美人魚行動是境外APT組織主要針對政府機構(gòu)的攻擊活動,持續(xù)時間長達6年的網(wǎng)絡(luò)間諜活動,已經(jīng)證實有針對丹麥外交部的攻擊。相關(guān)攻擊行動最早可以追溯到2010年4月,最近一次攻擊是在2016年1月。截至目前360追日團隊總共捕獲到惡意代碼樣本284個,C&C域名35個。
2015年6月,360追日團隊首次注意到美人魚行動中涉及的惡意代碼,并展開關(guān)聯(lián)分析,由于相關(guān)惡意代碼在中國地區(qū)并不活躍,所以當時無法判斷其載荷投遞的方式和攻擊針對目標和領(lǐng)域。但通過大數(shù)據(jù)關(guān)聯(lián)分析目前我們已經(jīng)確定相關(guān)攻擊行動最早可以追溯到2010年4月,以及關(guān)聯(lián)出上百個惡意樣本文件,另外360追日團隊疑似載荷投遞采用了水坑攻擊的方式,進一步結(jié)合惡意代碼中誘餌文件的內(nèi)容和其他情報數(shù)據(jù),初步判定這是一次以竊取敏感信息為目的的針對性攻擊,且目標是熟悉英語或波斯語。
2016年1月,丹麥國防部情報局(DDIS,Danish Defence Intelligence Service)所屬的網(wǎng)絡(luò)安全中心(CFCS,Centre for Cyber Security)發(fā)布了一份名為“關(guān)于對外交部APT攻擊的報告”的APT研究報告,報告主要內(nèi)容是CFCS發(fā)現(xiàn)了一起從2014年12月至2015年7月針對丹麥外交部的APT攻擊,相關(guān)攻擊主要利用魚叉郵件進行載荷投遞。
CFCS揭露的這次APT攻擊,就是360追日團隊在2015年6月發(fā)現(xiàn)的美人魚行動,針對丹麥外交部的相關(guān)魚叉郵件攻擊屬于美人魚行動的一部分。從CFCS的報告中360追日團隊確定了美人魚行動的攻擊目標至少包括以丹麥外交部為主的政府機構(gòu),其載荷投遞方式至少包括魚叉式釣魚郵件攻擊。
通過相關(guān)線索分析,360追日團隊初步推測美人魚行動幕后組織來自中東地區(qū)。
一、載荷投遞
1.魚叉郵件:PowerPoint OLE釣魚文
OLE是Object Linking and Embedding的縮寫,即“對象鏈接與嵌入”,將可執(zhí)行文件或腳本文件嵌入到文檔文件中 ,雖然沒有使用漏洞,但構(gòu)造的惡意文檔文件極具有迷惑性。
攻擊者可以在outlook發(fā)送郵件時、word文檔或PowerPoint幻燈片中構(gòu)造釣魚文檔,在美人魚行動中主要是利用PowerPoint OLE釣魚文檔,一般是將PE惡意文件嵌入其中。進一步針對單個PPT文檔,攻擊者會嵌入多個同樣的PE惡意文件,這造成在用戶環(huán)境執(zhí)行PPT釣魚文檔后,對彈出的安全警告窗口點擊“取消”后會繼續(xù)彈出,一般安全意識較弱的用戶在經(jīng)過多次操作后沒有達到預(yù)期效果,則會點擊“運行”由此來達到關(guān)閉安全警告窗口。
2.疑似水坑攻擊
kurdistannet.org(A Daily Independent Online Kurdish Newspaper)網(wǎng)站被植入了惡意鏈接,疑似美人魚行動中發(fā)動水坑攻擊會基于該網(wǎng)站。這個網(wǎng)站的主要內(nèi)容是涉及伊拉克庫爾德斯坦的相關(guān)新聞,網(wǎng)站語言以波斯語為主,也就是被攻擊目標是關(guān)注庫爾德斯坦相關(guān)新聞,且熟悉波斯語。
360追日團隊在2016年4月14日再次請求訪問該網(wǎng)站,通過對頁面源碼的分析,插入的惡意鏈接依然還存在尚未刪除,也就是kurdistannet網(wǎng)站的管理人員尚未發(fā)現(xiàn)相關(guān)威脅。但是惡意鏈接目前來看已經(jīng)失效了。
上表是對kurdistannet網(wǎng)站被掛馬的具體記錄,通過sucuri谷歌快照的時間,可以確定至少在2016年1月24日kurdistannet網(wǎng)站就已經(jīng)被植入了惡意鏈接。
從以下兩個表中,可以看出母體文件有來自URL的情況,從URL最終指向的文件擴展名來看,應(yīng)該不會是誘導用戶點擊并執(zhí)行這類URL。而這類URL有可能是其他downloader木馬請求下載或者由漏洞文檔、水坑網(wǎng)站在觸發(fā)漏洞成功后下載執(zhí)行。
表 1樣本來源1
3.自身偽裝
這里主要指對二進制可執(zhí)行EXE文件,主要從文件名、文件擴展名和文件圖標等方面進行偽裝。
在美人魚行動中主要通過winrar的自解壓功能將相關(guān)樣本文件和誘餌文檔打包為EXE文件,其中誘餌文檔涉及的方面較多,會涉及安裝補丁、開發(fā)環(huán)境、視頻、圖片、文檔等,但就EXE文件母體很少將文件圖標替換為文檔或圖片圖標。
二、RAT分析
1.功能簡述
美人魚行動中使用的RAT我們命名為SD RAT,SD RAT主要是通過winrar的自解壓功能將自己打包為exe文件,會偽裝為安裝補丁、開發(fā)環(huán)境、視頻、圖片、文檔等,如V1版本會偽裝成圖片文件,V2版本會將自己偽裝為aptana的air插件。
主要功能是進行鍵盤記錄,收集用戶信息(例如:pc的信息,剪貼板內(nèi)容等等)然后上傳到指定服務(wù)器,進一步還會從服務(wù)器上下載文件(下載的文件暫時還未找到)并運行。從樣本代碼本身來看SD RAT主要分為兩個版本,大概2012年之前的是早期V1版本,2012年之后至今的為V2版本。
2.V1和V2版本
兩個版本執(zhí)行在整體架構(gòu)上是相同的都是在創(chuàng)建窗口的時候調(diào)用了一個函數(shù),在該函數(shù)中創(chuàng)建兩個定時器一個用來記錄剪貼板中最新內(nèi)容,一個用來下載文件和發(fā)送用戶信息。
在V1版本中創(chuàng)建了兩個定時器一個用來下載文件和發(fā)送用戶信息另一個則調(diào)用GetAsyncKeyState進行鍵盤記錄 ,而在V2版本中通過注冊熱鍵,響應(yīng)相關(guān)消息進行鍵盤記錄。在V1版本中則通過setclipboard和響應(yīng)WM_DRAWCLIPBOARD 消息來記錄剪貼板上的內(nèi)容。V2版本內(nèi)部之間的主要區(qū)別在于URL和相關(guān)字符串是否加密,在2015年的近期V2版本中幾乎對所有的字符串都進行了加密操作。
雖然兩個版本在具體的功能實現(xiàn)的手法上有所區(qū)別但整體結(jié)構(gòu)和功能是一致的,甚至連字符串解密的函數(shù)都是一樣的。
3.對抗手法
躲避執(zhí)行?失誤?
V2版本會檢測avast目錄(avast software)是否存在,如果不存在則停止運行。V2版本此處的檢測邏輯,不太符合一般惡意代碼檢測殺毒軟件進行對抗的思路,我們推測有兩種可能性:
第一種:攻擊者重點關(guān)注被攻擊目標環(huán)境存在avast殺軟的目標;
第二種:攻擊者在開發(fā)過程中的失誤導致。
謹慎執(zhí)行
V2檢測到其他殺軟不會停止運行,而是謹慎執(zhí)行。
V2版本首先會檢測卡巴斯基目錄(Kaspersky Lab),判斷是否安裝了該殺毒軟件如果存在則會進行謹慎的刪除,如果存在則檢測是否存在 C:Documents and SettingsAdministratorApplicationDataAdobeairplugin*.dat,存在則會獲取插件的名稱,然后刪除對應(yīng)的啟動項。如果不存在則會直接將以airplugin開頭的相關(guān)啟動項全部刪除。
進一步然后向注冊表中添加啟動項,在添加啟動項的過程中依舊會檢測如下殺毒軟目錄件是否存在。
如果存在,會通過執(zhí)行批處理的方式添加如果不存在則直接進行修改注冊表。接著會執(zhí)行刪除,然后再次檢測上面羅列的殺毒軟件,如果存在則將原文件移動過去并重命名如果不存在則直接復制過去重命名。
檢測殺軟的操作并沒有影響最終的結(jié)果,只是采取了更加謹慎的操作。
三、 C&C分析
1. WHOIS信息
非動態(tài)域名,360追日團隊通過對主域名的WHOIS信息分析,發(fā)現(xiàn)相關(guān)域名持有者郵箱主要集中在以下幾個郵箱:
aminjalali_58@yahoo.com
aj58mail-box@yahoo.com
kamil_r@mail.com
am54ja@yahoo.com
2. 故意混淆誤導?無辜受害者?
現(xiàn)象
在我們分析C&C通信的過程中,一個針對安全廠商的誤報反饋引起了我們的注意,具體反饋的誤報信息如下表和下圖所示。
反饋誤報相關(guān) | 具體鏈接 |
反饋誤報的URL | https://community.sophos.com/products/unified-threat-management/f/55/t/46992 |
認為被誤報的網(wǎng)站 | hXXp://updateserver1.comhXXp://bestupdateserver.com/ |
aj58在sophos論壇主要反饋sophos產(chǎn)品誤報了他持有的兩個網(wǎng)站,sophos的UTM是基于McAfee Smartfilter XL,aj58聲稱McAfee已經(jīng)更改了網(wǎng)站狀態(tài)(即非惡意),其中Scott Klassen反饋如果McAfee如果修改狀態(tài),則sophos最終也會修改。aj58繼續(xù)反饋說VT中sophos的檢測結(jié)果依然是惡意。從目前來看VT中sophos的結(jié)果 是未評級網(wǎng)站(Unrated site),也就是已經(jīng)將惡意狀態(tài)修改。
分析
在看到以上現(xiàn)象,360追日團隊首先是想到了之前發(fā)布的《007 黑客組織及其地下黑產(chǎn)活動分析報告》(https://ti.360.com/upload/report/file/Hook007.pdf)中,出現(xiàn)過攻擊者主動聯(lián)系安全廠商,探測安全廠商檢測機制的案例。
以下是就本次事件的具體推測過程:
首先sophos論壇上注冊的用戶名是aj58,這的確和反饋誤報的兩個域名WHOIS信息中郵箱地址比較相似“aminjalali_58@yahoo.com”,“aj58mail-box@yahoo.com”,這一現(xiàn)象或許是用戶習慣相關(guān)用戶名,另外就是刻意表示與相關(guān)網(wǎng)站具備關(guān)聯(lián)歸屬性。
進一步aj58聲稱自己擁有的兩個網(wǎng)站,也是美人魚行動中主要涉及到C&C域名,從2010年至2015年都有涉及到這兩個C&C的木馬出現(xiàn),一般情況惡意域名如果曝光或使用次數(shù)越多則存活時間則會越短,而如果只是針對特定目標,且控制其傳播范圍,則C&C域名會存活較長時間。
疑點1:而且從360追日團隊的分析來看,這兩個C&C域名的作用并非簡單的判斷網(wǎng)絡(luò)環(huán)境,其作用主要是竊取信息的回傳和下載其他惡意程序。這時懷疑有兩種可能性,第一:這兩個域名屬于美人魚行動幕后組織所注冊持有;第二:這兩個域名是可信網(wǎng)站,被美人魚行動幕后組織攻陷作為跳板。
注:
惡意代碼判斷網(wǎng)絡(luò)環(huán)境:一般惡意代碼在執(zhí)行主要功能之前會判斷下本地網(wǎng)絡(luò)環(huán)境,這時會請求一些可信網(wǎng)站,如請求谷歌、微軟等網(wǎng)站,如果符合預(yù)設(shè)的判斷條件,則繼續(xù)執(zhí)行。
疑點2:進一步360追日團隊發(fā)現(xiàn)在美人魚行動中使用的C&C域名,排除動態(tài)域名,至少有8個C&C域名與aj58提到的這兩個域名注冊郵箱相同。這時我們懷疑有兩種可能性,第一:這兩個域名屬于美人魚行動幕后組織所注冊持有;第二:這兩個域名和其他8個域名均為可信網(wǎng)站,而美人魚行動幕后組織只針對aj58所持有的域名進行攻擊,并作為跳板。
疑點3:另外這些aj58提到的這兩個域名,以及我們發(fā)現(xiàn)的其他域名均無對外提供WEB服務(wù)或網(wǎng)站頁面。
疑點4:注意到aj58是在2015年7月25日反饋誤報,而aj58所持有的另外3個域名已經(jīng)在2015年7月1日被安全機構(gòu)(virustracker.info)sinkhole了。從aj58在sophos論壇反饋自己網(wǎng)站被誤報的情況,360追日團隊認為aj58用戶對自己網(wǎng)站的安全性還是很關(guān)注的。我們推測aj58所持有的網(wǎng)站如果被其他機構(gòu)接管了,aj58應(yīng)該會進行反饋質(zhì)疑,無法知道aj58是否聯(lián)系virustracker.info,但從這3個網(wǎng)站的最新WHOIS信息來看,持有者仍然是virustracker.info。
short-name.combestwebstat.com
myblog2000.com
表 3被安全機構(gòu)接管的3個C&C域名
其他: aj58是在2015年7月25日反饋誤報,CFCS發(fā)布的針對丹麥外交部攻擊的報告中指出最后一次攻擊是2015年7月24日。
通過以上分析推測,360追日團隊更傾向aj58就是美人魚行動幕后組織的成員,但暫時無法確切證明,不排除aj58是無辜的受害者。
3. 被安全機構(gòu)sinkhole
在上一小節(jié)中已經(jīng)介紹了美人魚行動中有3個C&C已經(jīng)被安全機構(gòu)接管。一般情況下安全機構(gòu)對某個域名進行sinkhole接管的時候,是很確定該域名是被攻擊者所持有。
已經(jīng)被安全機構(gòu)接管的C&C | |
C&C主域名 | short-name.combestwebstat.com
myblog2000.com |
WHOIS信息 | 2015年7月1日之前:aj58mail-box@yahoo.com |
2015年7月1日之前:aminjalali_58@yahoo.com | |
2015年7月1日之后:domains@virustracker.info | |
IP | Sinkhole之前:192.69.208.202 |
Sinkhole之前:209.236.117.65 | |
Sinkhole之后:69.195.129.72 |
表 4樣本來源2
四、 相關(guān)線索信息
1. 誘餌文檔
圖 8誘餌文檔截圖1
圖 9誘餌文檔截圖2
從上面兩張誘餌PPT截圖來看,其中主要語言是波斯語。
樣本MD5 | oleObject路徑 |
260687b5a29d9a8947d514acae695ad4 | C:Usersya hosainDesktoppower point .exe |
83e90ccf2523cce6dec582cdc3ddf76b | C:UserssalazarDesktoppower point.exe |
0096c70453cd7110453b6609a950ce18 | C:Users]133128Desktoppower point.exe |
b61b26c9862e74772a864afcbf4feba4 | C:Users@1DesktopDesktop.exe |
ffad81c9cc9a6d1bd77b29c5be16d1b0 | C:Usersya aliDesktophelma22.exe |
7a6e9a6e87e1e43ad188f18ae42f470f | C:UsersaranDesktopvoavoal.exe |
表 5 OLE嵌入的PE文件路徑
上表是PPT OLE釣魚文檔中嵌入的PE文件路徑,這個路徑就是惡意代碼作者本機的文件路徑,從相關(guān)用戶名“ya hosain”、“ya ali”來看,這些用戶名更多出現(xiàn)在中東地區(qū)。
從下表中可以看出誘餌PPT文檔屬性的標題內(nèi)容也是波斯語。
從上面視頻內(nèi)容和視頻原始文件名中的“badhejiab”,都涉及到中東地區(qū)。
2. 后門程序
美人魚行動中大量樣本都存在如下類似情況,即子體文件中會包含一段字符串,相關(guān)內(nèi)容一般是直接復制于新聞網(wǎng)站的內(nèi)容。相關(guān)字符串在樣本實際執(zhí)行的過程中并沒有具體作用。
下表是其中一個樣本的信息,新聞主要涉及敘利亞相關(guān)問題。
母體文件 | 1a918a850892c2ca5480702c64c3454c |
子體文件 | 6e4e52cf69e37d2d540a431f23d7015a |
文件中字符串 | In his only interview ahead of COP21, the UNs climate summit which opens next Monday, the Prince of Wales suggested that environmental issues may have been one of the root causes of the problems in Syria |
涉及到的新聞鏈接 | http://news.sky.com/story/1592373/charles-syrias-war-linked-to-climate-change |
圖 10相關(guān)新聞頁面截圖
3. 作息時間