當前位置:
首頁 > 新聞 > APT團伙(APT-C-01)新利用漏洞樣本分析及關聯挖掘

APT團伙(APT-C-01)新利用漏洞樣本分析及關聯挖掘

新聞 05-04

背景


APT-C-01組織是一個長期針對國內國防、政府、科技和教育領域的重要機構實施網路間諜攻擊活動的APT團伙,其最早的攻擊活動可以追溯到2007年,360威脅情報中心對該團伙的活動一直保持著持續的跟蹤。團伙擅長對目標實施魚叉攻擊和水坑攻擊,植入修改後的ZXShell、Poison Ivy、XRAT商業木馬,並使用動態域名作為其控制基礎設施。


360威脅情報中心對日常的在野惡意代碼跟蹤流程中發現疑似針對性的APT攻擊樣本,通過對惡意代碼的深入分析,利用威脅情報中心數據平台,確認其與內部長期跟蹤的APT-C-01團伙存在關聯,並且結合威脅情報數據挖掘到了該團伙更多的定向攻擊活動。

木馬分析


基於開源威脅情報,360威脅情報中心發現http://*****einfo.servegame.org域名地址託管了多個攻擊惡意代碼和惡意HTA文件,其用於攻擊載荷的下載和分發。




Dropper分析


通過結合對此惡意代碼分發域名上的惡意載荷分析,推測其應該使用CVE-2017-8759漏洞文檔來投放第二階段的攻擊載荷,由於目前暫未關聯到實際用於攻擊活動的漏洞文檔文件,結合該團伙過去的攻擊特點,其應該是用於郵件魚叉攻擊。



並且進一步下載惡意的HTA文件,其執行PowerShell指令下載Loader程序,保存為officeupdate.exe並執行。



Loader分析

根據Loader程序中包含的字元串信息,製作者將其命名為SCLoaderByWeb,版本信息為1.0版,從字面意思為從Web獲取的ShellcodeLoader程序。其用來下載執行shellcode代碼。



Loader程序首先會嘗試連接www.baidu.com判斷網路聯通性,如果沒有聯網,會每隔5秒嘗試連接一次,直至能聯網。


然後從http://*****einfo.servegame.org/tiny1detvghrt.tmp下載payload,如圖:



接著判斷文件是否下載成功,如果沒有下載成功會休眠1秒後,然後再次嘗試下載payload:



下載成功後,把下載的文件內容按每個位元組分別和0xac,0x5c,0xdd異或解密(本質上就是直接每個位元組異或0x2d),如圖:



之後把解密完的shellcode在新創建的線程中執行,如圖:


Shellcode分析


分發域名地址託管的.tmp文件均為逐位元組異或的shellcode,如下圖為從分發域名下載的tinyq1detvghrt.tmp文件,該文件是和0x2d異或加密的數據。



解密後發現是Poison Ivy生成的shellcode,標誌如下:



通過分析測試Poison Ivy木馬生成的shellcode格式與該攻擊載荷中使用的shellcode格式比較,得到每個配置欄位在shellcode中的位置和含義。




其shellcode配置欄位的格式詳細如下:


在分析Poison Ivy中獲取kernel32基址的代碼邏輯時,發現其不兼容Windows 7版本系統,因為在Windows 7下InitializationOrderModule的第2個模塊是KernelBase.dll,所以其獲取的實際是KernelBase的基址。




由於Poison Ivy已經停止更新,所以攻擊團伙為了使shellcode能夠執行在後續版本的Windows系統,其採用了代碼Patch對獲取kernel32基址的代碼做了改進。


其改進方法如下:


1. 在原有獲取kernel32基址代碼前增加跳轉指令跳轉到shellcode尾部,其patch代碼增加在尾部;


2. patch代碼首先獲取InitializationOrderModule的第2個模塊的基址(WinXP下為kernel32.dll,WIN7為kernelbase.dll);


3. 然後獲取InitializationOrderModule的第二個模塊的LoadLibraryExA的地址(WinXP下的kernel32.dll和WIN7下的kernelbase.dll都有這個導出函數)


4. 最後通過調用LoadLibraryExA函數獲取kernel32的基址。


攻擊者針對shellcode的patch,使得其可以在不同的Windows系統版本通用。


該shellcode的功能主要是遠控木馬的控制模塊,和C2通信並實現遠程控制。這裡我們在Win7系統下模擬該木馬的上線過程。



對控制域名上託管的其他shellcode文件進行解密,獲得樣本的上線信息統計如下:
























































































行動ID 上線域名 上線密碼 互斥體
2017

*

e.*o.dyndns.org		 5566 !@#3432!@#@! )!VoqA.I4
bing

*

1789.dynssl.com		 8088 zxc5566 )!VoqA.I4
ding1

*

ftword.serveuser.com		 53 1wd3wa$RFGHY^%$ )!VoqA.I4
ding2

*

il163.sendsmtp.com		 53 1wd3wa$RFGHY^%$ )!VoqA.I4
geiwoaaa

*

aaa.qpoe.com

 443 wyaaa8 )!VoqA.I4
jin_1

*

opin.mynumber.org		 80 HK#mq6!Z+. )!VoqA.I4
jin_2

*

ngonly.rebatesrule.net		 53 ~@FA<9p2c* )!VoqA.I4
justdied www.ser

*

.

*

died.com		 80 ppt.168@ )!VoqA.I4
pouhui

*

hui. 

*

tation.org		 53 index#help )!VoqA.I4
tina_1

*

date.ocry.com		 80 168168 )!VoqA.I4
tina_2

*

prp.ezua.com		 53 116688 )!VoqA.I4
tony_1

*

update.dynamic-dns.net		 80 0A@2q60#21 )!VoqA.I4
tony_2

*

patch.dnset.com

 53 aZ!@2q6U0# )!VoqA.I4

關聯分析



通過進一步分析攻擊載荷的回連C&C域名,發現大部分域名都是ChangeIP動態域名,從子域名的命名,攻擊者更喜歡採用和Office,系統更新,163郵箱和招聘網相關的命名關鍵詞。


1. 結合360威脅情報平台對C&C域名進行關聯分析。這裡我們對該團伙這次行動中(ding2.exe)使用的C&C域名

*

il163.sendsmtp.com進行分析,其當前解析IP為

*

.

*

.171.209。



2. 通過進一步查詢IP歷史映射域名,發現域名pps.

*

usic.com對應內部發現的APT-C-01組織歷史使用的域名。


3. 通過搜索pps.

*

usic.com這個域名,得到關聯樣本。



該樣本為該組織早期的攻擊惡意代碼。



4. 查詢該域名歷史解析IP。



5. 對域名歷史映射的IP地址

.

.114.161進行查詢,發現

*

e165.zyns.com域名,這個域名同樣也是ChangeIP動態域名,並且曾經用於CVE-2017-0199的漏洞文檔。



該漏洞文檔是一個關於十九大的PPT,其最後修改時間為2017年12月12日。根據文檔文件中的元數據,可以推測攻擊者從網上檢索到了「楊建華」製作的學習十八大黨章的PPT文檔,由名字為」steusr」的用戶最後修改該文檔內容製作為誘導文檔。






該漏洞文檔會下載執行一個HTA文件。



總結整體關聯展示如下圖所示:



總結


基於我們對該APT團伙的長期跟蹤,結合本次攻擊Campaign的細節我們對團伙的攻擊戰術技術如下:

























攻擊團伙名稱

APT-C-01

攻擊入口

 魚叉攻擊投放漏洞文檔

受影響應用

 Windows系統

使用漏洞

 CVE-2017-8759、CVE-2017-0199

惡意代碼及工具

 Poison Ivy

控制基礎設施資源

 動態域名,主要為ChangeIP動態域名

主要攻擊戰術技術特徵分析

 1.使用魚叉郵件投放漏洞文檔,其用於下載執行惡意的HTA文件; 2.使用PowerShell下載執行第一階段載荷; 3.修改Poison Ivy生成的shellcode作為命令控制模塊; 4.使用動態域名進行命令控制,並且子域名通常偽裝成Office,系統更新,163郵箱和招聘網相關內容;

攻擊者通過使用動態域名和公開的木馬來隱藏自身更多的標記信息,增加了追溯的難度,並且更加容易與普通的木馬攻擊事件相混淆。但從本次攻擊活動的分析我們也可以發現對於攻擊團伙和其擁有的資源豐富程度,其通常並非擁有無限的控制基礎設施資源,所以當持續積累了足夠的基礎設施相關數據,並結合威脅情報的持續運營,往往可以將看似獨立的事件關聯到一起並確定指向。


目前,基於360威脅情報中心的威脅情報數據的全線產品,包括360威脅情報平台(TIP)、天眼高級威脅檢測系統、360 NGSOC等,都已經支持對此APT攻擊團伙攻擊活動的檢測。


參考鏈接


https://twitter.com/avman1995/status/933960565688483840


IOC






















































































C&C**

地址**

.

.66.10

.

.32.168

.

.220.223

.

.67.36

.

.133.169

.

.8.137

.

.125.176

.

.228.61

.

.9.206

.

.171.209

*

gonly.rebatesrule.net

*

erk.gecekodu.com

*

r163.serveusers.com

*

date.ocry.com

*

aaa.qpoe.com

*

opin.mynumber.org

*

rvice.serveuser.com

*

ftword.serveuser.com

*

e.go.dyndns.org

*

info.servegame.org

*

il163.sendsmtp.com

*

update.dynamic-dns.net

*

prp.ezua.com
www.ser

*

.

*

died.com

*

1789.dynssl.com

*

patch.dnset.com

*

hui. 

*

tation.org

*

high.mefound.com

*

e165.zyns.com
http://*****e165.zyns.com/zxcvb.hta

LOADER MD5

**

5fffda3425d08c94c014a1

**

31ffcdbe65ab13d71b64ec

**

6fd8670137cade8b60a034

**

5bf285d095e0fd91cb6f03

**

e6528add4f9489ce1ec5d6

**

44d923f576e9f86adf9dc0

**

aaee991ff97845705e08b8

**

bd772a41a6698c6fd6e551

**

3f6ea5e0fd1a0aec6a095c

* 本文作者:360天眼實驗室,轉載註明來自Freebuf


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

信息收集利器:ZoomEye
黑客可以通過電源線從計算機竊取數據

TAG:FreeBuf |