所大学的 6个样本的时间戳与安天捕获时间对比

  图 2 ‑ 6 “白象一代”针对中国高等院校的载荷投放攻击与数据控制获取的地理场景可视化复现

  2.3.2 样本情况与作业技巧

  在上述攻击中,“白象一代”至少使用了6个样本,这些样本采用不同的编译器(含版本)编译,其中有4个未加壳,有2个使用了UPX壳。

  表 2 ‑ 1 “白象一代”使用的6个样本介绍

  壳

  编译器

  主要行为

  回连地址

  Sample 1

  无

  Microsoft Visual Basic 5.0 / 6.0

  释放的VBScript脚本,脚本执行后连接远程服务器zolipas.info。(域名失效)

  

  Sample 2

  无

  Microsoft Visual Studio .NET 2005 — 2008

  运行后将以下文件设置为Run自启C:\WINDOWS\system32\CatRoot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\slidebar.exe,记录键盘信息并上传。

  

  Sample 3

  UPX

  Dev-C++ 4.9.9.2

  运行后在C:\ApplicationData\Prefetch\ 目录下生成log.txt文件,不断的记录键盘、窗口标题、浏览器搜索内容、计算机用户名等信息。

  Sample 4

  UPX

  Microsoft Visual C++ 7.0

  运行后试图创建csetup32.dll,但未成功。 链接域名secureplanning.net欲下载其他恶意代码(URL失效)。

  /uploadImages/2016/07/20160713181752574.jpg

  Sample 5

  无

  Microsoft Visual Studio .NET 2005 — 2008

  运行后在 c:\Documents and Settings\Administrator\Local Settings\Application Data\NTUSR\目录下创建文件ntusr1.ini,记录用户打开的窗口标题。 不断地上传样本3记录的信息log.txt

  

  Sample 6

  无

  Dev-C++ 4.9.9.2

  样本运行后在C:\ApplicationData\ 目录下释放logFile.txt文件,收集各种相关扩展名文档名称

\

  图 2 ‑ 7 样本与资源间的关联

  其中有5个样本投放至同一个目标,这些样本间呈现出模块组合作业的特点。4号样本是初始投放样本,其具有下载其他样本功能;3号样本提取主机相关信息生成日志文件;5号样本负责上传;6号样本采集相关文档文件信息;2号样本则是一个键盘记录器。

\

  图 2 ‑ 8 样本的组合模块作业方式

  通过对比安天捕获上述样本时各杀毒引擎的检测情况,以及到Norman曝光此事件后各引擎的检测情况,可见该攻击组织使用了一定的免杀技巧。

\

  图 2 ‑ 9 样本在捕获时和被曝光时的扫描对比

  2.4样本中的典型组件分析

  “白象一代”样本集中包括了多个功能组件,包括:

  组件名

  功能

  Keyloger

  键盘记录

  download

  下载

  Upload

  上传

  http backup

  HTTP上传

  FTP backup

  FTP上传

  Usb Propagator

  U盘摆渡

  Mail Password Decryptor

  邮件口令解密

  因报告篇幅所限,我们仅分析其中的窃密组件。这一组件主要功能是遍历磁盘中敏感文件(指定扩展名的文件)、主机信息等,并上传到攻击者指定的服务器中。

  2.4.1样本标签

  病毒名称

  Trojan/Win32.Uploader

  原始文件名

  Hangover1.5.9.exe

  MD5

  0e9e46d068fea834e12b2226cc8969fd

  处理器架构

  X86-32

  文件大小

  28,9208 Bytes

  文件格式

  BinExecute/Microsoft.EXE[:X86]

  时间戳

  2012-09-13 13:09:03

  编译语言

  Microsoft Visual C++

  2.4.2 功能描述

  遍历磁盘文件,上传敏感文件及主机信息到服务器;

  添加启动项;

  遍历敏感文件(*.doc;*.docx;*.xls;*.ppt;*.pps;*.pptx;*.xlsx;*.pdf);

  上传文件到服务器;

  生成上传文件列表;

  文件上传前,规则化重命名文件;

  获取电脑主机信息;

  在当前用户以及所有用户启动文件夹中添加启动项。

  2.4.3功能分析

  该样本遍历用户磁盘文件,上传遍历到的指定扩展名文件:

  *.doc;*.docx;*.xls;*.ppt;*.pps;*.pptx;*.xlsx;*.pdf

  每获取一个文件,在文件上传之前会先获取文件时间,转换为标准时间后和源文件名一起组成新的名字,作为上传的文件名。主要的函数代码如下:

\

  图 2 ‑ 10 重命名的格式:[原有文件名称 ( 无后缀)+文件时间 + 后缀]

  样本获取到受害主机的所有指定扩展名的文件后,回传到指定的服务器,回传的主要流程如下:

\

  图 2 ‑ 11 回传流程

  2.5 攻击来源与攻击目标的分析

  2.5.1样本集中其他对中国有针对性的样本分析

  表 2 ‑ 2 样本标签

  病毒名称

  Trojan/BAT.Zapchast.at

  原始文件名

  未知

  MD5

  13107B9455561E680FE8C3B9B1E8BC37

  处理器架构

  X86-32

  文件大小

  29,4905字节

  文件格式

  ZIP

  时间戳

  2011-05-28 16:04:38

  数字签名

  无

  加壳类型

  ZIP SFX

  编译语言

  Microsoft Visual C++ 6.0

  VT扫描结果

  40 / 51

  样本使用PDF图标进行伪装,运行后衍生多个文件到系统目录并运行,同时显示一张图片(如图2-12)该图片为中国法院的判决书,以迷惑用户。衍生文件会添加注册表开机启动,记录用户键盘输入并回传至远程服务器。

\

  图 2 ‑ 12 样本中包含带有中文的图片

  样本运行后衍生文件列表:

\

  由上表可知主要的恶意文件为spoolsv.exe和ssmss.exe,以下对这两个文件进行简要分析。

  spoolsv.exe分析:

  1. 样本运行后解密内部配置数据,共有两处解密函数;

  解密1,对一些注册表启动键值、文件名、要监控的窗体进行解密,算法就是ASCII码减一。

\

  图 2 ‑ 13 解密注册表、文件名窗体等信息

  解密2,对动态加载的DLL名称、函数解密。

\

  图 2 ‑ 14 解密 DLL 名称和函数

  2. 使用CMD命令添加注册表启动项:

  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run:InternetDownloadServices

  C:\WINDOWS\windowss\spoolsv.exe

  3.创建事件对象Global\{9A8FEAD9-92E9-3F1AD79150C2}、使用注册窗体的方式执行恶意功能代码;

  4.记录用户的窗体名称和键盘输入,特别是对Internet Explorer,Mozilla FireFox的子窗体进行记录,达到记录URL地址的目的,记录的内容写入sonic.ax;

\

  图 2 ‑ 15 通过监控窗体记录 URL地址

  5.每记录100次,复制sonic.ax为sonic1.ax供ssmss.exe使用。

\

  图 2 ‑ 16 记录次数

  ssmss.exe分析:

  1. 创建事件对象:Global\\{D91AD7DF91-92E9-9A8FEA3F50CRC254},获取计算机名称;

  2. 使用CMD命令添加注册表启动项:

  reg add HKCU\Software\Microsoft\Windows\Currentversion\run /v WindowsFirewallSecu rityServ /t REG_SZ /d "C:\Documents and Settings\*\桌面\ssmss.exe" /f

  3.循环读取sonic1.ax内容并回传至URL:s0pp0rtdesk.com/test00.php;

  4. 回传完信息,删除sonic1.ax。

  C&C信息:

  ***rtdesk.com/test00.php ***.91.197.101 美国

  2.5.2 样本集的时间戳、时区分析

  样本时间戳是一个十六进制的数据,存储在PE文件头里,该值一般由编译器在开发者创建可执行文件时自动生成,时间单位细化到秒,通常可以认为该值为样本生成时间(GMT时间)。

\

  图 2 ‑ 17 提取时间戳

  时间戳的分析需要收集所有可用的可执行文件时间戳,并剔除过早的和明显人为修改的时间,再将其根据特定标准分组统计,如每周的天或小时,并以图形的形式体现,下图是通过小时分组统计结果:

\

  图 2 ‑ 18 白象组织开发者工作时间

  从上图的统计结果来看,如果假设攻击者的工作时间是早上八九点至下午五六点的话,那么将工作时间匹配到一个来自UTC+4 或UTC+5时区的攻击者的工作时间。

\

  图 2 ‑ 19 UTC+4或UTC+5的世界时区分布图位置

  根据我们匹配的攻击者所在时区(UTC+4 或UTC+5),再对照世界时区分布图,就可以来推断攻击者所在的区域或国家。

  l UTC+4: 阿拉伯联合酋长国、阿曼、毛里求斯、留尼汪/留尼旺(法)、塞舌尔、第比利斯、亚美尼亚、阿塞拜疆、阿富汗、阿布扎比。

  l UTC+5: 巴基斯坦、马尔代夫、叶卡特琳堡、乌兹别克斯坦、土库曼斯坦、塔吉克斯坦、斯里兰卡、印度。

  2.5.3 攻击组织分析

  我们对这一攻击组织继续综合线索,基于互联网公开信息,进行了画像分析,认为这是一个由10~16人的组成的攻击小组。其中六人的用户ID是cr01nk 、neeru rana、andrew、Yash、Ita nagar、Naga。

\

芥末视频

最近更新
科普

科普图集
互联网+升级到智能+,开启万物智联新时代

互联网+升级到智能+,开启万物智联新时代>>详情

中国互联网消费市场,发展潜力一片大好

中国互联网消费市场,发展潜力一片大好>>详情

邮件订阅

软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯,最新的软件技巧,最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中,与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊!
网络周刊
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧,帮助网管答疑解惑,成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一,主要关注x86服务器,RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析,让您第一时间了解服务器行业的趋势。
存储周刊
比特存储周刊长期以来,为读者提供企业存储领域高质量的原创内容,及时、全面的资讯、技术、方案以及案例文章,力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
安全周刊
比特安全周刊通过专业的信息安全内容建设,为企业级用户打造最具商业价值的信息沟通平台,并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比,比特安全周刊运作模式更加独立,对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事,为企业级用户打造重点突出,可读性强,商业价值高的信息共享平台;同时为互联网、IT业界及通信厂商提供一条精准快捷,渗透力强,覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展,全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托,汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台,并持续提供丰富的资讯和服务,探讨信息化建设,推动中国信息化发展引领CIO未来职业发展。
IT专家网
IT专家新闻邮件长期以来,以定向、分众、整合的商业模式,为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容,包括IT新闻、评论、专家答疑、技巧和白皮书。此外,IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊
X周刊是一份IT人的技术娱乐周刊,给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍,同时用户还能参与我们推荐的互动游戏,给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。