深度分析一場全球數據偵察行動——GhostSecret

McAfee Advanced Threat Research分析人員發現了一場全球數據偵察行動，該行動襲擊了許多行業，包括關鍵基礎設施、娛樂、金融、醫療保健和電信。這個名為GhostSecret的行動利用了與國家資助的網路組織Hidden Cobra相關的多種植入程序、工具和惡意軟體變種。其基礎設施目前仍然活躍。

我們對此次行動的調查顯示，該攻擊者使用了多種惡意軟體植入程序，其中包括具有類似於Bankshot功能的未知植入程序。從3月18日至26日，我們觀察到惡意軟體在世界多個地區運行。這個新的變體類似於2014年索尼圖片攻擊中使用的部分Destover惡意軟體。

此外，研究團隊發現了Proxysvc，這似乎是一種沒有被記錄的植入程序。我們還發現了其他的控制伺服器，這些控制伺服器仍然活躍並且與這些新的植入程序相關聯。根據我們對提交的公開和私人信息以及產品遙測的分析結果，似乎Proxysvc與2017年的Destover變體一起使用，並且自2017年年中以來一直未被發現。

GhostSecret背後的攻擊者使用類似的基礎設施來應對早期的威脅，包括FakeTLS在植入程序中使用的SSL證書，該證書被用於Sony Pictures攻擊中使用的名為Escad的Destover後門變種中。根據我們的技術分析、遙測和來自提交的數據，我們可以確定這是Hidden Cobra組織所為。研究團隊在2018年3月發現了與此次行動有關的活動，當時攻擊的目標是土耳其銀行。這些初步發現似乎是GhostSecret操作的第一階段。有關此威脅的更多信息，請參閱「Global Malware Campaign Pilfers Data from Critical Infrastructure, Entertainment, Finance, Health Care, and Other Industries.」。

一、分析

McAfee Advanced Threat Research團隊發現了一種以前未知的數據收集植入程序，該植入程序於2018年2月中旬出現。此植入程序似乎是Hidden Cobra之前創作的植入程序的衍生物，其功能類似於Bankshot，其代碼與Hidden Cobra其他植入程序代碼重疊。但是，該變體並非基於Bankshot。我們對PE文件rich-header數據的分析表明，這兩種植入程序都是在不同的開發環境中編譯的。代碼和PE文件rich-header表明，Bankshot、Proxysvc和類似Destover的植入程序是不同的系列，但也包含與當前Hidden Cobra工具重疊的代碼和函數。

2018年Bankshot的PE rich header

2018年2月新植入程序的PE rich header

Proxysvc.dll的PE rich header

將2018年2月新植入程序的PE頭數據與2014年索尼攻擊發生前不久的Backdoor.Escad（Destover）變體進行比較時，我們發現簽名是相同的。類似於Destover的變體與2015年的變體代碼類似，代碼相似率83％，並且包含與我們分析的Backdoor.Escad變體相同的PE標頭簽名。因此，新植入程序可能是Destover的衍生物。我們確定植入程序不是以前知名的Destover樣本的直接拷貝;相反，Hidden Cobra使用早期版本中的函數創建了一個新的混合變體。

2014 Backdoor.Escad (hash: 8a7621dba2e88e32c02fe0889d2796a0c7cb5144).

2015 Destover variant (7fe373376e0357624a1d21cd803ce62aa86738b6).

2月份的植入程序fe887fcab66d7d7f79f05e0266c0649f0114ba7c是在編譯後兩天於2月14日從美國未知的提交者處獲得的。該韓語文件使用的控制伺服器IP地址203.131.222.83。除了控制伺服器地址不同之外，植入程序與2017年未知樣品（8f2918c721511536d8c72144eabaf685ddc21a35）幾乎相同。 2017年控制地址為14.140.116.172。這兩種植入程序都特別使用了FakeTLS和PolarSSL，我們在之前的Hidden Cobra植入程序中看到了這一點。自Sony Pictures事件發生以來，PolarSSL庫出現在植入程序中，並專門用於種植Backdoor.Destover。該植入程序包含了一個通過埠443發送流量的自定義控制伺服器協議。該實現不通過標準SSL格式化數據包，而是以自定義格式進行格式化並通過SSL進行傳輸，即FakeTLS。與Backdoor.Escad相比，控制伺服器流量幾乎相同。

Backdoor.Destover中的TLS

Backdoor.Escad中的TLS

對IP地址14.140.116.172的進一步研究使我們得到了涉及整個基礎設施的額外隱藏組件。Proxysvc.dll包含所有位於印度的硬編碼IP地址列表，包括前面的地址。除卻名稱，此組件不是SSL代理，而是一個獨特的數據收集和植入程序安裝組件，它在埠443上監聽入站控制伺服器連接。

Proxysvc於3月22日在美國首次由公共和私人來源收集。3月19日從韓國提交該組件的可執行dropper。3月16日至21日的McAfee遙測分析顯示Proxysvc在野外活躍。我們的研究表明，這個組件主要出現在高等教育機構。我們懷疑這個組件涉及核心控制伺服器基礎架構。這些目標是故意選擇運行Proxysvc的，因為攻擊者需要知道哪些系統受到感染才能連接到它們。這些數據還表明，該基礎設施在發現之前已經運行了一年多。Advanced Threat Research團隊發現這個組件在11個國家的系統上運行。鑒於Proxysvc的功能有限，它似乎是SSL監聽器隱蔽網路的一部分，這些網路允許攻擊者收集數據並安裝更複雜的植入程序或其他基礎設施。SSL監聽器支持多個控制伺服器連接，而不是硬編碼地址列表。通過消除對硬編碼IP地址的依賴並僅接受入站連接，控制服務可以保持未知。

3月份運行Proxysvc.dll的受感染系統數量。來源：McAfee高級威脅研究

在3月14日至3月18日期間，類Destover植入程序出現在17個國家的組織中。受影響的組織包括電信，健康，金融，關鍵基礎設施和娛樂等行業。

3月份運行Destover的受感染系統數量。來源：McAfee高級威脅研究

二、控制伺服器

對控制伺服器基礎設施的進一步調查揭示了與2018年2月植入使用的控制伺服器203.131.222.83相關的SSL證書d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76。該伺服器位於泰國曼谷的Thammasat大學。同樣託管Sony Pictures植入程序的控制伺服器。自Sony Pictures攻擊以來，該SSL證書已用於Hidden Cobra。分析此證書可以揭示其他的控制伺服器也使用相同的PolarSSL證書。McAfee遙測數據揭示了幾個活躍的IP地址，其中兩個IP地址與2018年類Destover的植入程序位於同一網段內。

2018年3月15日至19日，Thammasat大學託管的控制伺服器的感染數量。來源：McAfee Advanced Threat Research。

三、植入程序的起源

McAfee Advanced Threat Research確定類Destover的變體源於2015年開發的代碼。該代碼在2017和2018年出現的變體中再次出現，它們使用幾乎相同的函數並對命令進行了一些修改，並且還提供了基於相同開發環境PE頭信息。

相似性

·兩個變體都使用GetProcAddress動態導入API，其中包括用於為任何活動遠程會話收集用戶名和域名的wtsapi32.dll

·兩個變體都包含基於控制伺服器發出的命令ID的各種功能

·兩種惡意軟體的常見功能：

·列出目錄中的文件

·創建任意進程

·將從控制伺服器收到的數據寫入磁碟文件

·收集所有驅動器的信息

·收集所有進程的運行時間

·將特定文件的內容發送到控制伺服器

·擦除和刪除磁碟上的文件

·設置植入程序的當前工作目錄

·將磁碟空間信息發送到控制伺服器

·兩種變體都使用批處理從系統中刪除其二進位文件

·兩種變體都在系統上運行命令，將輸出記錄到臨時文件，並將文件內容發送到其控制伺服器

差異性

2018年植入程序中移除的功能：

·以特定用戶的身份創建流程

·終止一個特定的過程

·刪除特定文件

·為特定文件設置文件時間

·獲取當前系統時間並將其發送到控制伺服器

·讀取磁碟上文件的內容。如果指定的文件路徑是目錄，則列出目錄的內容。

·在文件上設置屬性

2015年植入程序中不包含必須連接的IP地址的硬編碼值。相反，它包含由connect()API用於指定埠443和控制伺服器IP地址的硬編碼sockaddr_in數據結構（位於二進位結束前的0x270個位元組處）：

·193.248.247.59

·196.4.67.45

這兩個控制伺服器都使用PolarSSL證書d0cb9b2d4809575e1bc1f4657e0eb56f307c7a76。

四、Proxysvc

乍一看，SSL監聽器Proxysvc看起來像一個代理設置工具（用於執行中間人流量攔截）。但是，對樣本進行更仔細的分析表明，這是另一種使用HTTP over SSL從控制伺服器接收命令的植入程序。

Proxysvc是一個下載器，其主要功能是在不泄露攻擊者控制地址的情況下向端點提供額外的payload。此植入程序包含有限的偵察和後續payload的安裝功能。此植入是一個服務DLL，也可以作為獨立進程運行。

Proxysvc的 ServiceMain()子函數

植入程序不能連接控制伺服器的IP地址或URL。相反，它接受來自控制伺服器的命令。植入程序綁定並監聽埠443以接收任何傳入連接。

Proxysvc 綁定特定埠

Proxysvc接收連接

Proxysvc在接受來自潛在控制伺服器的連接時進行有趣的檢查。它會檢查IP地址列表以確保傳入的連接不是來自以下任何地址。如果傳入的請求確實來自其中之一，則會提供零響應（ASCII「0」）並關閉連接。

·121.240.155.74

·121.240.155.76

·121.240.155.77

·121.240.155.78

·223.30.98.169

·223.30.98.170

·14.140.116.172

五、SSL Listener功能

植入程序從控制伺服器接收基於HTTP的命令，並從HTTP頭解析HTTP Content-Type和Content-Length。如果HTTP內容類型匹配以下值，則植入程序執行由控制伺服器指定的命令：

Content-Type：8U7y3Ju387mVp49A

HTTP Content-Type與特定值比較

具有以下功能：

1.將從控制伺服器接收到的可執行文件寫入臨時文件並執行

Proxysvc將二進位文件寫入臨時文件並執行

2.收集系統信息並將其發送到控制伺服器。從終端收集的系統信息包括：

·MAC 地址

·計算機名

·產品名稱，來自HKLMSoftwareMicrosoftWindows NTCurrentVersion ProductName

·這些信息被連接成一個格式為「MAC_Address | ComputerName | ProductName」的字元串並發送到控制伺服器

·使用當前的系統時間戳將來自控制伺服器的HTTP請求記錄到植入程序安裝目錄中的臨時文件prx中

六、分析主植入程序

2018年2月的植入程序具有多種功能，包括數據泄露和在受害者系統上執行任意命令。鑒於植入程序可以從控制伺服器獲得大量的指令結構，這是一個廣泛的數據偵察和泄露框架，表明了其先進性。例如，植入程序可以擦除和刪除文件，執行其他的植入程序，從文件中讀取數據等。

通過動態載入API執行惡意活動，植入程序開始執行。用於載入API的庫包括：

·Kernel32.dll

·Apvapi32.dll

·Oleaut32.dll

·Iphlpapi.dll

·Ws2_32.dll

·Wtsapi32.dll

·Userenv.dll

·Ntdll.dll

動態載入API函數

作為其初始化的一部分，植入程序收集基本系統信息，並使用443埠上的SSL將其發送到硬編碼的控制伺服器203.131.222.83：

·系統區域設置中的國家/地區名稱

·操作系統版本

·處理器描述

·HKLMHARDWAREDESCRIPTIONSystemCentralProcessor ProcessorNameString處的產品描述

·計算機名稱和網路適配器信息

·磁碟C:到Z的磁碟空間信息：包括以位元組為單位的總空間、可用空間等。

·當前內存狀態，包括以位元組為單位的總物理內存、可用內存等。

·當前遠程會話的域名和用戶名

Win32 WTS API獲取用戶名和域名

七、數據偵察

植入程序通過SSL接收編碼的命令數據。該數據被解碼後，導出正確的命令ID。有效的命令ID位於0和0x1D之間。

Switch 處理命令ID

基於命令ID，植入程序具備以下功能：

·收集系統信息並將其泄露給控制伺服器（與前面介紹的基本數據收集功能相同）

·獲取系統中所有驅動器的卷信息（A:到Z:）並泄露到控制伺服器

收集卷信息

·列出目錄中的文件。目錄路徑由控制伺服器指定。

·讀取文件的內容並將其發送到控制伺服器

讀取文件並發送給伺服器

·將控制伺服器發送的數據寫入指定的文件

打開文件

將從控制伺服器接收的數據寫入文件

·根據控制伺服器指定的文件路徑創建新進程。

創建進程

·擦除和刪除控制伺服器指定的文件

擦除和刪除文件

·使用cmd.exe在系統上執行二進位文件，並將結果記錄到臨時文件中，然後讀取並將記錄結果發送到控制伺服器。命令行：

cmd.exe /c 「 > %temp%PM*.tmp 2>&1」

執行命令並將結果寫入臨時文件

·獲取當前運行的所有進程的信息

獲取系統當前所有進程時間

從相關進程中導出用戶名和域名

·使用批處理文件從磁碟刪除自己。

自刪除的bat

·將從控制伺服器收到的編碼數據作為註冊表值存儲在：

HKLMSoftwareMicrosoftWindowsCurrentVersionTowConfigs Description

·設置並獲取植入程序的當前工作目錄

設置和獲取工作路徑

命令處理程序索引表在植入程序中按以下方式組織：

命令索引表

八、總結

McAfee Advanced Threat研究團隊發現了之前未發現的組件，認為它屬於Hidden Cobra，該組件繼續以全球各地的組織為目標。這些數據收集植入程序複雜性的演變揭示了攻擊者繼續開發工具的先進能力。我們的調查發現了一個未知的基礎設施，這些基礎設施與最近在印度的伺服器進行的操作相關，該伺服器使用先進的植入程序建立隱蔽網路來收集數據並發起進一步的攻擊。

McAfee Advanced Threat研究團隊將隨著調查的進展提供進一步更新。

IoC

IP

·203.131.222.83

·14.140.116.172

·203.131.222.109

Hashes

·fe887fcab66d7d7f79f05e0266c0649f0114ba7c

·33ffbc8d6850794fa3b7bccb7b1aa1289e6eaa45

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！