Unit42近期公布了一份關于最新木馬Bookworm的研究文章,文章中討論了這個木馬的架構和功能。泰國是這次攻擊活動的主要攻擊目標。
在本文中,我們會討論目前的攻擊活動,以及相關的威脅基礎設施和攻擊策略,技術和過程(TTPs)。在下面的列表中,提供了一份TTP總結,在本文中,我們都會涵蓋到:
攻擊者利用Bookworm作為攻擊載體來打擊泰國的目標。對這些活動感興趣的讀者可以首先讀一讀我們的第一篇文章,在文章中我們介紹了木馬的整體功能和木馬的各種組件。
Unit 42并沒有掌握到關于所有已知Bookworm樣本的詳細目標信息,但是我們發現至少有兩處泰國政府分支機構遭到了攻擊。根據相關誘餌文檔的內容以及幾個用于托管C2服務器的動態DNS域名,我們懷疑,其他涉及Bookworm的攻擊活動也在攻擊泰國的組織,在這些C2服務器中出現了“泰”、“泰國”等字樣。我們分析發現,遭到入侵的系統出現在了Backworm的C2服務器中,這也證實了我們所猜測的主要的目標系統都出現在泰國。
我們在上一篇Bookworm文章中提到過,這個木馬會向C2服務器發送一個靜態的日期字符串,我們認為這個日期字符串代表的就是活動代碼。我們認為攻擊者會利用這個日期代碼來跟蹤其攻擊活動;但是,在繼續分析了木馬后,我們認為這些靜態日期可以作為木馬的創建標識符。憑借當前的數據,我們還很難確定這些靜態日期代碼的確切目的,但是,我們會在下一部分講解。雖然,目前我們更支持這些日期是活動代碼的理論,我們從所有已知的Bookworm中提取出了下面的這些日期代碼,從中可以看出他們的活動開始時間可能是2015年6月或7月:
? 20150626 ? 20150716 ? 20150801 ? 20150818 ? 20150905 ? 20150920
攻擊者可能會使用硬編碼到Bookworm樣本中的數據字符串作為一個創建標識符。很常見的就是,一個木馬把一個創建標識符發送到它的服務器上,因為這個標識符能提示攻擊者確切的木馬版本。我們在上一篇博客中說過,因為其模塊化框架,Bookworm相當復雜,也就表明攻擊者需要了解他們正在與哪個版本的木馬通訊,以便安裝合適的補充模塊。
雖然有一個合理的前提,但是我們掌握的數據還是無法證實Bookworm樣本中的硬編碼日期就是創建標識符。為了嘗試證實這些日期就是創建ID,我們提取出了每個Bookworm樣本中的所有模塊。然后,我們比較了日期值相同的Bookworm樣本中的各個模塊。大多數使用相同模塊的Bookworm中 都使用了相同的日期字符串,但是有幾個樣本中雖然模塊不同但是也有相同的日期字符串。例如,表1中列出了兩種Bookworm樣本,日期代碼有“20150716”和“20150818”,這些樣本使用了完全不同的Leader.dll模塊。
表1-這兩種Bookworm樣本都共用了一個靜態日期代碼,但是使用了不同的Leader模塊。
如果Bookworm開發者使用這些日期代碼作為創建標識符,這就表明使用新Leader模塊的樣本也添加了新的日期代碼。由于這些變化沒有新的日期字符串,我們認為這些日期代碼適用于行動追蹤,而不是Bookworm的創建標識符。Unit 42會在未來的樣本中繼續比較Bookworm模塊與這些日期代碼。如果有證據表明這些日期字符串的確是創建標識符,我們還會修改我們的評定。
我們認為Bookworm樣本使用的靜態日期字符串用作活動代碼,我們會根據這些字符串來判斷我們尚不清楚的攻擊活動的大致日期。我們還比較了這些行動代碼與攻擊活動發生的日期和誘餌文檔中的事件日期。有大量的Bookworm樣本中會包括一個誘餌,這個誘餌會在木馬安裝過程中打開,嘗試偽裝入侵活動。目前攻擊者使用了兩種誘餌文件:一個合法的Flash Player安裝程序和一個獨立的Flash應用,用于播放照片幻燈片。圖1中就是使用的Flash Player安裝程序,從中可以看出,攻擊者正在使用社會工程來控制受害者更新或安裝Flash Player應用。在所有與這些合法Flash Player 安裝程序相關的樣本中都使用了代號“20150818”作為行動代碼。
圖1-Adobe Flash Player用作誘餌
Unit 42自己就遇到了6個幻燈片誘餌,攻擊者在一起Bookworm行動中利用這些誘餌攻擊了泰國。所有這六個幻燈片誘餌中都包含有與泰國相關的圖片。在一個已知的誘餌中,有一幅漫畫,描述了一些小孩前往寺廟的情形(圖2),攻擊者在2015年6月27日的一次釣魚攻擊中利用這個誘餌攻擊了一處泰國政府的分支機構。這個誘餌的文件名是“wankaophansa.exe”,從這個文件名中可以看出這幅漫畫與守夏節相關,守夏節指的是3個月漫長雨季的第一天。守夏節是泰國的國家性節日,2015年的守夏節從6月31日開始。此次攻擊活動在守夏節前四天開始,行動代碼是“20150716”,比實際攻擊活動提前了11天。
圖2-泰國兒童慶祝守夏節
我們目前還不清楚,投放另外5個誘餌的攻擊活動都攻擊了哪些具體的目標。為了判斷大致的攻擊時間,我們對比了與每個幻燈片誘餌關聯的行動代碼,我們發現這些活動與誘餌文檔中的事件日期一致。 其中的三個誘餌與2015年8月27日在曼谷發生的四面佛爆炸案由關系,圖3、4、5。與幻燈片誘餌關聯的行動代碼是“20150801”,其中的照片顯示的就是四面佛的爆照情況(圖3),這個日期實際是爆炸事件發生的前16天。
圖3-幻燈片誘餌中的圖片,顯示的是曼谷四面佛爆炸情況 (http://metro.co.uk/2015/08/17/huge-explosion-in-central-bangkok-near-major-tourist-attraction-5347076/)
圖4是第二個與爆炸案相關的誘餌,這里面的照片是被捕的爆炸案嫌疑人Adem Karadag。這次逮捕事件是在2015年8月29日發生的,比與幻燈片誘餌關聯的行動代碼“20150818”晚了11天。
圖4來自一個幻燈片誘餌,顯示的是曼谷爆炸案犯罪嫌疑人的被捕畫面
第三個和最后一個與爆炸案相關的幻燈片誘餌中包含有Adem Karadag向經常描述自己在爆炸案中所扮演的角色(圖5)。案情重現是泰國警方辦案的一個標準程序,這起案例發生于2015年9月26日。與這個誘餌關聯的行動代碼是“20150920”,比真實事件早六天。
圖5-幻燈片誘餌中的照片,顯示的是犯罪嫌疑人在現場的照片
在另一個與Bookworm活動相關的誘餌中,包含有關于Bike for Dad 2015事件的照片。Bike for Dad是一次騎行事件,將會在2015年12月11日舉行, 旨在紀念泰國國王Bhumibol Adulyadej的88歲誕辰。許多泰國的重要人物都會出席此次活動,比如 泰國總統帕拉育就出現在了幻燈片誘餌中的多張照片中(圖6)。
圖6-幻燈片誘餌中與Bike for Dad事件相關的照片(http://www.m-society.go.th/ewt_news.php?nid=15002)
與這個誘餌關聯的行動代碼是“20150920”,也就是媒體報道泰國王儲Maha Vajiralongkorn會主持Bike for Dad 2015的一周前。首先,我們認為Bike for Dad 2015事件與先前的曼谷爆炸案誘餌并沒有關聯。根據同一篇文章中的報道,王儲稱騎行路線會通過拉差帕頌路口,也就是爆炸案的發生位置。因此,攻擊者在社會工程中利用這次事件是為了繼續吸引注意,因為先前的爆炸事件還牽動著泰國人民的心。
最后一個誘餌中出現了Chitpas Tant Kridakon的照片(圖7),這個人是泰國最大啤酒廠的女繼承人。Chitpas積極參與泰國政治,并且是人民民主委員會(PCAD)的一名核心領導人,這個組織在2013年和2014年的時候舉行了反政府活動。在2015年9月,Chitpas由于嘗試加入泰國行家警方而登上報紙頭條,因為她的政治觀點引起了抗議活動。幻燈片中的兩張照片是在2015年9月20日發表的一篇文章上刊登的。這些圖片都與代號為“20150905”的Bookworm活動有關。
圖7-在一個幻燈片誘餌中出現的Chitpas Tant Kridakon照片
通過對比與未知攻擊活動相關的活動代碼和誘餌中相關的事件日期,我們發現這些活動代碼都會遭遇攻擊或事件發生的6到18天。這點可以表明,攻擊者首先會利用工具來部署行動,然后再選擇誘餌。這些誘餌文檔還表明,攻擊者會積極地追蹤當前的新聞事件,并利用媒體報道中的圖片來創建幻燈片誘餌。
Unit42分析了與Bookworm C2進行通訊的系統,并發現了大量存IP地址是來自于泰國的自治系統(ASN)。圖8中的餅圖顯示大量的(73%)的主機位于泰國,符合這個攻擊小組的攻擊目標。我們認為來自加拿大、俄羅斯和挪威的IP屬于殺毒公司和安全研究員。很有意思的是來自韓國的IP,這說明攻擊者也可能攻擊過韓國。但是,我們還沒有發現其他的證據能說明這一推論。
圖8-與Bookworm C2通訊的IP地址印證了攻擊目標位于泰國
我們提取出了這些與Bookworm C2服務器通訊的IP地址,并利用IP地理位置數據庫確定了這些IP的地理坐標,標記在了地圖上,如圖9。大量的IP地址都位于泰國曼谷的城市區域,有一個位于Pattini南部小鎮,一個位于Chonburi省的 Phanat Nikhom街。IP位置確定系統并不是絕對準確的,但是,數據表明大多數遭到入侵的足跡都在曼谷周圍。這也符合攻擊者的主要攻擊目標,大部分泰國政府機構都分布在曼谷和暖武里府。
圖9-GeoIP位置顯示遭到攻擊的主機大都分布在曼谷城市區域
攻擊者創建的Bookworm基礎設施大都使用了動態域名,但是,早期的樣本使用了攻擊者持有的一個完全限定域名(FQDN)。攻擊者還利用了合法的服務來托管Bookworm和其他相關的攻擊工具。總而言之,Bookworm的基礎設施與攻擊工具的C2服務器出現了重合,包括FFRAT,Poison Ivy,PlugX等。
Unit 42發現攻擊者在合法的網站上托管Bookworm和其他相關的工具,這就表明攻擊者非法入侵了這些服務器。我們發現一些Bookworm樣本托管在了屬于下列組織的服務器上:
? 泰國的兩處政府分支機構 ? 泰國軍方 ? 臺灣工會
在這四個遭到入侵的web服務器中,有3個網站早就在 Zone-h上列出來了遭到了篡改,而根據從2015年11月11日之間的Google cacge來看,另一個網站遭到了TURKHACKTEAM的篡改。我們不清楚攻擊者具體是如何入侵了這些網站,但是,其中一個網站允許訪客通過表單上傳文件到web服務器上(圖8)。Unit 42認為攻擊者知道可以通過表單向這個服務器上傳Bookworm。很可能,攻擊者會上傳ASP shell來進一步控制這個服務器。我們懷疑這些攻擊者可能會借助對web服務器的非法訪問在以后使用策略性web滲透(SWC)作為攻擊途徑。
圖10-利用表單上傳文件到服務器上托管Bookworm木馬
托管這個文件的網站上傳了一個屬于Bookworm攻擊目標的表單。這就說明攻擊者可能利用了這個websever來入侵其內部網絡。
托管Bookworm C2的域名(參照我們Bookworm博客中的入侵標識)連接到了一個大型服務器,攻擊者還利用這個服務器作為了其他一些工具的C2。目前為止,Unit 42發現Bookworm的基礎設施也是一些木馬的C2服務器,包括FFRAT, PlugX, Poison Ivy和 Scieron木馬,這就表明攻擊者會使用這些工具作為攻擊載體。
Unit 42列出了所有與Bookworm相關的基礎設施,以及與這個攻擊小組相關的當前攻擊活動。其基礎設施相當復雜,并且與其他工具集出現了重合。圖11中就是一部分基礎設施與Bookworm, FFRAT, PlugX 和Poison Ivy之間的關聯。
圖11-Bookworm,PlugX, Poison Ivy 和FFRAT木馬之間使用的基礎設施
Bookworm,PlugX和Poison Ivy樣本都使用了Smart Installer Maker,這是攻擊小組經常使用的一種技術。在一次案例中,一個Smart Installer Maker(MD5: 6741ad202dcef693dceb98b0a10c49fc)安裝了PlugX和Poison Ivy木馬,與木馬通訊的域名會解析到IP地址(119.205.158.70),這個IP同樣解析到了一個Bookworm的C2域名(sswmail.gotdns[.]com)。另一個木馬FFRAT同樣使用了這個IP,解析到了qemail.gotdns[.]com。我們觀察到Bookworm和FFRAT都使用了另外一個C2域名(ubuntudns.sytes[.]net)。
如前文提到的,與Bookworm相關的基礎設施相當復雜,與其他工具的C2域名存在諸多關聯。相關的基礎設施和木馬都列在了下表中。
表2-與Bookworm相關的基礎設施
我們通過代碼簽名證書,PE創建共性,被動DNS數據和重復的C2郁悶確定了表2中的域名關系。通過被動DNS確定聯系的域名都共用同樣的IP地址來解析到域名。通過重合的被動DNS數據,確定了下面的IP地址存在聯系:
攻擊者從2015年6月開始攻擊泰國政府并投放了最新發現的Bookworm木馬。攻擊者似乎定好了作戰計劃,因為我們觀察到攻擊者的技戰術相當統一。攻擊者還在利用Flash Player安裝程序和Flash幻燈片來作為誘餌。誘餌幻燈片中的照片都是在泰國很有意義的事件或個人,這表明攻擊者還在利用有影響力的事件來偽裝他們的攻擊活動。
大量與Bookworm C2服務器通訊的系統都位于曼谷的城市區域,在這里有大量的泰國政府機構。雖然目前的攻擊活動都是以泰國政府為目標,但是Unit42認為攻擊者還會在未來的活動中利用Bookworm來攻擊其它政府。