作者:360天眼實驗室●追日團隊
2016年2月25日,Lazarus黑客組織以及相關攻擊行動由卡巴斯基實驗室【1】、AlienVault實驗室【2】和Novetta【3】等安全企業協作分析并揭露。2013年針對韓國金融機構和媒體公司的DarkSeoul攻擊行動【4】和2014年針對索尼影視娛樂公司(Sony Pictures Entertainment,SPE)攻擊【5】的幕后組織都是Lazarus組織。該組織主要攻擊以韓國為主的亞洲國家,進一步針對的行業有政府、娛樂&媒體、軍隊、航空航天、金融、基礎建設機構。
在2015年我們監控到一個針對朝鮮語系國家的組織,涉及政府、交通、能源等行業攻擊的APT組織。通過我們深入分析暫未發現該組織與Lazarus組織之間有聯系。進一步我們將該組織2013年開始持續到2015年發動的攻擊,命名為“洋蔥狗”行動(Operation OnionDog),命名主要是依據2015年出現的木馬主要依托onion city【6】作為C&C服務,以及惡意代碼文件名有dog.jpg字樣。相關惡意代碼最早出現在2011年5月左右。至今至少發起過三次集中攻擊。分別是2013年、2014年7月-8月和2015年7月-9月,在之后我們捕獲到了96個惡意代碼,C&C域名、IP數量為14個。
“洋蔥狗”惡意程序利用了朝鮮語系國家流行辦公軟件Hangul的漏洞傳播,并通過USB蠕蟲擺渡攻擊隔離網目標。此外,“洋蔥狗”還使用了暗網網橋(Onion City)通信,借此無需洋蔥瀏覽器就可直接訪問暗網中的域名,使其真實身份隱蔽在完全匿名的Tor網絡里。另外通過我們深入分析,我們推測該組織可能存在使用其他已知APT組織特有的技術和資源,目的是嫁禍其他組織或干擾安全研究人員進行分析追溯。
從目前捕獲的數據來看惡意程序主要通過 HWP 漏洞文檔和偽裝為 HWP 文檔文件進行 傳播。這種形態的偽裝,通常是利用魚叉式釣魚郵件攻擊進行傳播。
其中 Hangul 是一款韓國本土主流的辦公軟件【7】 ,文件格式是 HWP(Hangul Word Processor)。攻擊者除了采用偽裝 HWP 文檔文件,而且還使用 HWP 漏洞文檔,也就是說明被攻擊目標用戶熟悉或經常使用 HWP 這款辦公軟件。
| 樣本 MD5 | 誘餌文檔相關內容 |
|---|---|
| 588eef80e6f2515a2e96c9d8f4d67d5a | 政府信息安全 |
| 700e94d4e52c4c15ebed24ec07f91f33 | 港口 VTS |
| b9164dd8260e387a061208b89df7bb6b | 培訓 |
| 3c983b300c533c6909a28cef7d7469ba | IT,簡歷 |
| 3df1c88a4a7dae7fdf9282d2c4375433 | 鐵路事故調查報告 |
| 4ad5d70d79ea5b186d48a10dfdf8085d | 公務員福利 |
| 5fbe59513167be2197c9f8fbf0afa7dd | 公務員休假制度 |
| cbcf18e559b87afdd059cae1f03b18d1 | 韓國電力公司薪資 |
| 3e9ac32a9418723c93e8de269ad63077 | 暑假期間檢查計劃 |
| 90b36bd4d12f34d556f363d6e5f9564f | 韓國國土交通部商業計劃書 |
表 1 部分誘餌文檔列表
圖 1“韓國鐵路事故調查報告書”誘餌文檔
圖 2“全國重要港灣,VTS 安裝現狀”誘餌文檔
圖 3《防止信息泄露應對方案》誘餌文檔
圖 4《2015 年對比“乙支訓練”安全檢查計劃》誘餌文檔
圖 5 典型 HWP 誘餌文檔屬性截圖
| 文檔屬性 | 具體內容 |
|---|---|
| 樣本 MD5 | cbcf18e559b87afdd059cae1f03b18d1 |
| 誘餌文檔 MD5 | 9a4fafb0aa9f79dee2a117d237eaa931 |
| 內容 | 韓國電力公司薪資 |
| 文檔大小 | 25,088 |
| 作者 | test1234 |
| 創建時間 | 2014 年 7 月 23 日 13:43:54 |
| 最后編輯時間 | 2014 年 7 月 24 日 8:41:30 |
| 最后編輯 | APT-WebServer |
圖 6 攻擊流程圖
偽裝 HWP 文檔木馬或者 HWP 漏洞文檔執行安裝服務成功后,會判斷當前日期是否為指定日期(具體日期如下表所示)。如果超過指定日期則會刪除服務,結束執行。如果在指定日期范圍內,則會請求 C&C 進行通信,2014 年版本的惡意程序會請求一個硬編碼 IP,通過 HTTP 下載其他木馬程序,2015 年版本中 C&C 域名統一更換為“onion.city”。在“C&C 分析”章節會進行詳細介紹。
下載的木馬程序其中一種是 USB 蠕蟲,當發現有 USB 設備接入后會進行感染,進一步將當前時間、計算機名稱、MAC 地址、USB 感染成功 或 USB 感染失敗等信息回傳到 C&C服務器。
另外 HWP 漏洞文檔觸發成功后除了以上功能,還會釋放一個后門程序。
| 2015 年 9 月 8 日 |
| 2015 年 8 月 8 日 |
| 2015 年 7 月 13 日 |
| 2014 年 8 月 9 日 |
| 2014 年 7 月 31 日 |
| 2013 年 10 月 25 日 |
表 3 截至具體日期
Dropper 除了主要區分偽裝 HWP 文檔木馬和 HWP 漏洞文檔以外,進一步以偽裝 HWP文檔木馬為主分為三類硬編碼 IP、Onion.city 和測試木馬三個版本。分類依據主要是從 C&C地址的差異性出發,這三類從代碼架構對比差異性很小。其中時間戳和截至時間是 2014 年的惡意程序會請求一個硬編碼 IP,而時間是 2015 年的 C&C 域名統一更換為 onion.city,另外 2014 年和 2015 年還有部分樣本無 C&C 地址,下載的圖片名稱為“hello”,或者 C&C 地址只是“127.0.0.1”,我們認為這類是屬于測試木馬。
當 dropper 執行成功且在截至日期范圍內,則會請求 C&C 地址,下載其他木馬,并保存到%temp%目錄下,并以類似“XXX_YYY.jpg”這種形態作為文件名,進一步我們結合誘餌文檔,分析得出這些名稱都是有特定涵義,一般都是指向了具體某個行業,具體如下圖所示:
| 時間 | 相關資源名稱 | 所屬行業 |
|---|---|---|
| leepink_kosep | 韓國東南電力 | |
| 2014 | jhryum12_komipo | 韓國中部電力 |
| wypark_kwater | 韓國水資源公社 | |
| lhyuny_kospo | 韓國南部電力 | |
| vts_korea 韓國 | VTS | |
| zerotaek_korea | 韓國港口 | |
| 2015 | andong4_seoulmetro2 | 首爾地鐵 |
| dydgh80_kdhc | 韓國供暖 | |
| myforce_humetro2 | 釜山地鐵 | |
| 2060262_smrt3 | 首爾快速公交 |
表 4 相關資源名稱的涵義
“洋蔥狗”的攻擊目標精準鎖定在朝鮮語系國家的基礎行業。2015 年,該組織主要攻擊了港口、VTS(船舶交通服務)、地鐵、公交等交通機構;而在此前 2014 年的一輪攻擊中,“洋蔥狗”則侵襲了多家電力公司和水資源公社等能源企業。
下載的木馬程序其中一種是 USB 蠕蟲,當發現有 USB 設備接入后會進行感染,進一步將下述信息回傳到 C&C 服務器。
具體執行流程可以參看下圖, USBman.dll 運行時會發送計算機名稱、 mac 地址、 ip 地址、當 前 日 期 時 間 、 ?? Agent ?? ?? ( 感 染 Agent 運 行 成 功 ) 到hXXp://strj3ya55r367jqd.onion.city/main.php,端口為 80(來自 Dropper 的配置字段)封包經過異或加密后發出(TCP 包).。然后注冊一個不可見的窗口(類名和窗口名都為 USB Manager),窗 口 初 始 化 時 , 注 冊 GUID_DEVINTERFACE_USB_DEVICE ( USB 設 備 ) 和GUID_DEVINTERFACE_DISK(磁盤設備)的通知消息。
當 WM_DEVICECHANGE(設備到達和移除)消息到達時判斷設備是否為磁盤,是的話釋放 usbman.dll 中的資源 101 到 usb 磁盤\usbrun.exe,107 資源到 usb 磁盤\usbrun.ico,新建usb 磁盤\autorun.inf,達到感染 USB 磁盤的目的。
聯網成功時,發送當前時間、計算機名稱、 IP 地址、 mac 地址、盤符、設備名稱、 USB ???? ( USB 感 染 成 功 ) 或 USB ?? ?? ( USB 感 染 失 敗 ) 等 到 指 定 的 服 務 器(hXXp://strj3ya55r367jqd.onion.city/main.php,端口為 80),如果有 USB 連接日志,文件名稱為盤符\設備 ID,則以行為單位發送到服務器。
圖 7 USB 蠕蟲具體執行流程(USBman.dll)
當 usbrun.exe 被激活運行時,,如果聯網成功則發送當前時間、計算機名稱、 mac 地址、ip 地址、設備名稱、盤符、PC ?? ??(PC 感染成功)到服務器,如果沒有聯網,則保持 usb 連接日志到盤符\設備 ID 文件,等聯網成功時再發送。然后釋放 106 資源為 test.dll,寫入配置,載入 DLL 繼續執行 usb 感染.test.dll 的功能和 Dropper 相同。
圖 8 usbrun.exe 執行流程
圖 9 USB 感染成功/感染失敗
關于該后門與“洋蔥狗”行動的關系具體請參看“第 4 章 ICEFOG ‘重生’:誤導?嫁禍?”。關于該后門相關功能,請參看卡巴斯基 ICEFOG 技術報告【8】。
圖 10 攻擊時間軸
“洋蔥狗”行動中的惡意木馬程序,除了 ICEFOG 后門以外,如果要執行全部功能,則首先需要判斷主機日期是否在指定日期范圍內。從下表我們可以看出編譯時間和截至日期之間的存活天數平均約 15 天左右。通過上面時間軸可以看出,攻擊者從 2013 年開始每年都會進行類似攻擊,且持續時間很短,另外我們發現截至時間 2014 年有 8 月 9 日,2015 年是 8月 8 日,具體日期非常接近。
| 截至日期 | 編譯時間 | 存活天數 |
|---|---|---|
| 2015 年 9 月 8 日 | 2015 年 8 月 27 日 | 12 |
| 2015 年 8 月 8 日 | 2015 年 8 月 5 日 | 3 |
| 2015 年 8 月 8 日 | 2015 年 8 月 3 日 | 5 |
| 2015 年 8 月 8 日 | 2015 年 7 月 23 日 | 16 |
| 2015 年 8 月 8 日 | 2015 年 7 月 10 日 | 29 |
| 2015 年 7 月 13 日 | 2015 年 7 月 10 日 | 3 |
| 2014 年 8 月 9 日 | 2014 年 7 月 18 日 | 22 |
| 2014 年 8 月 9 日 | 2014 年 7 月 15 日 | 25 |
| 2014 年 7 月 31 日 | 2014 年 7 月 13 日 | 18 |
| 2013 年 10 月 25 日 | 2013 年 10 月 10 日 | 15 |
圖 11 檢查截至日期相關代碼
通過深入分析,我們確定本次使用的 HWP 漏洞并不是首次出現,是已知漏洞,在 2011年 nprotect 公司已經發布了相關預警和漏洞分析【9】 。
Hangul Word Processor(Hwp)在讀取 hwp2.0 版本的文檔時,處理字體名稱使用 strcpy 函數沒有限制長度,導致緩沖區溢出,覆蓋了 SEH 記錄,,觸發內存訪問異常后使用 pop pop ret指令串運行位于 Next SEH Record 的 shellcode,攻擊者因此可以執行惡意代碼。
該漏洞涉及 HWP 2010 以及早期多個版本,具體如下列表所示:
| 受影響的版本 |
|---|
| HWP 2002 5.7.9.3047 及更早版本 |
| HWP 2004 6.0.5.764 及更早版本 |
| HWP 2005 6.7.10.1053 及更早版本 |
| HWP 2007 7.5.12.604 及更早版本 |
| HWP 2010 8.0.3.726 及更早版本 |
| 不受影響的版本 |
|---|
| HWP 2002 5.7.9.3049 及更新版本 |
| HWP 2004 6.0.5.765 及更新版本 |
| HWP 2005 6.7.10.1055 及更新版本 |
| HWP 2007 7.5.12.614 及更新版本 |
| HWP 2010 8.0.3.748 及更新版本 |
表 5 受影響 HWP 相關版本
下表是“洋蔥狗”攻擊行動中使用的 HWP 漏洞文檔:
| MD5 | CVE 編號 |
|---|---|
| 26b416d686ce57820e13e572e9e33cce 【10】 | 無 |
| de00286f6128fb92002e0c0760855566 【11】 | 無 |
表 6 HWP 漏洞文檔列表
HWP 支持 hwp、doc、wps、ppt 等格式。其中 hwp 包括 hwp2.0、hwp3.0、hwp5.0 三個版本、 hwp2.0 是比較老的格式。 hwp 程序打開 hwp2.0 的文檔時會自動轉換為 hwp3.0 格式。
圖 12 HWP 漏洞文檔文檔格式
Hwp2.0 偏移 0x48E 的位置開始是字體結構,前兩個字節是字體名稱數量,每個字體名稱長度為 0x28 。 程序處理 hwp2.0 文檔時 , 調用 CHwp20ToHwp30FilterLibrary 類的ConvertFilterFileToWorkFile 函數轉換為 hwp3.0 格式,處理字體結構調用 Set20FontList 子函數。
圖 13 Set20FontList 函數
Set20FontList 函數中讀取 hwp2.0 文檔的 0x28 個字節,到數組 arySrc[0x28]中,循環拷貝到 aryDest[0x28]中,退出循環的條件為當前拷貝字節是否為 0。
而在內存中,arySrc 數組后面緊接著就是 aryDest,當拷貝到 arySrc 最后一個字符 0x3C時由于不是 0,繼續取下一個字符,取到了 aryDest 的第一個字符。如此反復直至觸發C0000005 訪問異常。
圖 14 arySrc aryDest 內存結構
覆蓋的地址里面包括 CHwp20ToHwp30FilterLibrary::ConvertFilterFileToWorkFile 函數設置的 SEH 記錄。
圖 15 SEH 記錄被覆蓋后
接下來當拷貝到 00130000 時,觸發 C0000005 異常,來到 windows 異常處理流程,調用 SEH Handler(7FFAC1B1),此時第二個參數指向 12E4B8。
圖 16 調用 SEH 處理函數
圖 17 pop pop ret 指令串
來到 ntdll.7FFAC1B1,,是一個 pop pop ret 指令串。經過兩個 pop 指令后,此時 esp 指向 12E4B8,shellcode 代碼起始位置,Retn 執行后就來到了 shellcode。
圖 18 開始執行 shellcode
最后在臨時目錄中創建真正的 hwp 文檔,啟動 hwp 2007 目錄下的 hwp.exe,載入臨時目錄的 tmp.hwp,釋放并啟動 msserver.exe(洋蔥狗) ,ICEFOG 樣本并沒有釋放。
“洋蔥狗”行動中相關樣本進行通信主要分為兩種,這也是我們區分“洋蔥狗”版本的 主要依據,主要是 2014 年基于硬編碼 IP 進行通信和 2015 年基于暗網網橋(Onion.City)進行通信。下圖是“洋蔥狗”相關樣本和 C&C 直接的對應關系。
圖 19 樣本文件與 C&C 之間的關系
| 涉及 onion.city 的具體 URL |
|---|
| hXXp://uudv6kfdmm4pdbdm.onion.city/main.php |
| hXXp://strj3ya55r367jqd.onion.city/main.php |
| hXXp://u6y2j2ggtyplvzfm.onion.city/index2.php |
| hXXp://qp4xhrnjuzq6glwx.onion.city/index2.php |
| hXXp://j2kiphmeb4m4ek66.onion.city/index2.php |
| hXXp://bcn5w6eqglytlnnn.onion.city/index2.php |
表 7 相關 onion.city
2015 年,“洋蔥狗”的網絡通信全面升級為暗網網橋(Onion.City),這也是目前 APT 黑客攻擊中比較高端和隱蔽的網絡通信方式。其中“index2.php”相關 URL 作用是下載其他惡意代碼,“main.php”相關 URL 是進行竊取數據的回傳。
暗網網橋,是指暗網搜索引擎利用 Tor2web 代理技術,可以深度訪問匿名的 Tor 網絡,而無需再專門使用洋蔥瀏覽器。“洋蔥狗”正是利用暗網網橋將控制木馬的服務器藏匿在 Tor網絡里。
出現在 2013 年和 2014 年的惡意木馬內的通信 C&C 均是直接連接 IP 地址,這些 IP 地址都是硬編碼在惡意代碼中。而且這些 IP 地址的地理位置均位于韓國,當然這并不意味著攻擊者位于韓國,這些 IP 更可能只是傀儡機和跳板。
| C&C IP | 地理位置 |
|---|---|
| 218.153.172.53 | 韓國 |
| 218.145.131.130 | 韓國 |
| 222.107.13.113 | 韓國 |
| 221.149.32.213 | 韓國 |
| 221.149.223.209 | 韓國 |
| 220.85.160.3 | 韓國 |
| 112.169.154.65 | 韓國 |
| 121.133.8.2 | 韓國 |
表 8 相關硬編碼 IP 和地理位置
在分析追溯“洋蔥狗”攻擊行動中,我們主要基于 360 威脅情報中心相關數據,目的是 發現不同資源直接的關聯性。期間主要發現了偽裝 HWP 文檔文件的 PE 惡意木馬和 HWP 漏洞文檔文件, HWP 漏洞文檔除了包含誘餌文檔和“洋蔥狗”樣本以外,比偽裝 HWP 文檔類型還多一個后門程序,如下圖所示。
圖 20 HWP 漏洞文檔釋放 3 類衍生物
針對該后門我們引擎掃描鑒定結果是 ICEFOG 家族,通過人工分析進一步確定該樣本的確 屬 于 ICEFOG , 其 中 具 備 明 顯 一 些 ICEFOG 樣 本 特 征 , 如 : 加 密 內 容 存 放 位 置“ %TMP%\mstmpdata.dat ”, 數 據 與 “ &^@~^%9?i0h ” 進 行 異 或 , 該 后 門 C&C 是www.sejonng.org 等信息。
由于 ICEFOG 已經在 2013 年被卡巴斯基曝光,而 HWP 漏洞文檔出現時間是 2014 年 7月期間,所以我們通過分析該 ICEFOG 后門時間戳和在第三方機構(virustotal)最早出現時間(如下表所示),證明該 ICEFOG 后門的編譯時間戳是可信的,且相關樣本在卡巴斯基發布報告之前就已經存在,由此也基本證明該樣本屬于 ICEFOG。
| ICEFOG 樣本 MD5 | 84f5ede1fcadd5f62420c6aae04aa75a |
|---|---|
| ICEFOG 樣本編譯時間 | 2013-05-01 23:39:10 |
| ICEFOG 樣本 Virustotal 最早出現時間 | 2013 年 5 月 6 日 |
| 卡巴斯基發布 ICEFOG 報告時間【12】 | 2013 年 9 月 25 日 |
| ICEFOG 樣本 C&C | www.sejonng.org |
| C&C 曝光時間(ICEFOG 報告發布) | 2013 年 9 月 25 日 |
表 9 HWP 漏洞文檔包含的 ICEFOG 樣本相關信息
| HWP 漏洞文檔 1 | HWP 漏洞文檔 2 | |
|---|---|---|
| MD5 | 26b416d686ce57820e13e572e9e33cce | de00286f6128fb92002e0c0760855566 |
| Malware tracker | 2014 年 7 月 25 日 | 2014 年 8 月 18 日 |
| virustotal | 2014 年 7 月 25 日 | 2014 年 8 月 18 日 |
| 釋放的“洋蔥狗”MD5 | bb27df0608e657215bd5fabd0e0c4d1e | 869527bcbc6e95d46103589e83c37b7e |
| “洋蔥狗”編譯時間 | 2014-07-18 10:36:46 | 2014-07-18 10:36:46 |
| 內嵌的 ICEFOG MD5 | 84f5ede1fcadd5f62420c6aae04aa75a | 84f5ede1fcadd5f62420c6aae04aa75a |
| ICEFOG 編譯時間 | 2013-05-01 23:39:10 | 2013-05-01 23:39:10 |
| 誘餌文檔 MD5 | 9a4fafb0aa9f79dee2a117d237eaa931 | 843c6952e47564586a9094320f8d8c22 |
| 誘餌文檔創建時間 | 2014 年 7 月 23 日 | 2014 年 7 月 23 日 |
表 10 HWP 漏洞文檔相關資源信息列表
既然證明了該 ICEFOG 樣本的真實性,那 ICEFOG 樣本和“洋蔥狗”樣本由同一個 HWP漏洞文檔釋放,從常規的關聯分析思路,則認為 ICEFOG 與“洋蔥狗”有聯系,或許“洋蔥狗”幕后是 ICEFOG 組織?
起初我們也是猜測“洋蔥狗”幕后或許是 ICEFOG 組織,但進一步發現“洋蔥狗”HWP漏洞文檔是活躍在 2014 年 7 月左右,其他“洋蔥狗”樣本也主要活躍在 2013 年 10 月、 2014年 7、8 月和 2015 年 7、8、9 月相關時間范圍內,另外卡巴斯基是在 9 月末就已經曝光了ICEFOG 行動。所以這些都讓我們不能完全確定之前的猜測,另外一般在安全機構曝光一個APT 組織,該組織相關活動會暫時暫停,一般相關 C&C 和樣本后門程序將不再繼續使用,但也不排除攻擊者為了盡可能多的達到目的而不惜暴露自身。
介于以上一些時間節點以及我們分析其他 APT 組織的經驗來看,我們認為在一次新的攻擊行動中攻擊者使用了以往陳舊的后門工具,且相關后門程序以及 C&C 均都已經被曝光和查殺,這種情況攻擊者的意圖我們推測大概如下:
a、 攻擊組織能力不足,迫于無奈只能使用陳舊技術和資源;
b、 攻擊組織對相關目標環境非常了解,有信心基于陳舊技術和資源,也可以達到攻擊目的;
c、 攻擊組織使用其他組織特有的技術和資源,目的是嫁禍其他組織,干擾安全研究人員進行追溯。
首先我們對 HWP 漏洞文檔在虛擬環境進行了相關測試,發現實際情況中 HWP 漏洞文檔觸發成功后首先會釋放并打開誘餌文檔,進一步釋放并執行洋蔥狗樣本,而從始至終都沒有釋放 ICEFOG 樣本。也就是當目標用戶受到該 HWP 漏洞文檔的攻擊,只會安裝并執行洋蔥狗樣本,而不會釋放執行 ICEFOG 樣本。這一現象讓我們立即產生了懷疑,為何攻擊者會將一個后續攻擊中不使用的后門程序放到 HWP 漏洞文檔中?
進一步我們帶著以上這些疑點,將 HWP 漏洞文檔相關資源進行深入的梳理,如下時間軸。除了以上我們分析到的 ICEFOG 本身時間戳和卡巴斯基曝光時間,以及 HWP 漏洞文檔、“洋蔥狗”相關樣本相關活躍時間以外。下圖中還有兩個重要的時間節點,是關于 C&C 域名“www.sejonng.org”的域名狀態。
圖 21 HWP 漏洞文檔相關資源時間軸
在卡巴基斯 2013 年 9 月 25 日報告的 ICEFOG 報告中“www.sejonng.org”域名并沒有標記為“SINKHOLED by Kaspersky Lab”,我們基于 domaintools【13】 的 WHOIS 歷史數據,發現“www.sejonng.org”域名在 2014 年 1 月 21 日的域名狀態是“serverHold”(域名暫停解析 【14】 ),進一步我們通過 domaintools 提供的網站頁面截屏歷史記錄發現最晚在 2014 年 6 月 4 日“www.sejonng.org”域名 【15】 已經被卡巴斯基 sinkhole 【16】 了。
另外關于“www.sejonng.org”域名最新的 WHOIS 記錄 【17】 是已經被 virustracker.info 接管進行 sinkhole 了。
圖 22“www.sejonng.org”相關歷史頁面截圖(domaintools 數據)
我們推斷攻擊者在 2014 年 7 月將相關 HWP 漏洞文檔投入使用的時候,其中 ICEFOG 后門程序的 C&C 域名的管理權限已經不再被攻擊者所持有了。通過以上一些依據推測,我們更傾向于我們之前的第三點推測“攻擊組織使用其他組織特有的技術和資源,目的是嫁禍其他組織,干擾安全研究人員進行追溯。”
其實在以往的 APT 攻擊中,APT 組織構造一些虛假信息(假情報)來誤導安全研究人員的情況也出現過,比如:卡巴斯基安全研究人員在分析 duqu2.0 的時候,發現了攻擊者在代碼中添加了一些虛假標識和使用罕見的壓縮算法,目的是誤導研究人員以為是與 APT1 或MiniDuke 有關的惡意代碼。
圖 23 引自卡巴斯基 duqu2.0 技術報告 【18】
| 相關樣本 | PDB 路徑 |
|---|---|
| PDB1 【19】 10861ed5e2b01ba053d2659eebdce1a2 | W:\2014 work\27 APT-USB\140701 APT\svcInstaller\Release\DeleteService.pdb |
| PDB2 a38b9bcf692c1d69de74c4ad219a1cb5 | W:\2014 work\27 APT-USB\130701 APT\svcInstaller\Release\DeleteService.pdb |
| PDB3 【20】 598f2b1b73144d6057bea7ef2f730269 | W:\201 work\130610 APT\svcInstaller\Release\DeleteService.pdb |
表 11 典型 PDB 路徑和樣本對應列表
從上表我們看來 PDB(符號文件)路徑中存在大量“APT”字樣,另外相關 PDB 路徑也 viruslab.tistory.com 網站曝光了。
| 文檔屬性 | 具體內容 |
|---|---|
| 樣本 MD5 | cbcf18e559b87afdd059cae1f03b18d1 |
| 誘餌文檔 MD5 | 9a4fafb0aa9f79dee2a117d237eaa931 |
| 內容 | 韓國電力公司薪資 |
| 文檔大小 | 25,088 |
| 作者 | test1234 |
| 創建時間 | 2014 年 7 月 23 日 13:43:54 |
| 最后編輯時間 | 2014 年 7 月 24 日 8:41:30 |
| 最后編輯 | APT-WebServer |
表 12 典型 HWP 誘餌文檔屬性表
通過分析我們發現惡意代碼中出現了大量韓文信息,相關韓文信息是作為最終發送給 C&C 服務器數據包中的內容出現。
圖 24 USB 感染成功/感染失敗
圖 25 感染 Agent 運行成功
圖 26 USB 連接日志
圖 27 PC 感染成功
近年來,針對基礎行業設施和大型企業的黑客 APT 攻擊活動頻繁曝出,其中有的會攻擊工控系統,如 Stuxnet(震網)、Black Energy(黑暗力量)等,直接產生巨大的破壞力;還有的則是以情報竊取為主要目的,如此前由卡巴斯基、AlienVault 實驗室和 Novetta 等協作披露的 Lazarus 黑客組織,以及本次最新曝光的 OnionDog(洋蔥狗),這類秘密活動的網絡犯罪所造成的損失同樣嚴重。
在“洋蔥狗”的惡意代碼活動中,有著近乎“強迫癥”的規范:首先,惡意代碼從被創建的 PDB (程序數據庫文件)路徑上,就有著嚴格的命名規則,例如 USB 蠕蟲的路徑是 APT-USB,釣魚郵件惡意文檔的路徑是 APT-WebServer;當“洋蔥狗”的木馬成功釋放后,它會請求 C&C(木馬服務器),下載其它惡意程序并保存到%temp%目錄,再統一以“XXX_YYY.jpg”形態作為文件名。這些名稱都有著特定涵義,一般是指向攻擊目標。種種跡象表明,“洋蔥狗”對出擊時間、攻擊對象、漏洞挖掘和利用、惡意代碼等整套流程都有著嚴密的組織和部署,同時它還非常重視隱藏自己的行跡。
2014 年,“洋蔥狗”使用了韓國境內的多個硬編碼 IP 作為木馬服務器地址,當然這并不意味著攻擊者位于韓國,這些 IP 更可能只是傀儡機和跳板。到了 2015 年,“洋蔥狗”的網絡通信全面升級為暗網網橋,這也是目前 APT 黑客攻擊中比較高端和隱蔽的網絡通信方式。
“洋蔥狗”HWP 漏洞文檔中包含 ICEFOG 樣本這一資源之間存在聯系的情況,讓我們推測出該組織有可能存在使用其他已知 APT 組織特有的技術和資源,目的是嫁禍其他組織或干擾安全研究人員進行分析追溯。另外更多是對我們在對抗 APT 工作中的警示,無論是對研究方法還是對情報數據的不加甄別,而單一維度簡單追溯關聯,最終有可能被誤導走入攻擊者的陷阱。我們只能更加嚴謹,從不同維度去分析研究,最終做到客觀陳述,避免主觀臆斷。
另外在推測 ICEFOG“重生”的工作中,我們除了基于自主的威脅情報數據,也使用了大量如 virustotal、domaintools,以及卡巴斯基等第三方廠商機構的相關分析結果或資源,不同來源的數據進過交叉驗證,這樣極大的保證了數據的可靠性。在以前安全廠商與惡意代碼、APT 進行對抗,存在資源嚴重不對稱的情況,我們希望從 2016 年開始通過各個廠商、機構等反 APT 領域之間的防守協作得到改善。