快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

蓝宝菇(APT-C-12):核危急步履揭破

摘要

从2011年最先持续至今,高级攻击构造蓝宝菇(APT-C-12)对我国当局、军工、科研、金融等重点单位以及部门进行了持续的收集间谍活动。该构造首要关注核工业以及科研等相干信息。被攻击目标首要集中在中国大陆境内。

360追日团队拿获的首个蓝宝菇构造专用木马出现在2011年3月左右。目前已统共拿获该构造恶意代码670余个,其中包括60余个专程用于横向挪移的恶意插件。目前已经发现该构造相干的C&C域名、IP数量多达40余个。

由于该构造相干恶意代码中出现独有的字符串(Poison Ivy暗码是:NuclearCrisis),结合该构造的攻击目标特点,360威胁情报中心将该构造的一系列攻击步履命名为核危急步履(Operation NuclearCrisis),考虑到核武器爆炸时会产生蘑菇云,并结合该构造的一些其他特点及360威胁情报中心对APT构造的命名规则,我们将该构造名为蓝宝菇。

截止2018年5月,360追日团队已经监测到核危急步履攻击针对的境内目标近30个。其中,教育科研机构占比最高,达59.1%,其次是当局机构,占比为18.2%,国防机构排第三,占9.1%。其他还有奇迹单位、金融机构建造业等占比为4.5%。

第一章 综述

从2011年最先持续至今,高级攻击构造蓝宝菇(APT-C-12)对我国当局、军工、科研、金融等重点单位以及部门进行了持续的收集间谍活动。该构造首要关注核工业以及科研等相干信息。被攻击目标首要集中在中国大陆境内。

360追日团队拿获的首个蓝宝菇构造专用木马出现在2011年3月左右。目前已统共拿获该构造恶意代码670余个,这些恶意代码可分为4类RAT,细分版本为7种。其中,还包括60余个专程用于横向挪移的恶意插件,从功能区别来看也最少有5种。目前已经发现该构造相干的C&C域名、IP数量多达40余个。

由于该构造相干恶意代码中出现独有的字符串(Poison Ivy暗码是:NuclearCrisis),结合该构造的攻击目标特点,360威胁情报中心将该构造的一系列攻击步履命名为核危急步履(Operation NuclearCrisis),考虑到核武器爆炸时会产生蘑菇云,并结合该构造的一些其他特点及360威胁情报中心对APT构造的命名规则,我们将该构造名为蓝宝菇。

在核危急步履针对中国的收集间谍活动中,下述相干时间点值得关注:

2011年3月,首次发现与该构造相干的木马,针对当局相干机构进行攻击。

2011年11月,对某核工业研究机构进行攻击。

2012年1月,对某大型科研机构进行攻击。

2012年3月,对某军事机构进行攻击。

2012年6月,对国内多所顶尖大学进行攻击。

2013年6月,对某中央直属机构进行攻击,同时最先使用新类型的RAT。

2014年8月,发现该构造使用5种以上的横向挪移恶意代码针对重点目标机构进行大批横向挪移攻击。

2014年12月,发现新的RAT,我们将其命名为Bfnet,该后门具备窃取指定扩台甫文档等重要功能。

2015年9月,针对多个国家的华裔办事机构进行攻击。

2018年4月,针对国内某重要敏感金融机构发动鱼叉邮件攻击。

注:以上所述的“首次发现”时间,仅是我们目前已经了解把握的情形,不代表我们已经把握了该构造的整个攻击事故以及举动。

第二章 攻击目的以及受害阐发

1、 行业分布

截止2018年5月,360追日团队已经监测到核危急步履攻击的境内目标近30个。其中,教育科研机构占比最高,达59.1%,其次是当局机构,占比为18.2%,国防机构排第三,占9.1%。其他还有奇迹单位、金融机构建造业等占比为4.5%。

image.png

二、 地域分布

中国北京区域是核危急步履攻击的重点地区,其次是上海、海南等区域。

image.png

第三章 持续的收集间谍活动

1、 初始攻击

在核危急步履的多次攻击中,我们发现其初始攻击首要采用鱼叉邮件携带二进制可执行文件这类攻击要领。攻击者仿冒官方邮件向受害者发送鱼叉邮件,引诱受害者点击邮件所携带的恶意附件。

RLO伪装文档扩台甫

在攻击的初期,攻击者使用的邮件附件多为一个WinRAR压缩包,其中包含伪装成Word文档的SCR文件。

下图为核危急步履鱼叉邮件压缩包中的一个伪装成Word文件的专用木马的图标以及文件名截图。该文件伪装成一份通讯录文件,同时,为了更好的伪装诱饵文档,攻击者使用了RLO控制符。RLO控制符是Unicode控制符的一种,用来显示中东笔墨,中东笔墨的誊写顺序是从右到左的。攻击者通过在文件名中插入RLO控制符,使得字符的显示顺序变成从右至左,从而来隐躲文件的真实扩台甫。

image.png

MD5 文件名 病毒
a2c*************************7dcf ****工硕班通信录RCS.DOC(真实扩台甫.SCR) Dropper.Win32.FakeDoc

表1 核危急步履伪装成通信录的专用木马1

当受害者点击关上这个伪装成Word文档的专用木马后,木马会在开释攻击代码的同时,开释一个真实的Word文档。下图为该诱饵Word文档关上后的信息内容,其中信息确凿是一份具体的通信录。可见,该构造在文件伪装方面确凿下足了功夫。

image.png

下面是我们截获的另外一个使用了RLO伪装,同时伪装成通信录的专用木马样本信息及该样本关上后的截图。

MD5 文件名 病毒
e26*************************65f0
第六组通信录更新SRCS.DOC(真实扩台甫.SCR) Dropper.Win32.FakeDoc

表2 核危急步履伪装成通信录的专用木马2

image.png

下面是我们截获的第三个使用了RLO伪装的专用木马样本信息及该样本关上后的截图。该文件的文件名格式伪装要领与前述两个样原形同,但详细内容则伪装成了一份智库文件。

MD5 文件名 病毒名
e26*************************65f0 《智库》SRCS.DOC(真实扩台甫.SCR) Dropper.Win32.FakeDoc

表3核危急步履伪装成某智库文件的专用木马

image.png

(二) LNK文件

2018年4月,我们拿获到了一次核危急步履的最新攻击活动。某些重要的当局以及企业机构的邮箱用户收到一份发自boaostaff[@]163.com的鱼叉邮件,鱼叉邮件仿冒博鳌亚洲论坛主办方向受害者发送了一封邀请函:

image.png

邮件附件是一个163邮箱的云附件,为RAR压缩包文件。点开云附件,会跳转到对应的云端下载地址将附件下载到内陆,这一过程与早期的攻击活动大致相同。

不同的是,此次新攻击下载得到的附件包含的是一个恶意LNK文件:

image.png

一旦受害者被引诱关上该LNK文件,LNK文件便会通过执行文件中附带的PowerShell恶意脚原先网络上传用户电脑中的敏感文件,并装置持久化后门程序长期监控用户计算机。

二、 持续渗透排泄

核危急步履从2011年3月最先始终持续至今,我们统共拿获到4种RAT,细分版本达到7种,另外发现大批横向挪移的恶意代码,从功能区别最少有5种。

从时间段上看,在2011-2012年,核危急步履所使用的首要攻击木马是Poison Ivy;而到了2013-2014年,Poison Ivy虽然仍在继续使用,但被升级到了几个全新的版本;2014年三季度–2015年,核危急步履最先大批进行横向挪移攻击,并从2014年底最先,使用Bfnet后门。

image.png

下面就对核危急步履在上述几个阶段攻击活动的首要特点进行简要的阐发说明。

(1)2011-2012年

通过深入阐发,我们发现该攻击构造每一次在提议新的攻击时,往往都会采用不同以往的诱饵文件名。如在2012年1月中旬至下旬期间,首要采用“2012龙年运程”以及“龙年贺卡”这两个文件名。就该构造这一特性,我们对其在2011-2012年的攻击步履中所使用的诱饵文件名进行了相干统计阐发:

2011年首要诱饵文档文件名

通讯录类:通信录、***工硕班通信录、第**组通信录更新、***第13期驻外人员培训班人员通信录。

其他:**战略、《****智库》约稿S、《国家**》S、Taitravel、*****万言书-***2012。

2012年首要诱饵文档文件名

太子传奇系列:如,太子传奇B、太子传奇C、太子传奇E等(以英笔墨母编号的“太子传奇”系列文件供发现近20种)。

其他:****百口福_pan、龙年贺卡MA、宝贝S、88届十二队通信录、2012龙年运程、******基金重大项目研究选题推荐表。

特别值得一提的是:攻击者除了对诱饵文件的文件名进行了精心的伪装之外,对诱饵文件的内容也进行了精心的设计。以最为频仍使用的“通讯录”诱饵文件为例:被关上的Word文档的内容确凿为相干机构人员或相干培训参与者的具体通讯录信息,而且有持续的更新,如前面截图案例所示。这就使得被攻击者很难看破其中的攻击举动。同时,考虑到被攻击目标本身所处机构的敏理性,我们有理由认为,攻击者在提议攻击的过程中,已经对攻击的目标机构或小我私人有了比较充分的了解。

从木马的类型来看,在2011-2012年的攻击中,无线黑客,核危急步履首要采用了Poison Ivy这款专用木马,其在本质上一款遥程控制木马程序,对应的Poison Ivy木马生成器版本首要为2.3.2。Poison Ivy木马生成器从1.0.0版本最先统共10个版本,最新版本为2.3.2。Poison Ivy木马生成器可以生成exe以及ShellCode两种版本的木马。在核危急步履中,我们目前已经截获的Poison Ivy专用木马均为ShellCode形态。

(2)2013-2014年

2013-2014年,核危急步履中所使用的Poison Ivy与2011-2012的版原形比有较大的改动以及升级,但仍可通过大数据及多维阐发,发现其同源性。

PoisonIvy的2013版本与2014版本的一个首要区分是“inst.exe”以及“pile.dll”开释的路径不同。

2014版本的路径为:%APPDATA%/Microsoft/Internet Explorer/

2013版本的路径为:%TEMP%/

下图给出了核危急步履2013-2014版的Poison Ivy专用木马的执行流程。

image.png

(3)Bfnet后门

Bfnet是一种此前未知的RAT,目前我们拿获到Bfnet有两个版本:Bfnet2014以及Bfnet2015。

Bfnet后门的母体大多为行使文档图标的PE程序,执行后会开释相干后门程序(早期版本只是一个DLL文件,最新版本会有多个文件)以及后门设置文件(内容主若是上线地址、端口以及ID)。另外木马在执行的同时会将内置的诱饵文档关上来迷惑被攻击对象。

Bfnet开释的后门程序会修改最先菜单的程序内里的所有快捷方式:在完成快捷方式的正常功能的同时,指向rundll32,加载运行dll后门程序。

特其它,Bfnet后门会针对WPS程序进行专程攻击。Bfnet执行后会删除TEMP目录以及LOCALAPPDATA目录下WPS程序,详细是删除WPS更新程序:wpsupdate.exe、updateself.exe,删除WPS通知程序:desktoptip.exe、wpsnotify.exe。下图是Bfnet删除WPS相干程序代码截图

image.png

Bfnet后门的2015版以及2014版之间也有一定的悬殊。2015版除了部分指令以及功能有变迁外,还增添了加密功能,会对部分症结字符串进行加密。

(4)匹敌手艺

核危急步履中所使用的专用木马,采用了一定程度的匹敌手艺。首要表现在两个方面:一方面是杀软匹敌手艺,一个是反捏造机手艺。

杀软匹敌手艺

PoisonIvy母体味判定体系中是否有瑞星进程,要是有则会将Poison Ivy的ShellCode中注入默认阅读器的操作(在ShellCode的尾部)代码删除。

另外,母体还会判定是否有360、卡巴斯基、金山的进程,但通常只是做判定而不做后续操作。一个比较特殊的操作是:在核危急步履2013-2014版的Poison Ivy中,木马一旦发现体系中有360、卡巴斯基等杀软存在,就会用ICMP协定发送一条固定数据到一个指定的服务器。这条固定数据以下:

“!”#$%&’()*+,-./0123456789:;<=>?”

反捏造机手艺

我们在核危急步履的多个代码中,都发现了一个特殊的导出函数 szFile。导出函数 szFile 是一个104字节大小的字符串数组,运行的时辰会动态填写字符串“VirtualAlloc”,并动态修改PE中导出表的大小为“0X80000000”,如许调用GetProcAddress(handle,”"szFile”) 的时辰会返归 VirtualAlloc 的地址,如许可以匹敌轻量级的捏造机。

(5)插件阐发

我们截获了很多核危急步履的功能插件,疑似是Bfnet的其他功能插件,或者通过Bfnet下放的其他恶意程序。相干插件工具都是攻击者对被感染机器进行筛选落后一步定向投放的,不同目标存在的插件工具不同。

相干插件工具主若是进一步探测用户环境以及窃取指定用户文件,总体倾向横向挪移的作用。下图给出了部分插件及其作用阐发。

image.png

NSSDZL.vbs

该文件是由ENSSDZL.vbs文件开释出来,NSSDZL.vbs的首要功能是将指定文件(通过指定文件扩台甫)拷贝到指定目录(usb_tmp)。相干文件扩台甫包括:PDF,DOC,DOCX,XLS,XLSX,PPT,PPTX,WPS,ET,DPS,7Z,ZIP,RAR

NWSM.vbs

NWSM.vbs是由ENWSM.vbs开释。NWSM.vbs功能最为复杂,包含内网渗透排泄,并且通过流试方式写入脚本。

C0A80101.vbs等其他9个同类脚本

这些脚本会查看局域网其他IP(手动指定)的NetBIOS信息,包括计算机名、MAC地址;查看遥程计算机服务及状态;将批处理文件通过流试方式写入到:“当前文件名”.tmp:smzl.dat。

rar.bat等其他7个同类脚本

使用rar.exe打包加密指定目录的订定扩台甫文件,包括:doc、docx、pdf、pptx、ppt、xls、xlsx等,暗码为1q2w3e4r5t,按照2M的大小宰割,打包到“%temp%\360scanA248DDEGB**GC.log(其中,**是2个数字)”中,并且配置”%temp%”目录下的.log以及.rar为隐躲属性。

Jhm.exe

这是一个攻击者本人开发的截图工具,截图到”%temp%”目录或当前目录下,命名为2ce605ed.tmp或2ce605ed.bmp(不同版本路径不同,但文件名相同,有的需要JHM.vbs配合挪移文件到%temp%目录)。

PDB路径:C:\Users\Lab08612\Documents\Visual Studio2012\Projects\ c++ print screen\Release\cprintscreen.pdb

otb.exe

这个插件的功能主若是盗取Outlook暗码。一种方式是输出Outlook暗码到控制台(无需参数),一种方式是输出Outlook暗码到指定文件(需要参数:-f + 文件路径)

3、 C&C阐发

核危急步履在不同的时期选择的C&C(控征服务器)有较大变迁。在2011-2012年期间首要以动态域名为主,动态域名服务商的选择是以境外ChangeIP为主;从2013年最先逐渐转为直接走访指定IP,Bfnet两个版本的后门均走访指定IP,而再也不通过域名解析IP。

截止2018年5月,360追日团队共截获核危急步履相干C&C服务器动态域名20余个,固定IP地址20余个。在动态域名中,ChangeIP域名占82.4%,DynDNS域名占11.8%,其他占5.9%。

image.png

核危急步履所采用的域名,很多还具有显然的含义,如360、洋芋、新浪等知名网站域名都被用来做了动态域名的注册子域名。如:

视频类 Youtube、tudou

购物类 Tmall

手机类 android2三、iphone5

互联网综合类 360sc2、sohu、sogou、sina、baidu2

下列是核危急步履中所使用的部分指定IP:

韩国:210.***.***.90、210.***.***.90 

美国:162.***.***.3三、173.***.***.200 

加拿大:63.***.***.25

巴西:200.***.***.22

瑞典:95.***.***.37

还有一点值得注意的是,在目前已经截获的核危急步履的RAT中,部分RAT会内会内置两个IP,其中一个IP是专程用来迷惑阐发人员的。

附录1 360追日团队(Helios Team)

360 追日团队(Helios Team)是360公司高级威胁研究团队,从事APT攻击发现与追踪、互联网安全事故应急响应、黑客产业链挖掘以及研究等工作。团队成立于2014年12月,通过整合360公司海量安全大数据,完成了威胁情报快速关联溯源,独家首次发现并追踪了三十余个APT构造及黑客团伙,大大拓宽了国内关于黑客产业的研究视野,弥补了国内APT研究的空白,并为大批企业以及当局机构提供安全威胁评估及解决方案输出。

联系方式

邮箱:360zhuiri@360.cn

微信公众号:360追日团队

扫描右侧二维码关微信公众号

image.png

image.png

附录2 360安全监测与响应中心

360安全监测与响应中心,是360为服务泛博政企机构而确立的收集安全服务平台,旨在第一时间为政企机构提供突发收集安全事故的预警、通告,处置建议、手艺阐发以及360安全产品解决方案。突发收集安全事故包括但不限于:安全漏洞、木马病毒、信息泄露、黑客活动、攻击构造等。

360安全监测与响应中心兼具安全监测与响应能力:中心结合360安全大数据监测能力与海量威胁情报阐发能力,能够全天候、全方位的监测以及拿获各类突发收集安全事故;同时,基于10余年来为天下数万家大型政企机构提供安全服务以及应急响应处置经验,中心能够在第一时间为政企机构应答突发收集安全事故提供有用的处置措施建议以及应急响应方案。

在2017年5月发生的永恒之蓝勒索蠕虫(WannaCry)攻击事故中,360安全监测与响应中心在72小时内,连续发布9份安全预警通告,7份安全修复指南以及6个专业手艺工具,帮助以及指导天下十万余家政企机构应答危急。

A-TEAM是360安全监测与响应中心下属的一支专业手艺研究团队,首要专注于 Web 渗透排泄与APT 攻防手艺研究,并持续放开前瞻性攻防工具预研,以提前探知更多的未知威胁、新兴威胁。A-TEAM的手艺研究从底层道理、协定完成入手,能够深度还原攻与防的手艺本质。

附录3 360威胁情报中心

360威胁情报中心由环球最大的互联网安全公司奇虎360特别成立,是中国首个面向企业以及机构的互联网威胁情报整合专业机构。该中心以业界率先的安全大数据资源为基础,基于360长期积累的核心安全手艺,依托亚太区域顶级的安全人才团队,通过强盛的大数据能力,完成全网威胁情报的即时、周全、深入的整合与阐发,为企业以及机构提供安全治理与防护的收集威胁预警与情报。

360威胁情报中心对外服务平台网址为https://ti.360.net/。服务平台以海量多维度收集空间安全数据为基础,为安全阐发人员及各类企业用户提供基础数据的查询,攻击线索拓铺,事故违景研判,攻击构造解析,研究讲演下载等多种维度的威胁情报数据与威胁情报服务。

image.png

微信公众号:360威胁情报中心

关注二维码:

image.png

[1]RLO,http://en.wikipedia.org/wiki/Unicode_character_property

*

您可能还会对下面的文章感兴趣: