ChessMaster的技術分析及緩解措施

趨勢科技在2017年7月發現了ChessMaster，這是我們監控保護客戶的一部分。當時，我們發現ChessMaster針對日本的學術界、媒體和政府機構。威脅組織使用各種攻擊工具和技術來窺探其目標。

當時，我們注意到ChessMaster的複雜性，這意味著該行動可能會發生變化。果然在幾個月之後，行動中使用的工具和策略發生了變化。儘管初始行動非常全面，並且使用了遠程特洛伊木馬（RAT），如ChChes和RedLeaves，但新攻擊中使用了一種新的後門程序（趨勢科技檢測為BKDR_ANEL.ZKEI），該程序利用CVE-2017-8759漏洞進行網路間諜活動。

在本文中，我們分析了目前ChessMaster的狀態，包括其武器庫中更新的工具，特別關注了ANEL的演變以及如何在行動中使用。

一、技術分析

（一）、突破

圖1. 目前ChessMaster感染鏈

目前，ChessMaster的流程從熟悉的釣魚攻擊開始，這些攻擊涉及使用帶有doc、docx、rtf、csv和msg格式附件惡意文件的電子郵件。電子郵件標題和附件名是用日語編寫的，包含一般商業、政治和經濟主題的短語，如

·世界経済(World economy)

·経済政策(economic policy)

·予算概算要求(budget estimation request)

·日米対話(Japan-US dialogue)

·安倍再任(re-appointment of Prime Minister Abe)

·連絡網(contact network)

·職員採用案(staff recruitment plan)

·會議(meeting)

但是，利用文檔有所變化。當我們在11月份追蹤ChessMaster時，注意到它利用了Microsoft .NET框架內的SOAP WSDL解析器漏洞CVE-2017-8759（2017年9月修補）來下載其他惡意軟體。儘管ChessMaster仍然使用以前的漏洞，但它還為其武器添加了更多方法：其一是利用另一個漏洞CVE-2017-11882（2017年11月修補），該漏洞也被利用來傳播非法版本的Loki infostealer。

圖2. 利用CVE-2017-11882

它也濫用了三個合法的MS Office功能：

圖3. 利用DDEAUTO

圖4. 利用Microsoft Word』s 「Frames/Frameset」

圖5. 利用Link自動更新

ChessMaster可以利用這些方法中的任何一種下載感染鏈中的下一個惡意軟體，即之前的攻擊中使用過的開源利用工具Koadic。該工具負責竊取目標系統的信息——特別是環境信息。

（二）、Koadic

Koadic執行以下命令：

%comspec% /q /c 1> 2>&1

Koadic的命令和輸出將根據攻擊中使用的ANEL版本而改變。下表列出了ANEL版本5.1.1 rc和5.1.2 rc1的命令和輸出示例。請注意，如果下載了ANEL 5.1.2 rc1，攻擊者將使用HTTPS，避免抓取明文形式的下載數據。

圖6. 使用ANEL 5.1.1 rc 時，Koadic命令和輸出

圖7. 使用ANEL 5.1.2 rc時，Koadic命令和輸出

下表列出了Koadic的所有功能：

圖8. 當Koadic RAT下載時載入的命令(使用.shell.exec command)

如果Koadic發現該系統符合攻擊者的利益，它會從命令與控制（C＆C）伺服器下載一個base64加密版本的ANEL惡意軟體並執行。加密的ANEL使用certutil -decode命令進行解密。當ANEL執行時，在內存中釋放名為lena_http_dll.dll的解密DLL文件。該文件包含一個導出函數—— crt_main或lena_main。

圖9. Koadic下載Base64 編碼的ANEL

(三)、ANEL

ANEL將環境信息發送給C＆C伺服器。發送信息時，ANEL使用基於blowfish，XOR和Base64的加密方法對數據進行加密。ANEL用於發送數據的格式與ChChes相似，但ANEL的加密方法更易於使用。

圖10. blowfish使用的加密密鑰

我們最初在2017年11月發現了ANEL惡意軟體。當時，ChessMaster使用ANEL作為目標系統的後門，之後將代碼注入svchost.exe，最後解密並激活嵌入式後門。ANEL的初始版本有一個標有5.0.0 beta1的硬編碼版本，其中包含不完整的代碼。我們注意到這可能意味著未來版本的發布。

我們發現了ANEL的四種不同版本，而不僅僅是一個新的版本：

·5.0.0 beta1

·5.1.1 rc

·5.1.2 rc1

·5.2.0 rev1

不同的版本的更改包括ANEL載入程序和主ANEL DLL。下圖顯示了每個版本之間的變化：

圖11. 各個版本的ANEL之間的變化

後門命令的差異：

上表中顯示存在的差異很微小。例如，最早的ANEL版本5.0.0 beta1與其他版本相比使用了不同的C＆C伺服器。一旦ANEL演變為5.1.1 rc，它將文件類型更改為可執行文件，同時也更改C＆C伺服器。我們發現的第三個版本（5.1.2 rc1）恢復為DLL文件類型，但保留了C＆C伺服器。ANEL的第四個版本（5.2.0 rev1）更改了主ANEL DLL中的導出函數並使用不同的C＆C伺服器。總的來說，我們可以看到微小的變化，這表明ANEL背後的威脅攻擊者正在對惡意軟體逐步改進以完善它。

圖12. ANEL 5.0.0 beta1 / 5.1.1 rc / 5.1.2 rc1（左）和ANEL 5.2.0 rev1（右）之間的後門功能差異

一旦ANEL進入用戶系統，它將下載各種可用於惡意目的的工具，包括密碼竊取工具以及惡意郵件服務和輔助工具，以便收集相關係統的信息。這其中就包括Getpass.exe和Mail.exe，它們是密碼和信息竊取者。

它還下載以下工具：

·Accevent.exeMicrosoft Accessible Event Watcher 7.2.0.0

·event.dll ssssss.ddd的載入程序，（檢測為TROJ_ANELLDR）

·ssssss.ddd（lena_http.bin）加密的BKDR_ANEL（檢測為BKDR_ANELENC）

這三個文件使用了常見的DLL Side-Loading或DLL劫持技術。在此情況下，accevent.exe是主要的可執行文件，通常是合法的。執行accevent.exe後，載入event.dll，它將被放置在同一文件夾中（因此需要載入優先順序），之後event.dll將解密並載入加密的後門程序ssssss.ddd，即BKDR_ANEL。當我們分析ANEL 5.1.1 RC時，加密的ANEL 5.1.2 RC1被下載並執行。

二、短期緩解措施

當用戶打開文檔DDEAUTO或鏈接自動更新時，Office將顯示一條消息。如果用戶點擊「否」按鈕，惡意行為將不會啟動。

圖13: DDEAUTO彈框

圖14. Link自動更新彈框

Koadic以純文本形式發送自己的JavaScript代碼。我們能夠在流量中檢測到可疑通信。

圖15. Koadic通信流量

三、中長期緩解措施

乍一看，ChessMaster在過去幾個月的改進只涉及微妙的變化。然而，功能和攻擊媒介的不斷添加和變化表明，背後的攻擊者不可能停下來，他們在持續改進工具和戰術。

組織可以實施各種技術和最佳實踐來抵禦有針對性的攻擊，例如定期打補丁以防止漏洞利用，並使用提供跨不同網路級別保護的工具。具備行為監控、應用程序控制、電子郵件網關監控和入侵/檢測系統的解決方案可以為此提供幫助。

鑒於網路犯罪工具、策略和程序不斷改進，組織將不得不超越其典型的日常安全需求，並找到一種先於攻擊的方法。因此，迫切需要通過主動事件響應策略來檢測和解決威脅。從本質上講，這涉及到創建有效對付威脅的補救計劃，並使用全天候入侵檢測和威脅分析來防止攻擊進入系統。主動策略對於有針對性的攻擊可能更有效，因為這類攻擊通常被設計為難以檢測，因此需要將它們排除在外。涉及主動事件響應的全面安全策略需要決策者和技術人員的投入，因為他們需要在同一層面上才能有效。

四、IoC

下載器Hash :

·76b1f75ee15273d1226392db3d8f1b2aed467c2875e11d9c14fd18120afc223a

·4edcff56f586bd69585e0c9d1d7ff4bfb1a2dac6e2a9588f155015ececbe1275

部分BKDR_ANEL家族Hashes：

5.0.0 beta1

·af1b2cd8580650d826f48ad824deef3749a7db6fde1c7e1dc115c6b0a7dfa0dd

5.1.1 rc

·2371f5b63b1e44ca52ce8140840f3a8b01b7e3002f0a7f0d61aecf539566e6a1

5.1.2 rc1

·05dd407018bd316090adaea0855bd7f7c72d9ce4380dd4bc0feadc6566a36170

5.2.0 rev1

·00030ec8cce1f21120ebf5b90ec408b59166bbc3fba17ebae0fc23b3ca27bf4f

lena_http.bin

·303f9c00edb4c6082542e456a30a2446a259b8bb9fb6b0f76ff318d5905e429c

工具:

Getpass.exe

event.dll

·6c3224dbf6bbabe058b0ab46233c9d35c970aa83e8c4bdffb85d78e31159d489

mail.exe

URLs及IP :

·www[.]nasnnones[.]com

·trems[.]rvenee[.]com

·contacts[.]rvenee[.]com

·91[.]207[.]7[.]91

·89[.]18[.]27[.]159

·89[.]37[.]226[.]108

·185[.]25[.]51[.]116

·185[.]81[.]113[.]95

·185[.]144[.]83[.]82

·185[.]153[.]198[.]58

·185[.]159[.]129[.]226

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！