快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

APT团伙(APT-C-01)新行使漏洞样本阐发及关联挖掘

违景

APT-C-01构造是一个长期针对国内国防、当局、科技以及教育领域的重要机构实施收集间谍攻击活动的APT团伙,其最早的攻击活动可以追溯到2007年,360威胁情报中心对该团伙的活动始终保持着持续的跟踪。团伙善于对目标实施鱼叉攻击以及水坑攻击,植入修改后的ZXShell、Poison Ivy、XRAT商业木马,并使用动态域名作为其控制基础举措措施。

360威胁情报中心对一样平常的在野恶意代码跟踪流程中发现疑似针对性的APT攻击样本,通过对恶意代码的深入阐发,行使威胁情报中心数据平台,工控黑客 ,确认其与内部长期跟踪的APT-C-01团伙存在关联,并且结合威胁情报数据挖掘到了该团伙更多的定向攻击活动。

木马阐发

基于开源威胁情报,360威胁情报中心发现http://*einfo.servegame.org域名地址托管了多个攻击恶意代码以及恶意HTA文件,其用于攻击载荷的下载以及分发。

image.png

image.png

Dropper阐发

通过结合对此恶意代码分发域名上的恶意载荷阐发,推测其应该使用CVE-2017-8759漏洞文档来投放第二阶段的攻击载荷,由于目前暂未关联到实际用于攻击活动的漏洞文档文件,结合该团伙过去的攻击特点,其应该是用于邮件鱼叉攻击。

image.png

并且进一步下载恶意的HTA文件,其执行PowerShell指令下载Loader程序,保存为officeupdate.exe并执行。

image.png

Loader阐发

根据Loader程序中包含的字符串信息,制造者将其命名为SCLoaderByWeb,版本信息为1.0版,从字面意思为从Web获取的ShellcodeLoader程序。其用来下载执行shellcode代码。

image.png

Loader程序起首会尝试连接www.baidu.com判定收集联通性,要是没有联网,会每一隔5秒尝试连接一次,直至能联网。

然后从http://*einfo.servegame.org/tiny1detvghrt.tmp下载payload,如图:

image.png

接着判定文件是否下载成功,要是没有下载成功会休眠1秒后,然后再次尝试下载payload:

image.png

下载成功后,把下载的文件内容按每一个字节分别以及0xac,0x5c,0xdd异或解密(本质上就是直接每一个字节异或0x2d),如图:

image.png

以后把解密完的shellcode在新创建的线程中执行,如图:

image.pngimage.png

Shellcode阐发

分发域名地址托管的.tmp文件均为逐字节异或的shellcode,以下图为从分发域名下载的tinyq1detvghrt.tmp文件,该文件是以及0x2d异或加密的数据。

image.png

解密后发现是Poison Ivy生成的shellcode,标志以下:

image.png

通过阐发测试Poison Ivy木马生成的shellcode格式与该攻击载荷中使用的shellcode格式比较,得到每一个设置字段在shellcode中的地位以及含义。

image.pngimage.png

image.png

其shellcode设置字段的格式具体以下:

image.png

在阐发Poison Ivy中获取kernel32基址的代码逻辑时,发现其不兼容Windows 7版本体系,因为在Windows 7下InitializationOrderModule的第2个模块是KernelBase.dll,所以其获取的实际是KernelBase的基址。

image.png

image.png

由于Poison Ivy已经休止更新,所以攻击团伙为了使shellcode能够执行在后续版本的Windows体系,其采用了代码Patch对获取kernel32基址的代码做了改进。

其改进要领以下:

1. 在原有获取kernel32基址代码前增添跳转指令跳转到shellcode尾部,其patch代码增添在尾部;

2. patch代码起首获取InitializationOrderModule的第2个模块的基址(WinXP下为kernel32.dll,WIN7为kernelbase.dll);

3. 然后获取InitializationOrderModule的第二个模块的LoadLibraryExA的地址(WinXP下的kernel32.dll以及WIN7下的kernelbase.dll都有这个导出函数)

4. 最后通过调用LoadLibraryExA函数获取kernel32的基址。

image.png

攻击者针对shellcode的patch,使得其可以在不同的Windows体系版本通用。

该shellcode的功能主若是遥控木马的控制模块,以及C2通讯并完成遥程控制。这里我们在Win7体系下摹拟该木马的上线过程。

image.png

对控制域名上托管的其他shellcode文件进行解密,获得样本的上线信息统计以下:

步履ID 上线域名 端口 上线暗码 互斥体
2017 *****e.*o.dyndns.org 5566 !@#3432!@#@! )!VoqA.I4
bing *****1789.dynssl.com 8088 zxc5566 )!VoqA.I4
ding1 *****ftword.serveuser.com 53 1wd3wa$RFGHY^%$ )!VoqA.I4
ding2 *****il163.sendsmtp.com 53 1wd3wa$RFGHY^%$ )!VoqA.I4
geiwoaaa *****aaa.qpoe.com 443 wyaaa8 )!VoqA.I4
jin_1 *****opin.mynumber.org 80 HK#mq6!Z+. )!VoqA.I4
jin_2 *****ngonly.rebatesrule.net 53 ~@FA<9p2c* )!VoqA.I4
justdied www.ser*****.*****died.com 80 ppt.168@ )!VoqA.I4
pouhui *****hui. *****tation.org 53 index#help )!VoqA.I4
tina_1 *****date.ocry.com 80 168168 )!VoqA.I4
tina_2 *****prp.ezua.com 53 116688 )!VoqA.I4
tony_1 *****update.dynamic-dns.net 80 0A@2q60#21 )!VoqA.I4
tony_2 *****patch.dnset.com 53 aZ!@2q6U0# )!VoqA.I4
关联阐发

通过进一步阐发攻击载荷的归连C&C域名,发现大部分域名都是ChangeIP动态域名,从子域名的命名,攻击者更喜好采用以及Office,体系更新,163邮箱以及招聘网相干的命名症结词。

1. 结合360威胁情报平台对C&C域名进行关联阐发。这里我们对该团伙这次步履中(ding2.exe)使用的C&C域名*il163.sendsmtp.com进行阐发,其当前解析IP为*.*.171.209。

image.png

2. 通过进一步查询IP历史映照域名,发现域名pps.*usic.com对应内部发现的APT-C-01构造历史使用的域名。

image.png

3. 通过搜索pps.*usic.com这个域名,得到关联样本。

image.png

该样本为该构造早期的攻击恶意代码。

image.png

4. 查询该域名历史解析IP。

image.png

5. 对域名历史映照的IP地址..114.161进行查询,发现*e165.zyns.com域名,这个域名一样也是ChangeIP动态域名,并且曾经用于CVE-2017-0199的漏洞文档。

image.png

该漏洞文档是一个关于十九大的PPT,其最后修改时间为2017年12月12日。根据文档文件中的元数据,可以推测攻击者从网上检索到了“杨建华”制造的学习十八大党章的PPT文档,由名字为”steusr”的用户最后修改该文档内容制造为引诱文档。

image.png

image.png

image.png

image.png

该漏洞文档会下载执行一个HTA文件。

image.png

总结总体关联铺示以下图所示:

image.png

总结

基于我们对该APT团伙的长期跟踪,结合本次攻击Campaign的细节我们对团伙的攻击战术手艺以下:

攻击团伙名称 APT-C-01
攻击入口 鱼叉攻击投放漏洞文档
受影响应用 Windows体系
使用漏洞 CVE-2017-8759、CVE-2017-0199
恶意代码及工具 Poison Ivy
控制基础举措措施资源 动态域名,首要为ChangeIP动态域名
首要攻击战术手艺特征阐发 1.使用鱼叉邮件投放漏洞文档,其用于下载执行恶意的HTA文件; 2.使用PowerShell下载执行第一阶段载荷; 3.修改Poison Ivy生成的shellcode作为命令控制模块; 4.使用动态域名进行命令控制,并且子域名通常伪装成Office,体系更新,163邮箱以及招聘网相干内容;

攻击者通过使用动态域名以及地下的木马来隐躲自身更多的标记信息,增添了追溯的难度,并且愈加容易与普通的木马攻击事故相混淆。但从本次攻击活动的阐发我们也能够发现对于攻击团伙以及其拥有的资源丰富程度,其通常并非拥有无限的控制基础举措措施资源,所以当持续积累了充足的基础举措措施相干数据,并结合威胁情报的持续运营,往往可以将看似自力的事故关联到一块儿并确定指向。

目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天眼高级威胁检测体系、360 NGSOC等,都已经支持对此APT攻击团伙攻击活动的检测。

参考链接

https://twitter.com/avman1995/status/933960565688483840

IOC

C&C地址
***.***.66.10
***.***.32.168
***.***.220.223
***.***.67.36
***.***.133.169
***.***.8.137
***.***.125.176
***.***.228.61
***.***.9.206
***.***.171.209
*****gonly.rebatesrule.net
*****erk.gecekodu.com
*****r163.serveusers.com
*****date.ocry.com
*****aaa.qpoe.com
*****opin.mynumber.org
*****rvice.serveuser.com
*****ftword.serveuser.com
*****e.go.dyndns.org
*****info.servegame.org
*****il163.sendsmtp.com
*****update.dynamic-dns.net
*****prp.ezua.com
www.ser*****.*****died.com
*****1789.dynssl.com
*****patch.dnset.com
*****hui. *****tation.org
*****high.mefound.com
*****e165.zyns.com
http://*****e165.zyns.com/zxcvb.hta
LOADER MD5
**********5fffda3425d08c94c014a1
**********31ffcdbe65ab13d71b64ec
**********6fd8670137cade8b60a034
**********5bf285d095e0fd91cb6f03
**********e6528add4f9489ce1ec5d6
**********44d923f576e9f86adf9dc0
**********aaee991ff97845705e08b8
**********bd772a41a6698c6fd6e551
**********3f6ea5e0fd1a0aec6a095c

*

您可能还会对下面的文章感兴趣: