8827太阳集团

首页 > 安全钻研 > 钻研汇报 > 攻击与威胁分析

新攻击新兵器：盲眼鹰APT组织最新攻击活动齐全分析

颁布功夫 2020-08-14

一、概述

8827太阳集团ADLab尝试室在近几个月内，，，，，，，，接连捕获到多起针对哥伦比亚国度确当部门门，，，，，，，，金融、银杏注保险等行业及卫生和造药机构提议的垂钓邮件定向攻击。。。。。。攻击者以“冠状病毒检测垂危奉告单”或“刑事诉讼通知单”等定名的钓饵文档作为邮件附件，，，，，，，，并共同鱼叉邮件向攻击指标电脑植入远控木马。。。。。。从邮件分析了局来看，，，，，，，，攻击者会将邮件的起源假装成哥伦比亚国度卫生部、国度税务和海关总署、民事身份登记处、检察院以及移民局等当部门门，，，，，，，，以加强其邮件的真实性。。。。。。我们通过对攻击者假装的起源信息、域名使用偏好、IP地址关联及地理地位等个性进行对比分析，，，，，，，，发现该系列攻击起源于盲眼鹰组织，，，，，，，，但选取的攻击兵器较以往齐全分歧。。。。。。盲眼鹰初次被披露于2019岁首，，，，，，，，是一个疑似来自南美洲的APT组织，，，，，，，，其最早活跃功夫可追忆到2018年，，，，，，，，重要针对哥伦比亚当局和大型公司进行攻击。。。。。。

在对攻击活动深刻分析后，，，，，，，，我们发现该组织在我们发现的这批攻击当选取了更为先进攻击技术和反追踪技术。。。。。。在以往的攻击中，，，，，，，，该组织多使用MHTML体式的恶意文档作为攻击附件，，，，，，，，而在本次攻击过程中，，，，，，，，该黑客组织使用一个无恶意的文档作为媒介，，，，，，，，诱使指标下载文档中提供的恶意短链接（该短链接指向一个加密过MHTML的恶意文档），，，，，，，，这大大提高攻击的有效性，，，，，，，，其不仅可能绕过邮件安全防护系统和入侵检测系统，，，，，，，，并且大大的降低了被杀毒软件查杀的概率（我们捕获的很多样本在VT上的查杀率均0，，，，，，，，部门样本也持久维持着低于5%的极低查杀率）；；；；；；；；我们发现的这批攻击中，，，，，，，，该黑客组织烧毁了以平凡用的ImminentMonitor RAT，，，，，，，，选取了一款荫蔽能力和免杀能力更强的RAT--AsyncRAT，，，，，，，，同时结合复杂多层加密与代码嵌套伎俩来提供反分析能力和反检测能力。。。。。。

AsyncRAT是起源于国表的一款远控木马，，，，，，，，其除了可能对指标进行最根基的远程间谍活动表，，，，，，，，还可使用USB设备突破物理隔离、使用bot killer断根指标上的竞争敌手等。。。。。。该木马最具特点的是选取不落地的无害模浚�？？？？樽魑副甑慕┦�，，，，，，，，并选取“propelling in use，，，，，，，，destroy after use”的工作模式，，，，，，，，即分化攻击工作为子工作，，，，，，，，每个子工作以一个单独的DLL模浚�？？？？槔词迪�，，，，，，，，黑客执行工作时由多个子工作DLL模浚�？？？？橐勒湛隙ǖ闹葱行蛄欣词迪�，，，，，，，，同时对实现工作的模浚�？？？？榻惺凳毕佟！�。。。。这种工作模式将一个齐全恶意工作分化成多个无害的子工作，，，，，，，，可能有效地躲避一些复杂安全防护战术，，，，，，，，同时也能有效地预防取证分析人员获取其主题攻击模浚�？？？？椤！�。。。。

此表，，，，，，，，该黑客组织还选取了“DoubleFlux+Fast VPN”技术来达到反追踪和反侦测的主张。。。。。。我们通过对攻击者使用的C&C基础设施进行分析发现，，，，，，，，这批攻击的C&C域名是通过DNSExit.com来动态分配IP地址(IP地址是动态变动的，，，，，，，，险些都归属于哥伦比亚的ISP)。。。。。。现实上，，，，，，，，DNSExit不仅是一个“1(dns)对n(IP)”的服务，，，，，，，，更是一个“m(dns)对n(IP)”，，，，，，，，因而其应该选取了“double flux”技术来躲避溯源与追踪。。。。。。不仅如此，，，，，，，，黑客组织使用这种服务的背后还加了一层VPN，，，，，，，，也就是说通过“Double Flux”得到的IP地址并不是黑客真正的IP地址，，，，，，，，其只是一系列的VPN节点(节点的IP地址由Unus.Ins服务商提供)，，，，，，，，因而借用”fastflux”定名法我们将这种反追踪技术称为”Fast VPN”。。。。。。攻击者利用“Double Flux+Fast VPN”技术来作为攻击载荷和木马回连的通路，，，，，，，，使得黑客的攻击变得极度难以追踪和溯源。。。。。。

二、攻击活动分析

本章总结了黑客组织近期的攻击活动事务以及本次活动中使用的攻击手法。。。。。。

2.1近期攻击活动

8827太阳集团ADLab尝试室基于原始线索对黑客组织本次的攻击活动进行了全面追踪、关联和分析，，，，，，，，发现这次活动最早可追忆到2019年9月，，，，，，，，且近期活动重要以COVID-19有关内容作为垂钓钓饵。。。。。。我们综合所有的威胁谍报数据，，，，，，，，梳理了本次该组织提议的所有攻击事务，，，，，，，，并绘造出以下攻击事务功夫线。。。。。。

图2-1 APT组织近期攻击事务功夫线

2.2攻击手法

在本次攻击活动中，，，，，，，，我们发现盲眼鹰APT组织重要选取鱼叉邮件作为初期攻击方式。。。。。。攻击者假装成来自哥伦比亚卫生部、哥伦比亚国度总检察院、哥伦比亚移民局、哥伦比亚国度税务和海关总署以及哥伦比亚民事身份登记处等部门，，，，，，，，向使用西班牙说话的南美地域（出格是哥伦比亚国度）确当部门门，，，，，，，，金融、银杏注保险等公司，，，，，，，，以及卫生和造药机构的有关人员投递恶意攻击邮件。。。。。。邮件主题均与攻击者所仿冒确当部门门文件题材有关，，，，，，，，并在邮件正文增长针对附件文件的诱导性描述和附件查看密码等信息，，，，，，，，更有利于加强邮件的真实性，，，，，，，，诱使受害者启用恶意宏代码，，，，，，，，进而向攻击指标机械上植入木马法式，，，，，，，，以执行对入侵设备的远程节造、窃取机密数据、系统粉碎等恶意行为。。。。。。

8827太阳集团ADLab尝试室通过对该组织近期攻击的监测和关联分析，，，，，，，，发现了多个与其有关的邮件，，，，，，，，下面我们列举出部门邮件内容以及针对性的钓饵文档。。。。。。

2.2.1 垂钓邮件详情

假装成哥伦比亚卫生部：

（1）图2-2是攻击者假装成哥伦比亚卫生部的攻击邮件之一。。。。。。邮件主题为“Ustedha sido citado para una prueba obligatoria de (COVID-19)”（翻译后为：“您被要求参与强造性检测（COVID-19）”）。。。。。。

图2-2 假装成哥伦比亚卫生部邮件之一

（2）图2-3是攻击者假装成哥伦比亚卫生部的攻击邮件之二。。。。。。邮件主题为“Lehemos llamado en repetidas ocaciones y no ha sido posible contactarle por favorleer comunicado urgente”（翻译后为：“我们已经屡次致电给您，，，，，，，，无法联系到您，，，，，，，，请阅读垂危通知”）。。。。。。

图2-3 假装成哥伦比亚卫生部邮件之二

（3）图2-4是攻击者假装成哥伦比亚卫生部的攻击邮件之三。。。。。。邮件主题为“Detectamos en su sector la presencia de COVID-19 ( Corona virus ) intentamos comunicarnos via telefonica con usted”（翻译后为：“我们在您的部门发现了COVID-19( Corona virus )，，，，，，，，并尝试通过电话与您联系”）。。。。。。

图2-4 假装成哥伦比亚卫生部邮件之三

假装成哥伦比亚国度税务和海关总署：

图2-5是攻击者假装成哥伦比亚国度税务和海关总署的攻击邮件。。。。。。邮件主题为“Procederemos con una orden de embargo a las cuentas bancariasencontradas a su nombre”（翻译后为：“我们将对以您名义发现的银行账户发出冻结令”）。。。。。。

图2-5 假装成哥伦比亚国度税务和海关总署的邮件

假装成哥伦比亚民事身份登记处：

图2-6是攻击者假装成哥伦比亚民事身份登记处的攻击邮件。。。。。。邮件主题为“Sucedula de ciudadania ha sido reportada como robada en nuestro sistema”（翻译后为：“您的公民证已在8827太阳集团系统报失”）。。。。。。

图2-6 假装成哥伦比亚民事身份登记处的邮件

假装成哥伦比亚检察院：

图2-7是攻击者假装成哥伦比亚检察院的攻击邮件。。。。。。邮件主题为“El presentees el requerimiento enviado a declarar por el proceso iniciado en su contra(ultimo aviso)”（翻译后为：“这是针对您提议的处置流程申明（最后通知）”）。。。。。。

图2-7 假装成哥伦比亚检察院的邮件

假装成哥伦比亚移民局：

图2-8是攻击者假装成哥伦比亚移民局的攻击邮件。。。。。。邮件主题为“Comunicado710297647: Proceso Penal Pendiente”（翻译后为：“申明710297647：待定刑事诉讼法”）。。。。。。

图2-8 假装成哥伦比亚移民局的邮件

2.2.2 钓饵文档

凭据现有的谍报分析批注，，，，，，，，该组织以往最常用的邮件附件是带有恶意宏的MHTML体式的DOC文档。。。。。。我们对近期捕获到的有关攻击样本进行分析后，，，，，，，，发此刻大无数情况下，，，，，，，，攻击者起头使用带有短链接的RTF或PDF文德反作为恶意附件，，，，，，，，以绕过邮箱网关的检测。。。。。。表2-1列出了黑客组织在这次攻击活动中使用的恶意文档信息。。。。。。

文件名	功夫戳
citacion prueba covid.pdf	2020-07-09 11:06:40
citacion prueba covid.pdf	2020-06-19 14:11:05
Comunicado.pdf	2020-04-25 13:11:38
minsaludcomunicado.pdf	2020-03-04 22:17:40
estado de cuenta.pdf	2020-02-25 21:58:29
reactivar mi cedula.pdf	2020-02-03 23:18:38
DIAN estado de cuenta.rtf	2019-11-04 15:01:00
pdfproceso.rtf	2019-10-25 14:09:00
Proceso.rtf	2019-08-26 21:00:00

表2-1 有关恶意文档信息

（1）案例1

附件RTF文档中内嵌一个名为“VER PROCESO”的跳转链接，，，，，，，，其指向的恶意链接使用的是IP Logger短链接服务。。。。。。

图2-9 RTF文档内容

图2-10 IP Logger短链接平台

（2）案例2

附件PDF文档中内嵌一个名为“Ver comunicado”的跳转链接和一行文本信息（仅用于提升文档的可信度）。。。。。。其指向的恶意链接使用的是Acortarurl短链接服务。。。。。。

图2-11 PDF文档内容

三、溯源与关联分析

在对本次攻击样本的IOC进行深刻追踪溯源后，，，，，，，，我们挖掘出黑客组织更多的C2服务器信息。。。。。。后文，，，，，，，，我们将结合目前把握的谍报数据和公开的钻研汇报资料信息，，，，，，，，来对这次攻击事务进行具体的组织关联分析。。。。。。

3.1C&C基础设施分析

通过提取和关联所有样本中的C&C服务器有关信息，，，，，，，，我们发现黑客组织所使用的基础设施都位于哥伦比亚、哥斯达黎加和巴拿马，，，，，，，，所有IP都归属于哥伦比亚的ISP。。。。。。查看这些IP的具体信息（如图3-1）能够看到，，，，，，，，此IP段的网络服务提供商是Unus.Ins公司，，，，，，，，该公司操控着26209个IP地址，，，，，，，，且险些所有这些IP地址都是提供给匿名VPN服务使用，，，，，，，，例如Powerhouse Management.Inc（phmgmt.com）。。。。。。由于该ISP在网络中的流量大无数拥有诓骗性，，，，，，，，因而美国反诓骗安全公司Scamalytics将其标注为高诓骗风险ISP（如图3-2）。。。。。。

图3-1 有关IP具体信息

图3-2 Scamalytics公司标注信息

图3-3为该组织在这次攻击活动中使用的部门域名、IP、PE文件和Office文件的对应关系。。。。。。

图3-3 对应关系图

该组织使用的域名是在国表DNSExit.com平台上免费注册的三级子域（该平台提供的免费域现实上是二级域，，，，，，，，如图3-4），，，，，，，，且这些子域所指向的IP地址被频仍的更换（如图3-5）。。。。。。若是一个C2服务器被关关，，，，，，，，攻击者则能够急剧地更新DNS纪录指向新服务器，，，，，，，，复原衔接。。。。。。攻击者利用域名注册商提供的DNS服务（double flux），，，，，，，，再共同使用VPN服务（fast VPN）作为攻击载荷和木马回连的通路，，，，，，，，以达到反追踪和反侦测的主张。。。。。。

图3-4 DNSExit.com平台

图3-5 域名指向的IP

3.2关联和技术演进分析

我们从本次事务中黑客组织所使用的样本、C&C服务器等层面进行了关联分析，，，，，，，，并结合该组织早期攻击活动中的有关个性，，，，，，，，得出以下几处沉要的关联点。。。。。。

3.2.1 假装起源信息

在早期的攻击活动中，，，，，，，，盲眼鹰组织惯于将自身假装成哥伦比亚国度民事登记处、哥伦比亚国度税务和海关总署等部门来对哥伦比亚确当局和金融机构进行攻击。。。。。。而在本次攻击事务中，，，，，，，，攻击者所使用邮件的假装起源信息除了同该组织拥有肯定的沉叠以表，，，，，，，，还新增了一些哥伦比亚其他当部门门信息。。。。。。具体详见表3-1。。。。。。

钓饵假装起源（2018年4月-2019年2月）	钓饵假装起源（2019年9月-2020年7月）
哥伦比亚民事登记处	哥伦比亚民事登记处
哥伦比亚国度税务和海关总署	哥伦比亚国度税务和海关总署
哥伦比亚国度司法部门	哥伦比亚国度总检察院
哥伦比亚国度统计局	哥伦比亚移民局
哥伦比亚国度网络警员局	哥伦比亚卫生部

表3-1 起源信息

3.2.2 恶意附件文档

该组织擅于使用携带恶意宏的MHTML体式的word文档作为攻击载荷。。。。。。在这次攻击活动中，，，，，，，，我们观察到攻击者更改了初期的攻击战术，，，，，，，，其先将带有短链接内容的PDF或RTF体式的恶意附件作为第一阶段的钓饵文档，，，，，，，，再通过诱导受害者点击链接后，，，，，，，，跳转到指定的服务器高低载恶意文档，，，，，，，，该恶意文档是蕴含宏代码的word文档。。。。。。从这些PDF/RTF体式的恶意附件在VT上的扫描了局（如图3-6）能够看到，，，，，，，，它们的查杀率普遍偏低甚至为0。。。。。。攻击者将这类低查杀率的恶意文档作为邮件附件，，，，，，，，能在肯定水平上达到绕过邮件网关的主张。。。。。。

图3-6 VT查杀了局

3.2.3 域名使用偏好

我们将该组织在早期行动中使用的动态域名，，，，，，，，与本次行动所使用的域名做对比分析，，，，，，，，能够很清澈的看出，，，，，，，，这些域名都是通过统一个动态域名商DNSEXIT注册的。。。。。。此表，，，，，，，，在本次事务中的域名“medicosta.linkpc.net”与2018年龄务中的域名“medicosco.publicvm.com”类似度极高，，，，，，，，由此猜测它们极有可能是由统一组织注册。。。。。。

3.2.4 IP地址关联

凭据我们在3.1幼节中所分析的了局显示，，，，，，，，攻击者所有关联域名的曾绑定和现绑定的IP地址，，，，，，，，均由互联网运营商Unus.Ins公司提供，，，，，，，，且大无数用作VPN服务。。。。。。这与该组织在2018年的攻击事务中发送邮件时使用的VPN有关IP地址128.90.xxx.xxx网段齐全一样，，，，，，，，由此能够看出这极有可能是出自统一组织。。。。。。

3.2.5 地理地位个性

从攻击者所使用的C&C基础设施来看，，，，，，，，其所使用的所有IP地址（蕴含128.90.xxx.xxx、191.95.xxx.xxx、190.253.xxx.xxx及179.33.xxx.xxx等网段）均归属于哥伦比亚的ISP（如图3-7）。。。。。。而这些IP地理地位也与该组织早期活动涉及的地理地位一样。。。。。。

图3-7 IP地址的地理地位

基于该组织从假装起源信息、钓饵文档、域名使用偏好、IP地址关联以及地理地位个性等方面的对比分析，，，，，，，，我们初步揣度本次的攻击行动来自“APT-C-36盲眼鹰”组织。。。。。。

四、攻击载荷分析

图4-1显示了黑客组织在这次攻击活动中的整个流程。。。。。。

图4-1 黑客攻击流程图

在初期阶段，，，，，，，，该组织首先利用与其假装起源有关的主题邮件，，，，，，，，附加恶意文档一并发送给攻击指标。。。。。。当受害者点击文档中的短链接时，，，，，，，，其现实上是被沉定向到下一阶段DOC文档的托管平台，，，，，，，，从而执行下载流程。。。。。。该DOC文档运行后会启动恶意宏代码，，，，，，，，接见并解析执行指定的页面（html文件），，，，，，，，随后从C&C服务器高低载payload文件，，，，，，，，成功下载后立即执杏祝。。。。。此payload会在内存中加载执行其解密后的DLL模浚�？？？？槔词迪值谝唤锥蔚闹澳�，，，，，，，，接着第二阶段的DLL模浚�？？？？樵僦葱衅浣饷芎蟮腅XE模浚�？？？？�，，，，，，，，为了暗藏恶意下发职能，，，，，，，，第三阶段的EXE模浚�？？？？榛峤饷芎蟮目芍葱蠵E文件（AsyncRAT远控木马）映射到傀儡过程中执杏祝。。。。。最后，，，，，，，，AsyncRAT木马法式与C&C服务器成立SSL通讯，，，，，，，，接管节造指令以实显熹间谍活动。。。。。。

攻击者为了暗藏其真实贪图，，，，，，，，选取多层模浚�？？？？榍短缀鸵圆宦涞卮缶衷谀诖嬷屑釉刂葱心韭矸ㄊ降氖址�，，，，，，，，再结合该木马针对自身运行环境检测（如虚构机、沙箱、反调试等）的职能，，，，，，，，以预防其在自动化系统分析中露出恶意行为。。。。。。下文，，，，，，，，我们从黑客组织近期攻击事务的案例中，，，，，，，，拔取一例进行具体的分解。。。。。。

4.1垂钓邮件

图4-2展示了攻击者仿冒来自哥伦比亚国度卫生部的垂钓邮件，，，，，，，，邮件标题为“Usted hasido citado para una prueba obligatoria de (COVID-19)”（翻译后为：“您被要求参与强造性检测（COVID-19）”），，，，，，，，正文内容是关于检测的有关问题（如图4-3），，，，，，，，并宣称邮件附件是检测功夫和地址，，，，，，，，以诱导受害者打开附件文档。。。。。。

图4-2 仿冒来自哥伦比亚国度卫生部的垂钓邮件

图4-3 邮件翻译后的内容

4.2恶意文档

黑客组织所使用的恶意文档蕴含PDF、RTF以及MHTML体式的DOC文档。。。。。。其并未使用缝隙，，，，，，，，而是通过嵌入的恶意宏代码来触发后续恶意行为。。。。。。与该组织以往攻击手法分歧的是，，，，，，，，本次并未直接通过邮件传布MHTML体式的恶意文档，，，，，，，，而是将蕴含一个跳转链接（该链接指向MHTML体式的恶意文档）的正常文档作为邮件附件来进行投递，，，，，，，，以绕过邮箱网关的安全检测。。。。。。

图4-4是4.1幼节中的邮件附件，，，，，，，，该pdf文件蕴含哥伦比亚国度卫生部的标志、一行文本信息（标注文档密码，，，，，，，，实则无用）和一个名为“Ver comunicado”的跳转链接（如图X）。。。。。。

图4-4 PDF文档跳转链接内容

当用户点击文档链接时，，，，，，，，现实上攻击者是利用Acortarurl短链接服务平台将受害者沉定向到其指定的服务器上，，，，，，，，下载MHTML体式的word文档。。。。。。图4-5为接见Acortarurl的流量内容。。。。。。

图4-5 Acortarurl的流量内容

固然此案例中的恶意文档链接已失效，，，，，，，，不外通过关联分析后，，，，，，，，我们发现了其他有关的恶意文档。。。。。。该文档同样是假装成来自哥伦比亚国度卫生部，，，，，，，，攻击者在文档正文利用西班牙语诱导用户点击“启用内容”按钮来查看检测功夫和地址。。。。。。具体内容如图4-6所示。。。。。。

图4-6 内嵌VBA的DOC恶意文档内容

当我们查看该文档的VBA工程时，，，，，，，，提醒必要输入密码。。。。。。解密后从宏代码的内容能够看到，，，，，，，，当受害者启用宏职能后，，，，，，，，恶意代码将自动执行Document_Open函数。。。。。。具体内容如图4-7所示。。。。。。

图4-7 恶意宏代码内容

该函数会利用Microsoft工具mshta.exe来解析“http://pastebin.com/raw/Xrp7W0V3”（搁置在pastebin网址上的html恶意剧本文件）。。。。。。具体内容如图4-8所示。。。。。。

图4-8 加密的HTML剧本文件内容

解密后的恶意剧本文件重要职能是利用Windows内置法式certutil.exe远程下载指定的EXE文件，，，，，，，，而后将其保留至“%appdata%msts.exe”并执行该法式。。。。。。

图4-9 解密后的HTML剧本文件内容

4.3 Payload

如上文所示，，，，，，，，通过html恶意剧本下载并执行的“msts.exe”（C#编写并参与了大量的混合）现实上是一个Dropper文件。。。。。。“msts.exe”会从资源中解密出“DriverUpdate.dll”（C#编写）并在内存中反射加载该DLL模浚�？？？？槔词迪值谝唤锥蔚闹澳�；；；；；；；；接着第二阶段的“DriverUpdate.dll”再解密出其原始文件“msts.exe”中的另一个资源数据，，，，，，，，而后执行解密后的“Cyrus.exe”模浚�？？？？�；；；；；；；；第三阶段的“Cyrus.exe”从自身资源中解密出Async RAT远控木马，，，，，，，，并将其整个文件覆盖映射到当前过程中执杏祝。。。。。最后，，，，，，，，Async RAT木马法式与C&C服务器进行通讯衔接，，，，，，，，衔接成功则发奉上线包要求上线，，，，，，，，并期待接管节造指令。。。。。。

4.3.1 第一阶段模浚�？？？？�

“msts.exe”重要用于解密并在内存中加载下一阶段的职能模浚�？？？？椤！�。。。。其将自身假装成Intel无线驱动利用法式，，，，，，，，并附有具体的文件注明和版本号（如图4-10），，，，，，，，以此蛊惑攻击指标。。。。。。

图4-10 “msts.exe”文件属性具体信息

该Dropper模浚�？？？？榈娜肟诘阍赪indowsFormsApplication1处（如图4-11），，，，，，，，其首先通过挪用SelectedCard类中的D_D_D_D函数对名为“xor4”的资源数据进行解密。。。。。。

图4-11 Dropper模浚�？？？？榈娜肟诤�

解密算法是循环异或运算，，，，，，，，其固定密钥为“RR5IRBNF5F4GN7997QFBYY”，，，，，，，，解密代码如图4-12所示。。。。。。

图4-12 解密代码具体内容

在解密出PE文件后，，，，，，，，Dropper模浚�？？？？樵蚋郊尤銎舳问ā癆cBRmi、S8epuew和IntelWireless”）来加载执行第二阶段的职能模浚�？？？？椤！�。。。。

图4-13 加载执行职能代码

4.3.2 第二阶段模浚�？？？？�

该阶段模浚�？？？？榈奈募癉riverUpdater.dll”，，，，，，，，当此模浚�？？？？樵诵泻�，，，，，，，，会提取和解密第一阶段Dropper模浚�？？？？橹辛硪桓鲎试次募癆cBRmi”，，，，，，，，之后在内存中加载执行解密出的第三阶段的PE文件。。。。。。

图4-14 解密和执行PE文件的职能代码

解密算法依然是循环异或运算，，，，，，，，其密钥为“CZysHnTTIiop”，，，，，，，，解密代码如图4-15所示。。。。。。

图4-15 异或解密算法代码

4.3.3 第三阶段模浚�？？？？�

此职能模浚�？？？？榈奈募剖恰癈yrus.exe”，，，，，，，，其重要工作为解密和执行最终的远控木马。。。。。。

（1）初始化阶段

在执行入口函数之前，，，，，，，，该模浚�？？？？榛嵩诔跏蓟疌lass3的私有成员变量byte_Data时，，，，，，，，先挪用Class1类的步骤解密自身资源文件Kdgv。。。。。。具体如图4-16所示。。。。。。

图4-16 解密资源文件

资源数据的初次解密选取单一的异或加密算法，，，，，，，，固定密钥为"dXhhaxrqDcQ"，，，，，，，，通过对资源数据的每个字节做单一的XOR运算实现第一次解密。。。。。。解密函数的代码如图4-17所示。。。。。。

图4-17 解密函数代码内容

第一次解密前和解密后的资源数据如图4-18所示。。。。。。

图4-18 初次解密前后的数据内容

之后再对第一次解密后的数据进行二次解密，，，，，，，，前16位为解密密钥“0x19 0xEF 0xB6 0xB6 0xE7 0x7E 0x920x92 0x0D 0xA0 0xE0 0x95 0xAD 0x8F 0x6B 0x14”，，，，，，，，后面紧随着的是待解密密文。。。。。。解密前后的数据内容如图4-19所示。。。。。。

图4-19 二次解密前后的数据内容

函数以16字节为循环，，，，，，，，将密钥同密文顺次进行按位异或，，，，，，，，最终解密得到“Stub.exe”文件。。。。。。解密函数代码如图4-29所示。。。。。。

图4-20 解密函数代码内容

除此之表，，，，，，，，该模浚�？？？？榛够峤崛〕龅呐湎嘈畔⑹�，，，，，，，，别离赋值给它们所对应的私有成员变量，，，，，，，，在我们分析的此案例中，，，，，，，，其配置数据大部门的值都为0。。。。。。具体内容如图4-21所示。。。。。。

图4-21 配相信息数据内容

（2）执行主职能代码

该模浚�？？？？槭紫仁褂肁ssembly.GetEntryAssembly().Location获取当前过程的全蹊径。。。。。。接着通过判断上文提到的部门私有成员变量致反决定要执行的流程分支，，，，，，，，其中蕴含互斥体的创建、虚构机和沙箱的检测、文件下载、拷贝自身等。。。。。。在本案例样本中，，，，，，，，凭据其配相信息来看，，，，，，，，此模浚�？？？？榻鲋葱凶詈笠幌盍鞒�，，，，，，，，挪用smethod_11函数。。。。。。代码如图4-22所示。。。。。。

图4-22 代码执行流程

进入到smethod_11函数后，，，，，，，，该模浚�？？？？橄扰灿肅lass3.SelectPuppetProcess来选择后续执行的RAT载体。。。。。。由于参数int_13的值为0，，，，，，，，所以返回值为string_10（当前模浚�？？？？榈娜杈叮！�。。。。

图4-23 代码内容

在选择完RAT的傀儡过程后，，，，，，，，该模浚�？？？？樵倥灿胹method_9函数，，，，，，，，其中参数1为自身过程的全蹊径，，，，，，，，参数2为之前解密出的PE文件数据。。。。。。首先，，，，，，，，该模浚�？？？？槌列麓唇ㄒ桓鲎陨硇鹿�，，，，，，，，而后卸载此过程映像，，，，，，，，并把之前解密出的新PE头部，，，，，，，，以及节数据顺次写入到新过程模浚�？？？？橹�，，，，，，，，最后批改OEP并启动运行（“Stub.exe”）。。。。。。

图4-24 写入和执行新PE文件

4.3.4 RAT模浚�？？？？�

如上文所述，，，，，，，，被执行的名为“Stub.exe”的PE文件则是最终的RAT模浚�？？？？椤！�。。。。通过度析和溯源后发现，，，，，，，，该PE文件是用C#说话编写的AsyncRAT远控木马。。。。。。除了远程桌面监控、键盘纪录、过程治理、远程WebCam、远程Shell等职能以表，，，，，，，，其还蕴含加密、反沙河注反虚构机、反分析和反调试等匹敌模浚�？？？？椤！�。。。。下面我们会对RAT中的主题部门做深刻的分析。。。。。。

图4-25远程法式AsyncRAT节造端

（1）初始化配相信息

木马法式通过挪用Settings.InitializeSettings函数来初始化配相信息。。。。。。从图4-26中的函数实现代码能够看到，，，，，，，，其会提取出固定的密钥并使用AES256算法解密出所有的配置数据信息。。。。。。蕴含端标语、Host信息、版本号、Pastebin信息、解密秘钥、SSL通讯证书及证书署名等信息，，，，，，，，之后挪用Settings.VerifyHash函数对证书进行验证。。。。。。

图4-26 初始化配相信息

解密之后的配相信息如图4-27所示。。。。。。

图4-27 配相信息具体内容

（2）检测运行环境

为了逃避沙箱/安全人员的检测，，，，，，，，木马法式使用了各类鉴别沙箱/虚构机的技术，，，，，，，，用于判断自身法式地点的运行环境，，，，，，，，若是发现是在虚构环境，，，，，，，，或是被调试状态，，，，，，，，法式则直接退出。。。。。。从而达到暗藏自身，，，，，，，，躲避检测的主张。。。。。。下面是该木马使用到的技术。。。。。。

VMWARE和VirtualBox虚构机的检测。。。。。。

图4-28 虚构机的检测

SandBox的检测。。。。。。

图4-29 沙盒的检测

判断法式自身是否被调试。。。。。。

图4-30 调试环境的检测

通过判断获取的硬盘容量是否大于6100000000L（56.81G），，，，，，，，来检测是否为真实机械或虚构环境。。。。。。

图4-31 判断硬盘容量

（3）装置机造

木马法式的装置机造蕴含过程唯一性判断、在宿主机的悠久化设置和守护过程设置。。。。。。该木马以解密配相信息中的MTX字串"AsyncMutex_s8H9OlmYu”为名来创建互斥体，，，，，，，，以保障运前过程的唯一性。。。。。。

图4-32 创建互斥体

其还会判断当前执行文件蹊径与装置目录是否一致，，，，，，，，若是一样，，，，，，，，则代表该模浚�？？？？橐炎爸霉�，，，，，，，，装置职能便不再执杏祝。。。。。如不一样，，，，，，，，该木马则会通过对比系统中运行的过程名来确保运前过程的唯一性。。。。。。具体代码如图4-33所示。。。。。。

图4-33 判断装置蹊径

之后，，，，，，，，木马法式凭据当前是否为治理员执行权限，，，，，，，，来选择是通过装置打算工作还是写入开机自启动号令实现悠久化。。。。。。具体代码如图4-34所示。。。。。。

图4-34 装置打算工作或增长自启动

在实现悠久化操作后，，，，，，，，木马法式将自身沉新写入到装置目录下并定名为指定文件名（chromgoogle.exe）。。。。。。而后再在一时目录下天生和执行.bat批处置剧本文件。。。。。。该bat文件用于运杏装chromgoogle.exe”可执行文件及自身删除。。。。。。具体内容如图4-35所示。。。。。。

图4-35 剧本文件内容

最后，，，，，，，，木马法式通过提升当前过程权限及设置线程始终处于执行状态方式，，，，，，，，来实现守护过程。。。。。。

图4-36 过程守护实现代码

（4）上线机造

在装置机造设置实现后，，，，，，，，木马法式则通过配相信息中的IP和端口与节造端服务器成立SSL和谈衔接。。。。。。此时该木马会网络受习染主机的系统信息，，，，，，，，并把这些信息压缩后作为上线包发送到C&C服务器。。。。。。上线包的内容蕴含主机设备的用户名、系统版本号、治理怨厮号和木马法式当前执行蹊径、版本号、装置功夫等有关信息。。。。。。通过对木马法式的分析，，，，，，，，我们发现上线包的长度是不固定的。。。。。。8827太阳集团ADLab钻研员在对上线包体式做解析、提取后，，，，，，，，整顿综合出木马法式上线数据包体式和上线数据包内容体式。。。。。。具体如表4-1和图4-37（其钟装绿色横格”作为一组数据的宰割线）所示。。。。。。

数据大幼	数据注明	数据内容
0x01	子包数量（以组为单元）	0x8D（HEX值固定）
0x01	名称长度	0xA6（HEX值固定）
0x06	名称	“Packet”（字符串值固定）
0x01	包名长度	0xAA（HEX值固定）
0x0A	上线包名	“ClientInfo”（字符串值固定）

0x01	名称长度	0xA4（HEX值固定）
0x04	名称	“HWID”（字符串值固定）
不固定	标识码长度	不固定（如0xB4）
不固定	唯一机械标识码	不固定（如“F40DD340EC6FDDB01847140”）

0x01	名称长度	0xA4（HEX值固定）
0x04	名称	“User”（字符串值固定）
不固定	用户名长度	不固定（如0xAA）
不固定	用户名	不固定（如“xxx”）

0x01	名称长度	0xA4（HEX值固定）
0x04	名称	“Path”（字符串值固定）
不固定	蹊径长度	不固定
不固定	恶意代码当前执行蹊径	不固定

0x01	名称长度	0xA7（HEX值固定）
0x07	名称	“Version”（字符串值固定）
不固定	版本号长度	不固定（如0xA7）
不固定	恶意代码版本号	不固定

0x01	名称长度	0xA5（HEX值固定）
0x05	名称	“Admin”（字符串值固定）
不固定	治理怨厮号名长度	不固定（如0xA5）
不固定	治理怨厮号名	不固定（如“Admin”）

0x01	名称长度	0xAB（HEX值固定）
0x0B	名称	“Performance”（字符串值固定）
不固定	窗口信息长度	不固定
不固定	用户前台窗口信息	不固定

0x01	名称长度	0xA8（HEX值固定）
0x08	名称	“Pastebin”（字符串值固定）
不固定	Pastebin值长度	不固定（0xA4）
不固定	配置中Pastebin的值	不固定（如“null”）

0x01	名称长度	0xA9（HEX值固定）
0x09	名称	“Antivirus”（字符串值固定）
不固定	信息长度	不固定
不固定	杀毒软件信息	不固定（如“N/A”）

0x01	名称长度	0xA9（HEX值固定）
0x09	名称	“Install”（字符串值固定）
不固定	信息长度	不固定（如0xB1）
不固定	恶意代码装置功夫信息	不固定

0x01	名称长度	0xA4（HEX值固定）
0x04	名称	“Pong”（字符串值固定）

0x01	名称长度	0xA5（HEX值固定）
0x05	名称	“Group”（字符串值固定）
不固定	Group值长度	不固定（如0xA7）
不固定	配置中Group的值	不固定（如“Default”）

表4-1 上线数据包体式

图4-37 上线数据包内容体式

下面是木马法式发奉上线要求的具体操作步骤：

步骤1

其首先会对配相信息钟装Pastebin”的值做判断，，，，，，，，若是不为NULL，，，，，，，，则使用webClient.DownloadString步骤获取服务端的上线域名/IP和端标语（从“Pastebin”上提取！�。。。。！�。。。。部门代码如图4-38所示。。。。。。

图4-38 从“Pastebin”上提取上线域名和端标语

若是为NULL，，，，，，，，则直接从配相信息中提取出对应的上线域名/IP和端标语（以逗号作为分隔符），，，，，，，，这批注该木马法式是拥有配置多个C2的职能，，，，，，，，攻击者可能矫捷地增长多个备用C2，，，，，，，，即便其中一部门被阻断，，，，，，，，也可能沉获节造权。。。。。。具体代码如图4-39所示。。。。。。

图4-39 从配相信息中提取上线域名和端标语

步骤2

木马法式在与节造端衔接成功后，，，，，，，，便起头挪用自界说类步骤IdSender.SendInfo步骤，，，，，，，，网络受习染主机和木马自身版本等有关信息，，，，，，，，这些信息会被逐个的贮存在MsgPack类钟祝。。。。�；；；；；；；；袢∩璞感畔⒋肴缤�4-40所示。。。。。。

图4-40 获取设备信息

步骤3

在此之后，，，，，，，，木马法式挪用msgPack.Encode2Bytes函数对上线包数据进行封包。。。。。。该函数首先会执行this.Encode2Stream步骤，，，，，，，，通过调试分析得知，，，，，，，，由于该木马是使用map类型来存储上线数据，，，，，，，，那么此处便会挪用this.WriteMap步骤来操作上线包。。。。。。

图4-41 挪用this.WriteMap步骤

木马法式封包职能重要是在Encode2Stream步骤中实现，，，，，，，，为了能更直观地将上线数据包处置流程展示给读者，，，，，，，，我们以本案例作为参考，，，，，，，，绘造出整个封包的流程图（如图4-42）。。。。。。

图4-42 数据包封包流程图

我们通过对封包函数的交叉引用进行具体分析后，，，，，，，，得出该木马法式的上线包（以及后续的心跳包和节造指令包）均选取此方式进行处置。。。。。。必要出格把稳的是，，，，，，，，代表其子包的数量值（value）、名称和数据的长度值（value），，，，，，，，现实上都是先对这些数据的真实值（num和len）做判断，，，，，，，，再将真实值与对应的固定值相加，，，，，，，，最后得出value值。。。。。。发送包体式如表4-2所示（可结合图4-37理解）。。。。。。

子包数量

（/组）

长度

（子包1name）

数据

（子包1name）

长度

（子包1data）

数据

（子包1data）

子包2

…

num

name_value

string_name

data_value

string_data

……

表4-2 数据包体式

步骤4

在封包结束后，，，，，，，，木马法式使用GZipStream类的步骤对上线包进行压缩处置。。。。。。代码如图4-43所示。。。。。。

图4-43 数据包压缩处置

步骤5

最后，，，，，，，，该木马会将数据包包长和数据包（获取的信息）分两个包顺次发送给节造端申请上线。。。。。。

图4-44 发送数据包

（5）心跳机造

木马法式通过使用Timer类实现了自身的心跳机造。。。。。。其重要职能是每10到15秒向节造端发送心跳包，，，，，，，，心跳包内容蕴含包名和被习染主机系统用户前台窗口信息。。。。。。

图4-45 发送心跳包

由图4-45中的代码实现可见，，，，，，，，该远程木马心跳包的数据是同样使用MsgPack.Encode2Byte步骤进行封包处置的。。。。。。

（6）远程节造

在针对木马法式处置节造号令部门进行具体分析时，，，，，，，，我们发此刻被控端木马的恶意代码中，，，，，，，，并未蕴含任何远程指令的具体实现职能代码。。。。。。因而我们针对节造端和被控端做进一步的调试和观察后，，，，，，，，发现所有跟远程操作有关的职能代码，，，，，，，，都是凭据其职能进行归类且被封装在分歧的DLL模浚�？？？？橹幼！�。。。。当节造端在执行远程操作时，，，，，，，，则首吓纂被控端发送特定的数据包进行交互，，，，，，，，接着再将压缩后的职能模浚�？？？？楦郊拥绞莅蟹⑺透豢囟�，，，，，，，，由被控端以不落地大局在内存中加载执行，，，，，，，，来实现节造端指定的节造号令。。。。。。通过选取“propelling in use，，，，，，，，destory after use”的工作模式，，，，，，，，攻击者既能够矫捷地调整木马法式的配相信息，，，，，，，，又能较有效地预防取证分析人员获取其主题攻击模浚�？？？？�，，，，，，，，且在肯定水平上达到免杀和绕过安全机造的成效。。。。。。图4-46是木马法式在执行节造号令时（以“远程节造桌面”指令为例），，，，，，，，两端之间的具体操作流程图。。。。。。

图4-46 远程操作交互流程图

该远控木马法式总共有十几个可执行主题职能模浚�？？？？�，，，，，，，，其中蕴含远程桌面监控、Webcam监控、键盘纪录、文件查找、远程shell、Bots Killer以及DDos攻击等职能。。。。。。表4-3列出了所有模浚�？？？？榈拿埔约捌渌杂Φ闹澳堋！�。。。。

模浚�？？？？槊�	模浚�？？？？橹澳�
Chat.dll	Chat
Extra.dll	Visit Website /Send MessageBox /Get Admin Privileges / Disable Windows Defender /Set Wallpaper
FileManager.dll	File Manager
FileSearcher.dll	File Searcher
LimeLogger.dll	Keylogger
Miscellaneous.dll	BotsKill /USB Spread /Seed Torrent /Remote Shell /DOS Attack /Execute.NET Code
Options.dll	Report Window
ProcessManager.dll	Process Manager
Recovery.dll	Password Recovery
RemoteCamera.dll	Webcam
RemoteDesktop.dll	Remote Desktop
SendFile.dll	Send File To Disk
SendMemory.dll	Send File To Memory

表4-3 主题模浚�？？？？橹澳芙馕�

表4-4为部门攻击指令数据包的内容。。。。。。其中黄色标注部门为：当节造端要执行远程节造操作时，，，，，，，，其与被控端交互的通用数据包体式（除“string_SHA256”和“压缩后的二进造数据”以表，，，，，，，，其他内容都一样），，，，，，，，其余都是其他有关操作的信息指令。。。。。。

数据内容	数据注明
“Packet”“plugin” “DLL”“string_SHR256”（由C&C服务器提议） ------------------------------------------------------ “Packet”“SendPlugin” “DLL”“string_SHR256”（由RAT提议） ------------------------------------------------------ “Packet”“plugin” “DLL”“压缩后的二进造数据” “Hash”“string_SHR256” （由C&C服务器提议）	动态回传各类节造指令职能模浚�？？？？槭莅！�。。。。
“Packet”“dos” “Option”“postStart” “Host”“string_host” “Port”“string_port” “Timeout”“string_timeout”	DDos攻击有关配相信息
“Packet”“fileManager” “Command”“getPath” “Path”“string_path” ------------------------------------------------------ “Packet”“fileManager” “Command”“getDriver”	远程文件治理有关操作信息
“Packet”“keylogger” “isON”“false”	键盘纪录有关操作信息
“Packet”“processManager” “Option”“Kill” “ID”“string_id” ------------------------------------------------------ “Packet”“processManager” “Option”“List”	过程治理有关操作信息
“Packet”“ShellWriteInput” “WriteInput”“string_txt” ------------------------------------------------------ “Packet”“ShellWriteInput” “WriteInput”“exit”	远程Shell执行有关操作信息

表4-4 攻击指令数据包解析

五、总结

通过度析能够看出，，，，，，，，“APT-C-36盲眼鹰”组织重要选取的手法是网络垂钓攻击，，，，，，，，即以使用带有社工假装的邮件（仿冒国度当部门门）作为攻击入口，，，，，，，，利用低查杀率的邮件附件（用于绕过邮箱网关）向指标主机投放后门法式。。。。。。在侵入主机设备后，，，，，，，，再通过多层嵌套加载、虚构机沙箱检测及职能模浚�？？？？槎扑偷燃际跫苛�，，，，，，，，达到在指标主机上持久埋伏而不被发现的成效。。。。。。同时，，，，，，，，结合对该组织汗青攻击兵器的深刻钻研我们发现，，，，，，，，为了应对不休进取的安全防御和检测，，，，，，，，该黑客组织改进了其攻击战术，，，，，，，，所使用的后门木马工具更复杂、匹敌性更强，，，，，，，，这批注该组织在持续地更新迭代恶意代码的职能和状态，，，，，，，，并出现出职能模浚�？？？？榛那飨颉！�。。。。

鉴于该黑客组织持久通过垂钓邮件以及OfficeVBA宏进行攻击的惯用伎俩，，，，，，，，我们建议有关用户不要轻易打开和下载未知起源的邮件附件及链接，，，，，，，，做好邮件系统的防护，，，，，，，，如有必要可通过打开Office文档中的：文件-选项-信赖中心-信赖中心设置-宏设置，，，，，，，，来禁用所有宏代码执杏祝。。。。。一旦系统或服务器出现异常行为，，，，，，，，实时汇报并请专业人员进行排查，，，，，，，，以解除安全隐患。。。。。。

IOC

SHAR·1

612b7cd95eb317c2931d89acfb1c99506d799d26

ee42b8a4b53c8363828b9bc732045aa248e1d64a

e9e0871d37d1765756175e8931eedadb3f210b9b

e9e0871d37d1765756175e8931eedadb3f210b9b

c277bb8d01cb3e9d18d5378c6f518f4faca508fb

b586969a25aca22612ff59978d3a6062663baa86

79bf3730a7089b5c108bad883c1cc9a3779cb366

IP

128.90.112.142

128.90.112.231

128.90.105.72

URL

https://acortaurl.com/diangovocestadodecuentadeudaquotamp___P

https://acortaurl.com/activarcedulaonlineregistraduriagovcoquotamp__

https://yip.su/2oTZk

https://acortaurl.com/pdfproceso00910020190976543

https://acortaurl.com/diangovcodocumentos2019deudaalafecha0393948amp_

8827太阳集团积极防御尝试室（ADLab）

ADLab成立于1999年，，，，，，，，是中国安全行业最早成立的攻防技术钻研尝试室之一，，，，，，，，微软MAPP打算主题成员，，，，，，，，“黑雀攻击”概想首推者。。。。。。截止目前，，，，，，，，ADLab已通过CVE累计颁布安全缝隙近1100个，，，，，，，，通过 CNVD/CNNVD累计颁布安全缝隙900余个，，，，，，，，持续维持国际网络安全领域一流水准。。。。。。尝试室钻研方向涵盖操作系统与利用系统安全钻延注移动智能终端安全钻延注物联网智能设备安全钻延注Web安全钻延注工控系统安全钻延注云安全钻延祝。。。。。钻研成就利用于产品主题技术钻延注国度沉点科技项目攻关、专业安全服务等。。。。。。

上一篇下一篇

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

Copyright ? 8827太阳集团版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】