APT團伙新利用漏洞樣本分析及關聯挖掘

信息安全公益宣傳，信息安全知識啟蒙。

教程列表見微信公眾號底部菜單

APT-C-01組織是一個長期針對國內國防、政府、科技和教育領域的重要機構實施網路間諜攻擊活動的APT團伙，其最早的攻擊活動可以追溯到2007年，團伙擅長對目標實施魚叉攻擊和水坑攻擊，植入修改後的ZXShell、Poison Ivy、XRAT商業木馬，並使用動態域名作為其控制基礎設施。

360威脅情報中心對日常的在野惡意代碼跟蹤流程中發現疑似針對性的APT攻擊樣本，通過對惡意代碼的深入分析，利用威脅情報中心數據平台，確認其與內部長期跟蹤的APT-C-01團伙存在關聯，並且結合威脅情報數據挖掘到了該團伙更多的定向攻擊活動。

木馬分析

Dropper分析

通過結合對此惡意代碼分發域名上的惡意載荷分析，推測其應該使用CVE-2017-8759漏洞文檔來投放第二階段的攻擊載荷，由於目前暫未關聯到實際用於攻擊活動的漏洞文檔文件，結合該團伙過去的攻擊特點，其應該是用於郵件魚叉攻擊。

並且進一步下載惡意的HTA文件，其執行PowerShell指令下載Loader程序，保存為officeupdate.exe並執行。

Loader分析

根據Loader程序中包含的字元串信息，製作者將其命名為SCLoaderByWeb，版本信息為1.0版，從字面意思為從Web獲取的Shellcode Loader程序。其用來下載執行shellcode代碼。

接著判斷文件是否下載成功，如果沒有下載成功會休眠1秒後，然後再次嘗試下載payload：

下載成功後，把下載的文件內容按每個位元組分別和0xac，0x5c，0xdd異或解密(本質上就是直接每個位元組異或0x2d)，如圖：

之後把解密完的shellcode在新創建的線程中執行，如圖：

Shellcode分析

分發域名地址託管的.tmp文件均為逐位元組異或的shellcode，如下圖為從分發域名下載的tinyq1detvghrt.tmp文件，該文件是和0x2d異或加密的數據。

解密後發現是Poison Ivy生成的shellcode，標誌如下：

通過分析測試Poison Ivy木馬生成的shellcode格式與該攻擊載荷中使用的shellcode格式比較，得到每個配置欄位在shellcode中的位置和含義。

其shellcode配置欄位的格式詳細如下：

在分析Poison Ivy中獲取kernel32基址的代碼邏輯時，發現其不兼容Windows 7版本系統，因為在Windows 7下InitializationOrderModule的第2個模塊是KernelBase.dll，所以其獲取的實際是KernelBase的基址。

由於Poison Ivy已經停止更新，所以攻擊團伙為了使shellcode能夠執行在後續版本的Windows系統，其採用了代碼Patch對獲取kernel32基址的代碼做了改進。

其改進方法如下：

在原有獲取kernel32基址代碼前增加跳轉指令跳轉到shellcode尾部，其patch代碼增加在尾部；

patch代碼首先獲取InitializationOrderModule的第2個模塊的基址(WinXP下為kernel32.dll,WIN7為kernelbase.dll)；

然後獲取InitializationOrderModule的第二個模塊的LoadLibraryExA的地址(WinXP下的kernel32.dll和WIN7下的kernelbase.dll都有這個導出函數)

最後通過調用LoadLibraryExA函數獲取kernel32的基址。

攻擊者針對shellcode的patch，使得其可以在不同的Windows系統版本通用。

該shellcode的功能主要是遠控木馬的控制模塊，和C2通信並實現遠程控制。這裡我們在Win7系統下模擬該木馬的上線過程。

對控制域名上託管的其他shellcode文件進行解密，獲得樣本的上線信息統計如下：

關聯分析

通過進一步分析攻擊載荷的回連C&C域名，發現大部分域名都是ChangeIP動態域名，從子域名的命名，攻擊者更喜歡採用和Office，系統更新，163郵箱和招聘網相關的命名關鍵詞。

1.結合360威脅情報平台對C&C域名進行關聯分析。這裡我們對該團伙這次行動中(ding2.exe)使用的C&C域名*****il163.sendsmtp.com進行分析，其當前解析IP為*****.*****.171.209。

2.通過進一步查詢IP歷史映射域名，發現域名pps.*****usic.com對應內部發現的APT-C-01組織歷史使用的域名。

3.通過搜索pps.*****usic.com這個域名，得到關聯樣本。

該樣本為該組織早期的攻擊惡意代碼。

4.查詢該域名歷史解析IP。

5.對域名歷史映射的IP地址***.***.114.161進行查詢，發現*****e165.zyns.com域名，這個域名同樣也是ChangeIP動態域名，並且曾經用於CVE-2017-0199的漏洞文檔。

該漏洞文檔是一個關於十九大的PPT，其最後修改時間為2017年12月12日。根據文檔文件中的元數據，可以推測攻擊者從網上檢索到了「楊建華」製作的學習十八大黨章的PPT文檔，由名字為"steusr"的用戶最後修改該文檔內容製作為誘導文檔。

該漏洞文檔會下載執行一個HTA文件。

總結整體關聯展示如下圖所示：

總結

基於我們對該APT團伙的長期跟蹤，結合本次攻擊Campaign的細節我們對團伙的攻擊戰術技術如下：

攻擊者通過使用動態域名和公開的木馬來隱藏自身更多的標記信息，增加了追溯的難度，並且更加容易與普通的木馬攻擊事件相混淆。但從本次攻擊活動的分析我們也可以發現對於攻擊團伙和其擁有的資源豐富程度，其通常並非擁有無限的控制基礎設施資源，所以當持續積累了足夠的基礎設施相關數據，並結合威脅情報的持續運營，往往可以將看似獨立的事件關聯到一起並確定指向。

靜謐歲月

弘揚傳統文化，傳承中華美德，傳遞正能量。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！