臺灣“綠斑”攻擊組織使用開源遠控木馬的一組釣魚攻擊分析
時間 : 2025年03月17日
1.概述
2024年下半年,安天應急響應中心跟蹤到“綠斑”組織[1]針對我國特定行業目標的APT攻擊活動。攻擊者向目標單位的官方賬號發魚叉式釣魚郵件,引導目標點擊鏈接訪問偽裝成某單位的惡意網站,該網站主動跳轉下載,誘導受害者保存并執行偽裝成PDF圖標的下載器程序,下載器負責獲取和解密偽裝成視頻后綴的惡意載荷在內存中運行。截止目前觀察到的惡意載荷主要是Sliver遠控木馬[2]等開源的命令與控制框架,攻擊者以此對目標開展長期的主機控制、網絡橫向移動和竊密活動。安天CERT根據攻擊事件關注目標領域、釣魚流程的技術特點,結合歷史分析數據信息和開源情報,綜合判斷攻擊活動的來源為中國臺灣省當局“綠斑”攻擊組織。2018年9月,安天曾經發布過該組織的網絡攻擊活動報告“‘綠斑’行動——持續多年的攻擊”[1],揭露了該組織從2007年開始的攻擊活動。
基于安天去年下半年已經協助相關行業管理部門完成相關事件進行了有效通報處置,安天CERT決定正式公布本報告。相關攻擊活動的特點如下表:
表1-1 綠斑攻擊活動特征
|
攻擊啟示時間 |
2024年3月(開始攻擊籌劃準備) |
|
攻擊目標 |
我國特定行業領域 |
|
攻擊意圖 |
持續控制、竊密 |
|
誘餌類型 |
偽裝成PDF的EXE可執行文件 |
|
攻擊手法 |
魚叉式釣魚郵件、文件圖標偽裝、開源遠控 |
|
開發語言 |
C#語言、Go語言 |
|
武器裝備 |
開源遠控Sliver |
2.攻擊活動分析
2.1 惡意網站分析
攻擊者通過郵件誘導目標訪問惡意網站,網站偽裝成某管理局的政府信息公開網頁:
圖2-1 惡意網頁案例
網頁加載完畢后自動跳轉,開始下載誘餌下載器文件:
圖2-2 惡意網頁跳轉下載代碼案例
2.2 誘餌下載器分析
誘餌下載器是圖標偽裝成PDF文檔的C#程序,部分樣例對時間戳進行篡改,文件名以領導關于黨紀事件發言、個人身份證件信息等主題誘導目標點擊執行,以拓線樣本為例:
圖2-3 誘餌下載器案例
表2-1 誘餌下載器樣本標簽
|
病毒名稱 |
Trojan/Win64.MSlL.Wagex |
|
原始文件名 |
***身份證掃描.exe |
|
MD5 |
3BD15B16A9595D20C0E185AB1FAE738F |
|
處理器架構 |
Intel 386 or later processors |
|
文件大小 |
116.50 KB (119,296 bytes) |
|
文件格式 |
BinExecute/Microsoft.EXE[:X86]} |
|
時間戳 |
2024:03:12 02:20:07 [UTC+8] |
|
編譯語言 |
C# |
|
加殼類型 |
無 |
下載器的代碼內容被混淆處理,解混淆前后樣本Main函數對比如下圖:
圖2-4 解混淆前后的主函數代碼
主函數首先調用smethod_2方法從鏈接“https://128.199.134.3/mp4/mov.mp4”下載偽裝成視頻文件的加密載荷數據。
圖2-5 下載偽裝成視頻文件的加密載荷
然后調用smethod_0函數使用 AES 算法解密下載得到的mov.mp4字節數組。解密使用到的Key: “LgUmeMnmUpRrCCRA”,IV:“nStxRW4o6TNHcKBm”。其中Key必須與加密時使用的密鑰完全一致,才能正確解密數據。IV是一個隨機或偽隨機的值,用于確保相同的明文在每次加密時生成不同的密文。
圖2-6 解密載荷數據
調用smethod_1方法,使用 GZipStream 解壓縮AES 算法解密得到的字節數組。
圖2-7 解壓縮載荷數據
調用smethod_3方法,使用多個委托和非托管代碼來處理smethod_1方法解壓縮得到的字節數組,以此最終解密得到載荷,并將其執行。
圖2-8 處理解壓縮得到的載荷數據
2.3 開源遠控載荷分析
偽裝成MP4視頻文件后綴名的載荷數據內容被完全加密,經過上述解密解壓縮流程后得到的載荷具有反調試功能,基于初始入口、主要功能等多個代碼位置的對比同源,以及C2控制上線通訊流量中Client Hello數據包的JA3指紋(19e29534fd49dd27d09234e639c4057e),可以發現載荷是由知名的開源紅隊命令與控制框架項目Sliver生成的。
圖2-9 Client Hello數據包的JA3指紋與Sliver遠控特征一致
根據開源代碼項目介紹[2],Sliver是一個類似于CobaltStrike的開源紅隊命令與控制模擬框架,可跨Windows、Linux和MAC系統平臺,支持基于 Mutual TLS (mTLS)、WireGuard、HTTP(S) 和 DNS等多種網絡協議通訊方式,具備類似CobaltStrike和Metasploit等工具的大多數后滲透階段功能。
表2-2 Sliver遠控框架特性
|
特性 |
說明 |
|
跨平臺支持 |
支持MacOS、Windows和Linux系統。 |
|
C2 通信 |
支持通過Mutual
TLS (mTLS)、WireGuard、HTTP(S) 、DNS進行命令與控制通信。 |
|
動態代碼生成 |
在編譯時進行代碼混淆,增強安全性。 |
|
多種Payload |
支持分階段和無階段的Payload。 |
|
腳本化 |
可以使用JavaScript/TypeScript或Python進行完全腳本化。 |
|
內存執行 |
支持在內存中執行.NET程序集和COFF/BOF加載器。 |
|
其他功能 |
包括進程遷移、文件竊取、進程注入、用戶令牌操作等后滲透功能。 |
3.威脅框架視角的攻擊映射
本次系列攻擊活動共涉及ATT&CK框架10階段的25個技術點,具體行為描述如下表:
表3-1 本次綠斑組織攻擊活動的技術行為描述表
|
ATT&CK階段 |
具體行為 |
注釋 |
|
偵察 |
搜集受害者身份信息 |
搜集得到目標的身份信息 |
|
搜集受害者網絡信息 |
搜集得到目標的辦公郵箱賬號 |
|
|
搜集受害者組織信息 |
搜集得到目標的辦公單位信息 |
|
|
資源開發 |
獲取基礎設施 |
注冊域名和服務器 |
|
能力開發 |
開發惡意網站,誘餌程序、遠控平臺及載荷 |
|
|
建立賬戶 |
注冊用于發送釣魚郵件的發件賬號 |
|
|
初始訪問 |
網絡釣魚 |
通過魚叉式釣魚郵件發起攻擊 |
|
執行 |
誘導用戶執行 |
通過誘導用戶點擊誘餌程序開始木馬執行流程 |
|
防御規避 |
規避調試器 |
遠控內存載荷具備反調試能力 |
|
仿冒 |
惡意網站和誘餌程序皆有仿冒規避 |
|
|
發現 |
發現遠程系統 |
Sliver遠控可測探內網遠程系統 |
|
掃描網絡服務 |
Sliver遠控可掃描遠程系統的網絡服務 |
|
|
發現系統信息 |
Sliver遠控可查詢系統版本信息 |
|
|
發現系統網絡配置 |
Sliver遠控可查詢系統網絡配置信息 |
|
|
發現賬戶 |
Sliver遠控可查找系統賬戶信息 |
|
|
發現文件和目錄 |
Sliver遠控可獲取文件和目錄信息 |
|
|
發現系統所有者/用戶 |
Sliver遠控可查詢系統的用戶和權限組信息 |
|
|
發現進程 |
Sliver遠控可查詢系統的當前進程信息 |
|
|
收集 |
收集本地系統數據 |
Sliver遠控可收集本地系統的版本、賬戶等數據 |
|
輸入捕捉 |
Sliver遠控可進行輸入捕捉 |
|
|
屏幕捕獲 |
Sliver遠控可進行屏幕捕獲 |
|
|
命令與控制 |
使用應用層協議 |
Sliver遠控載荷使用應用層協議實現命令控制 |
|
編碼數據 |
Sliver遠控載荷命令控制流量中會加密編碼數據 |
|
|
數據滲出 |
使用C2信道回傳 |
Sliver遠控載荷使用固定C2信道回傳數據 |
|
影響 |
操縱數據 |
攻擊者可基于Sliver遠控操縱受害主機數據 |
將涉及到的威脅行為技術點映射到ATT&CK框架如下圖所示:
圖3-1 本次綠斑攻擊活動對應ATT&CK映射圖
4.小結
基于上述的分析,安天CERT研判這是來自臺灣省當局背景的“綠斑”APT組織的攻擊活動。該組織在2018年被安天正式命名并曝光,并被央視焦點訪談[3]報道。攻擊者對特定行業的目標,構建有較強社工欺騙性的素材,進行魚叉式釣魚攻擊,載荷經過多重偽裝加密,最終實現開源遠控框架的木馬植入,攻擊手法,具有明顯的針對性。
應對相關攻擊需要構建好終端安全基石加強防護,可以依托郵件安全、網絡流量監測、終端防護、XDR聯動分析、網關封堵的構成防御層次,特別是使用帶有有效殺毒和主防能力與較強反釣魚功能的終端安全防護軟件。基于其攻擊的社工特點和不停隨處吐口香糖式的攻擊粘性,提高安全意識也是防范的重要環節。
附錄一:參考資料
[1] 安天.“綠斑”行動——持續多年的攻擊[R/OL].(2018-09-19)
http://8rpec4.com/research/notice&report/research_report/20180919.html[2] BishopFox/sliver[R/OL].(2025-02)
https://github.com/BishopFox/sliver[3] 《焦點訪談》 20181007 信息安全:防內鬼 防黑客[R/OL].(2018-10-07)
http://tv.cctv.com/2018/10/07/VIDEHBYLGmnR5LoYZawu3dZc181007.shtml[4] 關鍵基礎設施安全應急響應中心.針對綠斑組織近期APT攻擊活動的分析報告[R/OL].(2020-08-12)
https://mp.weixin.qq.com/s/275EYNAjOGLn19ng56-czA附錄二:IoCs
|
IoCs |
|
61C42751F6BB4EFAFEC524BE23055FBA |
|
caa***n[.]com/auto-download.zip 158.247.***.***/mp4/ads.mp4 128.199.***.***/mp4/mov.mp4 |
|
Caa***n.com Caa***n.org Ba***cingcloud.com |
|
165.22. ***.*** 158.247.***.*** 128.199. ***.*** |