联系我们
  • 联系人: 侯女士 

    电 话: 025-58630787 

    邮 箱: 81561919@qq.com 

    手 机: 18052008777

    公司地址:南京市雨花台区雨花大道2号邦宁科技园1-4层


美人鱼行动:长达6年的境外定向攻击活动揭露
2016-5-31
来源:freebuf
点击数: 4420          作者:江苏天网
  • 一、概述

    美人鱼行动是境外APT组织主要针对政府机构的攻击活动,持续时间长达6年的网络间谍活动,已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到2010年4月,最近一次攻击是在2016年1月。截至目前我们总共捕获到恶意代码样本284个,C&C域名35个。

    2015年6月,我们首次注意到美人鱼行动中涉及的恶意代码,并展开关联分析。虽然我们暂时无法判断其载荷投递的方式和攻击针对目标和领域,但通过大数据关联分析我们已经确定相关攻击行动最早可以追溯到2010年4月,以及关联出上百个恶意样本文件,另外我们怀疑载荷投递采用了水坑攻击的方式,进一步结合恶意代码中诱饵文件的内容和其他情报数据,我们初步判定这是一次以窃取敏感信息为目的的针对性攻击,且目标熟悉英语或波斯语。

    2016年1月,丹麦国防部情报局[ 丹麦国防部情报局网站,https://fe-ddis.dk/eng/Pages/English.aspx](DDIS,Danish Defence Intelligence Service)所属的网络安全中心(CFCS,Centre for Cyber Security)发布了一份名为“关于对外交部APT攻击的报告”[ https://fe-ddis.dk/cfcs/nyheder/arkiv/2016/Pages/Phishingudenfangst.aspx]的APT研究报告,报告主要内容是CFCS发现了一起从2014年12月至2015年7月针对丹麦外交部的APT攻击,相关攻击主要利用鱼叉邮件进行载荷投递。

    CFCS揭露的这次APT攻击,就是我们在2015年6月发现的美人鱼行动,针对丹麦外交部的相关鱼叉邮件攻击属于美人鱼行动的一部分。从CFCS的报告中我们确定了美人鱼行动的攻击目标至少包括以丹麦外交部为主的政府机构,其载荷投递方式至少包括鱼叉式钓鱼邮件攻击。

    通过相关线索分析,我们初步推测美人鱼行动幕后组织来自中东地区。

    二、载荷投递

    1.鱼叉邮件:PowerPoint OLE钓鱼文档

    OLE是Object Linking and Embedding的缩写,即“对象链接与嵌入”,将可执行文件或脚本文件嵌入到文档文件中[ http://phishme.com/powerpoint-and-custom-actions/],虽然没有使用漏洞,但构造的恶意文档文件极具有迷惑性。

    攻击者可以在outlook发送邮件时、word文档或PowerPoint幻灯片中构造钓鱼文档,在美人鱼行动中主要是利用PowerPoint OLE钓鱼文档,一般是将PE恶意文件嵌入其中。进一步针对单个PPT文档,攻击者会嵌入多个同样的PE恶意文件,这造成在用户环境执行PPT钓鱼文档后,对弹出的安全警告窗口点击“取消”后会继续弹出,一般安全意识较弱的用户在经过多次操作后没有达到预期效果,则会点击“运行”由此来达到关闭安全警告窗口。

    图片1.png

    图 1 PowerPoint OLE钓鱼文档执行后的效果

    图片2.png

    图 2 PowerPoint OLE钓鱼文档中嵌入了多个PE文件

    2.疑似水坑攻击

    kurdistannet.org(A Daily Independent Online Kurdish Newspaper)网站被植入了恶意链接,我们怀疑美人鱼行动中发动水坑攻击会基于该网站。这个网站的主要内容是涉及伊拉克库尔德斯坦的相关新闻,网站语言以波斯语为主,也就是被攻击目标是关注库尔德斯坦相关新闻,且熟悉波斯语。

    我们在2016年4月14日再次请求访问该网站,通过对页面源码的分析,插入的恶意链接依然还存在尚未删除,也就是kurdistannet网站的管理人员尚未发现相关威胁。但是恶意链接目前来看已经失效了。

    图片3.png

    图 3 kurdistannet网站主页

    图片4.png

    图 4 kurdistannet网站被植入恶意链接的源码截图

    88.png

    上表是对kurdistannet网站被挂马的具体记录,我们通过sucuri谷歌快照的时间,可以确定至少在2016年1月24日kurdistannet网站就已经被植入了恶意链接。

    图片5.png

    图 5 sucuri对kurdistannet网站的检测结果

    从以下两个表中,可以看出母体文件有来自URL的情况,从URL最终指向的文件扩展名来看,应该不会是诱导用户点击并执行这类URL。而这类URL有可能是其他downloader木马请求下载或者由漏洞文档、水坑网站在触发漏洞成功后下载执行。

    888.png

    表 2样本来源2

    3.自身伪装

    这里主要指对二进制可执行EXE文件,主要从文件名、文件扩展名和文件图标等方面进行伪装。

    在美人鱼行动中主要通过winrar的自解压功能将相关样本文件和诱饵文档打包为EXE文件,其中诱饵文档涉及的方面较多,会涉及安装补丁、开发环境、视频、图片、文档等,但就EXE文件母体很少将文件图标替换为文档或图片图标。

    三、RAT分析

    1.功能简述

    美人鱼行动中使用的RAT我们命名为SD RAT,SD RAT主要是通过winrar的自解压功能将自己打包为exe文件,会伪装为安装补丁、开发环境、视频、图片、文档等,如V1版本会伪装成图片文件,V2版本会将自己伪装为aptana的air插件。

    主要功能是进行键盘记录,收集用户信息(例如:pc的信息,剪贴板内容等等)然后上传到指定服务器,进一步还会从服务器上下载文件(下载的文件暂时还未找到)并运行。从样本代码本身来看SD RAT主要分为两个版本,大概2012年之前的是早期V1版本,2012年之后至今的为V2版本。

    0.png

    2.V1和V2版本

    两个版本执行在整体架构上是相同的都是在创建窗口的时候调用了一个函数,在该函数中创建两个定时器一个用来记录剪贴板中******内容,一个用来下载文件和发送用户信息。

    在V1版本中创建了两个定时器一个用来下载文件和发送用户信息另一个则调用GetAsyncKeyState进行键盘记录 ,而在V2版本中通过注册热键,响应相关消息进行键盘记录。在V1版本中则通过setclipboard和响应WM_DRAWCLIPBOARD 消息来记录剪贴板上的内容。V2版本内部之间的主要区别在于URL和相关字符串是否加密,在2015年的近期V2版本中几乎对所有的字符串都进行了加密操作。

    虽然两个版本在具体的功能实现的手法上有所区别但整体结构和功能是一致的,甚至连字符串解密的函数都是一样的。

    3.对抗手法

    躲避执行?失误?

    V2版本会检测avast目录(avast software)是否存在,如果不存在则停止运行。V2版本此处的检测逻辑,不太符合一般恶意代码检测杀毒软件进行对抗的思路,我们推测有两种可能性:

    ******种:攻击者重点关注被攻击目标环境存在avast杀软的目标;

    第二种:攻击者在开发过程中的失误导致。

    谨慎执行

    V2检测到其他杀软不会停止运行,而是谨慎执行。

    V2版本首先会检测卡巴斯基目录(Kaspersky Lab),判断是否安装了该杀毒软件如果存在则会进行谨慎的删除,如果存在则检测是否存在 C:\Documents and Settings\Administrator\ApplicationData\Adobe\airplugin*.dat,存在则会获取插件的名称,然后删除对应的启动项。如果不存在则会直接将以airplugin开头的相关启动项全部删除。

    进一步然后向注册表中添加启动项,在添加启动项的过程中依旧会检测如下杀毒软目录件是否存在。

    Norton Antivirus

    Norton Security

    Norton Internet Security

    Norton 360

    Symantec Antivirus

    Symantec_Client_Security

    Symantec\Symantec Endpoint Protection

    Norton 360 Premier Edition

    Norton Security with Backup

    如果存在,会通过执行批处理的方式添加如果不存在则直接进行修改注册表。接着会执行删除,然后再次检测上面罗列的杀毒软件,如果存在则将原文件移动过去并重命名如果不存在则直接复制过去重命名。

    检测杀软的操作并没有影响最终的结果,只是采取了更加谨慎的操作。

    四、C&C分析

    1.WHOIS信息

    图片6.png

    图 6域名和注册邮箱对应关系

    非动态域名,我们通过对主域名的WHOIS信息分析,发现相关域名持有者邮箱主要集中在以下几个邮箱:

    aminjalali_58@yahoo.com

    aj58mail-box@yahoo.com

    kamil_r@mail.com

    am54ja@yahoo.com

    2.故意混淆误导?无辜受害者?

    现象

    在我们分析C&C通信的过程中,一个针对安全厂商的误报反馈引起了我们的注意,具体反馈的误报信息如下表和下图所示。

    00.png

    图片7.png

    图 7 sophos反馈误报页面

    aj58在sophos论坛主要反馈sophos产品误报了他持有的两个网站,sophos的UTM是基于McAfee Smartfilter XL,aj58声称McAfee已经更改了网站状态(即非恶意),其中Scott Klassen反馈如果McAfee如果修改状态,则sophos最终也会修改。aj58继续反馈说VT中sophos的检测结果依然是恶意。从目前来看VT中sophos的结果[ https://www.virustotal.com/en/url/d3a69436ef78644af0fd671f973aa0b22e8af0f0b0cc4916eeeacd40fd07d540/analysis/]是未评级网站(Unrated site),也就是已经将恶意状态修改。

    分析

    在看到以上现象,我们首先是想到了我们在之前发布的《007 黑客组织及其地下黑产活动分析报告》[ 007黑客组织及其地下黑产活动分析报告,https://ti.360.com/upload/report/file/Hook007.pdf ]中,出现过攻击者主动联系安全厂商,探测安全厂商检测机制的案例。

    以下是我们就本次事件的具体推测过程:

    首先sophos论坛上注册的用户名是aj58,这的确和反馈误报的两个域名WHOIS信息中邮箱地址比较相似“aminjalali_58@yahoo.com”,“aj58mail-box@yahoo.com”,这一现象或许是用户习惯相关用户名,另外就是刻意表示与相关网站具备关联归属性。

    进一步aj58声称自己拥有的两个网站,也是美人鱼行动中主要涉及到C&C域名,从2010年至2015年都有涉及到这两个C&C的木马出现,一般情况恶意域名如果曝光或使用次数越多则存活时间则会越短,而如果只是针对特定目标,且控制其传播范围,则C&C域名会存活较长时间。

    疑点1:而且从我们的分析来看,这两个C&C域名的作用并非简单的判断网络环境,其作用主要是窃取信息的回传和下载其他恶意程序。这时我们怀疑有两种可能性,******:这两个域名属于美人鱼行动幕后组织所注册持有;第二:这两个域名是可信网站,被美人鱼行动幕后组织攻陷作为跳板。

    注:恶意代码判断网络环境:一般恶意代码在执行主要功能之前会判断下本地网络环境,这时会请求一些可信网站,如请求谷歌、微软等网站,如果符合预设的判断条件,则继续执行。

    疑点2:进一步我们发现在美人鱼行动中使用的C&C域名,排除动态域名,至少有8个C&C域名与aj58提到的这两个域名注册邮箱相同。这时我们怀疑有两种可能性,******:这两个域名属于美人鱼行动幕后组织所注册持有;第二:这两个域名和其他8个域名均为可信网站,而美人鱼行动幕后组织只针对aj58所持有的域名进行攻击,并作为跳板。

    疑点3:另外这些aj58提到的这两个域名,以及我们发现的其他域名均无对外提供WEB服务或网站页面。

    疑点4:我们注意到aj58是在2015年7月25日反馈误报,而aj58所持有的另外3个域名已经在2015年7月1日被安全机构(virustracker.info)sinkhole了。从aj58在sophos论坛反馈自己网站被误报的情况,我们认为aj58用户对自己网站的安全性还是很关注的。我们推测aj58所持有的网站如果被其他机构接管了,aj58应该会进行反馈质疑,我们无法知道aj58是否联系virustracker.info,但从这3个网站的******WHOIS信息来看,持有者仍然是virustracker.info。

    short-name.com

    bestwebstat.com

    myblog2000.com

    这是被安全机构接管的3个C&C域名

    其他: aj58是在2015年7月25日反馈误报,CFCS发布的针对丹麦外交部攻击的报告中指出最后一次攻击是2015年7月24日。

    通过以上分析推测,我们更倾向aj58就是美人鱼行动幕后组织的成员,但我们暂时无法确切证明,不排除aj58是无辜的受害者。

    3.被安全机构sinkhole

    在上一小节中我们已经介绍了美人鱼行动中有3个C&C已经被安全机构接管。一般情况下安全机构对某个域名进行sinkhole接管的时候,是很确定该域名是被攻击者所持有。

    000.png

    五、相关线索信息

    1.诱饵文档

    图片8.png

    图 8诱饵文档截图1

    图片9.png

    图 9诱饵文档截图2

    从上面两张诱饵PPT截图来看,其中主要语言是波斯语。

    0000.png

    表 5 OLE嵌入的PE文件路径

    上表是PPT OLE钓鱼文档中嵌入的PE文件路径,这个路径就是恶意代码作者本机的文件路径,从相关用户名“ya hosain”、“ya ali”来看,这些用户名更多出现在中东地区。

    从下表中可以看出诱饵PPT文档属性的标题内容也是波斯语。

    00000.png

    图片10.png

    从上面视频内容和视频原始文件名中的“badhejiab”,都涉及到中东地区。

    2.后门程序

    美人鱼行动中大量样本都存在如下类似情况,即子体文件中会包含一段字符串,相关内容一般是直接复制于新闻网站的内容。相关字符串在样本实际执行的过程中并没有具体作用。

    下表是其中一个样本的信息,新闻主要涉及叙利亚相关问题。

    1.png

    图片11.png

    图 10相关新闻页面截图

    3.作息时间

    图片12.png

    图 11攻击者作息时间

    图片13.png

    图 12 RAR自解压文件内相关文件时间

    4.域名WHOIS信息

    C&C域名的注册邮箱:“aminjalali_58@yahoo.com”

    图片14.png

    5.小结

    结合上述线索信息,以及与攻击目标的关系,我们初步推测美人鱼行动幕后组织来自中东地区。

    附录A:sophos误报反馈详细记录

    下表是用户名为“aj58”的用户在sophos论坛页面反馈的完整记录:

    11.png

    111.png

版权所有 Copyright(C)2009-2013 江苏天网计算机技术有限公司 苏ICP备16029720号