1概要

本報告描述了以敘利亞反對派為目標(biāo)，精心策劃的惡意軟件攻擊，攻擊者使用了一系列黑客工具和技術(shù)，針對敘利亞反對派重要人士的電腦和手機系統(tǒng)進(jìn)行滲透攻擊。我們于2015年底由一位敘利亞反對派人士曝料的PPT文件發(fā)現(xiàn)了該網(wǎng)絡(luò)攻擊。在調(diào)查初期，我們發(fā)現(xiàn)了水坑攻擊網(wǎng)站、惡意PPT文件和Andriod惡意程序等明顯針對敘反對派的線索。

自敘爆發(fā)沖突以來，被發(fā)現(xiàn)對敘反對派發(fā)起網(wǎng)絡(luò)攻擊的組織有：以政權(quán)為目的某惡意軟件攻擊組織、Fireeye發(fā)現(xiàn)的敘利亞電子軍、ISIS以及某黎巴嫩組織，為了區(qū)分，我們把該報告中涉及的攻擊組織命名為：Group5(第5類組織)。

Group5與其它攻擊組織不同，使用了未曾發(fā)現(xiàn)的技術(shù)工具，攻擊者熟悉伊朗波斯方言軟件和伊朗主機托管公司，而且攻擊中某些操作似乎發(fā)起于伊朗IP地址。我們確信Group5目前還處于攻擊早期，后續(xù)還可能擴(kuò)大攻擊面。最終分析表明，Group5是針對敘利亞且與伊朗有關(guān)的一個新型網(wǎng)絡(luò)攻擊組織。

2 發(fā)現(xiàn)Group5

2015年10月，Group5針對敘反對派的惡意電子郵件首次被發(fā)現(xiàn)。10月3日，敘利亞反對黨全國委員會(SNC)前副主席Noura Al-Ameer，收到了一封偽裝為某人權(quán)組織的惡意電子郵件，郵件以“Assad Crimes”(阿薩德的罪行)為主題，發(fā)件人為office@assadcrimes[.]info，惡意郵件附件中包含有PPSX的幻燈片文檔。

圖：敘利亞反對黨全國委員會(SNC)前副主席Noura Al-Ameer

惡意郵件

翻譯為：

From: office@assadcrimes[.]infoTo:

Subject: Iran is killing the Pilgrims in Mina

Body: Iran’s Crimes in the Kingdom of Saudi Arabia

包含附件：

Assadcrimes.ppsx

MD5 : 76F8142B4E52C671871B3DF87F10C30C

分析發(fā)現(xiàn)，郵件通過IP 88.198.222[.]163發(fā)送，并且文件釋放的惡意軟件C&C地址也為88.198.222[.]163。

誘餌附件內(nèi)容

Assadcrimes.ppsx文檔中包含很多圖片和阿拉伯文字，并以一系列照片和卡通形象描述當(dāng)前的敏感政治事件，一旦文檔被打開，受害者電腦將會自動下載并執(zhí)行惡意程序。

圖：附件幻燈片截圖

翻譯為：

On 1404 A.H – 1984 A.D Iranian warship attacked Saudi Arabia

On 1404 A.H, two Iranian war planes headed to Jubail industrial city, to bomb and hit critical factories (Petrochemical factory) and by god’s well, the Saudi’s air forces was able to hit one plane, while the other managed to escape.

3 網(wǎng)站assadcrimes[.]info

在郵件發(fā)送地址中，我們注意到了assadcrimes[.] info ，一個由攻擊者操控并被用來執(zhí)行水坑攻擊的網(wǎng)站，網(wǎng)站在首頁位置顯示了標(biāo)題為“ Bashar Assad Crimes”的文章，文章內(nèi)容來源為敘利亞年輕政治犯 Tal al-Mallohi的博客。后來，網(wǎng)站assadcrimes[.] info 一度處于“過期”停用狀態(tài)。

圖：水坑攻擊網(wǎng)站assadcrimes[.] info截圖

Group5通過assadcrimes[.] info網(wǎng)站進(jìn)行的目標(biāo)攻擊和演化：

圖：Group5的目標(biāo)關(guān)系

利用網(wǎng)站傳播的惡意文件

通過監(jiān)測，我們發(fā)現(xiàn)assadcrimes[.] info網(wǎng)站目錄下還存在著一個可被下載的惡意文件assadcrimes.info.ppsx，文件以圖片和卡通形象方式描述敘利亞沖突問題，該文件可能被用于其它方式的社工攻擊。

圖：Assadcrimes.info.ppsx文件截圖

被殺害的兒童

在網(wǎng)站上我們還發(fā)現(xiàn)了一些執(zhí)行惡意軟件下載的HTML頁面，這些頁面在訪問之后會自動下載與“martyred children” (被殺害兒童)相關(guān)的程序alshohadaa alatfal.exe，該程序執(zhí)行后以古塔( Ghouta)化學(xué)襲擊的悲慘圖片為掩蓋達(dá)到感染目標(biāo)電腦目的。

圖：‘alshohadaaalatfal.exe’文件執(zhí)行后截圖

Andriod惡意程序

我們在assadcrimes[.]info網(wǎng)站上還發(fā)現(xiàn)了假冒Adobe Flash Player更新程序的安卓惡意程序，在第4部分我們將詳細(xì)

描述。

adobe_flash_player.apk

MD5: 8EBEB3F91CDA8E985A9C61BEB8CDDE9D

4 Windows惡意程序

Group5使用了一系列惡意軟件，包括利用漏洞的PPT文件和下載惡意軟件的可執(zhí)行程序。

惡意PPT文件

從對Al-Ameer的攻擊中，我們發(fā)現(xiàn)Group5早期使用的ppt惡意文件使用了兩步技術(shù)：1.使用幻燈片動畫和自定義操作嵌入OLE 對象，2.進(jìn)入放映視圖后觸發(fā)CVE-2014-4114漏洞下載并執(zhí)行惡意代碼。(相關(guān)技術(shù)介紹：英文+中文)

Freebuf百科：利用PowerPoint 自定義操作上傳惡意payload

1. 攻擊者創(chuàng)建一個新的 PowerPoint 文檔并插入惡意腳本或可執(zhí)行文件。插入文件會被嵌入為一個 OLE 對象中。

2. 自定義操作設(shè)置為進(jìn)行“上一張”操作并自動觸發(fā)“活動內(nèi)容”來執(zhí)行嵌入的 OLE 對象。

攻擊者使用幻燈片動畫和自定義操作代替宏來觸發(fā)嵌入的 Payload。此外，不同于傳統(tǒng)的使用宏，用戶不需要進(jìn)行操作允許執(zhí)行腳本語言，取而代之是讓用戶確認(rèn)他們想運行 Payload。

圖：利用PPT自定義操作執(zhí)行惡意payload

以Assadcrimes.ppsx為例，文件執(zhí)行之后，下載生成目錄文件%TEMP%\putty.exe(一個.net下載程序)，之后，Payload還將繼續(xù)執(zhí)行下載 http://assadcrimes[.]info/1/dvm.exe ，生成目錄文件 %temp%\dwm.exe，以待后續(xù)入侵。

圖：putty.exe dvm.exe文件下載代碼

文件最終目的是向受害者電腦值入遠(yuǎn)控木馬njRAT或NanoCore RAT。

遠(yuǎn)控木馬

為了規(guī)避殺毒軟件查殺檢測，Group5使用了加密和加殼技術(shù)對植入受害者系統(tǒng)的木馬客戶端進(jìn)行混淆，njRAT和NanoCore RAT功能多樣，包含文件竊取、截屏、獲取密碼和鍵盤記錄、遠(yuǎn)程操控麥克風(fēng)和攝像頭等。

圖：njRAT針對目標(biāo)系統(tǒng)的操作執(zhí)行界面

脫殼：攻擊者對木馬客戶端進(jìn)行了base64的加殼處理

圖：加殼程序中發(fā)現(xiàn)的base64字符串

加密：木馬客戶端運行時，在內(nèi)存中被以base64字符串和AES方式進(jìn)行加密，以下為NanoCore RAT客戶端的AES加密程序代碼：

圖：AES加密程序代碼

5 Andriod惡意程序

在網(wǎng)站assadcrimes[.]info子域名andriod.assadcrimes.info下，點擊UPDATE，將會執(zhí)行下載假冒Adobe Flash Player更新程序的安卓惡意程序adobe_flash_player.apk

圖：假冒Adobe Flash Player的adobe_flash_player.apk

該惡意程序 為 DroidJack RAT的一個實例，具備捕獲短信、通訊錄、照片和其它手機資料等功能，另外，還能遠(yuǎn)程隱秘激活攝像頭和麥克風(fēng)。

圖：DroidJack服務(wù)端配置界面

以下為攝像和視頻獲取功能代碼：

圖：攝像和視頻獲取功能代碼

以下為瀏覽受害手機WhatsApp信息功能：

圖：瀏覽受害手機的WhatsApp信息

由于Google Play 服務(wù)在敘利亞地區(qū)不可用，分享APK程序是很常見的事，所以我們猜想，這種利用手機木馬進(jìn)行目標(biāo)滲透的方式可能造成的危害更大。

6 調(diào)查歸因

Group5攻擊產(chǎn)生了一系列線索，包括攻擊起源、身份、利用工具、C&C地址等，值得注意的是，Group5攻擊中使用了一款伊朗語定制版的混淆工具。

網(wǎng)站線索：無保護(hù)的日志文件

攻擊者操作運行的網(wǎng)站 assadcrimes[.]info存在一些公開可訪問的關(guān)鍵目錄，其中包括了可能包含攻擊起源等重要信息的網(wǎng)站日志文件。

從日志文件確定攻擊者 網(wǎng)站日志文件反映了一些受害者線索，同時也可以看出Group5對網(wǎng)站的開發(fā)信息。從2015年10月早期的日志中，我們發(fā)現(xiàn)攻擊者以伊朗IP段經(jīng)常訪問網(wǎng)站進(jìn)行部署。

圖：2015年10月網(wǎng)站訪問日志文件

日志文件分析發(fā)現(xiàn)，網(wǎng)站托管于一家伊朗主機服務(wù)商hostnegar[.]com，攻擊者第一條訪問記錄來自注冊于伊朗移動電話網(wǎng)絡(luò)公司Rightel Communication的IP 37.137.131[.]70。以下為相關(guān)地址信息：

通過對網(wǎng)站訪問記錄中的初始UserAgent 字符串和ip地址分析，我們發(fā)現(xiàn)攻擊者用iPhone以伊朗IP地址或VPN訪問網(wǎng)站。

圖：攻擊者利用手機通過伊朗IP和VPN訪問網(wǎng)站

另外，攻擊者還曾直接以惡意程序C&C地址88.198.222[.]163訪問過網(wǎng)站：

圖：攻擊者利用VPN通過C2地址訪問網(wǎng)站

以上信息表明Group5和伊朗之間的一些關(guān)系，同時也顯示了攻擊者想極力隱藏真實IP的目的。我們曾嘗試通過該日志文件確定攻擊受害者，但最終發(fā)現(xiàn)其準(zhǔn)確度并不高。

軟件線索：與伊朗相關(guān)的惡意軟件

PAC Crypt 通過對njRAT 和NanoCore RAT加殼客戶端的編譯分析，我們發(fā)現(xiàn)了加殼程序PAC Crypt和其中的調(diào)試文件路徑：

c:\users\mr.tekide\documents\visual studio 2013\projects\paccryptnano core dehgani -vds\windowsapplication2\obj\debug\launch manager.pdb

以上信息表明：名為mr.tekide的人開發(fā)或利用了加殼程序PAC Crypt。

Mr. Tekide Mr. Tekide是一位伊朗惡意軟件開發(fā)者的化名，同時也是伊朗黑客論壇和工具交易網(wǎng)站http://crypter[.]ir管理員，值得注意的是，http://crypter[.]ir網(wǎng)站提供各種黑客工具和服務(wù)，包括其中就包括上述提到的PAC Crypt。

圖：crypter[.]ir提供的PAC Crypt服務(wù)

另外，Mr. Tekide還是伊朗黑客論壇Ashiyane Digital Security Team(ADSL)版主，在ADSL對其它網(wǎng)站的攻擊篡改網(wǎng)頁中可以發(fā)現(xiàn)Mr. Tekide的名字。

圖：ADSL篡改頁面中出現(xiàn)Mr.Tekide

7 總結(jié)

雖然我們對Group5攻擊事件做了詳細(xì)的技術(shù)分析和溯源調(diào)查，目前我們能確信的是，Group5計劃滲透入侵?jǐn)⒗麃喎磳ε傻耐ㄐ藕碗娔X系統(tǒng)，但是仍然不能證明Group5是由伊朗發(fā)起的網(wǎng)絡(luò)攻擊，所有的證據(jù)只能表明Group5和伊朗高度相關(guān)。鑒于當(dāng)前伊朗對敘利亞的軍事介入，一些間接證據(jù)指向伊朗并不奇怪。近年來，我們圍繞針對敘利亞反對派的網(wǎng)絡(luò)攻擊進(jìn)行研究，發(fā)現(xiàn)了其中一些共同點：參差不齊的技術(shù)復(fù)雜度、良好的社工能力和知名的攻擊目標(biāo)。

目前，考慮到一些深入調(diào)查的不便和限制，我們結(jié)束了對Group5攻擊者的歸因取證分析，希望這篇報告能對其他安全研究者有所幫助。