深入剖析某国外组织针对中国企业的APT攻击CVE-2018651-小白帽.PDFVIP

原原文文地地址址:/papers/12184 2015年12月31日，微步在线对一起利用Flash零日漏洞的APT攻击做了分析和预警，并 过溯源分析确定了其幕后的黑客组织为“DarkHotel”。此后， 过我们的持续监控跟踪，发现DarkHotel的 定向鱼叉式攻击依然在继续，主要目标为我国境内企业及其管理层人员，且有多起成功攻击案例。因此微步在线决定进一步披露攻击中所利用的手段和技术，并全面公开相应的威胁情报 IOC(攻陷指标)，与业界共同携手抵御来自境外势力的APT攻击。 0x00 攻攻击击概概况况 微步在线的监测数据和分析显示，此次DarkHotel发起的定向攻击从2015年11月起一直持续到现在，被攻击的国家地区包括： 中国 俄罗斯 朝鲜 同时，我们注意到这个境外组织对中国存在异乎寻常的兴趣和关注，可以认为中国是它主要的攻击目标之一，除本次行动外： 2014年卡巴斯基发现该组织利用Flash 0day （C E-2014-0497）对中国境内的3个163.com邮箱用户进行定向攻击； 在之前的攻击中，该组织使用了163、163作为C2C域名，此次又使用manage- 163-的C2C域名，这说明攻击者对中国有一定了解并且尝试在特殊环境下进行结 合社会工程学进行鱼叉式攻击。 0x01攻攻击击渠渠道道 此次攻击的渠道是 过鱼叉式钓鱼邮件定向发给被攻击对象。整体流程如下图： 邮件附件的word 文档中内嵌恶意的SWF 链接，该SWF exploit文件的metadata如下。根据其metadata推测，此攻击文件生成于2015年11月25 日： 点击恶意的SWF链接将触发整数溢出漏洞，该漏洞正是12月28 日被Adobe修复的C E-2015-8651，利用成功后跳转到下面这段shellcode： shellcode 被执行后将下载的恶意木马updata.exe保存在被感染系统的%temp%路径下， RC4解密后，再利用Windows 自带的echo命令添加可执行文件的“MZ”头来构建有效的PE文件, 然后updata.exe 过调用mshta.exe 进一步下载并执行恶意代码，盗取系统的信息。 截止到1月13 日，部分样本已经可以被少部分安全厂商查杀 0x02 updata.exe简简析析 updata.exe是一个PE文件，编译时间为 2014年4月24 日 04:38:20，具有完整的文件属性，看上去是生成SSH密钥的一个工具： 过逆向分析其汇编码，可以看到有许多编译留下的源文件路径： 我们初步判断，这是一个被恶意篡改的开源工具，篡改后程序仅提供一个参数：-genkeypair。无论是否传递此参数，updata.exe都会释放一个公钥在当前目录用于干扰判断。释放公钥后便进入 了真正的恶意代码。此样本未进行代码混淆，但采用了多种反调试/反虚拟机技术及字段加密，动态解密部分我们后面的“在反逆向跟踪分析”一节详细描述。 0x03 C2C updata.exe 是一个Trojan Downloader，利用执行mshta.exe 从以下C2C下载文件。遗憾的是我们没有获取到更多的payload数据。 过 irusBook的威胁分析平台，我们可以看到攻击者使用的Manage- 163-域名注册于2015年9月30 日， IP解析为6. 服务器位于冰岛。 域名威胁情报分析： 域名IP变化： Whois信息变化： 可视化分析： 0x04 反反逆逆向向跟跟踪踪分分析析 updata.exe并没有进行代码混淆和加壳。木马对其所有的字段都进行了加密处理。目的是为了反检测，增加逆向分析的难度。同时它还采用了动态解密，对解密内存重置，目的也是为了起到 反内存跟踪分析，增加逆向分析难度。 让我们来看一个具体实例： m_CreateFileA的所有参数均为Decryption函数动态解密生成，而API函数CreateFileA的调用也是 过在一个加密函数表中查找并解密后调用。 gEncWinDlls与gEncApis两张表中的加密字符串被传递给Decryption函数进行解密，最后动态解密的字符串会 过DynMem_Erase函数重置，这样做起到了反内存dump截取的分析。 DynMem_Erase 用来重置解密后的内存 0x05 反反沙沙箱箱及及反反检检测测技技术术 updata.exe也用到了很多反沙箱技术， 过检测各种系统环境来判断是否有沙箱存在，比如： 查找是否运行模块存在如下路径： 查找是否运行进程包括如下关键字： 查找是否当前进程导出表中所有模块存在以下函数： 查找是否当前系统用户名包含