美人鱼行动(APT-C-07) 长达6年的境外定向攻击活动揭露


一、 概述

 

美人鱼行动是境外 APT 组织主要针对政府机构的攻击活动,持续时间长达 6 年的网络 间谍活动,已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到 2010 年 4 月,

最近一次攻击是在 2016 年 1 月。截至目前我们总共捕获到恶意代码样本 284 个,C&C 域名

35 个。

2015 年 6 月,我们首次注意到美人鱼行动中涉及的恶意代码,并展开关联分析。虽然 我们暂时无法判断其载荷投递的方式和攻击针对目标和领域,但通过大数据关联分析我们已 经确定相关攻击行动最早可以追溯到 2010 年 4 月,以及关联出上百个恶意样本文件,另外 我们怀疑载荷投递采用了水坑攻击的方式,进一步结合恶意代码中诱饵文件的内容和其他情 报数据,我们初步判定这是一次以窃取敏感信息为目的的针对性攻击,且目标熟悉英语或波 斯语。

2016 年 1 月,丹麦国防部情报局1(DDIS,Danish Defence Intelligence Service)所属的网 络安全中心(CFCS,Centre for Cyber Security)发布了一份名为“关于对外交部 APT 攻击的 报告”2的 APT 研究报告,报告主要内容是 CFCS 发现了一起从 2014 年 12 月至 2015 年 7 月 针对丹麦外交部的 APT 攻击,相关攻击主要利用鱼叉邮件进行载荷投递。

CFCS 揭露的这次 APT 攻击,就是我们在 2015 年 6 月发现的美人鱼行动,针对丹麦外交 部的相关鱼叉邮件攻击属于美人鱼行动的一部分。从 CFCS 的报告中我们确定了美人鱼行动 的攻击目标至少包括以丹麦外交部为主的政府机构,其载荷投递方式至少包括鱼叉式钓鱼邮 件攻击。

通过相关线索分析,我们初步推测美人鱼行动幕后组织来自中东地区。

二、 载荷投递

 

1. 鱼叉邮件:PowerPoint OLE 钓鱼文档

 

OLE 是 Object Linking and Embedding 的缩写,即“对象链接与嵌入”,将可执行文件或 脚本文件嵌入到文档文件中3,虽然没有使用漏洞,但构造的恶意文档文件极具有迷惑性。 攻击者可以在 outlook 发送邮件时、word 文档或 PowerPoint 幻灯片中构造钓鱼文档, 在美人鱼行动中主要是利用 PowerPoint OLE 钓鱼文档,一般是将 PE 恶意文件嵌入其中。进 一步针对单个 PPT 文档,攻击者会嵌入多个同样的 PE 恶意文件,这造成在用户环境执行 PPT 钓鱼文档后,对弹出的安全警告窗口点击“取消”后会继续弹出,一般安全意识较弱的用户

在经过多次操作后没有达到预期效果,则会点击“运行”由此来达到关闭安全警告窗口。

图 1 PowerPoint OLE 钓鱼文档执行后的效果

图 2 PowerPoint OLE 钓鱼文档中嵌入了多个 PE 文件

2.  疑似水坑攻击

 

kurdistannet.org(A Daily Independent Online Kurdish Newspaper)网站被植入了恶意链接, 我们怀疑美人鱼行动中发动水坑攻击会基于该网站。这个网站的主要内容是涉及伊拉克库尔 德斯坦的相关新闻,网站语言以波斯语为主,也就是被攻击目标是关注库尔德斯坦相关新闻, 且熟悉波斯语。

我们在 2016 年 4 月 14 日再次请求访问该网站,通过对页面源码的分析,插入的恶意链 接依然还存在尚未删除,也就是 kurdistannet 网站的管理人员尚未发现相关威胁。但是恶意 链接目前来看已经失效了。

图 3 kurdistannet 网站主页

图 4 kurdistannet 网站被植入恶意链接的源码截图

上表是对 kurdistannet 网站被挂马的具体记录,我们通过 sucuri 谷歌快照的时间,可以 确定至少在 2016 年 1 月 24 日 kurdistannet 网站就已经被植入了恶意链接。

图 5 sucuri 对 kurdistannet 网站的检测结果

 

从以下两个表中,可以看出母体文件有来自 URL 的情况,从 URL 最终指向的文件扩展 名来看,应该不会是诱导用户点击并执行这类 URL。而这类 URL 有可能是其他 downloader 木马请求下载或者由漏洞文档、水坑网站在触发漏洞成功后下载执行。

 

3.  自身伪装

 

这里主要指对二进制可执行 EXE 文件,主要从文件名、文件扩展名和文件图标等方面进 行伪装。

在美人鱼行动中主要通过 winrar 的自解压功能将相关样本文件和诱饵文档打包为 EXE 文件,其中诱饵文档涉及的方面较多,会涉及安装补丁、开发环境、视频、图片、文档等, 但就 EXE 文件母体很少将文件图标替换为文档或图片图标。

 

三、 RAT 分析

 

1.  功能简述

 

美人鱼行动中使用的 RAT 我们命名为 SD RAT,SD RAT 主要是通过 winrar 的自解压功能 将自己打包为 exe 文件,会伪装为安装补丁、开发环境、视频、图片、文档等,如 V1 版本 会伪装成图片文件,V2 版本会将自己伪装为 aptana 的 air 插件。

主要功能是进行键盘记录,收集用户信息(例如:pc 的信息,剪贴板内容等等)然后 上传到指定服务器,进一步还会从服务器上下载文件(下载的文件暂时还未找到)并运行。 从样本代码本身来看 SD RAT 主要分为两个版本,大概 2012 年之前的是早期 V1 版本,2012 年之后至今的为 V2 版本。

3.  自身伪装

 

这里主要指对二进制可执行 EXE 文件,主要从文件名、文件扩展名和文件图标等方面进 行伪装。

在美人鱼行动中主要通过 winrar 的自解压功能将相关样本文件和诱饵文档打包为 EXE 文件,其中诱饵文档涉及的方面较多,会涉及安装补丁、开发环境、视频、图片、文档等, 但就 EXE 文件母体很少将文件图标替换为文档或图片图标。

 

三、 RAT 分析

 

1.  功能简述

 

美人鱼行动中使用的 RAT 我们命名为 SD RAT,SD RAT 主要是通过 winrar 的自解压功能 将自己打包为 exe 文件,会伪装为安装补丁、开发环境、视频、图片、文档等,如 V1 版本 会伪装成图片文件,V2 版本会将自己伪装为 aptana 的 air 插件。

主要功能是进行键盘记录,收集用户信息(例如:pc 的信息,剪贴板内容等等)然后 上传到指定服务器,进一步还会从服务器上下载文件(下载的文件暂时还未找到)并运行。 从样本代码本身来看 SD RAT 主要分为两个版本,大概 2012 年之前的是早期 V1 版本,2012 年之后至今的为 V2 版本。

2.  V1  V2 版本

 

两个版本执行在整体架构上是相同的都是在创建窗口的时候调用了一个函数,在该 函数中创建两个定时器一个用来记录剪贴板中最新内容,一个用来下载文件和发送用户 信息。

在 V1 版本中创建了两个定时器一个用来下载文件和发送用户信息另一个则调用 GetAsyncKeyState 进行键盘记录 ,而在 V2 版本中通过注册热键,响应相关消息进行键 盘记录。在 V1 版本中则通过 setclipboard 和响应 WM_DRAWCLIPBOARD 消息来记录剪贴 板上的内容。V2 版本内部之间的主要区别在于 URL 和相关字符串是否加密,在 2015 年 的近期 V2 版本中几乎对所有的字符串都进行了加密操作。

虽然两个版本在具体的功能实现的手法上有所区别但整体结构和功能是一致的,甚 至连字符串解密的函数都是一样的。

 

 

3.  对抗手法

 

躲避执行?失误?

V2 版本会检测 avast 目录(avast software)是否存在,如果不存在则停止运行。V2 版 本此处的检测逻辑,不太符合一般恶意代码检测杀毒软件进行对抗的思路,我们推测有两种

 

可能性:

第一种:攻击者重点关注被攻击目标环境存在 avast 杀软的目标; 第二种:攻击者在开发过程中的失误导致。

 

谨慎执行

V2 检测到其他杀软不会停止运行,而是谨慎执行。

V2 版本首先会检测卡巴斯基目录(Kaspersky Lab),判断是否安装了该杀毒软件如果存 在 则 会 进 行 谨 慎 的 删 除 , 如 果 存 在 则 检 测 是 否 存 在 C:\Documents and Settings\Administrator\ApplicationData\Adobe\airplugin*.dat,存在则会获取插件的名称,然 后删除对应的启动项。如果不存在则会直接将以 airplugin 开头的相关启动项全部删除。

进一步然后向注册表中添加启动项,在添加启动项的过程中依旧会检测如下杀毒软目录 件是否存在。

如果存在,会通过执行批处理的方式添加如果不存在则直接进行修改注册表。接着会执 行删除,然后再次检测上面罗列的杀毒软件,如果存在则将原文件移动过去并重命名如果不 存在则直接复制过去重命名。

检测杀软的操作并没有影响最终的结果,只是采取了更加谨慎的操作。

 

四、 C&C 分析

 

1. WHOIS 信息

图 6 域名和注册邮箱对应关系

 

非动态域名,我们通过对主域名的 WHOIS 信息分析,发现相关域名持有者邮箱主要集 中在以下几个邮箱:

2.  故意混淆误导?无辜受害者?

 

现象

 

在我们分析 C&C 通信的过程中,一个针对安全厂商的误报反馈引起了我们的注意,具 体反馈的误报信息如下表和下图所示。

图 7 sophos 反馈误报页面

 

aj58 在 sophos 论坛主要反馈 sophos 产品误报了他持有的两个网站,sophos 的 UTM 是 基于 McAfee Smartfilter XL,aj58 声称 McAfee 已经更改了网站状态(即非恶意),其中 Scott Klassen 反馈如果 McAfee 如果修改状态,则 sophos 最终也会修改。aj58 继续反馈说 VT 中 sophos 的检测结果依然是恶意。从目前来看 VT 中 sophos 的结果4是未评级网站(Unrated site), 也就是已经将恶意状态修改。

 

分析

 

在看到以上现象,我们首先是想到了我们在之前发布的《007 黑客组织及其地下黑产活 动分析报告》5中,出现过攻击者主动联系安全厂商,探测安全厂商检测机制的案例。

以下是我们就本次事件的具体推测过程:

首先 sophos 论坛上注册的用户名是 aj58,这的确和反馈误报的两个域名 WHOIS 信息中 邮箱地址比较相似“aminjalali_58@yahoo.com”,“aj58mail-box@yahoo.com”,这一现象或许 是用户习惯相关用户名,另外就是刻意表示与相关网站具备关联归属性。

进一步 aj58 声称自己拥有的两个网站,也是美人鱼行动中主要涉及到 C&C 域名,从 2010年至 2015 年都有涉及到这两个 C&C 的木马出现,一般情况恶意域名如果曝光或使用次数越多则存活时间则会越短,而如果只是针对特定目标,且控制其传播范围,则 C&C 域名会存 活较长时间。

疑点 1:而且从我们的分析来看,这两个 C&C 域名的作用并非简单的判断网络环境,其 作用主要是窃取信息的回传和下载其他恶意程序。这时我们怀疑有两种可能性,第一:这两 个域名属于美人鱼行动幕后组织所注册持有;第二:这两个域名是可信网站,被美人鱼行动 幕后组织攻陷作为跳板。

疑点 2:进一步我们发现在美人鱼行动中使用的 C&C 域名,排除动态域名,至少有 8 个 C&C 域名与 aj58 提到的这两个域名注册邮箱相同。这时我们怀疑有两种可能性,第一: 这两个域名属于美人鱼行动幕后组织所注册持有;第二:这两个域名和其他 8 个域名均为可 信网站,而美人鱼行动幕后组织只针对 aj58 所持有的域名进行攻击,并作为跳板。

疑点 3:另外这些 aj58 提到的这两个域名,以及我们发现的其他域名均无对外提供 WEB

服务或网站页面。

疑点 4:我们注意到 aj58 是在 2015 年 7 月 25 日反馈误报,而 aj58 所持有的另外 3 个 域名已经在 2015 年 7 月 1 日被安全机构(virustracker.info)sinkhole 了。从 aj58 在 sophos 论坛反馈自己网站被误报的情况,我们认为 aj58 用户对自己网站的安全性还是很关注的。 我们推测 aj58 所持有的网站如果被其他机构接管了,aj58 应该会进行反馈质疑,我们无法 知道 aj58 是否联系 virustracker.info,但从这 3 个网站的最新 WHOIS 信息来看,持有者仍然 是 virustracker.info。

表 3 被安全机构接管的 3 个 C&C 域名

其他: aj58 是在 2015 年 7 月 25 日反馈误报,CFCS 发布的针对丹麦外交部攻击的报告 中指出最后一次攻击是 2015 年 7 月 24 日。

通过以上分析推测,我们更倾向 aj58 就是美人鱼行动幕后组织的成员,但我们暂时无 法确切证明,不排除 aj58 是无辜的受害者。

3. 被安全机构 sinkhole

 

在上一小节中我们已经介绍了美人鱼行动中有 3 个 C&C 已经被安全机构接管。一般情 况下安全机构对某个域名进行 sinkhole 接管的时候,是很确定该域名是被攻击者所持有。

五、 相关线索信息

 

1.  诱饵文档

图 8 诱饵文档截图 1

图 9 诱饵文档截图 2

从上面两张诱饵 PPT 截图来看,其中主要语言是波斯语。

表 5 OLE 嵌入的 PE 文件路径

上表是 PPT OLE 钓鱼文档中嵌入的 PE 文件路径,这个路径就是恶意代码作者本机的文 件路径,从相关用户名“ya hosain”、“ya ali”来看,这些用户名更多出现在中东地区。

 

从下表中可以看出诱饵 PPT 文档属性的标题内容也是波斯语。

表 6 PPT 文件属性中标题内容

从上面视频内容和视频原始文件名中的“badhejiab”,都涉及到中东地区。

 

2.  后门程序

 

美人鱼行动中大量样本都存在如下类似情况,即子体文件中会包含一段字符串,相关内 容一般是直接复制于新闻网站的内容。相关字符串在样本实际执行的过程中并没有具体作用。

下表是其中一个样本的信息,新闻主要涉及叙利亚相关问题。

图 10 相关新闻页面截图

3.  作息时间

图 11 攻击者作息时间

图 12 RAR 自解压文件内相关文件时间

4. 域名 WHOIS 信息

 

C&C 域名的注册邮箱:“aminjalali_58@yahoo.com

图 13 相似域名截图6

5.  小结

 

结合上述线索信息,以及与攻击目标的关系,我们初步推测美人鱼行动幕后组织来自中 东地区。

 

 

附录 Asophos 误报反馈详细记录

下表是用户名为“aj58”的用户在 sophos 论坛页面反馈的完整记录:

发表评论

电子邮件地址不会被公开。 必填项已用*标注