PZCHAO行動：中國鐵虎APT組織強勢回歸

1 簡介

鐵虎（Iron Tiger）APT行動背後的「熊貓使者」APT組織，被懷疑（必須）是天朝的一個黑客組織，他們專門以政府和相關領域的技術部門作為其主要的攻擊目標，並嘗試從這些組織和機構中監視和竊取高價值的數據。關於鐵虎APT行動的第一個報告2010年就發布了。

受害者研究

該惡意軟體的主要攻擊目標是亞洲和美國的政府組織、科技公司、教育和通信企業等。下圖是被攻擊目標的位置和介紹。

2 攻擊鏈

最早的攻擊是從附有惡意VBS文件的垃圾郵件開始的，VBS文件的作用是從分散式伺服器下載惡意payload的下載器。

2.1 惡意軟體分發基礎設施

攻擊背後的威脅單元控制著pzchao.com域名的5個子域名，這些子域名提供不同的功能，比如上傳、下載、RAT相關的通信等。

2.2第一階段payload

一個亞洲地區攔截到的樣本中，含有自解壓的7zip文件，提取後，會向磁碟中寫入兩個批處理腳本up.bat和new.bat，並安裝一個叫做curl.exe的合法應用。

這個payload的針對亞洲的，因為安裝過程中SFX安裝腳本的語言是中文的。惡意batch腳本和downloader工具被釋放進 %systemroot%\temp 文件夾。第一個運行的batch腳本是up.bat，並在RunProgram變數中進行設置。

2.2.1 up.bat

Up.bat腳本位於臨時文件夾中，並有4個作用：

將第二個batch腳本tnew.bat改名為win32shell.bat；

分配系統文件屬性；

修改ACL;

殺掉所有可能影響樣本運行的計劃任務。

這個新的win32shell.bat腳本會加入Adobe Flash Updates的計劃任務中，每隔一天上午三點運行。任務名可以幫助避免被檢測到：

schtasks /create /tn 「Adobe Flash Updaters」 /tr 「%systemroot% empwin32shell.bat down」 /sc daily /mo 2 /st 03:00:00 /ru 「」

2.2.2 new.bat

New.bat腳本是用作其他工具下載的，也可以向C&C伺服器上傳系統信息和一些機密信息。Bat文件保存在%TEMP%文件夾中，文件名為「win32shell.bat」。

2.2.3 上傳伺服器組件up.pzchao

一旦該腳本了解了被感染設備的信息，就會上傳密碼這樣的機密信息。含有密碼的POST請求會發送到另一個服務端腳本/upload864。這些信息的收集每周上午3點進行。

2.3 下載伺服器down.pzchao

比特幣礦機

一階段payload會釋放一些挖掘應用工具，用來進行比特幣挖礦。原來的安裝腳本可以殺掉所有可能影響挖礦工具運行的軟體，這樣就確保了挖礦機可以正常運行。隨後，惡意軟體識別使用的操作的系統並設定對應的比特幣挖坑機到%TEMP% system文件夾。

該腳本會創建一個wmiapsrv.exe服務，該服務運行一個BitcoinMinerPooling應用，wmiapsrv32/64.exe是設定為服務的一個假的應用，該應用會運行實際上是比特幣挖坑機的應用java.exe。比特幣挖礦應用會被重命名為java.exe用每3周用於比特幣挖礦。

密碼竊取器

惡意軟體會應用2個版本的Mimikatz密碼竊取工具（x86和x64），這樣就可以獲取所有目標系統的密碼。Mimikatz來自於自解壓的7zip文件，文件一旦解壓，就會釋放4個不同的文件，分別是mimikatz.exe, mimilib.dll, mimidrv.sys和pass.bat。

Batch腳本會執行mimikatz庫，將獲取的機密信息上傳到C&C伺服器。

遠程訪問木馬組件 (Gh0st RAT)

最後一個下載的payload是經過修改的Gh0st RAT樣本，作用是後門植入。該的木馬的行為與之前檢測到的Iron Tiger（鐵虎）APT組織的攻擊行為相似。

可執行文件代表了這個dropper，這是一個含有安裝GH0st RAT伺服器所需的所有代碼的Windows應用。解密後釋放到系統中的二進位文件與之前與C&C伺服器通信的文件的作用是一樣的，要等待下一步的指令。

當該服務成功安裝到目標主機後，該系統就完全被黑了，會有一些包含遠程終端在內的間諜軟體的能力，下圖是一個主要功能的列表。

Gh0st架構利用了在Windows系統上創建Windows資源的能力，這也是惡意軟體開發人員常用的一種機制。對不同的目標，攻擊者很容易就可以創建一些傳統的二進位文件。在主要通信模塊安裝完成以前，dropper會在感染的系統上進行一些動作：

首先，調用GetInputState()來驗證在之後的調用線程隊列中有沒有滑鼠或鍵盤消息；然後調用PostThreadMessage()和GetMessage()。但是，這些調用的函數返回的值都是不經過處理的，這也是Gh0st RAT所特有的。

然後，惡意軟體會在二進位文件中查找字元串定界符 SSSSSSS ，返回指向加密配置字元串開頭的字元串指針。定界符指向C2 hostname:port對的開頭。然後惡意軟體會再查找另外一個字元串定界符AAAAAAA。此時，標記字元串指向加密伺服器服務名的開頭。如果沒有找到配置字元串，應用就會推出。之前定位的加密配置會用DES解密。通過檢查系統中的mutex，能夠確保同時只有一個程序的實例在給定的時刻運行。

隨後，payload會通過在「HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun」註冊表中加入可執行文件的路徑，這可以使軟體在系統開啟時自動執行。

同時會在以下註冊表中註冊為系統服務：

「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWsfbpy sahblabg」「HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMaobeu xqiyes」「HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWsfbpy sahblabgReleiceName = ?Oracle.exe」」「HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWsfbpy sahblabg ReleiceName = ?Maobeu xqiyes」」「HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMaobeu xqiyesConnectGroup = ?」」「HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMaobeu xqiyesMarkTime = ?2017-10-19 17:21」

接下來dropper安裝RAT伺服器的步驟是包含在try-except區塊中，這樣一些潛在的錯誤就會終止應用的執行。就在伺服器二進位代碼釋放到系統的時候，用於進程清理的jingtisanmenxiachuanxiao.vbs腳本也會寫入當前文件夾。

伺服器的二進位文件是從自己的資源區中提取的，並以已安裝的服務Oracle.exe的名字寫入WindowsSystem32文件夾中。

最後，應用會調用StartService()來執行第二個組件，也就是說RAT伺服器此時就開始控制被黑的機器了。惡意應用會與C&C伺服器通信，並等待返回的指令。等到與C&C控制器檢查後，RAT伺服器會查找含有C&C信息的加密的配置緩存， 可以用硬編碼的字元串「mother360」中獲取AES密鑰進行解密。

解密後的C&C伺服器信息：

然後設置窗口站，首先調用GetProcessWindowStation()保存當前狀態，然後調用OpenWindowStation()來創建一個名為winsta0的新狀態。這是因為kernel對象是安全的，而用戶對象和GDI對象不是。因此，為了保證額外的安全，用戶介面對象是用窗口站和桌面來管理的，因為這些窗口站和桌面本身就是安全的對象。通過檢查全局表裡是否是null來驗證服務的實例是否已經運行了。

然後，RAT調用一個用解密的配置數據來填充lpszHost, dwPort, lpszProxyHost, dwProxyPort, lpszProxyUser, lpszProxyPass域的函數。如果代碼變數存在並不為空，用於連接C&C RAT客戶端的socket用PROXY_SOCKS配置來進行配置。為了知道伺服器連接到客戶端的事件，需要保存GetTickCount()返回的值。第一次登記到客戶端含有登錄token，token是在封裝在LOGINDATA結構中的數據之後的。攻擊者用最初的信息作為系統的指紋信息，這在決定被感染目標和在網路中的角色時極其重要。

攻擊者接收到指紋包後，就解密和分析。在客戶端介面的連接選項卡中會加入新的一行，伺服器主機的詳細情況也會寫入對應的域。連接選項卡網路狀態欄中的活動連接數加1。

余客戶端的握手完成後，RAT會等待命令。當C2客戶端的用戶需要從被黑的殭屍主機在伺服器上執行動作時，就會創建和發送一個含有特殊功能的命令包。惡意軟體採用的另一個避免被檢測到的技術是把C2地址改為localhost。

Gh0st RAT C&C客戶端和被黑主機（伺服器）之間的網路通信是用從Mother360中獲取的字元串進行AES加密的和解密的。兩個終端之間傳遞的包含有兩個域，但是缺乏明文頭，這也是Gh0st RAT之前版本中特有的：

1. 4位元組的整數，包含整個包的大小；

2. 大小可變的包，包含AES加密的包packet。

客戶端會發送一些小的請求（含有命令的包），伺服器會用請求的數據響應這些命令。這另個短點之間的通信使用的是預定義的命令。除了代表大小和包payload的第1個位元組的4位元組整數外，還有3種類型的代碼：命令，token和modes。在源碼中，這些代碼是在頭文件中枚舉的。

這些能力毫無疑問是該工具最初的目的，也是用來進入被黑設備的。這允許遠程攻擊者完全控制系統，對受害者進行監測並輕易地泄露機密信息。

3 惡意軟體基礎設施

3.1. HTTP文件伺服器

攻擊者還會重置下載次數和IP日誌。從中可以看出下載次數最多的惡意組件是SFX安裝包和Gh0st RAT後門。統計數據顯示，下載次數是持續增長的：

3.1.1. 後門

3.1.2. YPrat

下載伺服器還含有一個用Python編寫的RAT，這個伺服器用來監聽同一IP地址444埠上的通信連接。分析發現該伺服器還有其他的功能，比如在遠程受感染的系統上下載和上傳文件，還可以進行信息收集。因為下載量很小，所以研究人員推測payload目前還在測試中。

3.1.3 埠掃描工具

伺服器上的另一種工具是埠掃描應用，還有IP日誌集傳遞給掃描工具。這些IP日誌的地址主要位於亞洲，在感染之前，攻擊者首先會尋找可以在目標系統上利用的漏洞。

4 結論

這些工具都是經過實戰攻擊測試的，也更加適合未來的攻擊。攻擊者也會對這些工具進行修改，使之更加適用於某個特定的攻擊目標，比如政府、教育機構、電信行業等待。正如文章中描述的，RAT的監控能力和擴展的情報收集能力會轉變成一種極其強有力的工具，而且很難識別。

參考文獻：

1. https://cyberwarzone.com/operation-iron-tiger-valuable-information-stolen-from-governments-and-corporates/

2. http://www.freebuf.com/news/76015.html

3. https://labs.bitdefender.com/2018/02/operation-pzchao-a-possible-return-of-the-iron-tiger-apt/

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！