2015年12月31日,微步在線對一起利用Flash零日漏洞的APT攻擊做了分析和預警,并通過溯源分析確定了其幕后的黑客組織為“DarkHotel”。此后,通過我們的持續監控跟蹤,發現DarkHotel的定向魚叉式攻擊依然在繼續,主要目標為我國境內企業及其管理層人員,且有多起成功攻擊案例。因此微步在線決定進一步披露攻擊中所利用的手段和技術,并全面公開相應的威脅情報IOC(攻陷指標),與業界共同攜手抵御來自境外勢力的APT攻擊。
微步在線的監測數據和分析顯示,此次DarkHotel發起的定向攻擊從2015年11月起一直持續到現在,被攻擊的國家地區包括:
同時,我們注意到這個境外組織對中國存在異乎尋常的興趣和關注,可以認為中國是它主要的攻擊目標之一,除本次行動外:
此次攻擊的渠道是通過魚叉式釣魚郵件定向發給被攻擊對象。整體流程如下圖:
郵件附件的word 文檔中內嵌惡意的SWF 鏈接,該SWF exploit文件的metadata如下。根據其metadata推測,此攻擊文件生成于2015年11月25日:
點擊惡意的SWF鏈接將觸發整數溢出漏洞,該漏洞正是12月28日被Adobe修復的CVE-2015-8651,利用成功后跳轉到下面這段shellcode:
shellcode 被執行后將下載的惡意木馬updata.exe保存在被感染系統的%temp%路徑下, RC4解密后,再利用Windows自帶的echo命令添加可執行文件的“MZ”頭來構建有效的PE文件, 然后updata.exe通過調用mshta.exe 進一步下載并執行惡意代碼,盜取系統的信息。
截止到1月13日,部分樣本已經可以被少部分安全廠商查殺
updata.exe是一個PE文件,編譯時間為 2014年4月24日 04:38:20,具有完整的文件屬性,看上去是生成SSH密鑰的一個工具:
通過逆向分析其匯編碼,可以看到有許多編譯留下的源文件路徑:
我們初步判斷,這是一個被惡意篡改的開源工具,篡改后程序僅提供一個參數:-genkeypair。無論是否傳遞此參數,updata.exe都會釋放一個公鑰在當前目錄用于干擾判斷。釋放公鑰后便進入了真正的惡意代碼。此樣本未進行代碼混淆,但采用了多種反調試/反虛擬機技術及字段加密,動態解密部分我們后面的“在反逆向跟蹤分析”一節詳細描述。
updata.exe 是一個Trojan Downloader,利用執行mshta.exe 從以下C2C下載文件。遺憾的是我們沒有獲取到更多的payload數據。
通過VirusBook的威脅分析平臺,我們可以看到攻擊者使用的Manage-163-account.com域名注冊于2015年9月30日, IP解析為82.221.129.16. 服務器位于冰島。
域名威脅情報分析:
域名IP變化:
Whois信息變化:
可視化分析:
updata.exe并沒有進行代碼混淆和加殼。木馬對其所有的字段都進行了加密處理。目的是為了反檢測,增加逆向分析的難度。同時它還采用了動態解密,對解密內存重置,目的也是為了起到反內存跟蹤分析,增加逆向分析難度。
讓我們來看一個具體實例:
m_CreateFileA的所有參數均為Decryption函數動態解密生成,而API函數CreateFileA的調用也是通過在一個加密函數表中查找并解密后調用。
gEncWinDlls與gEncApis兩張表中的加密字符串被傳遞給Decryption函數進行解密,最后動態解密的字符串會通過DynMem_Erase函數重置,這樣做起到了反內存dump截取的分析。
DynMem_Erase 用來重置解密后的內存
updata.exe也用到了很多反沙箱技術,通過檢測各種系統環境來判斷是否有沙箱存在,比如: 查找是否運行模塊存在如下路徑:
查找是否運行進程包括如下關鍵字:
查找是否當前進程導出表中所有模塊存在以下函數:
查找是否當前系統用戶名包含以下關鍵字:
查找是否系統中有如下進程關鍵字:
隨著對此攻擊事件的目標、工具、手法和過程更詳細的分析,我們發現其特點和Darkhotel團伙驚人的一致。
Darkhotel APT攻擊團伙的蹤跡最早可以追溯到2007年,其從2010年開始更多的利用企業高管在商業旅行中訪問酒店網絡的時機,進行APT攻擊來竊取信息。因此在2014年卡巴斯基發布針對此團隊的研究報告時,將其命名為“Darkhotel”。此團伙攻擊目標集中在亞太地區開展業務和投資的企業高管(如:CEO、SVP、高管及高級研發人員),攻擊的行業包括大型電子制造和通信、投資、國防工業、汽車等。但從2014年開始,該組織更多的利用魚叉式攻擊。
此團隊擁有充沛的資源,多次使用零日漏洞(特別是Flash類型)來進行攻擊,并規避最新的防御措施,同時也會盜竊合法的數字證書為后門軟件及監聽工具進行簽名。如果有一個目標已經被有效感染,往往就會從作案點刪除他們的工具,進而隱藏自己的活動蹤跡。從其行動特點看,具有極高的技術能力及充沛的資源。
我們對此次事件和暗黑客棧(Darkhotel)的特點進行了對比,認為有充足理由認定其就是始作俑者。
綜合微步在線掌握的情報線索及合作伙伴數據,我們可以肯定Darkhotel這個存在了至少9年的網絡犯罪組織,具備豐富的技術、資金及人力資源(2010-2014年之間善于利用酒店網絡進行攻擊,但從2014年開始,更多的使用Flash 0day進行魚叉式攻擊),目標集中針對亞洲特別是中國的企業,手法靈活多變且注重反檢測對抗,可以發起多種傳統檢測技術難以檢測的攻擊。因此需要國內企業及安全同行引起足夠的重視。我們建議大家使用附錄中功能提供的IOC數據,對其活動進行檢測及歷史追溯,以盡早消除風險、保護企業的關鍵業務和信息。
感謝VirusBook合作伙伴安天、百度殺毒、騰訊電腦管家、360殺毒、瑞星、金山、云堤、微軟、趨勢、卡巴斯基、小紅傘、AVG、Dr.Web、火絨、IKARUS、Sophos、ClamAV、Avast!、Panda、Gdata、ESET等