摩訶草APT團(tuán)伙新腳本類攻擊樣本的示例分析

小編給大家分享一下摩訶草APT團(tuán)伙新腳本類攻擊樣本的示例分析，希望大家閱讀完這篇文章之后都有所收獲，下面讓我們一起去探討吧！

讓客戶滿意是我們工作的目標(biāo)，不斷超越客戶的期望值來自于我們對(duì)這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效、簡(jiǎn)單的方式提供給客戶，將通過不懈努力成為客戶在信息化領(lǐng)域值得信任、有價(jià)值的長(zhǎng)期合作伙伴，公司提供的服務(wù)項(xiàng)目有：域名注冊(cè)、網(wǎng)絡(luò)空間、營(yíng)銷軟件、網(wǎng)站建設(shè)、青原網(wǎng)站維護(hù)、網(wǎng)站推廣。

“摩訶草”組織，又稱Hangover、Viceroy Tiger、Patchwork、Dropping Elephant、MONSOON，國(guó)內(nèi)其他安全廠商也稱其為白象、豐收行動(dòng)。

該組織是一個(gè)以長(zhǎng)期針對(duì)中國(guó)、巴基斯坦及其他部分南亞國(guó)家從事網(wǎng)絡(luò)間諜活動(dòng)的APT組織。從2013年5月16日由國(guó)外安全廠商N(yùn)orman首次曝光以來，該組織的網(wǎng)絡(luò)攻擊活動(dòng)異常的活躍，并被國(guó)內(nèi)外不少安全廠商相繼發(fā)現(xiàn)其攻擊事件和使用的惡意代碼。

360公司也曾在2016年8月4日發(fā)布了《摩訶草組織（APT-C-09）來自南亞的定向攻擊威脅》一文【1】，詳細(xì)介紹了該組織發(fā)起的歷史4次攻擊行動(dòng)，并對(duì)其歷史使用的攻擊工具和基礎(chǔ)設(shè)施的關(guān)聯(lián)性進(jìn)行比較和總結(jié)。

“摩訶草”組織主要針對(duì)我國(guó)的政府機(jī)構(gòu)、科研教育領(lǐng)域以及軍事領(lǐng)域的目標(biāo)人員進(jìn)行攻擊，其主要使用魚叉攻擊，也使用基于即時(shí)通訊工具和社交網(wǎng)絡(luò)作為惡意代碼的投遞途徑。其攻擊使用的惡意代碼主要針對(duì)Windows系統(tǒng)，歷史也出現(xiàn)過針對(duì)其他平臺(tái)的惡意代碼。

360威脅情報(bào)中心在近期對(duì)“摩訶草”組織的攻擊活動(dòng)監(jiān)測(cè)過程中，發(fā)現(xiàn)其投入使用的新的攻擊樣本，我們決定發(fā)布此篇子分析報(bào)告，揭露該組織最新的攻擊技術(shù)細(xì)節(jié)。

背景概述

“摩訶草”組織的攻擊活動(dòng)從2013年5月16日首次曝光以來，其歷史的攻擊行動(dòng)及使用的攻擊工具和資源也被國(guó)內(nèi)外安全廠商多次揭露，但從360威脅情報(bào)中心對(duì)該組織的持續(xù)監(jiān)測(cè)顯示，該組織的攻擊行動(dòng)從未停止，并持續(xù)保持著一個(gè)比較高的頻度活躍。

自我們上一次公開發(fā)布“摩訶草”組織的完整分析報(bào)告，已經(jīng)過去了一年多，我們發(fā)現(xiàn)該組織在過去一年依然延續(xù)了過去的一些攻擊模式，但使用的攻擊工具和惡意代碼還是出現(xiàn)了一些顯著變化。

我們發(fā)現(xiàn)，“摩訶草”組織最近發(fā)起了一次可能是針對(duì)東歐部分國(guó)家的攻擊事件，并使用了其新制作的一些基于腳本的攻擊惡意代碼文件，和過去常見的采用誘導(dǎo)漏洞文檔類的攻擊載荷手法出現(xiàn)了一些明顯變化，并且已經(jīng)有部分烏克蘭用戶遭受此類攻擊并被植入遠(yuǎn)控木馬。

目前我們尚不能確定該攻擊事件背后的攻擊動(dòng)機(jī)，但為了預(yù)防該組織在未來的攻擊行動(dòng)中進(jìn)一步大規(guī)模使用該類攻擊惡意代碼，我們決定披露其部分技術(shù)細(xì)節(jié)并預(yù)警，以便能更好的防御其未來使用該類攻擊技術(shù)。

下面我們將重點(diǎn)分析“摩訶草”組織最新的腳本類攻擊惡意代碼技術(shù)。

基于腳本的攻擊載荷投放

在“摩訶草”組織最新制作的攻擊惡意代碼中，我們發(fā)現(xiàn)其主體模塊使用JS和PowerShell腳本進(jìn)行編寫，并利用多次解密、拼接來釋放和加載下一階段的攻擊載荷。

下圖為該惡意代碼的結(jié)構(gòu)和執(zhí)行流程。

Dropper JS – dog.js

Dropper JS是一個(gè)96KB的腳本，其會(huì)釋放一個(gè)中間JS腳本。其前面部分為hex形式的附加數(shù)據(jù)被作為注釋語(yǔ)句存放；后面的腳本會(huì)先獲取當(dāng)前正在執(zhí)行腳本的路徑，并讀取自身文件數(shù)據(jù)，找到前面注釋的附加數(shù)據(jù)拼接起來，轉(zhuǎn)換成二進(jìn)制形式，保存到”%temp%\laksasokpaslkak.js”，最后通過WScript容器執(zhí)行這個(gè)腳本。

中間JS腳本 – laksasokpaslkak.js

該腳本會(huì)首先判斷目標(biāo)主機(jī)是否存在卡巴和NOD32程序，如果存在則腳本退出；如果不存在，會(huì)把腳本里的“dllData”和“code”兩個(gè)數(shù)據(jù)一起寫入到一個(gè)PowerShell腳本文件中，其名字為隨機(jī)生成的5個(gè)字節(jié)。最后執(zhí)行該P(yáng)owerShell腳本。

隨機(jī)名稱PowerShell腳本

該P(yáng)owerShell腳本以數(shù)組形式亂序放置Base64編碼的數(shù)據(jù)，通過Base64解碼并解壓成PowerShell腳本后，采用了一種Bypass UAC的形式來執(zhí)行該腳本。其使用的Bypass UAC技術(shù)在另一個(gè)APT組織“海蓮花”的攻擊工具中也曾使用【2】。其通過修改注冊(cè)表鍵值劫持eventvwr.exe，調(diào)用SC命令創(chuàng)建一個(gè)服務(wù)，并指向解密后的PowerShell腳本。

PowerShell Loader

PowerShell Loader腳本也是隨機(jī)生成的名字，其主要功能是加載主體遠(yuǎn)控模塊。

該腳本從內(nèi)存中加載payload，如下為加載代碼流程：

其中“strexp”保存的為遠(yuǎn)控模塊的文件數(shù)據(jù)，經(jīng)過base64decode解碼得到原始文件內(nèi)容為一個(gè)DLL文件，其導(dǎo)出模塊名為socksbot.dll。最后使用ReflectiveLoader技術(shù)加載。

通過對(duì)加載的部分代碼分析，我們推測(cè)其可能參考了開源的代碼實(shí)現(xiàn)【3】，并添加了在64位Windows系統(tǒng)下的兼容性代碼。

遠(yuǎn)控模塊分析

加載入口 – ReflectiveLoader

該函數(shù)首先獲取當(dāng)前函數(shù)的地址，然后往前搜索PE頭部“MZ”標(biāo)志以定位該DLL模塊的基地址。

通過hash獲取3個(gè)函數(shù)LoadLibrary、GetProcAddr、VirtualAlloc的地址。

然后調(diào)用VirtualAlloc分配一片內(nèi)存空間。

把該DLL模塊復(fù)制到新申請(qǐng)的內(nèi)存中。

然后執(zhí)行DllMain。

執(zhí)行入口 – DllMain

DllMain會(huì)首先獲取一些硬件信息計(jì)算出機(jī)器碼。機(jī)器碼是根據(jù)驅(qū)動(dòng)器信息、電腦名和用戶名算出來的：

然后會(huì)獲取GetProcAddress和LoadLibraryA的地址，并把sub_1000234A代碼通過復(fù)寫進(jìn)程的方式注入svchost.exe宿主中，如圖：

注入后的代碼會(huì)初始化網(wǎng)絡(luò)套接字，發(fā)送一次touch包，然后創(chuàng)建一個(gè)主線程函數(shù)，如下：

在主線程中會(huì)連接C&C服務(wù)器地址5.8.88.64:80。

控制協(xié)議

這里我們?cè)敿?xì)分析該遠(yuǎn)控模塊使用的控制通信協(xié)議，其基于HTTP協(xié)議實(shí)現(xiàn)控制通信。

1. touch包

控模塊會(huì)發(fā)送touch數(shù)據(jù)包，其會(huì)根據(jù)機(jī)器碼生成對(duì)應(yīng)的php路徑用作HTTP訪問的請(qǐng)求路徑，其將機(jī)器碼和隨機(jī)生成的密鑰加密并附上密鑰信息。

其具體算法實(shí)現(xiàn)如下：

計(jì)算后生成的機(jī)器碼字符串是放到HTTP數(shù)據(jù)包的GET數(shù)據(jù)里，例如生成的字符串為j2ylvj50suxr8vzss17s3.php，那么加密后的機(jī)器碼數(shù)據(jù)為j2ylvj50suxr8vzss17s3。其前16字節(jié)是機(jī)器碼加密后的數(shù)據(jù)，從16字節(jié)開始到末尾是隨機(jī)生成的密鑰信息，密鑰長(zhǎng)度在5-16字節(jié)隨機(jī)，數(shù)值的范圍在0-35隨機(jī)，然后通過編碼成可見字符。

當(dāng)服務(wù)器接收到該字符串會(huì)采用如下方式解密還原機(jī)器碼：

1） 分割出加密的機(jī)器碼和密鑰

2） 通過解密算法去解密前面16字節(jié)的機(jī)器碼。

例如這里對(duì)j2ylvj50suxr8vzss17s3.php進(jìn)行解密。

分割j2ylvj50suxr8vzs為加密的16字節(jié)機(jī)器碼，s17s3為隨機(jī)生成的密鑰。解密算法如下。

從而解密還原出原始的機(jī)器碼：

其隨后構(gòu)造成HTTP格式的數(shù)據(jù)包發(fā)送出去。

如圖為構(gòu)造HTTP數(shù)據(jù)包的函數(shù)，UserAgent是通過ObtainUserAgentString函數(shù)生成的。

2. 指令下發(fā)

遠(yuǎn)控服務(wù)器是通過不同的HTTP狀態(tài)碼來下發(fā)控制指令，受控端會(huì)進(jìn)行判斷。

在返回的HTTP數(shù)據(jù)包頭中，Date字段中存放服務(wù)器返回的機(jī)器碼。

受控端會(huì)對(duì)服務(wù)器下發(fā)的控制信息進(jìn)行解密，解密算法如下：

其解密密鑰為136字節(jié)。

EC1ABCB66F641126C2250C5CF26C9902BD53043EAAF5FE0374597261674FD732E2C0498A9FA06203C5641323C3B4DDCB5CD8A22A0EDCAE39A11D7E98A2B1B6276C595E7CC1E1A0C743B8C075416C7DB3CB509AB5059556E99D2818BDDDEEE508AC871474239CC4B5527A8AED49949D5A421C785484ED084F1FCD3D3CFD1D8D8B

3. 回傳數(shù)據(jù)

受控端接受到控制服務(wù)器下發(fā)的指令后，會(huì)根據(jù)HTTP返回的狀態(tài)碼確定要執(zhí)行的命令，例如返回碼是203的時(shí)候就會(huì)上傳執(zhí)行，返回碼是202的時(shí)候就會(huì)截屏和獲取進(jìn)程列表。

并且上傳數(shù)據(jù)按如下格式構(gòu)造：

4個(gè)字節(jié)長(zhǎng)度 + 1字節(jié)token + 加密后的內(nèi)容。

例如這里執(zhí)行獲取屏幕截屏和進(jìn)程快照信息，并加密發(fā)送到控制服務(wù)器。

功能小結(jié)

該遠(yuǎn)控模塊實(shí)現(xiàn)了以下控制命令，包括：

上傳執(zhí)行腳本

上傳執(zhí)行PE

回傳屏幕截屏

回傳進(jìn)程列表

其使用HTTP協(xié)議進(jìn)行控制通信，采用這種控制協(xié)議也更便于攻擊者使用Web頁(yè)面來可視化控制和管理失陷主機(jī)，其HTTP協(xié)議通信步驟如下：

1) 機(jī)器中木馬后，會(huì)每隔不定時(shí)間間隔去連接C&C服務(wù)器的80端口，根據(jù)HTTP協(xié)議發(fā)送touch包，發(fā)送的http數(shù)據(jù)包的GET數(shù)據(jù)中包括編碼后的長(zhǎng)度隨機(jī)的機(jī)器碼。

2) 服務(wù)器收到touch包后，會(huì)記錄下來最近一次活躍時(shí)間，判斷是否在線。

3) 服務(wù)器如果需要對(duì)受控端進(jìn)行控制，就會(huì)回一個(gè)202或者203的HTTP狀態(tài)碼，下發(fā)指令。下發(fā)的指令是在http數(shù)據(jù)段里面，數(shù)據(jù)包格式為4個(gè)字節(jié)長(zhǎng)度+1個(gè)字節(jié)token+加密后的內(nèi)容。

4) 受控端收到命令后，會(huì)判斷服務(wù)器返回的http狀態(tài)碼，根據(jù)不同的狀態(tài)碼去解析數(shù)據(jù)包去執(zhí)行不同的命名，然后把執(zhí)行后的結(jié)果回傳給服務(wù)器。

5) 控制者可以通過對(duì)服務(wù)端的Web界面對(duì)受害者進(jìn)行控制。

交互操作可以總結(jié)為如下圖：

關(guān)聯(lián)分析與回溯

360威脅情報(bào)中心通過對(duì)PowerShell Loader腳本中的關(guān)鍵字搜索，發(fā)現(xiàn)了其在一個(gè)vps主機(jī)上搭建的Web控制端頁(yè)面。

主控端的界面如下，最后一次測(cè)試時(shí)間應(yīng)該在2017年6月，已經(jīng)在近半年以前。

通過該Web管理后臺(tái)可以對(duì)受控機(jī)器進(jìn)行控制操作。

另外一個(gè)Loots頁(yè)面保存了控制端發(fā)送控制指令后的一些日志數(shù)據(jù)，包括執(zhí)行命令、上傳文件、截屏、下載文件、執(zhí)行腳本的功能。

我們從日志數(shù)據(jù)中找到了一個(gè)名為setup.js的腳本文件，其代碼和我們分析的laksasokpaslkak.js的代碼大致一樣。

通過把該腳本中的DLL數(shù)據(jù)用同樣的方法解密出來后，發(fā)現(xiàn)和前面分析的遠(yuǎn)控模塊socksbot.dll完全一樣，其C&C為46.166.163.243，與測(cè)試機(jī)IP 46.166.163.242屬于同一網(wǎng)段。

查詢360威脅情報(bào)平臺(tái)數(shù)據(jù)確定其屬于“摩訶草”組織。

我們可以看到測(cè)試機(jī)執(zhí)行命令后的一些結(jié)果日志。

執(zhí)行ipconfig命令的結(jié)果

我們還發(fā)現(xiàn)攻擊者曾在測(cè)試機(jī)上測(cè)試上傳其另外的遠(yuǎn)控木馬程序和從遠(yuǎn)程地址下載惡意載荷。

這個(gè)Web版木馬控制端程序的網(wǎng)站域名（yds.deckandpatio.ca）綁定的IP地址為91.235.129.203。

這個(gè)IP的別名為：vds8262.hyperhost.name。

我們發(fā)現(xiàn)其是在一個(gè)烏克蘭的服務(wù)商上申請(qǐng)注冊(cè)的VPS服務(wù)器，其服務(wù)商官網(wǎng)為https://hyperhost.ua/ru。而yds.deckandpatio.ca這個(gè)域名應(yīng)該是其提供的一個(gè)免費(fèi)的二級(jí)域名。

總結(jié)

通過分析“摩訶草”組織最新制作并投入使用的攻擊惡意代碼，攻擊者選擇腳本類語(yǔ)言來重新實(shí)現(xiàn)攻擊載荷的投放組件，可能源于其對(duì)開發(fā)工具的便利性和效率的傾向性。

雖然我們沒有明確線索證實(shí)該次針對(duì)烏克蘭人員的攻擊事件中該類攻擊腳本是如何誘導(dǎo)受陷用戶下載和運(yùn)行的，但根據(jù)其過去的攻擊模式推測(cè)，其可能采用如下幾種方式。

構(gòu)造包含有惡意腳本的自解壓執(zhí)行的壓縮包；

魚叉攻擊，并附帶有包含惡意腳本的壓縮包文件或附有惡意腳本壓縮程序下載的釣魚鏈接；

在社交網(wǎng)絡(luò)上發(fā)送附有惡意腳本壓縮程序下載的釣魚鏈接；

也不排除其可能通過入侵網(wǎng)站，在頁(yè)面植入惡意腳本代碼的方式。

從“摩訶草”過去采用的攻擊模式和使用的惡意代碼技術(shù)來看，該組織比較偏好于使用腳本和C#來開發(fā)攻擊工具的習(xí)慣。我們推測(cè)其更傾向于選擇能夠快速開發(fā)和實(shí)現(xiàn)攻擊的方式，并且通過不斷更新和變化的攻擊工具來逃避檢測(cè)和隱藏其攻擊行徑。攻擊者還制作了可用于Web管理的控制后臺(tái)程序來方便大規(guī)模管理和控制受陷主機(jī)。

從我們發(fā)現(xiàn)的攻擊者注冊(cè)的VPS服務(wù)器及其Web控制頁(yè)面，攻擊者發(fā)起新的攻擊和使用新的惡意代碼工具至少會(huì)提前半年進(jìn)行準(zhǔn)備和測(cè)試。

目前我們還無法推測(cè)其發(fā)起此次攻擊事件的動(dòng)機(jī)，可能是該組織針對(duì)東歐部分國(guó)家發(fā)起的定向攻擊，也不排除是其發(fā)起的一次基于新制作的攻擊武器的一次實(shí)戰(zhàn)演練。所以我們?cè)诖藢?duì)該類惡意代碼的部分技術(shù)細(xì)節(jié)進(jìn)行披露，以便于提前防御該組織在未來的攻擊行動(dòng)中進(jìn)一步大規(guī)模使用該類攻擊惡意代碼。

看完了這篇文章，相信你對(duì)“摩訶草APT團(tuán)伙新腳本類攻擊樣本的示例分析”有了一定的了解，如果想了解更多相關(guān)知識(shí)，歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝各位的閱讀！

網(wǎng)站標(biāo)題：摩訶草APT團(tuán)伙新腳本類攻擊樣本的示例分析
文章來源：http://www.muchs.cn/article38/iidgpp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供品牌網(wǎng)站設(shè)計(jì)、全網(wǎng)營(yíng)銷推廣、企業(yè)網(wǎng)站制作、網(wǎng)站改版、網(wǎng)站導(dǎo)航、商城網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)