概述
响尾蛇(又称SideWinder)是疑似具有南亚背景的APT组织,其攻击活动最早可追溯到2012年,主要针对其周边国家政府,军事,能源等领域开展攻击活动,以窃取敏感信息为攻击目的。
2020年,新冠肺炎在全球爆发,大量黑产团伙、APT组织利用疫情相关诱饵信息开展攻击活动。奇安信威胁情报中心曾撰写《COVID-19 | 新冠病毒笼罩下的全球疫情相关网络攻击分析报告》__[1]__一文对利用疫情相关信息的攻击活动进行了总结概述。但疫情尚未结束,利用这一热点进行的攻击活动也越演越烈,奇安信红雨滴团队持续保持着对相关攻击活动的监测。
近期,奇安信威胁情报中心捕获到几例疫情相关的恶意LNK样本,此类样本伪装为受害国家的军方抗击疫情战略、空军大学疫情期间网络在线课程政策等热点信息开展攻击。一旦受害者执行此类恶意样本,LNK文件将从远程服务器下载恶意脚本执行,恶意脚本将释放展示正常的诱饵文档以迷惑受害者,并继续从远程获取第二阶段恶意脚本执行。第二阶段恶意脚本将在受害者计算机上部署相关恶意软件,并通过白加黑的方式加载最终的远程木马,控制受害者机器,从而窃取敏感信息。
奇安信威胁情报中心在发现此次攻击活动的第一时间向安全社区进行预警。
样本分析
样本信息
近期捕获的样本基本均为伪装成pdf的LNK文件,主要以疫情相关信息为诱饵,样本基本信息如下
文件名 | md5 |
Policy Guidelines for Online Classes.zip | 865e7c8013537414b97749e7a160a94e |
Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk | 3c9f64763a24278a6f941e8807725369 |
Additional_CSD_Rebate.pdf.lnk | 120e3733e167fcabdfd8194b3c49560b |
daraz-coupon.pdf.lnk | 7442b3efecb909cfff4aea4ecaae98d8 |
AD Test.zip | d7187130cf52199fae92d7611dc41dac |
其中Policy Guidelines for Online Classes.lnk以及Pak_Army_Deployed_in_Country_in_Fight_Against_Coronavirus.pdf.lnk为疫情信息相关样本,成功执行后,将展示受攻击国家空军大学疫情期间网络课程政策以及国际目标国家军队抗击疫情相关战略诱饵文档,诱饵文档信息如下。
详细分析
以最新样本Policy Guidelines for Online Classes.lnk为例,样本伪装为受害国家空军大学疫情期间网络课程政策相关信息,诱导受害者点击查看。执行后将通过mshta.exe从远程下载执行恶意hta文件,整体执行流程如图所示:
使用奇安信在线云沙箱(https://sandbox.ti.qianxin.com/)运行样本,行为与上述流程一致。
使用奇安信红雨滴团队自研深度文件解析引擎OWL对该LNK文件进行详细分析,解析的相关信息如下:
从远程服务器获取的hta是JavaScript脚本,该脚本主要功能为解码并内存加载一个.NET dll,其解码方法为base64解码
通过WMI获取杀软名称和状态
解密一个.NET DLL并内存加载,传入四个参数调用其work函数,参数一为第二阶段恶意脚本的下载地址,参数二是上传杀软信息的网址加杀软名称状态信息,参数三为加密状态的诱饵文档数据,参数四则是诱饵文档名称
解码加载的dll名为Lnikzip.dll,被加载起来后,首先将传入诱饵文档数据解密,并释放展示,以迷惑受害者,之后上传获取的杀软信息
尝试从参数一下载地址获取第二阶段恶意脚本,循环尝试十次,若下载成功则通过mshta.exe执行该恶意脚本,若均未成功下载,则向参数二地址上传相关错误信息
第二阶段恶意脚本同样也是JavaScript脚本,且主要功能同样为解密一个.NET dll内存加载执行,传入三个参数调用其work函数,参数一为后续dll的加密数据,参数二是tmp文件的加密数据,参数三则为一个url路径
解密执行的dll名为StInstaller.dll,主要功能为在受害者机器上部署最终的恶意payload,被加载运行后,首先通过与硬编码的key异或,初始化恶意软件目录,c2域名以及注册表键名。
之后拷贝系统目录下的rekeywiz.exe到恶意软件目录,并将其设为注册表自启动项
将传入的参数一数据解密后释放恶意软件目录下,并命名为Duser.dll,参数二的数据解码后,将初始化的c2域名加上参数三写入解码后的数据,并经加密后释放到恶意软件目录下,并以随机5位字符为名
加密算法如下
之后启动恶意软件目录下的rekeywiz.exe,采用白加黑的方式加载恶意Duser.dll
释放文件以及注册表自启动信息如下
Duser.dll仍旧是.NET平台程序,运行后,尝试读取解密同目录下的tmp文件,解密之后内存加载解密后的文件
最终的恶意payload仍是.NET平台 dll,名为SystemAPP.dll.加载起来后,首先进行初始化,从资源中解密配置信息
解密算法如下
解密的配置信息包括恶意软件路径以及要收集的文件后缀名等信息
初始化结束后,创建两个定时器函数用于执行主要功能
GetTimerCallback函数为通信函数,主要用于与c2通信,获取解析命令执行
解析c2返回数据,根据不同数据执行相应功能
支持的指令功能如下
指令 | 功能 |
1 | 获取系统基本信息,已安装程序信息,磁盘信息等保存到.sif文件 |
2 | 获取文件列表保存到.flc文件 |
3 | 将指定文件以及信息写入.fls文件 |
4 | 修改配置信息 |
5 | 更换c2地址 |
6 | 更新是否上传文件参数 |
7 | 重置想获取的特殊文件类型 |
8 | 设置上传文件大小限制 |
9 | 指定上传文件 |
10 | 返回 |
部分功能代码如下,获取系统用户名,计算机名,杀软等信息以json格式写入.sif文件
获取文件列表,将磁盘名,磁盘大小,磁盘类型,目录名,目录创建时间,文件名,文件大小等信息写入.flc文件
添加指定文件到待上传的文件列表中
另一个定时函数PostTimerCallback上传文件,首先遍历恶意软件目录下是否存在扩展名为fls,flc,sif,err的文件,若有则上传
上传数据函数如下
之后判断上传指定文件参数,若需上传指定文件,则从指定文件列表读取文件上传
关联
奇安信威胁情报中心对从捕获样本手法,代码层面分析,发现此次捕获的攻击样本与响尾蛇APT组织常用攻击手法,恶意代码基本一致。
与SideWinder的关联
响尾蛇APT组织常用JavaScript脚本作为攻击武器,常才用base64解码.NET dll进行内存加载,传入的参数个数以及参数含义也完全一致。
解密tmp文件的解密算法与响尾蛇APT组织之前攻击活动中的恶意代码完全一致
奇安信威胁情报平台也已对相关IOC标有响尾蛇相关tag
公式编辑器利用样本
除LNK文件以外,公式编辑器漏洞利用文档也是响尾蛇组织常用的攻击手法,近期,响尾蛇APT也采用了此类手法进行攻击活动。捕获的此类样本信息如下
md5 | VT首次出现时间 | C2域名 |
bad0917fdb0963903747e86c33b74c08 | 2020-01-29 | reawk.net |
58363311f04f03c6e9ccd17b780d03b2 | 2020-03-24 | ap-ms.net |
fef12d62a3b2fbf1d3be1f0c71ae393e | 2020-03-28 | ap-ms.net |
f6d29ca878f0815935fc1de2def06c46 | 2020-04-14 | ap-ms.net |
dbb09fd0da004742cac805150dbc01ca | 2020-04-20 | www.link-cdnl.net |
2c798c915568b3fd8ee7909c45a43168 | 2020-04-21 | www.link-cdnl.net |
此类攻击手法中,响尾蛇APT组织使用公式编辑器漏洞利用文档释放执行名为1.a的脚本文件,该脚本文件同样会解码执行.NET dll,其后续行为与LNK文件流程基本一致,最终恶意payload也为SystemAPP.dll。使用奇安信在线云沙箱运行结果如下
值得注意的是,曾有黑产组织将响尾蛇APT此类样本进行修改使用,将1.a脚本中恶意代码改为powershell远程下载恶意木马执行
钓鱼网站
近日,奇安信威胁情报中心还监测到该组织伪装国内某重要企业进行钓鱼攻击,伪装的界面如下
总结
响尾蛇APT组织近年一直高度活跃,其攻击链也较为复杂,采用多层解码内存加载,且其最终恶意dll仍是解密内存加载,并未落地,能一定程度上避开杀软检测。疫情尚未结束,意味着利用疫情的网络攻击活动也并不会就此缩减,奇安信红雨滴团队提醒广大用户,切勿打开社交媒体分享的来历不明的链接,不点击执行未知来源的邮件附件,不运行夸张的标题的未知文件,不安装非正规途径来源的APP。做到及时备份重要文件,更新安装补丁。
若需运行,安装来历不明的应用,可先通过奇安信威胁情报文件深度分析平台(https://sandbox.ti.qianxin.com/sandbox/page)进行简单判别。目前已支持包括Windows、安卓平台在内的多种格式文件深度分析。
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
MD5
865e7c8013537414b97749e7a160a94e
3c9f64763a24278a6f941e8807725369
120e3733e167fcabdfd8194b3c49560b
7442b3efecb909cfff4aea4ecaae98d8
d7187130cf52199fae92d7611dc41dac
bad0917fdb0963903747e86c33b74c08
4476ee858c455a84031d3f54a0dfe73d
58363311f04f03c6e9ccd17b780d03b2
fef12d62a3b2fbf1d3be1f0c71ae393e
f6d29ca878f0815935fc1de2def06c46
dbb09fd0da004742cac805150dbc01ca
2c798c915568b3fd8ee7909c45a43168
affbb0cf97289220b88dee2961e0a4b3
cf18974bb2f68e7d9d172d939a4ba313
4dc475b2055b5a880cbd67526b0f6e3c
265222bbe164d55750ca0ee1a53f2de2
4e5deecb468ab36c5fe347a39878c949
URL
http://www.au-edu.km01s.net/images/E2BC769A/16914/11662/84c7b244/3387c59,http://www.au-edu.km01s.net/cgi/8ee4d36866/16914/11662/eeef4361/file.hta
https://kat0x.net/202/pqvzogpU3orMMdI7cYXmI9cWFGF2iDGzKuiz2Ybi/16914/11662/b0aad51f
https://www.link-cdnl.net/202/cKLCPZEBTbRgQV4jbbk1aT910xhhKnvPNNfM4o10/-1/2369/ecc56eb4
https://cloud-apt.net/202/h5lVZvpjaY89NJSkLMaM4PSGoXdnzrGS0ybwrvT7/20/11248/371a005a
http://www.d01fa.net/images/D817583E/16364/11542/f2976745/966029e
http://www.nrots.net/images/5328C28B/15936/11348/7c8d64e9/e17e25e
http://www.fdn-en.net/images/0B0D90AD/-1/2418/9ccd0068/9d68236
参考链接
[1].https://ti.qianxin.com/blog/articles/coronavirus-analysis-of-global-outbreak-related-cyber-attacks/