釣魚引發的APT攻擊回溯 | C&C伺服器位於韓國，whois註冊卻在中國上海

一位日本的安全研究者MalwareMustDie發現一種基於Poison Ivy的新型APT攻擊，經過他的逆向分析，發現了一些關於攻擊廠商的有趣發現。

本文將介紹他是如何發現這種隱匿極深的APT攻擊回溯之旅。

一次普通的釣魚攻擊？

和所有APT攻擊的開頭一樣，一個受感染的Word文檔，一次看似普通的釣魚攻擊。

但是如果我們注意到MalwareMustDie長文分析的開頭，可以發現一些普通郵件的圖片，雖然還是那種普通、boring的受感染的Word文檔，毫無新意。

奇怪的是，可疑文檔似乎是由一個名為

Geocities的

圖1. 「powershell.exe」 命令編碼得到的VBScript

通常VBScript的「createbject」指令都會跟在 Powershell 命令「powershell.exe -w hidden -ip bypass -Enc with long encoded coded」之後

Poweshell? 嵌入命令? 「繞過」 的目的是什麼?

經過MalwarareMustDie的調查，那些不那麼「普通、無聊」的東西從陰影中浮現出來，隨著分析的步步深入，他發現了更加有趣且驚人的東西。

下圖是base 64手動解碼的代碼示例，其揭示了另一嵌套的base 64編碼代碼。 在圖片中表示的功能是自我解釋。顯而易見，那台受感染的計算機已經「吃下」什麼不好的東西。

圖2. VBScript base 64解碼代碼

在多層循環解碼base 64編碼後，結果很明顯的：附加於Word附件文檔，隱藏在VBScript文件中，存在一個長且危險的腳本，隨時可由Powershell執行。但MalwareMustDie表示「我已經發現它的源代碼」。

複製、粘貼 Powersploit/CodeExecution PoC

運行Powershell命令的VBScript存在一處代碼，該代碼就是基於臭名昭著的惡意軟體Powershell PowerSploit/CodeExecution PoC代碼的「copy pasta」，你可以在GitHub上可以得到一模一樣的文件和.ps1擴展。

這裡它是文檔以及利用方式的網頁：

圖3.GitHub頁面上的PowerSploit / CodeExecution

漏洞的文檔說明：「將shellcode插入到您選擇的進程ID中或在運行PowerShell進程中」。

MalwareMustDie表示：

這也就是我為什麼反對公眾在GitHub上放出這種開源代碼。GitHub上到處都是這種開源項目。

Shellcode 分析

但是讓我們來看看Shellcode，因為現在最重要的任務是對它進行逆向分析，並且明白它的使用的主要目的是什麼，為什麼注入計算機受害者，採用哪些技術和機制來做什麼，連接在哪裡？

同樣Shellcode使用的是base 64編碼。當解碼時，它如下圖所示：

圖4.Shellcode.

逆向之旅似乎還有很長的路要走，我們再一次為MalwareMustDie的技巧所驚嘆，他成功地編譯了shellcode並獲得了一個可安全執行的文件。

MalwareMustDie在博客中寫道：

將shellcode數據保存在彙編文件的.text部分和入口點（EP）中將在編譯過程中由編譯器「調整」，這樣你可以將此shellcode作為二進位PE文件執行。 此方法在分析shellcode時非常有用。 通過Unix環境，你可以創建這種PE，而不會有感染的風險。

下圖就是他採用的過程：

圖5. 操作 shellcode 來創建一個 .exe 文件

我們在惡意軟體

運行時

最後，我們可以

確定，它就是

Poison Ivy計劃

運行Shellcode有可能觀察到它使用了大量涉及DLL的系統調用，這些DLL主要與系統的內核相關：在Shellcode的trace-assemby的第一個階段提供了一個名為userint.exe的假進程，用於注入惡意代碼。

這裡來自MalwareMustDie博客的圖片：

圖6. 偽造的進程 userinit.exe 創建後被注入

他說，某些DLL的使用的組合「也顯示了威脅的典型模式。 此外，MUTEX名稱中標註的日期大多由Poison Ivy使用。

然後其他操作由惡意軟體執行：

創建一個名為「Plug1.dat」的文件

為之後的工作創建一個套接字

通過 「HKEY_LOCAL_MACHINESYSTEMSetup」查詢PC信息

毫無疑問就是Poison Ivy

那麼問題來了C&C伺服器在何地？

我來仔細觀察一下WS2_32.DLL文件，可以看到一些有意思的東西

socket(),

gethostbyname()

connect().

由C&C伺服器回傳的主機名和IP地址可知，該伺服器位於

韓國首爾

圖7.C&C伺服器位於韓國

Network/BGP Information→「61.97.243.15||4766 | 61.97.243.0/24 | KIXS-AS | KR | kisa.or.kr | KRNIC」

但是我們發現主機名是web.outlooksysm.net，這裡可以用WHOIS來獲得額外的信息，知道誰是幕後主使，結果該公司來自上海。

圖8.對 Poison Ivy 惡意軟體的C&C伺服器WHOIS

結論

這個APT攻擊使用了多種變體，它先是欺騙受害者下載一個惡意VBScript，讓這個VBScript去下載一個.doc文件並打開它。 完成這些操作之後，它會悄悄的地執行PowerShell（PowerSploit）攻擊，使得受害者在運行內存中的進程時感染Poison Ivy。

這個實例很好地展示了這種攻擊的潛在危險，攻擊者在一次APT感染中使用修改過的PowerSploit PoC代碼，這種做法很獨特。

Poison IVY惡意軟體是在PowerSploit使用shellcode創建或準備的惡意進程userinit.exe的過程中注入的。這種不感染文件的攻擊有效地避免了多個編碼和包裝檢測的已知簽名，並且100％避免了原始攻擊者的工作區域被發現的可能性。 這將使目前的APT活動有更好的機會成功由類似有效載荷造成的其他情況。

最近的APT攻擊很有可能也是利用類似的payload在其它地方成功施展攻擊。

為了避免更多的受害者，我真的希望Geocities.jp上的vbiayay1帳戶儘快將惡意軟體刪除。

希望我的分析能夠幫助調查和打擊這種威脅。

*參考來源：

0day.jp

，

securityaffairs

，FB小編bimeover編譯，轉載請註明來自Freebuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！