蔓灵花攻击行动(简报)

一、概述

 

近日,360追日团队发布了蔓灵花攻击行动(简报),披露又一个针对中国政府能源的海外黑客攻击,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。

从这次攻击事件与近期发布的摩诃草、索伦之眼,以及之前的伊朗核电站、乌克兰电网断电等事件,我们看到网络空间的争夺成为了大国博弈的焦点,APT作为一种行之有效的手段不断在各类对抗中出现。随着APT对抗烈度的增加,跨平台的攻击将会成为主流,而不再聚焦在单一的Windows平台,包括移动设备、智能硬件、工业控制系统、智能汽车等多种平台都会成为攻击者的目标或跳板。面对国家之间的网络安全对抗和日益复杂的攻击事件,单一的安全防护设备不再能够有效的针对攻击进行检测与响应,只有通过协同纵深的防御体系,才能有效应对日益变化的高级威胁。

美国网络安全公司Forcepoint 近期发布了一篇报告,该报告主要披露了巴基斯坦政府官员最近遭到了来源不明的网络间谍活动。该报告描述了攻击者使用了鱼叉邮件以及利用系统漏洞等方式,在受害者计算机中植入了定制的AndroRAT,意图窃取敏感信息和资料。Forcepoint研究人员认为该组织与BITTER相关,而且可能还不止发起了这一起攻击事件。BITTER攻击始于2013年11月,且多年来一直未被检测到,目前攻击者背景尚未明确。相关APP信息包括提供关于印度和巴基斯坦之间的争议地区新闻的Kashmir News等。

基于360拥有的大数据资源,我们针对该事件进行了进一步分析,我们发现中国地区也遭受到了相关攻击的影响,受影响单位主要是涉及政府、电力和工业相关单位,该组织至今依然处于活跃状态。截至目前我们已捕获到了33个恶意样本,恶意样本涉及Windows和Android多个平台,恶意样本的回连域名(C&C)共26个。

 

二、国内受影响情况

 

活跃时间:

从恶意样本的时间戳来看,国外样本最早出现在2013年11月,样本编译时间集中出现在2015年7月至2016年9月期间。

国内感染用户的样本的编译时间集中在2016年5月到9月期间,其网络活动的活跃时间集中在9月份,其CC至今依然存活。

 

主要受影响单位:

中国某国家部委

中国某工业集团

中国某电力单位

 

三、鱼叉式邮件攻击

 

我们的研究人员发现,该组织经常使用鱼叉邮件攻击的手法,鱼叉邮件中包含Word漏洞文档来诱导用户点击,其使用的漏洞是Office的经典漏洞 CVE-2012-0158。

用户点击之后,漏洞文档中的Shellcode被执行,调用URLDownloadToFileA从指定的网址中下载木马程序,使用CMD命令重命名后执行,实现RAT的下载安装。

除了基本的漏洞文档,还有图标伪装成图片文件的exe,诱导用户进行点击,exe执行后释放图片并下载安装RAT程序。

漏洞文档的文件名列表如下:

 

 

 

 

图 1诱饵图片文件

 

图 2漏洞文档中的shellcode

 

四、 后门程序分析

 

  • Windows端

Windows平台上运行程序目前发现的有三大类,第一类是Downloader程序,当用户触发漏洞文档时,最先从CC上下载Downloader并且执行;第二类是后门程序FileStolen,功能较简单,意在窃取文件;第三类是具有完整功能的RAT,其有各种功能,体积较大。

  • DownLoader

样本MD5:       c195****************************

  • 技术细节

首先,程序运行时检测路径是否是在%UserData%/AddData/Roaming下,如果不是的话,拷贝自身到%UserData%/AddData/Roaming目录,名称为tasklist.exe,添加此路径到注册表HKCU\Software\Microsoft\Windows\Currentversion\Run启动项,并启动tasklist.exe,当在%UserData%/AddData/Roaming/tasklist.exe目录下启动时,检查C:\ProgramData\VWDLR.cab文件,没有的话,向服务器发送上线包,服务器返回版本号,将版本号写入此文件。

然后连接C&C的80端口,向服务器请求命令,当服务器返回的命令为 DWN时,下载RAT模块并启动。

命令: NLL (无操作)

FXAPIFile.logs文件内容,数据包内容为PE文件,文件名为lsass.exe

启动RAT的代码

  • FileStolen

样本MD5: 0b2c****************************

  • 功能概述

该程序的主要功能为文件窃取,窃取指定逻辑磁盘下指定文件名的文件并且上传的到CC服务器。

窃取的文件类型列表

图 3程序执行的主要流程示意

  • 详细分析

该程序的主要任务是进行文件窃取,其具体流程如下描述:

首先遍历目录下的文件

  1. 文件类型为文件夹
    1. 名称是”.”,”..”,”$recycle.bin”,”program files”,”windows”,”temp”,”system.sav”,”wwwroot”之一,遍历当前目录下一个文件
    2. 不是,拼接对应路径,递归调用本函数
  2. 文件类型是文件
    1. 后缀不是”txt”,”ppt”,”pptx”,”pdf”,”doc”,”docx”,”xls”,”xlsx”,”zip”,”7z”,”rtf”
    2. 后缀是,检测list文件是否已存在
      1. 不存在,调用发送文件函数。如果成功,将信息“文件名-系统时间”添加到文件tmp1,upd,ucopy中
      2. 存在,检测列表中“文件名-系统时间”是否已存在当前的文件
        1. 存在,把当前“文件名-系统时间”信息添加到tmp1文件中
        2. 不存在,调用发送文件函数。如果成功,将信息“文件名-系统时间”添加到文件tmp1,upd,ucopy中

3. 遍历当前目录下一个文件

完成文件窃取后,其会通过POST的方式将文件上传到CC服务器中。报文的格式如下表.

  • RAT

样本MD5:d195****************************

  • 功能概述

该程序是典型的后门程序,运行后通过写入注册表实现自启动,与CC建立链接并且执行CC的命令。

命令号 功能
2000 获取对应的计算机用户上的RAT状态信息
2001 获取计算机上的硬盘列表信息
2002 获取计算机上指定目录下的文件列表信息
2004 获取RAT的日志1
2005 创建指定文件
2006 向创建的文件(2005)中写入相关字节
2007 打开指定文件
2009 读取指定文件(2007)的内容
2012 创建远程控制台
2013 执行远程命令
2015 获取RAT的日志2
2016 结束远程控制台
2017 关闭对应的句柄
2019 获取存在UPD活动链接的进程
2021 获取RAT的日志3
2022 结束指定进程id
2023 获取用户活动进程信息
2025 获取RAT的日志1
  • 详细分析

病毒程序伪装信息,尝试伪装成Microsoft Printer Spooling Service

有的样本带有不受信任的数字签名

程序首先尝试在C:\ProgramData\Microsoft\DeviceSync 下创建名为temp.txt的文件,创建失败则调用SHGetFolderPath获取CSIDL_APPDATA的路径。之后程序创建名为mpss的窗口,并以隐藏的方式启动。

程序通过调用GetEnvironmentVariableA 通过参数 ComSpec 获取当前系统cmd的路径,之后通过该cmd路径执行cmd命令 reg add在注册表 Software\Microsoft\Windows\Currentversion\Run下添加名为MPSpoolingService的表项,并将以下路径添加到键值中实现自启动。

再次调用cmd copy命令,将自身复制到如下位置并重命名C:\Documents and Settings\Administrator\Application Data\mpss.exe程序通过遍历系统进程文件名,查找包含字符串“avg”的进程,检测杀毒软件avg是否存在。

之后程序再次调用cmd copy将自身复制到如下目录中C:\ProgramData\Microsoft\DeviceSync程序会检测上述目录下是否有mpsd.exe、mpst.exe和mpss.exe是否存在,推测为不同的拷贝名称。

之后程序创建多个线程来与CC建立链接并循环接受消息执行命令。

与CC通信的报文有明显的头部标记串“BITTER1234”

发送的数据也经过简单的异或处理

程序对所使用的字符串数据使用了简单的加减或者是异或的方式进行加密处理,不同的样本中的加密方式是不同的,但是整体的流程框架是相同的。

调试过程中发现,程序会从CC接受指令,在目录

C:\Documents and Settings\Administrator\Application Data下下载名为igfxsrv.exe的文件

 

※igfxsrv.exe 分析

该程序的主要内容为键盘记录,将用户的键盘操作记录在指定文件中。

  • Android端

  •  基本情况

样本:

448b****************************

8aff****************************

9edf****************************

  • 功能概述

软件冒充正常应用,启动后上传用户信息,并监控用户操作

  • 详细分析

1,监听”intent.action..BOOT_COMPLETED”广播,开机启动。

图 4样本开机启动

2,启动后立即开启异步线程SystemInfo,然后启动RAT模块。

图 5运行核心模块

3,SystemInfo首先上传如下数据:

  • 固件信息(Phone Number、IMEI、CountryCode、OperatorCode),
  • Sim卡信息(SIM SerialNo、SIM OperatorName、SIM CountryCode),
  • 位置信息(GPS定位、NetWork定位),
  • 通讯录,
  • 通话记录,
  • 短信,
  • Email.

图 6 SystemInfo上传固件信息

然后上传SDcard中的文件,其中448b****************************、8aff****************************这两个样本上传的文件格式为:  txt”,“doc”,“jpg”,“png”,“GIF”,“jpeg而9edf****************************上传的文件主要是聊天纪录的数据库文件,比如WhatsApp: db”,“crypt8”,“db.crypt8

图 7上传SDcard中的txt、doc等文件

图 8 Http Post方式上传短信数据

4,启动Android RAT模块。 RAT模块与105.***.***这个Ip建立Socket连接,接受命令和参数,并把监控到的数据直接上传到141.105.***.***。

图 9启动RAT监控模块

图 10 RAT各个功能模块

5、RAT模块的命令号和对应功能如下

命令号 功能
101 开始GPS监控
102 停止GPS监控
103 拍照
104 开始录音
105 停止录音
109 发送Toast
110 监控短信
111 监控通话
112 获取联系人
113 获取短信
114 列举指定目录文件
115 上传指定文件
116 向指定号码拨打电话
117 向指定号码发送指定短信
118 获取通话记录
119 停止监听短信
120 停止监听通话
122 打开浏览器
123 振动指定时长

6、分析过程中有个疑点,RAT模块完全可以实现SystemInfo的上传功能。RAT的C&C地址和SystemInfo不一样,且RAT的地址直接以IP地址方式硬编码。因此猜测,攻击者主要目的或许只是盗取目标用户的数据文件,不排除使用RAT迷惑分析员的可能性。

五、总结

网络安全成为国与国之间博弈的新战场。蔓灵花攻击的目标为国内某部委以及大型能源央企,意在窃取情报。这充分显示,随着我国“一带一路”等国家战略的逐步推进,给沿线国家及国际社会带来的深远影响,一些境外又组织的黑客团队将会不断利用包括APT攻击等手段试图窃取相关情报或者实施破坏行为。类似“一带一路”、“军民融合”等战略方向,也是海莲花组织(APT-C-00)、摩诃草组织(APT-C-09)、APT-C-05、APT-C-12、APT-C-17等这些攻击组织重点关注的领域。

从这个角度来看,“没有网络安全就没有国家安全”的论断具有很强的现实意义。可以说,网络空间成为大国博弈新的制高点,网络安全也成为国家安全的重要领域。网络安全对于国家的政治安全、经济安全、文化安全、军事安全都会产生深刻影响。

在2016年美国总统大选中,黑客组织利用APT攻击获得并泄露了美国民主党邮件和文件,给民主党总统候选人希拉里造成了极大的负面影响。APT攻击对国家政治的影响由此可见一斑。2010年攻击伊朗核电站的震网事件、2015年末导致乌克兰大规模停电的攻击事件,更是对让我们每个人对APT攻击的现实危害有了深刻认识。

因此,我们认为,网络安全成为大国博弈的新战场,高级持续攻击也成为网络安全对抗的重要手段。当前世界范围内的网络监听、网络攻击、网络犯罪等此起彼伏,并向国防、经济、文化等多领域渗透。作为国家继陆海空天电之后的“第六疆域”,我们需要对网络空间严守以待。

移动平台攻击增加,跨平台攻击渐成趋势。本次捕获的蔓灵花攻击行动中,不仅有针对Windows目标的攻击,还有针对移动Android系统的攻击,黑客通过假冒应用侵入目标的移动设备,上传用户信息,并监控用户操作。

在传统PC时代,黑客组织的攻击目标和攻击链往往比较单一。随着移动与智能设备的广泛部署和应用,黑客组织的攻击目标逐步扩大,攻击链也更加复杂。移动与智能设备不仅是攻击目标,也可以在控制之后成为黑客攻击的跳板或源头。

事实上, 在2016年8月360追日团队发布的《摩诃草组织(APT-C-09)——来自南亚的定向攻击威胁》报告中,除了针对 Windows 系统发动了相应攻击,同时也发现存在针对 Mac OS X 系统的攻击。从 2015 年开始,甚至出现了针对 Android OS 移动设备的攻击。

近期导致美国东部发生的大面积断网事件的DDoS攻击中,攻击的源头是由恶意软件Mirai感染并控制的智能设备形成的僵尸网络。我国在此前也发生过类似的由智能摄像头僵尸网络发起的攻击。

在《2015中国高级持续性威胁研究报告》中,我们预测“针对非Windows的攻击频率持续增高”。从2016年我们监控到的APT组织来看,Windows不再是APT攻击的主战场,相关攻击会从只针对Windows操作系统逐步过渡到针对如Linux、Android、Mac OS X操作系统,针对的目标平台除了传统PC,针对移动设备、工业控制系统相关攻击出现的频率和次数将会持续增高,进一步针对车联网、智能家居等物联网设备的攻击也将成为发展趋势。

协同纵深防御成为应对高级威胁的重要方法。APT攻击一般具有针对性极强、高隐蔽性、代码复杂度高的特点,这也是很多APT攻击能够持续攻击多年而不被发现的主要原因。针对这类顶尖的APT,传统的安全手段往往应对乏力,很多时候在被侵入数月,甚至数年之后才会发现,数据泄露的损失比较惊人。因此,针对我们需要革新传统的安全理念和防护手段,目前数据驱动的安全协同正在成为各方认可的方向。

从技术角度看,针对高级威胁的发现,需要将多维度检测手段的综合应用、大数据分析、威胁情报这三个方面结合起来。大数据是基础,要尽量多的掌握被保护对象的一手数据,如全流量的还原。如果能够有终端的文件级、进程级数据,则能达到更好的效果。通过互联网大网数据的综合分析与挖掘所产生的威胁情报,能够做到对于高级威胁所应用的攻击资源、攻击手法、组织背景等方面的关联判定,从而与大数据分析平台结合,针对高级威胁进行实时与历史的综合发现与持续监测。360提倡的数据驱动的安全协同防御,正是用较低的成本帮助客户建立轻量级的大数据安全平台,通过探针采集还原一手数据,并结合多源头的可机读威胁情报的应用,以及沙箱动态行为发现与关联引擎分析等多维度方法,进行高级威胁的判定。并可进一步联动网关处的NDR(Network Detection & Response,网络检测与响应)及终端处的EDR(Endpoint Detection & Response,终端检测与响应)系统进行快速协同联动处置。

从更广阔的协同思路上,我们认为协同分为数据协同、智能协同和产业协同三个层面,第一个层面是数据协同,是希望能够打破数据的孤岛和数据的鸿沟,数据的协同和共享,是数据驱动安全体系里最关键性的基石。正如上面所提到的技术方案,多维度数据的关联分析及威胁情报应用是关键。第二个层面是智能协同,这个层面的协同是解决分析能力不足导致的不可做。即使有海量多维度数据,如果没有足够的分析能力,数据的价值无法得到发挥,基于数据的协同分析,可以借助机器与机器的协同、机器与人的协同以及人与人的协同多个方面,最终目的还是为了便于人能够更加有效的分析和处理,提升分析的效率和效果。第三个层面是产业协同。产业协同需要政府和企业共同推进,达成政府间、企业间包括政府和企业间的互信,从而形成更安全的产业生态。