白象組織近期網絡攻擊活動分析
時間 : 2022年10月24日 來源:安天CERT
1.概述
2022年9月底,安天CERT發現一批白象組織的網絡攻擊活動。攻擊者通過掛載惡意鏈接投放誘餌文檔,文檔內容主要面向于科研院所,文檔包含CVE-2017-11882的漏洞利用,觸發漏洞后釋放白象組織專有的BADNEWS遠控木馬。梳理相關活動的特征如下表:
表1?1 攻擊活動特征
|
事件要點 |
特征內容 |
|
事件概述 |
白象組織近期網絡攻擊活動 |
|
攻擊目標 |
科研院所等領域目標 |
|
攻擊手法 |
釣魚攻擊投遞惡意文檔,釋放木馬 |
|
攻擊意圖 |
竊密 |
|
攻擊時間 |
2022年09月 |
2.攻擊分析
2.1 攻擊流程分析
截止分析時,我們僅發現誘餌文件的掛載鏈接,未發現相關的攻擊郵件,掛載網站很可能為攻擊者自行搭建:
https://***.org/magzine/zhongguo/
在安天CERT跟蹤分析期間,鏈接指向內容發生過多次變化:
2022年09月16日左右,可下載名為“登記表.doc”的誘餌文檔;
2022年09月28日左右,可下載名為“重大項目領域建議.doc”的誘餌文檔;
2022年09月30日左右,已無文件可下載,但自動跳轉至某科學基金委員會的官方網站:
https://www.***.gov.cn/publish/portal0/tab475/info70234.htm
圖2?1 跳轉到的某科學基金網站
2.2 誘餌文檔分析
9月28日捕獲到的攻擊者偽造誘餌文檔,名為“重大項目領域建議.doc”,創建時間為2022年09月27日。誘餌文檔偽造某科學基金標題,騙取受害者信任,誘導對方點擊運行。該文檔包含CVE-2017-11882漏洞的利用,當文檔運行時,將觸發漏洞釋放木馬并運行,文檔內容如下圖:
圖2?2 仿冒“某科學基金”的文檔
誘餌文檔詳細信息如下表:
表2?1 誘餌文檔詳細信息
|
病毒名稱 |
Trojan[Exploit]/RTF.Obscure.Gen |
|
原始文件名 |
重大項目領域建議.doc |
|
MD5 |
1e788e54f67fa64af39005af106567b0 |
|
文件大小 |
416 KB (426,613 字節) |
|
文件格式 |
Rich
Text Format |
|
創建時間 |
2022-09-27
15:25:00 |
|
最后修改時間 |
|
|
編輯總時間 |
1分鐘 |
|
創建者 |
tundra |
|
最后修改者 |
Tony
Stark |
rtf文檔嵌入的ole對象調用公式編輯器組件對應的CLSID:7b0002CE02-0000-0000-C000-000000000046
圖2?3 ole對象調用的公式編輯器組件
ole對象后續嵌入的Shellcode用于實現惡意功能。
2.3 Shellcode分析
該Shellcode分為兩階段,A階段Shellcode為了尋找并跳轉到B階段Shellcode。
圖2?4 ole對象包含的shellcode包含兩部分
B階段分為三部分
1. 釋放“C:\\ProgramData\\Microsoft\\DeviceSync\\mcods.exe”;
圖2?5 釋放mcods.exe
2. 添加mcods.exe注冊表自啟動項,隨系統啟動時運行實現持久化;
圖2?6 添加注冊表自啟動項
3. 使用命令以“C:\Windows\System32\forfiles.exe /p c:\\windows /m twain_32.dll /c c:\\windowsuser\\..\\programdata\\microsoft\\deviceSynC\\mcods.exe”的形式,間接地將mcods.exe運行起來:
圖2?7 運行釋放的mcods.exe
目標注冊表為:“HKCU\Software\Microsoft\Windows\CurrentVersion\Run\OneDrive”,效果如下圖:
圖2?8 添加注冊表自啟動項
2.4 mcods.exe木馬分析
打開文檔后,釋放的木馬程序名為“mcods.exe”,屬于白象組織長期使用的專有遠控BADNEWS家族,具有多種功能。木馬此次針對中國進行攻擊,會檢測受害者主機的時區是否為中國,竊取受害者數據發送到攻擊者C2服務器,對受害主機進行命令與控制等。木馬詳細信息見下表:
表2-2 mcods.exe木馬程序
|
病毒名稱 |
Trojan/Generic.ASMalwS.2C95 |
|
原始文件名 |
mcods.exe |
|
MD5 |
8328a66d974a5a4aca475270b94a428a |
|
處理器架構 |
I386 |
|
文件大小 |
235
KB (241,592 字節) |
|
文件格式 |
Win32
EXE |
|
時間戳 |
2022-09-22
21:37:15+08:00 |
|
編譯語言 |
C++ |
2.4.1 竊密能力分析
首先隱藏窗口,如下圖:
圖2?9 隱藏窗口
創建互斥體名為“rendumm”,保證木馬自身單實例運行,如下圖:
圖2?10 創建互斥量
檢測是否為中國時區,如下圖:
圖2?11 對操作系統檢測中國時區
若檢測結果為中國標準時區,則搜集信息發送到攻擊者C2服務器,如下圖:
圖2?12 收集信息代碼
具體收集的受害主機基本信息如下表:
表2-3 收集受害者主機基本信息
|
代號 |
收集信息 |
|
uuid |
用戶標識 |
|
un |
用戶名 |
|
cn |
計算機名 |
|
on |
系統版本 |
|
lan |
本機IP地址 |
|
nop |
空字段 |
|
ver |
后門版本 |
信息按以下格式組合,之后通過自定義算法加密,發送至攻擊者C2:
uuid=用戶標識#un=用戶名#cn=計算機名#on=系統版本#lan=本機IP地址#nop=空字段#ver=后門版本
除以上基本信息以外,木馬還會收集如DNS緩存、Systeminfo信息、系統服務和驅動、網絡配置以及已安裝軟件列表等:
圖2?13 木馬收集的其他信息
2.4.2 控制能力分析
攻擊者在竊取受害者信息后,還可以通過多種指令對受害者機器進行控制,代碼案例如下圖:
圖2?14 控制指令8代碼
圖2?15 控制指令23代碼
具體指令及功能如下表:
表2-4 木馬控制指令功能
|
指令代碼 |
功能 |
|
0 |
退出 |
|
4 |
上傳搜集的文檔列表(%temp%\edg499.dat)后將其刪除,并新建一個BadNews實例 |
|
5 |
上傳指定文件 |
|
8 |
上傳鍵盤記錄文件(%temp%\kpro98.dat) |
|
13 |
上傳指定指令的執行結果(%temp%\Adb222.tmp) |
|
23 |
上傳截圖文件(%temp%\TPX499.dat)后將其刪除 |
|
33 |
從指定的URL下載至文件(%temp%\up)并執行 |
指令4搜集下圖后綴名的文檔:
圖2?16 搜集后綴名的代碼
2.4.3 對抗能力分析
a) 數字簽名
將攻擊者木馬mcods.exe釋放在“C:\ProgramData\Microsoft\DeviceSync\mcods.exe”該目錄下,木馬數字證書為“5Y TECHNOLOGY LIMITED”,頒發者為Sectigo Limited,使用時間為?2022?年3?月31?日8:00:00至?2023?年?3?月?16?日7:59:59。
圖2?17 數字簽名
b) 加密流量數據
攻擊者使用自定義算法加密流量,算法為AES-CBC-128+Base64+固定位置嵌入“=”和“&”字符,AES算法密鑰為硬編碼:37FF8272C0EEBC0AE1D90382847618DD
圖2?18 流量加密算法的調用
圖2?19 流量加密算法的實現
可反向通過算法將木馬的流量解密,得到竊取的受害者主機基本信息:
圖2?20 解密流量中的受害主機信息
3.關聯溯源
3.1 木馬同源
此次釋放的木馬mcods.exe是白象曾使用過的BADNEWS遠控家族。此次木馬的遠控指令和功能,與PaloaltoNetworks在2018年發布的BADNEWS遠控分析報告[1]的描述完全一致。
圖3?1 PaloaltoNetworks報告中對BADNEWS遠控功能的描述
其他如兩者的C2回傳路徑和PHP名、加密算法密鑰、主機基本信息內容及組合格式等等都高度一致。
3.2 數字證書同源
此次木馬使用的數字證書也被白象組織的其他攻擊活動中所使用:
表3-1 mcods.exe木馬的數字證書
|
使用者 |
5Y TECHNOLOGY LIMITED |
|
指紋 |
0b26d02a94f4c8e14222a966b005bb7d30b45786 |
|
有效期從 |
?2022?年?3?月?31?日 8:00:00 |
|
有效期到 |
?2023?年?3?月?16?日 7:59:59 |
|
序列號 |
25ba18a267d6d8e08ebc6e2457d58d1e |
4.威脅框架視角的攻擊映射
本次系列攻擊活動共涉及ATT&CK框架中個10階段的14個技術點,具體行為描述如下表:
表4?1 近期白象組織攻擊活動的技術行為描述表
|
ATT&CK階段 |
具體行為 |
注釋 |
|
偵察 |
搜集受害者身份信息 |
收集受害者所屬組織,針對性地偽裝成受害者感興趣的身份 |
|
資源開發 |
獲取基礎設施 |
購買服務器并搭建虛假網站和C2 服務 |
|
初始訪問 |
網絡釣魚 |
通過魚叉郵件向目標發送虛假網站的鏈接 |
|
執行 |
利用主機軟件漏洞執行 |
惡意文檔利用CVE-2017-11882漏洞 |
|
持久化 |
利用自動啟動執行引導或登錄 |
Shellcode將BadNews木馬加入注冊表啟動項中 |
|
防御規避 |
執行簽名的二進制文件代理 |
木馬文件被加以數字簽名 |
|
發現 |
發現文件和目錄 |
木馬搜集本機指定后綴名的文檔文件 |
|
發現系統地理位置 |
木馬運行時會首先判斷本機是否為中國時區 |
|
|
收集 |
收集本地系統數據 |
木馬搜集本機的系統、網絡、文件、軟件等信息 |
|
輸入捕捉 |
木馬擁有擊鍵記錄器功能 |
|
|
獲取屏幕截圖 |
|
|
|
命令與控制 |
使用應用層協議 |
木馬通信使用HTTP協議 |
|
使用加密信道 |
木馬通信發包前會通過自定義加密算法加密數據 |
|
|
數據滲出 |
使用C2信道回傳 |
竊密數據回傳至C2服務器 |
將涉及到的威脅行為技術點映射到ATT&CK框架如下圖所示:
圖4?1 近期白象組織攻擊活動對應ATT&CK映射圖
5.小結
通過目前的分析,安天CERT認為這是一起來自印度方向的白象APT組織的攻擊活動。攻擊者疑似通過釣魚攻擊投遞專用遠控木馬,相關的攻擊手法和代碼與以往的白象組織的攻擊特征保持一致。