「白象」仿冒優酷網站，借中印邊境話題再次發起釣魚攻擊

「白象」，又名Patchwork、Dropping Elephant，自2015年12月開始活躍，長期針對中國軍隊、政府等部門開展滲透攻擊。

本文作者：李勤

雷鋒網消息，9月29日，雷鋒網從微步在線獲取了一份關於「白象」團伙借中印邊境問題再次發起攻擊的事件分析報告。該報告稱，自該團伙在 2016 年 7 月被Cymmetria、安天、Forcepoint、卡巴斯基、賽門鐵克等多家安全公司曝光後，該團伙的釣魚網站於 8 月 29 日再次上線，並以「中印邊境」為題誘導訪問者下載惡意程序植入後門，繼續對中國目標發起攻擊。

「白象」，又名Patchwork、Dropping Elephant，自2015年12月開始活躍，長期針對中國軍隊、政府等部門開展滲透攻擊，該團伙主要通過釣魚郵件和仿冒網站傳播木馬，木馬載體通常為軍事、政治相關主題的Doc或PPS文檔，常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。

2017年5月，微步在線通過一份包含漏洞的 Word 文檔發現了「白象」團伙針對中國政府、軍事相關部門的攻擊活動，挖掘出其註冊的大量可疑域名和木馬樣本。有趣的是，就在印度軍隊於8月28日自洞朗撤軍，中印雙方結束了兩個多月的對峙後，該團伙的釣魚網站於 8 月 29 日再次上線，並以「中印邊境」為題誘導訪問者下載惡意程序植入後門，繼續對中國目標發起攻擊。

以下為微步在線提供給雷鋒網的關於此次攻擊的詳情分析：

釣魚網站於2017年8月29日上線，以「中印邊境」為話題構造了仿冒優酷的釣魚頁面，誘導訪問者下載後門程序。

木馬使用C++編寫，執行後會再調用一段加密後的.Net代碼，並偽裝成某公司的安全防護軟體，具備較強的隱蔽性和對抗性。

木馬啟動後能夠接受遠程控制伺服器任意指令，完全控制受害主機，遠控伺服器目前仍可正常通信，說明攻擊活動尚在進行中。

本次捕獲的釣魚頁面（www.qzonecn.com）於 2017 年 8 月 29 日上線，系仿冒優酷網的一條新聞視頻，標題為「中國和阿三的邊界問題在洞朗」（未發現優酷網上有類似名稱的視頻），視頻位置顯示「您還沒有安裝flash播放器，請點擊這裡安裝」。點擊該鏈接後，會打開adobe公司官網，卻從另一惡意站點（www.bdarmy.news）下載名為「Adobeflashplayer26_install_ver9.6.0.exe」的可執行程序，製造該程序來自Adobe官網的假象，具備較強迷惑性。如下圖所示:

查看網站源碼發現，釣魚鏈接會先打開Flash Player 官方下載頁面，再從www.bdarmy.news下載仿冒的「安裝包」程序，以混淆視聽。

查看該程序的屬性發現，其詳細信息包含「qiho」、「360」、「Defence」等干擾字元，而原始文件名為「RAT.exe」。

「RAT.exe」在微步在線分析平台的檢測結果如下：

樣本分析

對「安裝包」程序分析發現，該樣本的主要執行流程如下圖所示：

樣本的具體行為如下：

1.樣本執行後會釋放另外兩個文件，分別為Microsoft.Win32.TaskScheduler.dll和360-services.exe。

2.Microsoft.Win32.TaskScheduler.dll會在Windows系統中添加一個名為Smart_scan的計劃任務，取「智能掃描」之義，意在混淆視聽。該任務用來每隔15分鐘執行一次惡意樣本360-services.exe。

3.360-services.exe仿冒了某安全衛士的相關進程，是真正執行惡意行為的樣本。該樣本在分析平台的檢測結果為：

4. 在釋放這兩個文件後，樣本將使用Windows自帶的命令行工具CMD運行如下命令，使用ping命令嘗試連接1.1.1.1，並刪除掉釋放樣本自身和Microsoft.Win32.TaskScheduler.dll文件。

接下來，真正的惡意樣本360-services.exe開始運行。

5.經過分析發現，360-services.exe實際上是一個基於.NET平台的PE文件的外殼，該外殼的名稱為.NET Reactor，版本號為4.5-4.7，此保護殼具有較強的反調試和混淆代碼等功能。

6. 在對360-services.exe進行脫殼後，我們得到了其中的.NET PE文件，其模塊名稱為「Client.exe」，且該可執行文件的代碼已被高強度混淆。

7. 使用反混淆技術對該PE文件進行處理，成功還原出大部分代碼。

8. 樣本將通過FindResource函數檢查當前文件中是否存在「__」資源，若不存在，則說明當前.NET PE並不是由360-services.exe運行起來的，而是被人工剝離出來獨立運行的，因此樣本會將此情況視為自身正在被分析，則直接退出程序，不執行任何惡意行為。

9. 載入PE文件中的第3個資源文件的位元組碼，並使用硬編碼的方式建立其他若干數組。將這些數組進行一系列的轉換及計算，最終解密得到要運行的位元組碼，並寫入內存。

10. 最終開啟後門，連接C&C伺服器，並等待伺服器回復指令。其中C&C地址為：93.115.94.202，埠號為23558。

關聯分析

研究員對釣魚網站域名檢索發現，其目前指向的IP地址（94.185.82.157）上還存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含「cn」、「pla」、「army」等明顯針對中國的可疑域名，且前文分析的惡意樣本就存放在www.bdarmy.news域名下，因此基本可以斷定相關基礎設施均為「白象」團伙所有。

安全研究人員分析認為，此次攻擊事件出現於印度自洞朗撤軍後，以中印邊境問題為誘餌，且涉及的樣本和域名含有針對中國的元素，符合「白象」團伙的攻擊特點和動機。

雷鋒網原創文章，未經授權禁止轉載。網站轉載請至雷鋒網官網申請。但歡迎討論~

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！