Tick組織通過破壞USB驅動來攻擊被隔離的系統

Tick是一個主要針對日本和韓國的網路間諜活動組織，該組織自2012年被發現以來，進行了多次攻擊活動，如Minzen，Datper，Nioupale（又名Daserf）和HomamDownloader。

最近，Palo Alto Networks Unit 42發現，Tick組織針對韓國防務公司開發了一種特定類型的USB驅動攻擊方式，這些USB驅動器及其管理系統中的各種功能，都是針對韓國的安全規則設定的。

破壞USB驅動是一種不常見的攻擊技術，該技術可能是專門為了擴展到無法連接的基礎氣隙系統（air gapped）系統而開發的。另外，Palo Alto Networks Unit 42的研究表明，這些攻擊中使用的惡意軟體只會嘗試感染運行Microsoft Windows XP或Windows Server 2003的系統。儘管惡意軟體似乎僅針對新版Windows軟體創建，但這似乎表明攻擊者有意識地針那些沒有互聯網連接系統的舊版Windows。在許多國家，政府，軍隊和國防承包商以及其他安全行業都採用了氣隙系統，氣隙系統是指，將電腦與互聯網以及任何連接到互聯網上的電腦進行隔離。

截至目前，研究人員還沒有發現任何關於這次攻擊的公開報告，因此他們懷疑Tick組織多年前曾利用過本報告中描述的惡意軟體進行攻擊。但根據收集的數據，研究人員不認為這種惡意軟體屬於任何攻擊活動。

雖然分析並不完整，但根據迄今為止的研究，研究人員可以勾勒出以下假設的攻擊情景：

1.Tick組織會以某種方式破壞安全類型的USB驅動器，並將惡意文件載入到數量未知的文件上，這些USB驅動器應該被韓國ITSCC認證為安全。

2.Tick組織創建了一個特定的惡意軟體，研究人員稱之為SymonLoader，它以某種方式在舊系統上運行，並持續查找這些特定的USB驅動器。

3.SymonLoader專門針對Windows XP和Windows Server 2003系統。

4.如果SymonLoader檢測到存在特定類型的安全USB驅動器，它將嘗試使用直接訪問文件系統的API載入未知惡意文件。

在下面的研究中，研究人員會圍繞SymonLoader進行分析。由於研究人員沒有發現受損的USB驅動器或未知的惡意文件，因此他們也無法確定這些USB驅動器是如何受到攻擊的。具體而言，他們並不知道在製造這些設備的供應鏈中是否成功實現了攻擊。

Tick偽裝成合法軟體

研究人員猜測感染過程可能如下圖所示：

首先，攻擊者偽裝成合法軟體來誘騙用戶安裝載入程序，這是Tick開發的一種名為「SymonLoader」的新工具。

載入程序在執行時開始監控受感染計算機上的存儲設備的更改情況，如果SymonLoader檢測到目標類型的安全USB驅動器，它將嘗試通過對應於安全USB的設備驅動程序訪問存儲器，並檢查驅動器信息欄位中特定於某種類型安全USB的字元串。然後，通過訪問USB上存儲器的預定義位置，並提取未知的PE文件。

正如去年7月的一篇文章指出的那樣，Tick組織在一個合法程序中嵌入了名為HomamDownloader的惡意軟體。攻擊者隨後將被感染的合法應用程序作為釣魚郵件的附件，攻擊開始時，合法應用程序會將HomamDownloader的安全痕迹刪除，並安裝合法程序進行掩蓋。收件人可能不知道這是惡意軟體。

在對這些攻擊的研究中，研究人員發現自去年7月發布那篇分析以來，有很多的合法韓語軟體被攻擊。與2017年7月審查樣本類似，這些新的木馬程序合法程序也會如上所示運行HomamDownloader，這也正如研究人員在2017年7月的研究中發現的那樣，HomamDownloader可以通過遠程C2伺服器安裝其他惡意文件，本文是以pre.englandprevail[.]com為例進行說明。

被攻擊的韓語軟體

在調查中，研究人員在2018年1月21日發現了一個有趣的樣本。它與上面列出的樣本類似，此樣本是一個被攻擊的合法程序版本，當惡意程序安裝完成後，會刪除安裝程序。在本文，研究人員是以一個被攻擊的日語圍棋遊戲進行說明的。不像2017年7月所發現到的那樣，攻擊者沒有安裝HomamDownloader，而是安裝了一個名為SymonLoader的新載入程序。

SymonLoader可以從特定類型的安全USB驅動器中提取隱藏的可執行文件，並在被攻擊的系統上執行該文件。不幸的是，研究人員並找到沒有這個文件的樣本。

被注入惡意程序的日語圍棋遊戲

儘管與以前的樣本有所不同，但研究人員認為該樣本還是與Tick組織相關，因為被注入惡意程序的日語圍棋遊戲的shellcode與前面介紹的被攻擊的韓語程序中的shellcode完全相同。此外，SymonLoader與HomamDownloader共享了代碼。這證明，Tick組織已經在逐步地升級他們的攻擊工具。因此，代碼重用是不可避免的。

SymonLoader和HomamDownloader共享的代碼

自認為安全的USB數據轉移也不安全

SymonLoader會首先檢查目標主機的操作系統版本，如果系統高於Windows XP或Windows Server 2003，它將停止工作。根據PE標頭中的時間戳，惡意軟體是於2012年9月26日創建的。如果未修改timedate值，在Windows 7和Windows Server 2008系統下，惡意軟體都不可工作。

在檢查了操作系統版本後，SymonLoader會創建一個名為「設備監控器」的隱藏窗口，該窗口開始監控受感染系統上的存儲設備的改變情況。當連接了可移動驅動器時，惡意軟體將檢查驅動器型號和驅動器類型。如果驅動器型號不是A或B，並且驅動器類型不是CDROM，則惡意軟體會調用CreateFile API並獲取存儲設備的句柄。通過排除驅動器A和B（通常用於軟盤驅動器）和CDROM驅動器類型，該惡意軟體的攻擊目標似乎是可移動USB驅動器。

接下來，惡意軟體會調用DeviceIoControl()函數，其自定義控制代碼為0xE2000010。控制代碼由四種不同類型的值組成：DeviceType，Function，Access和Method。在本例中，DeviceType的值為0xE200，計算結果為(0x0E2000010 & 0xffff0000)>>0x10。據微軟稱，這個特定的DeviceType值是專為第三方供應商制定的。為了能正常工作，第三方驅動程序需要在惡意軟體使用自定義控制代碼0xE2000010調用DeviceIoControl()之前，就出現在被入侵的系統中。但第三方驅動程序都是哪些呢？下一個函數會有一個線索。

具有自定義控制代碼的DeviceIoControl

SymonLoader通過使用IOCTL_SCSI_PASS_THROUGH參數的SCSI（小型計算機系統介面）查詢命令獲取設備信息，並通過搜索供應商中的特定字元串或查詢數據上的產品標識來確定它是否是目標驅動器。研究人員對這些搜索中使用的字元串進行了研究，結果顯示，韓國國防工業的一家公司的名字與字元串匹配。該公司專門開發軍事、警察、政府機構和公共機構使用的信息和通信安全設備，該公司曾在媒體上宣布他們製造的安全USB存儲設備經過認證，完全滿足韓國IT安全認證中心（ITSCC）制定的安全要求。在韓國，某些組織必須遵循「USB存儲介質指南」，並且只使用通過政府機構審核的安全設備。例如，韓國統一部的指導方針在第4節第1項中就對USB存儲器和管理系統程序做了說明。

USB存儲器的介紹

上面的內容是：

根據《USB存儲器等輔助存儲介質安全管理指南》，統一部安全官員應要求國家情報局對使用的USB存儲器的安全性進行驗證。

研究人員在公共樣本庫的安全USB驅動器的安裝程序中找到了有問題的第三方設備驅動程序，並確認它支持自定義控制代碼0xE2000010。該驅動程序為應用程序提供了一些功能，包括訪問相應的安全USB volume，研究人員認為這一證據表明，惡意軟體只會嘗試攻擊特定公司生產的安全USB產品。

載入隱藏模塊

如果SymonLoader發現它在Windows XP或Windows Server 2003系統上，並發現新連接的設備是由該公司製造的USB驅動器，則它將從USB中提取未知的可執行文件。雖然研究人員沒有這個文件的樣本，但他們可以通過分析SymonLoader和第三方驅動程序來收集有關它的信息。攻擊者會將未知的可執行文件加密並提前將其隱藏在安全USB存儲器的末尾部分。這些隱藏的數據不能通過邏輯文件操作API訪問，比如ReadFile()，而是要通過SymonLoader使用邏輯區塊定址（Logical Block Addressing ，LBA）和SCSI命令從可移動驅動器上的特定預期位置物理讀取數據。

LBA是一種簡單的線性定址方案，是描述電腦存儲設備上數據所在區塊的通用機制，存儲按固定大小分成區塊，一般每個區塊都有一個從0到N-1的數組，具體取決於USB volume的大小，應用程序可以指定區塊號並通過SCSI命令訪問數據。

最後，SymonLoader將提取的文件保存在本地磁碟的臨時目錄中並開始執行，執行過程如下：

1.通過使用READ CAPACITY(10)命令獲得存儲「N-1」存儲的最終LBA；

2.通過Read(10)命令讀取最後一個塊「N-3」並將其解密；

3.從解密的數據中，獲取主模塊所在的LBA「X」；

4.通過READ(10)命令從LBA「X」載入數據到「N-4」，並對其進行解密；

5.將解密的文件保存為％Temp％ [random characters] .tmp並執行它；

6.通過SAVE(10)命令在LBA「N-2」上寫入被入侵系統的主機名和本地時間；

下圖顯示從邏輯區塊定址的角度，所看到的惡意存儲的數據布局；

總結

Tick組織最開始使用偽裝的合法應用程序誘騙受害者安裝HomamDownloader，不過在本文的研究中，研究人員發現了一個未知的載入器惡意軟體-SymonLoader，具體推測，HomamDownloader很可能是在多年前的攻擊中使用的。與SymonLoader相比，HomamLoader需要連接到其C2伺服器才能下載其他惡意有效載荷，而SymonLoader則會在插入受損系統時嘗試從特定類型的安全USB驅動器中提取並安裝未知隱藏有效載荷。這種技術很少見，而且在野外的其他攻擊中幾乎沒有報道。

雖然研究人員還沒有截獲這樣的樣本，但他們已根據足夠多的信息來確定它很可能是惡意的，且會破壞USB驅動載入惡意代碼攻擊隔離的系統。出於安全原因，一些行業或組織只會使用被隔離的系統。另外，由於被隔離的系統經常使用過時的操作系統版本，因此當用戶進行數據轉移時，只能依賴物理存儲設備（尤其是USB驅動器），本文中討論的SymonLoader和安全USB驅動器就是這種情況。

緩解措施

1.本文討論的所有樣本都已被WildFire沙箱平台歸類為惡意程序；

2.所有確定的域名都被歸類為惡意域名；

3.AutoFocus用戶可以使用Tick活動標籤，SymonLoader和HomamDownloader惡意軟體標籤來跟蹤本報告中描述的惡意軟體；

IoCs

SymonLoader

格式錯誤的合法軟體的SHA256

SysmonLoader SHA256

Mutex

SysMonitor_3A2DCB47

文件路徑

%ProgramFiles%Windows NTAccessoriesMicrosoftmsxml.exe

%UserProfile%ApplicationsMicrosoftmsxml.exe

註冊表項

HKLMSoftwareMicrosofWindowsCurrentVersion
un」xml」 = %ProgramFiles%Windows NTAccessoriesMicrosoftmsxml.exe

HKCUSoftwareMicrosofWindowsCurrentVersion
un」xml」 = %UserProfile%ApplicationsMicrosoftmsxml.exe

HomamDownloader

被攻擊的合法軟體的SHA256

b1bb1d5f178b064eb1d7c9cc7cadcf8b3959a940c14cee457ce3aba5795660aa

3227d1e39fc3bc842245ccdb16eeaadad3bcd298e811573b2e68ef2a7077f6f6

33665d93ab2a0262551c61ec9a3adca2c2b8dfea34e6f3f723274d88890f6ceb

HomamDownloader SHA256

ee8d025c6fea5d9177e161dbcedb98e871baceae33b7a4a12e9f73ab62bb0e38

f817c9826089b49d251b8a09a0e9bf9b4b468c6e2586af60e50afe48602f0bec

HomamDownloader的C2域

pre.englandprevail[.]com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！