人面狮行动(APT-C-15)中东地区的定向攻击活动

 

一、 概述

 

人面狮行动是活跃在中东地区的网络间谍活动,主要目标可能涉及到埃及和以色列等国 家的不同组织,目的是窃取目标敏感数据信息。活跃时间主要集中在 2014 年 6 月到 2015

年 11 月期间,相关攻击活动最早可以追溯到 2011 年 12 月。主要采用利用社交网络进行水

坑攻击,截止到目前我总共捕获到恶意代码样本 314 个,C&C 域名 7 个。 人面狮样本将主程序进行伪装成文档诱导用户点击,然后释放一系列的 dll,根据功能

分为 9 个插件模块,通过注册资源管理器插件的方式来实现核心 dll 自启动,然后由核心 dll 根据配置文件进行远程 dll 注入,将其他功能 dll 模块注入的对应的进程中,所以程序运行的 时候是没有主程序的。用户被感染后比较难以发现,且使用多种加密方式干扰分析,根据 PDB 路径可以看出使用了持续集成工具,从侧面反映了项目比较庞大,开发者应该为专业的 组织。

进一步我们分析推测人面狮行动的幕后组织是依托第三方组织开发相关恶意软件,使用 相关恶意软件并发起相关攻击行动的幕后组织应该来自中东地区。

二、 载荷投递

 

1.  社交网络水坑攻击

 

我们发现其中一个希伯来语的诱饵文档来自于 Facebook 以色列军队主页的评论。也就 是攻击者通过利用目标所关注的社交网站帐号进行载荷投递,这是一种典型的水坑攻击方 式。这与传统的水坑攻击不同,APT  攻击中主流的水坑攻击主要分为以下两种:

第一种:目标关注 A 网站,攻击者将 A 网站攻陷,并植入恶意代码(一般为漏洞脚本 文件,俗称挂马),当目标访问被攻陷的 A 网站并浏览相关页面时,当目标环境相关应用 触发漏洞则有可能被植入恶意代码。

第二种:目标关注 A 网站,攻击者将 A 网站攻陷,并将 A 网站上一些可信应用或链接 替换为攻击者所持有的恶意下载链接,当目标访问被攻陷的 A 网站并将恶意下载链接的文 件下载并执行,则被植入恶意代码。这种攻击的典型案例是 2014 年公开 Havex 木马1,也被 称作蜻蜓(Dragonfly)和活力熊(Energetic  Bear)和我们在 2015  年 5 月末发布的海莲花

(OceanLotus)APT 组织2。 这两种水坑攻击的共性是攻击者需要获得目标所关注网站的修改权限,而本次攻击行动

中攻击者完全是利用目标所关注的第三方社交网络平台进行攻击,攻击者只需简单注册,则 具备留言评论等权限。

图 1 Facebook 样本来源

下表是上图具体恶意下载链接和链接对应的 RAR 文件 MD5。

RAR 压缩包中诱饵文档内容为个人所得税调整,通过修改 exe 图标为文档来诱导用户点击。

图 2 压缩包内诱饵文档截图

图 3 相关 C&C 域名被卡巴斯基 sinkhole

进一步我们发现相关攻击涉及 10 个社交网络帐号,具体请参看“附录 A:希伯来语样 本来源”,相关帐号主要涉及如:以色列国防军、以色列海军等以色列军方和政府的社交网 络帐号,相关攻击评论时间主要集中在 2015 年 1 月底至 2 月初期间。攻击者通过在社交网 络评论下发表回复诱导用户点击,回复的内容为个人所得税改革。

 

2.  诱饵文档

 

根据诱饵文档的内容,也可以从体现出攻击者关注的目标领域范围,进一步主要分为以 下 3 类:

(A) 埃及:阿拉伯语

图 4  诱饵文档 1

此文档的原始文件3,文件末尾有[爱资哈尔大学反对政变的学生]的 YouTube 主页

vv

图 5  诱饵文档 2

annonymous rabaa 是一个攻击政府官网以抗议 2013 年 8 月 Rabaa 大屠杀的埃及黑客组 织。

 

(B) 以色列 :希伯来语

 

文档内容为:以色列个人税收改革。

 

3.  自身伪装

分为两种方式,一种伪装成文档或图片,一种伪装成安装程序,具体如下图所示

图 7 伪装文档、图片

图 8 伪装成安装程序

前一种方式用户点击后并不会弹出文档或图片,后一种方式点击后安装成功然后会释放 出正常的安装程序。

模 块 的 文 件 属 性 为  Office  组 件 , 早 期 版 本 安 装 目 录 为 %UserProfile%\AppData\Roaming\officeplugin , 最 近 版 本 的 安 装 目 录 为 C:\Program Files\{GUID},比如 C:\Program Files\{59f0641e-45ac-11e5-af9e-b8ca3af5855f},伪装成系统组 件。

图 9 相关文件属性信息

三、 ROCK 后门分析

 

1.  功能简述

 

人面狮攻击行动中所使用的恶意代码主要以 ROCK 木马为主,这类家族属于人面狮幕后 组织自行开发或委托第三方订制的恶意程序。另外其中一个样本会释放远控木马,属于 njRat 的变种,在本章节中暂不对 njRat 的变种展开详细介绍。

通过将自身图标修改为文档、图片或安装程序图标,会伪装成 pdf 文件、图片、flash 安装程序,诱导用户点击执行。

主要功能是窃取用户信息,比如系统信息、键盘和鼠标记录、skype 监控、摄像头和麦 克风监控、浏览器保存的账号密码,以及 URL、浏览历史记录等敏感信息。收集信息后会加 密并发送到指定 C&C。

 

2.  功能结构

 

图 10  整体结构

 

配置文件中存储着每个模块的配置信息,比如模块是否开启、数据文件的加密 Key、用 户 ID(rkuid)、过期日期(未设置)、 C&C、截图和录音的质量及间隔时间,注入的进程 名称等。

图 11  模块功能

Dropper 总共会释放出 20 个 dll,32 位和 64 位各 10 个,每个功能模块都有 32 位版和

64 位版。

Zcore 主模块启动时解密安装目录下的配置文件,根据配置文件是否开启决定是否注入 到指定进程。

部分功能模块介绍:

l Zcore.dll 核心模块:负责加载其他的功能模块,并注入到指定进程中。以及模块的 注册、升级、卸载、日志和消息的派发功能。

l Plgcmd.dll 命令模块:负责获取系统信息,删除文件或目录、截图、上传下载文件, 启动和结束进程的功能。

l Plgcomm.dll 通信模块:负责将其他模块生成的数据文件发送到指定 CC,发送过程无加 密,加密是其他模块生成数据是完成的。每分钟向服务器发送一次请求,获取远程指令。

 

模块之间跨进程通过 WM_COPYDATA 消息通信,消息头 Magic 为 0x34AB541 作为唯一 标识识别。消息内容均格式化为 json 发送。

3.  通信方式

 

通过 HTTP POST 向服务器 80 端口发送数据,数据包中的敏感字符串通过查询 json 配置 文件的对应表替换。

图 12  网络通信

图 13  网络通信字符串还原

由于网络通信模块注入到浏览器进程中,且使用 HTTP POST 向 C&C 的 80 端口发送数据, 使异常流量很难被发现。

 

4.  对抗手法

 

文件名随机

Dropper 释放的文件,文件名来自于 json 文件,重命名为各种名词,比如 gendarme.dll,jerques.dll。

图 14  模块文件名

 

 

字符串加密

所有的字符串都经过加密,且有多个加密算法。

图 15  字符串加密

 

API 封装

大量的 API(300 多个)调用被封装在公共库中,干扰静态分析。

无主进程运行

核心模块作为 explorer.exe 的扩展启动,其他功能模块根据配置文件注入到指定进程, 无主进程,所以比较难发现.即使用户发现异常,没有找到可疑进程,也会放松警惕。

 

行为隐藏

主模块在 explorer 中运行,安全软件不会拦截;通讯模块注入到浏览器进程,无浏览器 进程不和 CC 通信;窃取文件模块注入到杀软,遍历文件的行为不容易被用户发现。

 

PE 资源和配置文件加密

Dropper 中的 PE 文件经过 zlib 压缩和 AES 加密,释放出来的 json 配置文件也经过此方 法加密。

 

从对抗手段来看,可见人面狮攻击行动中恶意代码开发者无论在静态还是动态对抗上面 都花了大量功夫,以达到免杀和隐藏行为的效果。

四、 相关线索信息

 

1. 攻击者 Facebook 帐号信息

攻击者在进行社交网络水坑攻击时主要使用的两个 Facebook 帐号。

 

1. PDB 信息

 

根据 PDB 信息我们可以推测以下结论:

  • 开发者id 为 zico
  • 工程名称为ROCK-RW2-BRW6R
  • 内部定义为rootkits 工具

 

 

3.  诱饵文档

从文件名可以看出,涉及埃及和以色列。

 

4.  释放的木马

 

52f461a133e95328ccd9ba7f70e2f3e6(图标为 Adobe pdf)样本中释放出一个远控,属于 njRat 的一个变种,而 njRat 主要流行于中东地区。

 

5.  IP 地理位置

图 16  样本和 CC 对应关系

其中一个样本的 C&C:196.205.194.60 所属国家为埃及,且此样本运行时释放的 njRAT 的

C&C 为 196.205.194.61 也是埃及。

附录 A:希伯来语样本来源

附录 B:最新样本查杀结果

发表评论

电子邮件地址不会被公开。 必填项已用*标注