8827太阳集团ADLab | SWEED黑客组织攻击活动分析汇报

颁布功夫 2020-07-03

一、概述

近期，，，，，，，，8827太阳集团ADLab接连捕获到大量针对全球造作、运输、能源等行业及部门医疗机构提议的鱼叉式垂钓邮件定向攻击。。。。。。。从邮件的分析了局来看，，，，，，，，受害者大多遍布于美国、加拿大、德国、中国、英国、法国、西班牙等国度和地域。。。。。。。攻击者以“装船通知单”、“装箱交货价单”、“垂危运输文件”等主题邮件作为钓饵向攻击指标植入信息窃密木马（Agent Tesla、Formbook、Lokibot）和远程节造法式（NanoCore、Remcos）。。。。。。。我们通过对网络到的攻击工具进行去沉并做分析，，，，，，，，最终发现这次攻击活动关联着1362个攻击样本。。。。。。。通过同源分析，，，，，，，，我们发现这批样本中有近80%是统一款恶意软件，，，，，，，，对其分析判定后确定这正是近期被大领域传布且极为活跃的新型下载者病毒Guloader。。。。。。。Guloader是一款免杀能力很强的病毒，，，，，，，，近期全球各大厂商均对其进行了预警，，，，，，，，其具备沙盒逃逸、代码混合、反调试、C&C/URL加密和有效载荷加密等多种能力。。。。。。。由于Guloader拥有较强的免杀能力和匹敌机造，，，，，，，，因而受到大量黑客的青睐。。。。。。。本批攻击中，，，，，，，，攻击者就宽泛地利用Guloader下载者病毒结合云服务来分发窃密工具或远程节造法式（RAT）。。。。。。。

我们通过溯源分析确定这次攻击活动来自尼日利亚，，，，，，，，并且关联出了大批量的黑恶意域名（攻击者使用境表的Duck DNS注册动态域名）和IP地址。。。。。。。通过对攻击者使用的网络基础设施，，，，，，，，追踪分析发现这次攻击活动最早可追忆到2020年1月。。。。。。。进一步分析我们发现，，，，，，，，这批攻击者的攻击动机、攻击指标、作业风格与SWEED黑客组织极为类似，，，，，，，，他们还有着类似的攻击习惯，，，，，，，，并使用一样窃密木马法式，，，，，，，，以及同样风格的C&C地址。。。。。。。因而，，，，，，，，我们揣度这批攻击背后应该就是SWEED黑客组织。。。。。。。SWEED是一个来自尼日利亚的以获取经济利益为重要主张的黑客组织，，，，，，，，其最早出现于2017年，，，，，，，，常利用公开披露的缝隙，，，，，，，，借助鱼叉式垂钓邮件来传布木马法式，，，，，，，，如Agent Tesla、Formbook和Lokibot等。。。。。。。该组织曾在早期被披露的攻击活动中，，，，，，，，通过窃取被攻击指标用户和企业敏感信息执行中央人攻击，，，，，，，，诱使财政人员将款子转至指定账户，，，，，，，，是一个典型的网络诳骗团伙。。。。。。。

8827太阳集团ADLab对本次攻击活动的攻击过程和攻击手法进行了具体地分析和溯源，，，，，，，，并对其所使用的新型恶意软件和C&C基础设施进行了深刻钻研。。。。。。。提醒各大企业单元做好安全防备工作，，，，，，，，谨防后续可能出现的攻击。。。。。。。

二、攻击指标和受害者散布

截止到2020年6月，，，，，，，，我们发现攻击者的沉点指标为从事对表业务的中幼型企业，，，，，，，，其主张是通过植入特定的后门以实现对指标推算机进行信息网络和持久监控，，，，，，，，并为接下来的横向移动攻击提供基础。。。。。。。

2.1 地域散布

通过对已知的SWEED组织攻击行动中受害者的国度和地域散布情况进行统计（如图2-1），，，，，，，，我们能够看到该组织提议的攻击活动覆盖了好多国度和地域，，，，，，，，由此猜测，，，，，，，，攻击者在攻击指标地理地位的选择上并没有特定的指向性。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图2-1 受害者国度地域散布图

2.2 行业散布

统计了局显示（如图2-2），，，，，，，，这次SWEED组织在面向全球的攻击中，，，，，，，，运输、造作业和能源行业依然是其沉点针对的指标对象。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图2-2 受害者行业散布图

三、攻击事务分析

本幼节总结了该组织在近些年的攻击活动功夫点、这次行动中使用的攻击手法以及攻击流程。。。。。。。

3.1 攻击活动功夫线

为了对黑客组织在这次攻击活动使用的战术和技术进行全面的相识，，，，，，，，8827太阳集团ADLab钻研人员将目前关联到的该组织近几年的重要活动做了梳理和总结，，，，，，，，并绘造了“SWEED组织”活动功夫轴（如图3-1）。。。。。。。从功夫轴能够看出，，，，，，，，该组织的大部门活动都拥有一致性——借助带有恶意附件的鱼叉式垂钓邮件分发远控木马法式（RAT），，，，，，，，并且行动中使用的木马法式重要是以Agent Tesla为主。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-1 SWEED组织有关活动功夫轴

3.2 攻击手法和特点

SWEED组织在初始环节重要以投递垂钓邮件起头发展攻击，，，，，，，，攻击者在前期对指标用户进行深刻调研，，，，，，，，拔取与指标用户所属行业或领域有关的内容来机关邮件和恶意文档。。。。。。。随后将精心造作的主题如”采购订单”、“垂危运输文件”、”装船通知单“等文档增长在邮件附件中发送给指标用户，，，，，，，，诱使其下载附件，，，，，，，，指标用户一旦打开带有缝隙的恶意文档，，，，，，，，触发缝隙的恶意代码就将会在后盾静默下载和执行恶意软件，，，，，，，，从而窃取指标用户的敏感信息并对其主机进行节造。。。。。。。

3.2.1 鱼叉邮件

8827太阳集团ADLab通过对SWEED组织岁首至今的攻击行动进行监测和关联分析后，，，，，，，，梳理出几十起定向指标的攻击垂钓邮件。。。。。。。部门有关邮件信息见表3-1。。。。。。。

表3-1 部门垂钓邮件案例信息

功夫	邮件主题	发件人	收件人
2020年6月10日	RE : URGENT!!! 2 x 20ft - SHIPPING DOC BL,SI,INV#462345 //\r\n MAERSK KLEVEN V.949E // CLGQOE191781 //	"A.P. Moller – Maersk" nooreply@maersk.com	undisclosed-recipients
2020年6月9日	M/V BCC - Port Agency Appointment	InterTrans OPS” operation@inter-trans.co	jameshall@compasspub.com
2020年6月8日	AGENCY APPOINTMENT/ MV SHOTAN /DISCHARGING/PDA	df15ae634578@6b74fbd36.cn	9ed08@dcc762b7ba3.uk
2020年5月17日	PAYMENT ADVICE-TELEGRAPHIC TRANSFER NO. M88SI1808BU00250	11@c7c7bacd336b.com	undisclosed-recipients
2020年4月29日	Purchase Order /APO-074787648	jane.hsieh@sealking.com.tw	gjchristopher@safeguard-technology.com
2020年4月24日	[ D.H.L ] Document Arrival Notice	royalcrown_travel@hotmail.com	Anna.Chitan@linde.com
2020年4月23日	Shipment Arrival Notice	noreply@dhl.com	andrea.schilling@silloptics.de
2020年4月21日	SF Express：您的包裹更新	no-reply@sendover.net	info@kraeber.de
2020年4月7日	Returned Payment MT103 Swift	shipping@angloeastern.com	undisclosed-recipients
2020年3月24日	RE: New Order (PO Ref: 01002020)	account@dongbuhitek.co.kr	undisclosed-recipients
2020年3月23日	RE: M/V BLUE LOTUS/NOON RPT /VOY BL 03.20/ DD 24th March 2020- APPOINTMENT REQUEST	shahid@erawanaircargo.com	undisclosed-recipients
2020年3月17日	RE : RE : URGENT SHIPPING DOC BL,SI,INV 462345//MAERSK KLEVEN V.949E//CLGQOE191781//	nooreply@maersk.com	unrecognized@sys.redcondor.com
2020年3月17日	VSL: MV FORTUNE TRADER	Oriental Logistics Group Limited cindy@persadanusantara.co.id	undisclosed-recipients
2020年3月16日	New order by sea FO1909009	acct@gandptech.com	undisclosed-recipients
2020年3月16日	P.I, P.O/MT SR YUJIN (SYNTEK)	bright@kj-global.co.kr	undisclosed-recipients
2020年3月9日	RE: Refund of deposit	pffb@comsats.net.pk	undisclosed-recipients
2020年2月21日	WG: New Order	Anja.Sieveritz@hsm.eu	holthausen@einstein.br
2020年2月19日	RE 2 second lot FCL shipment #48897 Ex works price	Zhejiang Meto Electrical Co.	operations@labcosulich.com
2020年2月19日	Request For Quotation (RFQ-008342)	purchase@auronapharma.com	kbrooks@alpinecom.net
2020年2月19日	?? ?? (?? ??) ???? ??	usef3@hotmail.com	monstar1234@knps.or.kr
2020年2月18日	RE: Revised Cargo Receipts/Documents.	ojs@ojshipping.co.kr	undisclosed-recipients

通过度析这些邮箱发件人所属公司的注册信息以及其官网信息，，，，，，，，我们发现无数公司网站均为合法网站，，，，，，，，由此猜测攻击者使用的这些邮箱，，，，，，，，有可能来自被入侵和盗用的合法实体或幼我。。。。。。。固然收件人的信息好多无法看到，，，，，，，，但是从邮件的主题以及正文内容不难看出，，，，，，，，攻击者企牟利用运输货物清单、装箱交货价单、物品到货通知单、海上新订单蹬资件向运输商、造作商及其合作商进行有针对性的攻击活动。。。。。。。下面我们从以上邮件中列举一个做单一分析。。。。。。。

在此案例中，，，，，，，，攻击者试图使用“VSL: MV FORTUNE TRADER”主题假意“MV Fortune Trader”。。。。。。。船舶FORTUNE TRADER是一艘建于1994年的集装箱船，，，，，，，，该船舶的注册国度为韩国。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-2 船舶FORTUNE TRADER有关信息

邮件正文与主题维持一致，，，，，，，，显示该邮件是来自超捷国际物流公司。。。。。。。该公司总部位于台湾台北，，，，，，，，重要提供海运、空运和中港运输等业务。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-3 超捷国际物流公司主页

邮件正文如图3-4：

8827太阳集团(Macau)股份有限公司-Official website

图3-4 邮件正文信息

对邮件信息进行解析后如图 3-5所示，，，，，，，，发件人的邮件地址是印度尼西亚一家名为“PT.INTI PERSADA NUSANTARA”电机设备公司的合法域，，，，，，，，而该邮件现实上是由托管在us10.rumahweb.com上的Roundcube Web邮件服务器发送。。。。。。。这里收件人地址之所以显示为“Undisclosed-Recipient”（导致无法看到收件人信息），，，，，，，，猜测攻击者是在使用Roundcube Webmail/1.3.8软件群发邮件时，，，，，，，，为了不让收件人看到其他接管邮件人的地址，，，，，，，，故将此处设置为Undisclosed-Recipient。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-5 部门邮件头部信息

3.2.2 钓饵文件

通过对该批截获的邮件进行分析所得，，，，，，，，攻击者使用的攻击载荷类型总共有四种。。。。。。。下面将列举典型的攻击载荷及其所对应的垂钓邮件。。。。。。。

(1) 携带缝隙文档

图3-6是一封攻击者冒名航空货运公司发送给客户的预约要求回复邮件，，，，，，，，附件假装成船舶具体信息表单。。。。。。。该文档使用微软Office经典缝隙CVE-2017-11882，，，，，，，，当用户打开恶意文档时，，，，，，，，嵌入到文档中的恶意法式则会自动加载。。。。。。。该缝隙的特点是在整个过程中用户齐全无感知，，，，，，，，且在断网的情况下依然可达到有效攻击，，，，，，，，所以成为各大APT组织必用缝隙利用库之一。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-6 携带缝隙文档案例1—邮件截图

（2）携带GZ体式的压缩文档

图3-7是攻击者发送给总部位于比利时的一家多元化的工业造作商的邮件，，，，，，，，该邮件使用热点的COVID-19为主题，，，，，，，，并通过正文描述谎称恶意附件GZ压缩文档中蕴含采购单，，，，，，，，诱使受害者下载。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-7 携带GZ文档案例2—邮件截图

附件里面是假装成bat文件的Guloader下载器。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-8 GZ压缩包里的文件

（3）携带ISO体式的文档

由图 3-9可见，，，，，，，，攻击者将邮件附件假装成系统镜像ISO文件（使用ISO文件可用于绕过垃圾邮件过滤器），，，，，，，，将其定名为“COVID-19解决规划颁发”诱骗用户点击。。。。。。。嵌入在ISO恶意附件中的可执行文件为Guloader下载器。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-9 ISO压缩包里的文件

（4）携带html体式的文件

图3-10是攻击者假意DHL Express国际快递公司发送给德国一家光学组件造作商的垂钓邮件，，，，，，，，邮件附件被定名为装船通知单并以html大局诱骗受害者点击。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-10 携带html文件案例3—邮件截图

3.2.3 恶意软件托管地位

在攻击活动中，，，，，，，，攻击者时时利用远程配置来节造恶意软件，，，，，，，，而安全人员通过钻研分析分歧的恶意软件配置（例如主机地理地位和DNS信息），，，，，，，，能够深刻的相识和追踪攻击者使用的基础设施。。。。。。。我们在钻研过程中将网络到的大量样本数据进行提取和整合，，，，，，，，发现SWEED组织这次执行攻击行动所使用的恶意软件配置，，，，，，，，重要利用了Guloader下载器配置选项中的利用云服务分发恶意软件的职能。。。。。。。攻击者之所以使用正规的云存储平台来托管恶意软件，，，，，，，，是由于这些云平台无数是受信赖的且有助于绕过贸易威胁检测产品。。。。。。。固然Google Drive等云平台通常也会执行防病毒检测，，，，，，，，但若是有效载荷是被加密后再存储，，，，，，，，就能够躲过此类限度，，，，，，，，并能有效的阻止安全人员对黑客组织的基础设施进行追踪。。。。。。。图3-11为恶意载荷样本托管平台的使用占比率。。。。。。。凭据图中显示的数值可得，，，，，，，，Google Drive为恶意软件重要使用的托管平台。。。。。。。除此之表，，，，，，，，还有部门恶意软件会托管在已被攻下的合法网站上。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-11有效载荷托管平台的使用率

除了Google Drive和OneDrive，，，，，，，，下面我们列举出几个攻击者使用的其他云托管平台。。。。。。。

files.fm是国表一家提供文件云存储平台的信息技术公司。。。。。。。图3-12是保留在该平台的加密的恶意文件。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-12 云托管平台例1

sendspace是一家免费文件托管平台。。。。。。。图3-13是攻击者上传到该平台进行托管的恶意软件。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图 3-13 云托管平台例2

dmca.gripe是一个免费的文件托管平台，，，，，，，，其主页如图3-14所示。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图3-14 云托管平台例3

3.3 攻击流程

我们对这批攻击活动进行综合分析后发现绝大部门攻击拥有一样的攻击流程，，，，，，，，其攻击的流程如图3-15。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

3-15 攻击流程图

攻击者假装成物流或船舶等公司人员，，，，，，，，向指标企业投递携带附件的垂钓邮件，，，，，，，，附件类型蕴含：蕴含缝隙的恶意文档、GZ体式的压缩包、ISO文件和HTML文件。。。。。。。在无数情况下，，，，，，，，这些附件起初城市蕴含或下载Guloader下载器（其他情况下为远控木马）。。。。。。。Guloader起头执行时，，，，，，，，先对贮存在代码部门的shellcode进行解密，，，，，，，，再将解密后的shellcode注入到RegAsm.exe系统文件中；；；；；；；接着RegAsm.exe中的shellcode再从指定的云平台地址下载加密的payload，，，，，，，，并在内存中解密执行payload（远控木马），，，，，，，，最后通过C2对指标主机进行信息窃取和远程节造。。。。。。。

这次攻击活动中使用到的窃密和远控木马蕴含：Agent Tesla（是一款驰名的贸易窃取木马，，，，，，，，重要用于浏览器、邮件客户端、FTP工具、下载器蹬酌户账号密码和WiFi凭证的窃取。。。。。。。）；；；；；；；Formbook（是一款信息窃取木马，，，，，，，，其重要以窃取用户电脑机密信息为主，，，，，，，，蕴含键盘纪录、剪贴板纪录、cookie会话与本地密码等等。。。。。。。）；；；；；；；Lokibot（一款窃密木马，，，，，，，，其通过从多种盛行的网络浏览器、FTP、电子邮箱客户端、以及PuTTY等IT治理工具中获取凭证，，，，，，，，来窃取用户的密码和加密钱币钱包）；；；；；；；NanoCore（是一款.net编写的远控软件，，，，，，，，其拥有键盘监控、实时视频操作、语音、号令行节造等齐全节造远程主机的职能。。。。。。。）；；；；；；；Remcos（一款远控软件，，，，，，，，蕴含下载并执行号令、键盘纪录、屏幕纪录以及使用摄像头和麦克风进行灌音录像等职能。。。。。。。）。。。。。。。

鉴于我们分析的这些木马在职能和技术上与旧版类似，，，，，，，，并没有发现太多的变动点，，，，，，，，所以在此我们仅对其重要职能做了单一的描述，，，，，，，，本文后续便不再过多的具体描述其具体的技术细节，，，，，，，，如有必要各人可查看文末的参考文件。。。。。。。鄙人个章节，，，，，，，，我们重要对SWEED组织新引入的Guloader恶意代码进行齐全具体地分解。。。。。。。

四、技术分析

正如前文所述，，，，，，，，我们目前网络到的电子邮件的附件重要分为四类。。。。。。。固然其开释恶意软件的大局分歧，，，，，，，，但它们的重要职能行为都根基一致。。。。。。。在这里，，，，，，，，我们拔取一个典型案例进行具体分析。。。。。。。

4.1 垂钓邮件

图4-1为攻击者针对美国一家防滑产品造作商进行攻击的垂钓邮件，，，，，，，，此邮件于美国山地时区功夫2020年4月29日（周三）02:31被发送到该公司。。。。。。。邮件标题为“Purchase Order /APO-074787648”，，，，，，，，正文描述为“请查看清单和确认商品库存”，，，，，，，，并附有同名恶意文档“Purchase Order /APO-074787648”。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-1 垂钓邮件内容

4.2 恶意文档

样本“Purchase Order /APO-074787648.ppsx”利用了沙虫缝隙CVE-2014-4114的补�。。。。。。。∕S14-060）绕过缝隙CVE-2014-6352。。。。。。。沙虫缝隙是Windows OLE肆意代码执行缝隙，，，，，，，，该缝隙呈此刻Microsoft Windows服务器上的OLE包治理器上。。。。。。。攻击者通过利用该缝隙在OLE打包文件（packer.dll）中下载并执行类似的INF文件，，，，，，，，来达到执行肆意号令的主张。。。。。。。固然微软为沙虫缝隙颁布补�。。。。。。。∕S14-60），，，，，，，，但攻击者还可通过机关特定的CLSID和OLE Verb来绕过MS14-160补丁的限度（CVE-2014-6352）。。。。。。。下面我们以本次行动中使用的恶意文档为例，，，，，，，，对该缝隙的实现道理做单一的分析。。。。。。。

图4-2为此案例中使用的ppsx缝隙攻击文档内容。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-2 ppsx缝隙文档内容

我们解压PPXS文档能够看到，，，，，，，，在“Purchase Order APO-074787648.ppsx\ppt\slides \slides.xml”中，，，，，，，，指定了嵌入的对象id=rld3。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-3 “slides.xml”文件内容

在“Purchase Order APO-074787648\ppt\slides\_rels\slide1.xml.rels”中指定了rld3对应“ppt\embeddings\”目录下的oleObject1.bin文件。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-4 “slide1.xml.rels”文件内容

“Purchase Order APO-074787648.ppsx\ppt\embeddings\”目录下的“oleObject1.bin”文件内嵌一个OLE Package对象，，，，，，，，嵌入文件为PE可执行法式。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-5 “oleObject1.bin”文件内容

CVE-2014-4114缝隙的成因是packager.dll中CPackage::Load步骤加载对应的OLE复合文档对象时，，，，，，，，针对分歧类型的复合文档进行分歧的处置流程，，，，，，，，但其中对某些复合文档中嵌入的不成信起源文件没有做处置。。。。。。。由此攻击者可使用伪造OLE复合文档的CLSID来达到执行特定文件的主张。。。。。。。微软在MS14-060补丁中，，，，，，，，通过增长MarkFileUnsafe函数对文件进行MOTW处置，，，，，，，，将其Security Zone象征为“此文件来自其他推算机”，，，，，，，，运行时会弹出安全忠告窗口。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-6 “%TEMP%\NEW ORDER.exe”象征为不成信文件

但就算受害者已装置MS14-060的补丁，，，，，，，，攻击者还是能够通过机关特定的CLSID和OLE Verb来扭转执行流程，，，，，，，，从而绕过该补�。。。。。。。–VE-2014-6352缝隙）。。。。。。。对于一个exe文件，，，，，，，，即便被象征为URLZONE_INTERNET，，，，，，，，右键点击以治理员权限执行该exe文件，，，，，，，，那当法式运行时便不会再弹出“安全忠告”（如图4-6）的提醒，，，，，，，，而是以（如图4-7）UAC 提醒窗弹出。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-7 弹出的UAC提醒窗

由此可知，，，，，，，，当受害者打开此PPSX恶意文档时，，，，，，，，自动播放模式便会开启，，，，，，，，同时“%TEMP%\NEW ORDER.exe”将被开释在一时目录中。。。。。。。若是受害者选择“是”，，，，，，，，恶意代码将会被执行。。。。。。。而若是受害者的系统处于UAC关关状态或在获取了治理员权限的情况下，，，，，，，，该UAC安全忠告窗口则不会弹出，，，，，，，，“NEW ORDER.exe”会被静默地执行。。。。。。。

4.3 GuLoader

如上文所述，，，，，，，，最后被执行的“NEW ORDER.exe”可执行文件现实上就是文章开头提到的Guloader恶意软件（在后续对“NEW ORDER.exe”的具体分析中，，，，，，，，我们均使用“Guloader”来代替该文件名）。。。。。。。Guloader是一款新型的恶意软件下载器，，，，，，，，其自身拥有复杂的执行流程，，，，，，，，通过选取各类代码混合和随机化、反沙箱、反调试和数据加密等机造来匹敌安全产品的检测。。。。。。。下面我们将对该GuLoader进行深刻的挖掘分析。。。。。。。

4.3.1 执行流程

如图4-8所示，，，，，，，， GuLoader首先将贮存在代码部门的加密Shellcode解密并执行。。。。。。。这段Shellcode的重要职能为：以挂起方式创建一个系统子过程，，，，，，，，之后将本段Shellcode自身注入到子过程并批改法式入口点为Shellcode处执行。。。。。。。最后从托管服务器高低载加密的BIN文件，，，，，，，，成功下载后将其解密和运行。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-8 Guloader执行流程图

4.3.2 EXE可执行文件

（1）代码混合

Guloader可执行文件是由Visual Basic 6说话编写的。。。。。。。使用工具查看后发现，，，，，，，，其并未使用贸易壳进行自身�；；；；；；；�，，，，，，，，而是使用混合壳尝试匹敌安全产品的查杀。。。。。。。由于杀软对贸易壳比力敏感，，，，，，，，并且贸易壳检测和脱壳技术也比力成熟，，，，，，，，所以混合壳不失为一个不错的选择。。。。。。�；；；；；；；旌峡峭ǔ２淮嬖谕ㄓ玫募觳獠街�，，，，，，，，并且静态脱壳相对较难，，，，，，，，所以其恶意行为不易被发现，，，，，，，，从而可长功夫的存活在指标机械上。。。。。。。对于逆向分析人员来讲，，，，，，，，分析这种带混合壳的样本往往会破费大量的精力，，，，，，，，无形的增长了人力和功夫成本。。。。。。。

图4-9是一段混合代码的截取，，，，，，，，这部门代码使用了数据混合中的常量拆分，，，，，，，，重要主张是暗藏真实的代码逻辑，，，，，，，，让分析者内心奔溃。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-9 部门混合代码

（2）代码解密

恶意软件首先推算出用于解密shellcode的密钥，，，，，，，，其值为：0x24EBE470。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-10 获取密钥的恶意代码

接着，，，，，，，，为shellcode申请内存空间，，，，，，，，再使用密钥进行XOR运算解密Shellcode并执行。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-11 解密和执行shellcode

4.3.3 ShellCode

解密后的shellcode前期也采取了大量的匹敌伎俩，，，，，，，，使用各类代码混合、沙箱检测、反调试等技术伎俩来躲避安全产品的行为监测和查杀。。。。。。。仅当通过各类查抄判断前提后，，，，，，，，恶意代码才起头执行主职能行为。。。。。。。下面我们将对恶意代码做具体的分析。。。。。。。

（1）检测职能

● 代码混合

将解密后的shellcode从内存中dump出来并使用IDA反编译，，，，，，，，能够看到shellcode中使用的混合技术。。。。。。。恶意代码在执行过程中插入混合函数，，，，，，，，该函数的过程被宰割成多个跳转流程，，，，，，，，一向到最后再 jmp到原来的正常代码中持续执行下面的流程。。。。。。。图4-12是shellcode在入口处挪用的此类混合函数的代码片段，，，，，，，，很显然通过该步骤，，，，，，，，可能有效的侵扰分析者对样本进行分析，，，，，，，，严沉降低了分析效能。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-12 混合后的代码片段

● 动态获取API函数

接着，，，，，，，，恶意代码通过接见PEB->LDR中的InMemoryOrderModuleList获取kernel32.dll的基址。。。。。。。遍历提取该模浚浚�？？榈汲霰斫峁怪写娣藕氖�，，，，，，，，并顺次将名称字符串作为参数传入到哈希算法函数中做运算，，，，，，，，再将了局与硬编码数据做比力，，，，，，，，以此步骤来查找GetProcAddress函数。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-13 查找GetProcAddress函数

此处使用的是djb2的算法，，，，，，，， djb2是一个产生随机散布的哈希函数，，，，，，，，与LCG的算法类似。。。。。。。由于该函数机关单一，，，，，，，，使用移位和相加的操作，，，，，，，，所以常被用来处置字符串。。。。。。。具体算法见图4-14。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-14 djb2算法代码截图

由此我们能够看到，，，，，，，，恶意代码在函数的获取方面是利用LoadLibrary和GetProcAddress这两个函数进行动态的获取。。。。。。。具体如图4-15所示。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-15 动态获取API函数

● 沙箱检测

恶意代码枚举窗口数量，，，，，，，，若是值幼于12则退出过程，，，，，，，，以此来检测自身是否运行在沙箱环境中。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-16 沙箱检测代码

● 反调试技术

步骤1：

挪用ZwProtectVirtualMemory函数批改ntdll.dll的“.text”节属性为可读可写可执行。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-17 批改ntdll.dll节属性

恶意代码通过批改DbgBreakPoint和 DbgUiRemoteBreakin函数代码，，，，，，，，让调试器无法附加调试法式（如图4-18和图4-19）。。。。。。。给call挪用后面指定一个未知地址，，，，，，，，以此引发调试器崩溃退出。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-18 DbgBreakPoint函数代码批改前后对比

8827太阳集团(Macau)股份有限公司-Official website

图4-19 DbgUiRemoteBreakin函数代码批改前后对比

步骤2：

将ZwSetInformationThread函数的第二个参数设置为ThreadHideFromDebugger （值为17），，，，，，，，作用是在调试工具中暗藏线程。。。。。。。若是恶意软件处于被调试状态，，，，，，，，那么该函数就会使当前列程（通常是主线程）脱离调试器，，，，，，，，使调试器无法持续接管该线程的调试事务。。。。。。。成效就像是调试器崩溃了一样。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-20 暗藏线程达到反调试主张

步骤3：

在使用ZwAllocateVirtualMemory函数申请内存空间时，，，，，，，，为预防分析人员在调试时对关键函数下断点，，，，，，，，恶意代码会提前将该函数的职能实现代码复造到本过程空闲空间中，，，，，，，，使得后续在使用此函数时直接跳转到自身代码中执行。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-21 复造函数职能实现代码

步骤4：

在挪用部门敏感API函数时，，，，，，，，会先挪用自界说的查抄函数做判断，，，，，，，，以削减被安全产品检测的几率。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-22 查抄函数是否被下断点或挂钩

该自界说的查抄函数的重要职能：

① 将挪用该函数前的shellcode代码（正序）按字节与0x4字节的返回地址做异或运算进行加密处置；；；；；；；

② 挪用ZwGetContectThread函数，，，，，，，，通过查抄_CONTEX结构中的Dr寄放器来判断是否在调试环境中；；；；；；；

③ 判断这次要查抄的关键API函数是否被下断点或挂钩。。。。。。。若是了局为否，，，，，，，，则挪用该API函

数，，，，，，，，不然法式直接崩溃退出；；；；；；；

④ 同“步骤①”对shellcode代码（倒序）进行解密并跳转到返回地址处执行后续流程。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-23 自界说查抄函数代码

（2）恶意行为执行职能

若是以上一系列的沙箱以及反调试检测都通过，，，，，，，，恶意代码则起头执行以下贱程：

① 动态获取图4-24中的API函数，，，，，，，，并将函数挪用地址保留在仓库中。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-24 动态获取的API函数名称

② 凭据指定地址处保留的数据内容特点（若是恶意代码未执行过创建子过程流程，，，，，，，，那么该地址处原数据为无效内容；；；；；；；不然，，，，，，，，此处保留的是当前过程的全蹊径。。。。。。。）来判定是否必要创建子过程。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-25 判断是否必要创建子过程

8827太阳集团(Macau)股份有限公司-Official website

图4-26 对指定地址处保留的数据内容做判断

③ 挪用CreateProcessInternal函数以挂起模式创建RegAsm.exe过程。。。。。。。

图4-27 创建系统子过程

④ 挪用ZwOpenFile函数，，，，，，，，获得映射文件mstsc.exe的句柄。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-28 获取mstsc.exe的句柄

⑤ 使用ZwCreateSection和NtMapViewOfSection函数将“mstsc.exe”文件映射到

RegAsm.exe内存中的0x00400000地位上。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-29 映射文件

⑥ 在傀儡过程中申请内存空间，，，，，，，，并将我们在调试的整个shellcode写入到指标内存中。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-30 写入shellcode到系统子过程中

⑦ 使用ZwGetContextThread和ZwSetContextThread函数，，，，，，，，获取和批改挂起的子线程高低文中寄放器值，，，，，，，，以实现沉定向到shellcode入口处执行的主张。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-31 批改系统子过程的执行入口点

⑧ 若“步骤⑤”操作成功，，，，，，，，则复原执行子过程；；；；；；；不然实现当前法式。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-32 判断步骤⑤是否操作成功

（3）成功注入后恶意行为职能

我们在恶意代码挪用NtResumeThread函数前，，，，，，，，附加RegAsm.exe过程并在注入的shellcode执行处设置断点（如图4-33），，，，，，，，而后再持续执行该函数来复原线程运行。。。。。。。该shellcode前部门与之前的操作流程一样，，，，，，，，将前文描述的各类检测沉新执行一遍，，，，，，，，直到在“判断是否创建子过程”处跳转到另表的分支流程。。。。。。。下面我们持续对后续职能进行具体地分析。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-33 Shellcode执行处代码

判断开启RegAsm.exe法式的父过程是否为“C:\Users\***\directory\filename.exe”。。。。。。。

若是不是，，，，，，，，则将当前父过程文件复造到该目录中，，，，，，，，将其定名为filename.exe并沉新执行；；；；；；；

若是是，，，，，，，，则在注册表HLM\Software\Microsoft\Windows\CurrentVersion\RunOnce目录里将该蹊径增长在“Startup key”中，，，，，，，，以实现持久驻留的主张。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-34 增长注册表信息代码

8827太阳集团(Macau)股份有限公司-Official website

图4-35 增长注册表开机启动项

成功增长注册表项后，，，，，，，，恶意代码则起头使用winnet.dll库中的Internet API函数从云托管服务器下载加密的payload。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-36 从云托管服务下载payload

下载实现后，，，，，，，，恶意代码再将硬编码的值与将payload的大幼做比力，，，，，，，，以此来查抄文件的齐全性。。。。。。。若是大幼不匹配，，，，，，，，恶意代码则会沉新下载文件，，，，，，，，直到齐全匹配为止。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-37 检测payload大幼

下载到的payload文件是由0x40个字节的HEX幼写数字和加密的PE文件组成，，，，，，，，具体如图4-38所示。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-38 payload内容

接着，，，，，，，，恶意代码再使用自界说解密函数对下载的payload进行异或解密。。。。。。。其密钥贮存在shellcode代码0x2032偏移处，，，，，，，，密钥长度为0x214。。。。。。。解密函数内容如图4-39所示。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-39 payload解密函数

解密后的PE文件如图4-40所示。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-40 解密后的文件内容

最后，，，，，，，，恶意代码将解密后的PE文件覆盖0x00400000基址的内容，，，，，，，，并跳转到入口点执行payload恶意法式。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图4-41 执行payload

在这次分析的案例中，，，，，，，，解密出的payload是Agent Tesla。。。。。。。对于该恶意软件，，，，，，，，在此我们就不再做过多的介绍和分析了。。。。。。。下面我们会对黑客组织的C&C服务器基础设施发展追踪溯源。。。。。。。

五、溯源追踪

5.1 C&C基础设施

截止到目前为止，，，，，，，，我们通过提取和整顿所有关联样本中的IP地址和域名信息，，，，，，，，能够看到这次攻击行动重要以动态域名为主，，，，，，，，大部门域名都是通过境表的Duck DNS注册。。。。。。。图5-1为SWEED黑客组织使用的部门域名、IP、样本的对应关系。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图5-1 部门域名、IP、样本的对应关系图

凭据样本同源性分析的了局，，，，，，，，我们发现大量的有效载荷被别离挂载在分歧的动态域名中，，，，，，，，以备蕴含缝隙的Office文档或恶意软件Guloader接见和下载。。。。。。。通过域名的查问纪录所得，，，，，，，，这次攻击活动最早可追忆到1月中下旬，，，，，，，，同时也能够看到，，，，，，，，它们最初均使用指向尼日利亚的基础设施。。。。。。。值妥贴心的是，，，，，，，，这些域名解析使用的IP总不定期在常用的IP地址段来回切换。。。。。。。具体如图5-2所示。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图5-2 动态域名解析的IP地址

我们将C&C对应的IP地址所属国度和地域进行统计，，，，，，，，并绘造其地理地位散布图（如图5-3所示）。。。。。。。整体来看，，，，，，，，美国和法国占比率最高，，，，，，，，其次为荷兰。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图5-3 C&C对应的IP地理地位散布图

5.2 关联性分析

8827太阳集团ADLab将本次捕获到的样本同以往SWEED活动做了全面的关联分析，，，，，，，，得出以下几处沉要的关联点：

（1）缝隙文档

在这次行动中攻击组织使用的缝隙文档有两类（CVE-2017-11882和CVE-2014-6357），，，，，，，，其中以CVE-2017-11882缝隙利用文档为重要攻击载荷。。。。。。。而SWEED组织也曾在以往的攻击行动中频仍的使用过该缝隙文档。。。。。。。具体如图5-4所示。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图5-4 缝隙文档案例

（2）攻击指标

凭据公开汇报能够得知，，，，，，，，SWEED黑客组织的攻击指标重要针对全球从事对表业务的中幼型企业，，，，，，，，并且所涉及的行业重要以造作业、航运、物流和运输为主。。。。。。。这与我们这次监测到的攻击行动中受害者的地理地位和行业散布拥有较高的类似性。。。。。。。图5-5列举了几例在本次攻击活动中攻击者发送给指标用户的垂钓邮件。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图5-5 垂钓邮件案例

（3）攻击兵器

在目前观测到的行动中，，，，，，，，攻击者最终投放的恶意软件蕴含Agent Tesla、Remcos、NanoCore、Formbook和Lokibot。。。。。。。我们将捕获的所有恶意软件按家族分类和统计，，，，，，，，凭据了局显示，，，，，，，，Agent Tesla的占比率处于最高，，，，，，，，是攻击者沉点使用的攻击兵器。。。。。。。而这种使用特点也曾反复呈此刻SWEED组织以前的攻击活动中。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图5-6 恶意软件家族占比率

（4）IP地址地位

我们通过Whois信息查问，，，，，，，，发此刻这次行动中的域名“mogs20.xxx.org”早期解析的IP（105.112.XXX.XXX）地理地位指向尼日利亚，，，，，，，，该网段归属尼日利亚地域电信的105.112段。。。。。。。这与SWEED组织所属国度拥有高度的一致性。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

图5-7 Whois查问信息内容

结合SWEED组织一系列的攻击活动特点以及上面总结的四点能够看出，，，，，，，，攻击者在攻击动机（窃取用户信息以牟利）、攻击指标（针对全球对表业务的中幼企业）、作业风格（投递定造型垂钓邮件分发木马）、战术（躲避检测、常驻、号令与节造）、技术（缝隙利用）、过程（发送携带恶意附件的邮件->缝隙文档->解密运行Agent Tesla远控木马）以及其使用的网络基础设施等方面都极度切合SWEED组织的特点。。。。。。。由此我们揣度，，，，，，，，这次攻击活动幕后者很可能是来自尼日利亚的SWEED黑客组织。。。。。。。

六、总结

迄今为止SWEED黑客组织至少已活跃了4年的功夫，，，，，，，，从该组织近期的攻击能够发现，，，，，，，，SWEED起头使用更拥有针对性的邮件内容和更具蛊惑性的文档标题，，，，，，，，从而提高受害者中招的概率。。。。。。。8827太阳集团ADLab将该组织这次行动TTP的钻研分析了局与以往跟进或披露的有关攻击行动个性做比对后，，，，，，，，得到的有关证据都可批注这些样正本自SWEED黑客组织。。。。。。。

SWEED组织使用Guloader下载器传布的远程木马种类固然多样化，，，，，，，，但重要还是以其偏好的Agent Tesla为主。。。。。。。从其所使用的TTP来看，，，，，，，，该黑客组织目前并未具备很好的自研开发能力。。。。。。。在无数情况下，，，，，，，，仅会从国表一些主流黑客网站上采办木马天生器和加密工具来作为攻击兵器，，，，，，，，例如曾使用的KazyCypter和这次使用的Guloader。。。。。。。不外，，，，，，，，即便攻击者在技术能力上相对较弱，，，，，，，，但其在社工技巧和多样化攻击方式的利用面上还是较为纯熟的。。。。。。。在此，，，，，，，，建议用户尽量预防打开不明来历的邮件以及附件文件（来自未知发送者的），，，，，，，，实时装置系统补丁，，，，，，，，提高风险意识，，，，，，，，防备此类恶意软件攻击。。。。。。。

七、IOC

MD5

F97CFA6C3F1338B597768808FC1B2F00

B1941921571C2B6ED0C3BDA77E402001

DD82B2E488811E64BB9C039C441DB19C

EC4CF91427DAC3AD29CD2A52B0789DC6

166FD7B0C74C60DCBC80BF335D712EA2

BCBCC89F237B22F21BDAE9E6555404A

60147B91AB7B64B9BE27BD3422147E60

48408BBE8D9EE22D6BBB6820FCCC305F

7DDA46F2D9008FAE016AFFF39E9C5801

A22A37E699C20D42753D35A94A75B365

C36C41EB6A34880459154334681C203A

6BC92ACB050A2068EFF4842A1D360938

FB7ED44C2BAAA6F011F7BF51DE721BC4

58604AE63AEA84483C67980369958ACB

312BFAFE6746645E72FCB84ECBFB023C

779EB99965F1AAC12363632468DF7DCE

DD49030C00EF3C2341BCBE4489DCEF63

167.114.85.125

URL

https://drive.google.com:80/uc?export=download&id=1lmmu6kv5ep_wkm7hfyhdshru-y1n2pqv

https://onedrive.live.com/download?cid=554BBD19BDD72613&resid=554BBD19BDD72613!156&authkey=AGIuaWEkkBxB_4o

https://drive.google.com/uc?export=download&id=1W3ddZnmArVGhsecoWW5KcQAKPZ9OacLU

https://share.dmca.gripe/iQakn267f3ZvpDN.bin

http://167.114.85.125/go/Origin%20server%20ilyas_tTzYDNEGay108.bin

八、参考链接

[1]https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing

[2]https://www.fireeye.com/blog/threat-research/2017/10/formbook-malware-distribution-campaigns.html

[3]https://www.fortinet.com/blog/threat-research/new-infostealer-attack-uses-lokibot

[4]https://success.trendmicro.com/solution/1122912-nanocore-malware-information

[5]https://www.fortinet.com/blog/threat-research/remcos-a-new-rat-in-the-wild-2

8827太阳集团积极防御尝试室（ADLab）

ADLab成立于1999年，，，，，，，，是中国安全行业最早成立的攻防技术钻研尝试室之一，，，，，，，，微软MAPP打算主题成员，，，，，，，，“黑雀攻击”概想首推者。。。。。。。截止目前，，，，，，，，ADLab已通过CVE累计颁布安全缝隙1000余个，，，，，，，，通过 CNVD/CNNVD累计颁布安全缝隙800余个，，，，，，，，持续维持国际网络安全领域一流水准。。。。。。。尝试室钻研方向涵盖操作系统与利用系统安全钻延注移动智能终端安全钻延注物联网智能设备安全钻延注Web安全钻延注工控系统安全钻延注云安全钻研。。。。。。。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。。。。。。。

8827太阳集团(Macau)股份有限公司-Official website

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

8827太阳集团

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系8827太阳集团

安全钻研