又雙叒叕是你！有人開始利用虛假《權利的遊戲》泄漏資源發起APT攻擊

前言

《權力的遊戲》資源被盜已經不是什麼新鮮事，除了背後的黑客能用它來賺取贖金外，最高興的莫過於追劇的粉絲了。粉絲的邏輯通常是這樣的：資源泄漏>資源出現>下載種子>瘋狂追劇。所以，對看片一族來說，種子是個神奇的東西。

對於愛看片的同胞來說，能夠找到種子無疑是件幸福無比的事情。但是在欣喜之餘，你的種子也有可能被黑客盯上，趁機對用戶發起攻擊，比如有APT攻擊者開始利用虛假的《權利的遊戲》泄漏資源發起攻擊。

釣魚攻擊

Proofpoint最近觀察到一個有針對性的釣魚電子郵件，標題為《想提前看看權力的遊戲劇情嗎？》，該郵件的附件包含有Word文檔以及《權力的遊戲》的高清截圖來吸引用戶下載，一旦你下載了這個附件，攻擊者就會在你電腦上安裝「9002」遠程控制木馬。回顧「9002」遠程控制木馬的攻擊，可以發現：

1.它與Google 2016年1月發現的Aurora攻擊事件有關，這次攻擊以Google和其它大約20家公司為目標，是一種高級的持續性威脅，它是由一個有組織的網路犯罪團體精心策劃的，目的是長時間地滲入這些企業的網路並竊取數據。

2.2014年，FireEye發現有黑客組織利用新的IE10 0day漏洞 (CVE-2014-0322) ，對美國軍方目標人員發起代號「雪人」（SnowMan）的「酒吧攻擊」，目標是竊取軍事情報。

3.2016年，Palo Alto發現有組織利用「9002」遠程控制木馬對亞洲某些國家發起攻擊

一旦安裝，9002 RAT就能為攻擊者提供強大的數據查看功能。

8月10號，Proofpoint檢測到標題為《想提前看看權力的遊戲劇情嗎？》的惡意電子郵件，聲稱包含未發布的《權力的遊戲》的內容。今年7月末，黑客從HBO盜走了1.5TB的數據，其中包括《權力的遊戲》主創人員的個人信息、一些還未播放的劇集和腳本。

圖1：具有包含.docx附件的的電子郵件

上圖所示的電子郵件包含一個名為「game of thrones preview.docx」的Word附件（下圖所示），與電子郵件類似，該文件的內容都是關於一些未播放的內容。實際上，未播放的內容是一個嵌入式的.LNK（一個OLE包裝器shell對象），如果運行，則就會執行惡意PowerShell腳本，導致「9002」RAT的安裝。

圖2：包含惡意的.LNK打包程序對象的.docx文檔附件

有效載荷分析

當嵌入的.LNK對象由潛在的受害者執行時，它使用修改的Invoke-Shellcode PowerShell腳本運行PowerShell命令，以下載使用XOR和base64混淆的兩個文件。第一個下載的文件包含9002 RAT shellcode，它被注入到合法的Windows Mail二進位wabmig.exe中。（如圖3所示）。另一個下載的文件是一個.LNK文件，用於在受感染的計算機上維護攻擊的持久性。檢索編碼有效載荷的HTTP請求是相當基礎的，不需要偽裝成合法的瀏覽器請求（圖4）。有趣的是，如果使用任何類型的用戶代理請求相同的URI，則會返回合法的JPG（圖5）。持久性.LNK作為UpdateCheck.lnk存儲在啟動目錄中，並包含與.LNK下載器幾乎相同的PowerShell腳本。然而，它不是下載shellcode，而是將已經下載的shellcode打開，解碼並注入到新創建的wabmig.exe進程中。

圖3：從LNK包中找到的PowerShell腳本的摘要

圖4：HTTP請求下載編碼的有效載荷

圖5：用戶代理接收合法JPG而不是有效載荷的HTTP請求

9002的這種變體能夠通過HTTP和似乎很假的SSL進行通信。假的SSL組件至少包含兩個硬編碼數據包：一個用於Client_Hello，另一個用於Client_Key_Exchange。大多數硬編碼的值，如會話ID（圖6,7），保持不變。但是，隨機欄位是動態生成的（GMT Unix時間和隨機位元組）。最後，Client_Hello嘗試通過在SNI欄位中發送該域來模擬SSL流量到 login.live[.]com（圖8）。

圖6：9002中Client_Hello硬編碼的會話ID

圖7：Client_Hello硬編碼的會話ID出現在網路流量中

圖8：SNI欄位中的合法 login.live[.]com域發送到C＆C

在這種9002變體中使用的HTTP流量和編碼有幾個不同的特徵。發送到HTTP POST的客戶端中的命令和控制（C＆C）的數據使用自定義演算法（後跟基於base64的編碼）以編碼狀態傳輸（圖9）。

圖9：HTTP POST請求發送到9002 C＆C

幾個標題是硬編碼的，包括Accept和用戶代理標頭：

Accept：text/html,application/xhtml+xml,application/xml,*/*用戶代理：Mozilla / 5.0（兼容; MSIE 9.0; Windows NT 6.1; WOW64; Trident / 5.0）

另外還有兩個不同的硬編碼URI（圖10）：

/?FORM=Desktop&setmkt=en-us&setlang=en-us/config/signin

動態生成的URI也可以使用以下格式：「/%x.htm?」。

圖10：HTTP Post請求發送到9002顯示另一個硬編碼的URI

該9002版本中使用的編碼演算法是FireEye分析的「4個位元組的XOR版本9002」的迭代。代替在舊版本中使用的標準動態4位元組XOR運算，動態4位元組XOR密鑰與「x3Ax42x46x41x53x41x39x41x46x2Dx44x38x37x32x6DxF1x51x4AxC0x2Dx3Ax43x31x30x2Dx30x30x43x30x35x4Ax4Dx39xF3xD3x38x2Bx7D」的靜態38位元組種子一起使用，生成最終的256位元組XOR密鑰。為了產生最終的密鑰，首先使用38位元組的種子進行迭代加法以產生一個256位元組的值（圖11）。

圖11：使用迭代加法和靜態38位元組種子值的256位元組種子初始化

接下來，編碼數據的前4個位元組與256位元組值進行XOR運算，以產生最終的256位元組XOR（圖12）。然後，該密鑰與其餘的編碼數據進行XOR運算（圖13）。

圖12：生成最終256位元組的XOR密鑰

圖13：使用最終256位元組XOR密鑰進行XOR運算

類似於以前9002的版本，類似於日期（「 x17 x05 x15 x20」）的值在惡意軟體中被硬編碼，並且可以在發送到其C＆C的信標中的偏移量0x1C處找到（圖14）。

圖14：發送到其C＆C的9002流量被解碼，並顯示硬編碼值

該值可能代表的是2015年5月17日的日期，但是我不知道這個日期是否有意義。另外一個值201707在這個變體中是硬編碼的，可能是指2017年7月（圖15）。

圖15：9002變式中的硬編碼201707

這是最有可能的解釋，因為這是惡意LNK PowerShell下載工具最早使用過的（SHA256 9e49d214e2325597b6d648780cf8980f4cc16811b21f586308e3e9866f40d1cd），我已經確定它是一個壓縮文件（SHA256 bdd695363117ba9fb23a7cbcd484d79e7a469c11ab9a6e2ad9a50c678097f100），並與2017年7月6日上傳到一個惡意文件掃描服務。該ZIP包包含在《權利的遊戲》攻擊中使用的LNK的四個相同副本中，以及似乎是一張庫存圖片的合法JPG 「party」。我還在名為「need help.docx」的DOCX文檔附件中確定了使用相同LNK的第三個可能的運行（圖16）。在這種情況下，攻擊者會誘惑用戶雙擊用LNK偽裝成的視頻。

圖16：使用相同的LNK的惡意文件，如ZIP和Game of Thrones文件

在搜索其他可能相關的攻擊活動時，我發現至少早在2014年4月就發生了類似的攻擊。包含類似LNK下載工具（圖17）的幾個ZIP壓縮文件被上傳到惡意文件掃描服務。

圖17：2014年觀察到的惡意LNK PowerShell下載工具

這五個 檔案文件都包含了一個類似的庫存圖片，以及多個副本的惡意LNK，以聚會圖片為主題的名稱。 LNK PowerShell下載程序使用與最近攻擊類似的路徑以及相同的「/ x /」URI。而不是使用代碼注入，但打包的可執行文件（PE）嵌入在PowerShell腳本中，保存為x.exe，用於執行保存為y.exe的下載的有效內容。另一個相似之處在於，2014年發現的LNK與最近的攻擊（0xCC9CE694）共享與LNK相同的卷序列號。卷序列號是LNK文件中的元數據，由於卷序列號匹配，我知道它們更有可能在設備上創建或使用相同的構建器。

不過，我並不知道在mn1[.]org上託管了什麼有效載荷。然而，兩個ZIP存檔包含一個名為PhotoShow.jar的Java有效載荷，最終執行一個無磁碟的9002變體，並帶有mx[.]i26[.]org的C＆C。此變體具有硬編碼的標識符 「x28x02x13x20」（圖18）。

圖18：9002硬編碼標識符

總結

在此，作為經常追劇小編，我的建議是，碰到喜歡的影片，我們最好還是看正版或通過正規渠道觀看。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！