緬甸目前是一個從事重要政治活動的國家。2011年的民主改革更是幫助政府創造了一個有利于吸引投資者的氛圍。該國資源豐富,擁有多種自然資源和穩定勞動力供給【1】。盡管近來有所發展,該國還需要長期進行種族斗爭和內戰。分析人士認為,中國和美國對緬甸的內部斗爭有很大的影響,尤其是中國有海上通道,港口貿易和重要的燃料管道等優勢。地理政治學家認為,美國可能會因為自己的利益而在這里阻撓中國的野心【2】,【3】,【4】。
APT組織成員來自多個國家,其中包括中國。該組織的戰略利益是以惡意軟件作為基礎進行間諜活動。使用的是惡意軟件家族中的著名的PlugX(也稱為Korplug),該惡意軟件允許完全訪問受害者的機器和網絡。最近觀察到在緬甸政府主站上托管了多個PlugX相關的惡意軟件。在2015年八月初的時候,Arbor ASERT已經提供信息幫助緬甸CERT處理這種情況。初步局勢現已得到處理。我們可以更廣泛地對外發布此信息。這篇報告并不打算全面揭露持續整個活動的威脅,但是這些威脅源TPP's(Tactics, Techniques, Procedures)信息可以幫助其他組織機構提高防范意識,增強對這種攻擊活動的防范和檢測。
對惡意軟件的初步調查發現緬甸選舉的相關網站是PlugX惡意軟件的宿主。緬甸針對這次攻擊討論結果是類似于Palo Alto Networks在2015年六月份發布的受到Evilgrab惡意軟件影響的策略性網絡感染攻擊(也稱“watering hole”)。他們的研究還表明9002 RAT事例也是使用相同的基礎設備。由于威脅環境的性質所限,歸因的查找相當困難,尤其是當多個威脅源組織可能分布在一個集中地方使用相同的惡意軟件。但不論是誰發起的攻擊,了解對方的目標和TPP's能夠在突變情況下成為重要資料幫助工作人員抵御敵人。這是一場持久的智力戰爭。
截至2015-07-30,緬甸政府的Web服務器上保存了幾個PlugX相關的惡意軟件。確切來說,Ministry of Information(MOI)網站托管了Myanma Motion?Picture Development Department(MMPDD)相關網站URLhttp://www.moi.gov[.]mm/mmpdd/sites/default/files/field
Figure ?1: Screenshot of website containing malware as of July 30, 2015
PlugX的二進制文件包括moigov.exe,fields.exe,fibmapp.exe三個文件。field目錄最后的修改時間是2015-07-15 23:33,可以推測該網站在這個日期或之前就遭受黑手。網站是運行在Drupal,但相關的危害分析技術超出文本的范圍。
Figure 2: Parent directory reveals last modification of the directory used to store PlugX artifacts
Table ?1: A variety of PlugX malware-related content was observed on the Myanmar site
加載程序(MD5:a30262bf36b3023ef717b6e23e21bd30)下載一個叫moigov.exe的PlugX二進制文件(MD5: d0c5410140c15c8d148437f0f7eabcf7)。該PlugX樣本具有多種配置屬性。分析人員,事故救援人員和研究人員可以通過使用Volatility memory forensics framework(https://github.com/arbor-jjones/volatility_plugins/blob/master/plugx.py和https://github.com/arbor-jjones/volatility_plugins/blob/master/plugx_structures.py)獲取其內部信息。
應該注意到這種情況下PlugX是P2P的變種,它的P2P功能在配置里面是禁用的。這些配置elements對Indicators of Compromise(IOCs)非常有用,還有可以幫助連接該PlugX樣本到其它攻擊活動。分析人員必須謹慎使用,因為不是所有elements都是無害的。例如,谷歌開放的DNS服務器8.8.8.8和8.8.4.4是無害的,但是通常使用PlugX或其它惡意軟件會阻礙DNS過濾/探測或者使之探測到有危害的DNS服務器。同往常一樣,分析時需要多加謹慎考慮。
PlugX configuration for moigov.exe, MD5 d0c5410140c15c8d148437f0f7eabcf7
md5: d0c5410140c15c8d148437f0f7eabcf7
cnc: usacia.websecexp.com:53
cnc: appeur.gnway.cc:90
cnc: webhttps.websecexp.com:443
cnc: usafbi.websecexp.com:25
cnc1: webhttps.websecexp.com:443 ?(TCP ?/ ?HTTP)
cnc2: usafbi.websecexp.com:25 ?(UDP)
cnc3: usacia.websecexp.com:53 ?(HTTP ?/ ?UDP)
cnc4: appeur.gnway.cc:90 ?(TCP ?/ ?HTTP)
cnc5: usafbi.websecexp.com:25 ?(TCP ?/ ?HTTP)
cnc6: webhttps.websecexp.com:443 ?(HTTP ?/ ?UDP)
dns: 180.76.76.76
dns: 168.126.63.1
dns: 203.81.64.18
dns: 8.8.8.8
enable_icmp_p2p: 0
enable_ipproto_p2p: 0
enable_p2p_scan: 0
enable_tcp_p2p: 0
enable_udp_p2p: 0
flags1: 4294967295
flags2: 0
hide_dll: -1
http: http://epn.gov.co/plugins/search/search.html
icmp_p2p_port: 1357
injection: 1
inject_process: %ProgramFiles%\Internet ?Explorer\iexplore.exe
inject_process: %windir%\system32\svchost.exe
inject_process: %windir%\explorer.exe
inject_process: %ProgramFiles(x86)%\Windows ?Media ?Player\wmplayer.exe
install_folder: %AUTO%\McAfeeemOS
ipproto_p2p_port: 1357
keylogger: -1
mac_disable: 00:00:00:00:00:00
mutex: Global\VdeBueElStlKd
persistence: Service ?+ ?Run ?Key
plugx_auth_str: open
reg_hive: 2147483649
reg_key: Software\Microsoft\Windows\CurrentVersion\Run
reg_value: OmePlus
screenshot_folder: %AUTO%\McAfeeemOS\NtBXvdMGwtDwrfHs
screenshots: 0
screenshots_bits: 16
screenshots_keep: 3
screenshots_qual: 50
screenshots_sec: 10
screenshots_zoom: 50
service_desc: McAfee ?OmePlus ?Module
service_display_name: McAfee ?OmePlus ?Module
service_name: McAfee ?OmePlus ?Module
sleep1: 83886080
sleep2: 0
tcp_p2p_port: 1357
uac_bypass_inject: %windir%\system32\rundll32.exe
uac_bypass_inject: %windir%\system32\dllhost.exe
uac_bypass_inject: %windir%\explorer.exe
uac_bypass_inject: %windir%\system32\msiexec.exe
uac_bypass_injection: 1
udp_p2p_port: 1357
有幾個原因使得fields.exe樣本比較出名。它同樣存在緬甸的moi.gov網站,和上述的moigov.exe樣本有差不多一樣的結構。但是有些elements是不同的,比如C2認證字符串,注入的進程表,安裝文件夾等方面。
PlugX configuration for fields.exe, MD5 809976f3aa0ffd6860056be3b66d5092
md5: 809976f3aa0ffd6860056be3b66d5092
cnc: appeur.gnway.cc:90
cnc: webhttps.websecexp.com:443
cnc: usacia.websecexp.com:53
cnc: usafbi.websecexp.com:25
cnc1: webhttps.websecexp.com:443 (TCP / HTTP)
cnc2: usafbi.websecexp.com:25 (UDP)
cnc3: usacia.websecexp.com:53 (HTTP / UDP)
cnc4: appeur.gnway.cc:90 (TCP / HTTP)
cnc5: usafbi.websecexp.com:25 (TCP / HTTP)
cnc6: webhttps.websecexp.com:443 (HTTP / UDP)
cnc_auth_str: Kpsez-htday
dns: 168.126.63.1
dns: 180.76.76.76
dns: 8.8.8.8
dns: 203.81.64.18
enable_icmp_p2p: 0
enable_ipproto_p2p: 0
enable_p2p_scan: 0
enable_tcp_p2p: 0
enable_udp_p2p: 0
flags1: 4294967295
flags2: 0
hide_dll: -1
http: http://epn.gov.co/plugins/search/search.html
icmp_p2p_port: 1357
injection: 1
inject_process: %windir%\system32\svchost.exe
inject_process: %ProgramFiles%\Internet Explorer\iexplore.exe
inject_process: %windir%\explorer.exe
inject_process: %ProgramFiles(x86)%\Windows Media Player\wmplayer.exe
install_folder: %AUTO%\MybooksApp
ipproto_p2p_port: 1357
keylogger: -1
mac_disable: 00:00:00:00:00:00
mutex: Global\EStZmOzInezFVydxhdE
persistence: Service + Run Key
plugx_auth_str: open
reg_hive: 2147483649
reg_key: Software\Microsoft\Windows\CurrentVersion\Run
reg_value: OSEMInfo
screenshot_folder: %AUTO%\MybooksApp\hIZu
screenshots: 0
screenshots_bits: 16
screenshots_keep: 3
screenshots_qual: 50
screenshots_sec: 10
screenshots_zoom: 50
service_desc: Windows OSEMinfo Service
service_display_name: McAfee OSEM Info
service_name: McAfee OSEM Info
sleep1: 83886080
sleep2: 0
tcp_p2p_port: 1357
uac_bypass_inject: %windir%\explorer.exe
uac_bypass_inject: %windir%\system32\dllhost.exe
uac_bypass_inject: %windir%\system32\msiexec.exe
uac_bypass_inject: %windir%\system32\rundll32.exe
uac_bypass_injection: 1
udp_p2p_port: 1357
一個有趣的element是C2驗證字符串"Kpsez-htday",它可能引用了緬甸Rakhine?State的Kyaukphyu Township。這是一個經濟特區(SEZ)。其相關信息可以參看下圖【6】:
Figure 3: About KP SEZ from http://kpsez.org/en/about-us-2/
基于先來者們使用PlugX的歷史【7】【8】【9】【10】和該經濟特區特性,為選擇有利于民族國家利益而實施泄露和間諜行動,具體情況還要進一步調查。
PlugX configuration, MD5 69754b86021d3daa658da15579b8f08a
md5: 69754b86021d3daa658da15579b8f08a
cnc: appeur.gnway.cc:90
cnc: webhttps.websecexp.com:443
cnc: usacia.websecexp.com:53
cnc: usafbi.websecexp.com:25
cnc1: webhttps.websecexp.com:443 (TCP / HTTP)
cnc2: usafbi.websecexp.com:25 (UDP)
cnc3: usacia.websecexp.com:53 (HTTP / UDP)
cnc4: appeur.gnway.cc:90 (TCP / HTTP)
cnc5: usafbi.websecexp.com:25 (TCP / HTTP)
cnc6: webhttps.websecexp.com:443 (HTTP / UDP)
cnc_auth_str: EDMS GM716
dns: 168.126.63.1
dns: 180.76.76.76
dns: 8.8.8.8
dns: 203.81.64.18
enable_icmp_p2p: 0
enable_ipproto_p2p: 0
enable_p2p_scan: 0
enable_tcp_p2p: 0
enable_udp_p2p: 0
flags1: 4294967295
flags2: 0
hide_dll: -1
http: http://epn.gov.co/plugins/search/search.html
icmp_p2p_port: 1357
injection: 1
inject_process: %windir%\system32\svchost.exe
inject_process: %ProgramFiles%\Internet Explorer\iexplore.exe
inject_process: %windir%\explorer.exe
inject_process: %ProgramFiles(x86)%\Windows Media Player\wmplayer.exe
install_folder: %AUTO%\EDMSinfos
ipproto_p2p_port: 1357
keylogger: -1
mac_disable: 00:00:00:00:00:00
mutex: Global\qZlDbiNRvrLXkhFTgAhdIeESC
persistence: Service + Run Key
plugx_auth_str: open
reg_hive: 2147483649
reg_key: Software\Microsoft\Windows\CurrentVersion\Run
reg_value: EDMSinfos
screenshot_folder: %AUTO%\EDMSinfos\NHY
screenshots: 0
screenshots_bits: 16
screenshots_keep: 3
screenshots_qual: 50
screenshots_sec: 10
screenshots_zoom: 50
service_desc: Windows EDMSinfos Service
service_display_name: EDMSinfos Module
service_name: EDMSinfos Module
sleep1: 83886080
sleep2: 0
tcp_p2p_port: 1357
uac_bypass_inject: %windir%\explorer.exe
uac_bypass_inject: %windir%\system32\dllhost.exe
uac_bypass_inject: %windir%\system32\msiexec.exe
uac_bypass_inject: %windir%\system32\rundll32.exe
uac_bypass_injection: 1
udp_p2p_port: 1357
根據配置的信息來看,這件事情可能和六月份Palo Alto Networks【5】發布的使用Evilgrab惡意軟件對緬甸總統網站發起的策略性網絡感染攻擊(SWC)相關。
這種攻擊在目標網站上添加一個iframe。這次攻擊中,一個iframe也添加到www.moi.gov.mm網站,通過分析MOI網站可以發現以下腳本被index.html?q=content%2Fmmpdd-e-services頁面調用。
custom.js最后一行包含一個隱藏的iframe,指向Drupal themes文件夾里面html5.php:
html5.php在目標網站上已經不再有效(可能是被攻擊者、網站維護人員移除或者限定到指定的目標),VirusTotal檢查結果表明其它html5.php文件可能提供其它服務。特別是一個MD5為a1c0c364e02b3b1e0e7b8ce89b611b53的html5.php文件包含了一個捆綁了PlugX的Firefox瀏覽器插件。這個瀏覽器插件只是復制PlugX二進制文件(名字為 Components.exe)到C:\Windows\tasks目錄然后執行它。具體代碼在boostrap.js里面:
Components.exe的MD5是1c7fafe58caf55568bd5f28cae1c18fd。這個特殊的二進制文件似乎沒有攻擊緬甸的相關動作。然而它捆綁PlugX的策略、文件名和web感染方法都和Palo Alto Networks發布的Evilgrab攻擊方法吻合。
如本文所述的攻擊者利用瀏覽器插件的方法同時在Shadowserver上被發現。不久之后將發布他們的研究結果,Defenders支持審查這些資料,當發布的時候可以獲得額外的攻擊活動信息。
除了上面提到的技術,在Evilgrab攻擊和PlugX配置觀察到相同的C2服務器,這表明一些攻擊者團隊或者攻擊者團隊之間共享攻擊時的基礎設備,相關資料如下:
配置清單還列出了另一個DNS服務器(203.81.64.18)。運行在緬甸郵電可能是因為比起其它DNS服務器會受到較少的懷疑。至少了四個PlugX樣本使用這個DNS服務器。CA驗證字符串可以參看下表:
在#1樣本的C2驗證字符串分析表明其日期可能是4月9日(04-09)和4月20日(04-20),樣本#2包含了2015-02-24的時間戳。樣本#3的驗證字符串可能指的是3月12日和3月20日。但目前ASERT缺乏證據證明這些活動是在這些日期。樣本#4(在上述的Myanmar.gov網站發現)可能指的是通用術語“Electronic Document ?Management ?System”,GM716可能是7月16日。EDMS可能跟緬甸政府的EDMS相關【11】,【12】,雖然沒證據證明這種說法。
這個表的第一個惡意軟件(eeb631127f1b9fb3d13d209d8e675634)在http://the-casgroup[.]com/Document/doc/dxls.exe發現并于2015年4月20日首次提交到VirusTotal。
這個網站似乎屬于“CAS GROUP INTERNATIONAL LIMITED”,其自我介紹下:“The?CAS Group?brings along a number of world?innovative home automation,audio speakers and digital signag products from the USA under?one roof into Hong Kong”http://the-casgroup.com/about.php。2015-03-30的時候分析發現這個domain連接到我們與其它惡意樣本(MD5: ?e2eddf6e7233ab52ad29d8f63b1727cd),其功能似乎是下載http://the-casgroup[.]com/Document/doc.zip。惡意軟件偽裝成一個假的JPEG文件(invitations.jepg),正如我們可以從截圖看到RUNDLL試圖運行invitations.jpeg.dll。一些有趣的字符串(sanitized)樣本如下所示:
Downer.dll
%s\Thumbs.db
%s//%s?%d
http://the-casgroup[.]com/Document
http://the-casgroup[.]com/Document/doc.zip
%s\doc.zip
Java ?Sun
Thumbs.db Mode
Sun_FlashUpdate.lnk
這個惡意樣本發現自緬甸的Naypyitaw聯邦選舉委員會網站http://www.uecmyanmar[.]org/dmdocuments/invitations.rarRAR文件(MD5: d055518ad14f3d6c40aa6ced6a2d05f2)。2015-07-30的時候,這個RAR文件仍然還在這個網站上。檔案的名稱是“Preliminary discussions about?the election,invitations\Preliminary?discussions about?the election,invitations.lnk”。.lnk文件顯示的修改時間是2015-03-25 2:35:36PM 星期三。.lnk的目標地址是:“C:\WINDOWS\system32\rundll32.exe invitations.jpeg Mode”,在DLL里面使用Mode功能執行invitations.jepg。
檔案還包含一個Readme.txt文件,為確保惡意軟件的執行包含了以下的措辭。
在同一個網站發現http://www.uecmyanmar[.]org/dmdocuments/PlanProposal.rar。當解壓之后得到另一個PlugX樣本。RAR包含的三個文件如下:
Figure 4: Malware found inside RAR file hosted on uecmyanmar site
這三個文件解壓到“PlanProposal\new?questionnaire\Voter?Plan?Proposal”目錄,說明他們的目標可能是操作緬甸的參與投票。
還有PlugX配置還包含了一個Epn.gov.co(the National Penitentiary School for the National?Penitentiary and Prison Institute (INPEC) in Colombia)的HTTP的配置element,這個字段的意圖是當C2沒有反應的時候提供一個命令或控制服務。這個URL的內容是這樣的:
Figure 5: External site hosting PlugX Command & Control servers in an encoded form
在其他一些諸如:“PlugX:some uncovered points"的elements被Airbus Defence and Space【13】和應急人員【14】作為討論的焦點。Volatility?memory forensics framework可能是使用ASERT的plugx.py和plugx_structures.py Volatility插件分析PlugX配置elements【15】。每行的開頭和結尾四個字節包含C2編碼信息,之前的版本和端口信息。
Fireeye在2014年八月份開源的解碼腳本【16】只需稍作修改便可用于這里。ASERT修改了FireEye python腳本(plugx_c2_decode.py)的header,版本信息,端口信息,開始幾個字節和返回唯一的主機名。
import?sys
s?= sys.argv[1][10:-4]
rvalue?= ""
for x?in range(0, len(s), 2):
? tmp0 = (ord(s[x+1])?-?0x41)?<< 4
? rvalue += chr(ord(s[x]) + tmp0 - 0x41)
print rvalue
python ?plugx_c2_decode.py ?DZKSEAAAJBAAFHDHBGGGCGJGOCHHFGCGDHFGDGFGIHAHOCDGPGNGDZJS usafbi.websecexp.com
python ?plugx_c2_decode.py ?DZKSGAAAFDAAFHDHBGDGJGBGOCHHFGCGDHFGDGFGIHAHOCDGPGNGDZJS usacia.websecexp.com
PlugX使用者用Colombian政府網站指向該網站,但Colombian的分析目標在這個報告之外。
緬甸內部相關的機構應該意識到,攻擊者的目的是本文所述的所有特殊郵件信息或網絡流量。相關機構應當了解PlugX的網絡流量,并應監控本文所述的PlugX配置數據相關的主機和網絡。另外,監控JPCERT【17】所說的P2P PlugX也是一個明智的選擇,盡管這個簡單的PlugX樣本P2P功能是被禁用的。PlugX只是惡意軟件系列中的一員,攻擊者通常有樹種惡意軟件可以選擇。鑒于PlugX攻擊活動具有針對性,攻擊活動可能會持續。IOCs包含本書所述可能遭到攻擊的組織,發現系統受損程度、以及所造成的損失以及組織應急措施。
應急處理人員應該了解目標的geopolitical,采取適當的方式阻礙他們的行動。在這種情況下適當的處理方式是尋找PlugX(和其它惡意軟件)和任何已經有入侵跡象的系統和網站。如果包含惡意活動的日志文件可用,可以利用他們來確定威脅活動。這使得救援人員可以跟蹤spear-phish和其它攻擊方式,從而了解一些可以幫助組織更好地防御危害的信息,進而限制他們泄漏敏感數據。
2015年7月2日,一個名為moigov.exe的文件試圖下載來自MOI網站一個2015年6月23日編譯的惡意軟件下載器。分析時,如果下載這個文件返回404錯誤,則該文件很可能已經被攻擊者刪除了。惡意軟件下載器原有的名字被VirusTotal檢測到是”Connection Test.exe“,更多細節請參考【18】。這個程序偽裝成IBM安全軟件AppScan,并且使用相同的文件名,版權,版本號,出版商和產品值?(8.0.650.113)(參考binarydb.com 【19】)。
因為AppScan常常被開發人員和安全人員用來查找漏洞,很可能這場攻擊活動需要更高級別的資源訪問權限。
AppScan和惡意軟件的比較如下所示:
Figure 6: Legitimate AppScan binary
Figure 7: Bogus AppScan binary that downloads PlugX
兩個程序的圖標:
我們這里選擇介紹的惡意軟件下載器非常普通,使用的是2013年Arbor ASERT的成員Jason Jones所說的字節串技術【21】。字節串技術常常被各種惡意軟件用于混淆代碼。Deobfuscation可以手動為之,然而有一個python腳本實現快速Deobfuscation【22】。獨特的字節串技術可以很容易混淆代碼。
值得一提的是,一些中國APT惡意軟件被檢測到也使用該技術,但不僅限于中國。有幾個基于Delphi的中國惡意軟件已經使用了該技術【20】。它們分別是Gh0st RAT,Poison lvy,IXESHE,Etumbot(關于Etumbot更多的細節請查看2014-07 ASERT的簡報“Illuminating ?the ?Etumbot ?APT ?Backdoor”)等。
Deobfuscation之前我們看到WinMain函數的第一部分使用的字節串技術。這種情況下,AL寄存器存放“L”字符,CL寄存器存放“E”,BL寄存器存放“0”,DL寄存器存放“o”。這些值結合各種靜態字符串來調用LoadLibraryA和GetProcAddress。這和ASERT中描述的技術一樣:使用IDAPython查找字節串 - “我們也看到類似的代碼:把字符加載到一個8位寄存器然后和變量混合起來進一步混淆代碼”【21】。
Figure ?8: Byte strings technique fills AL, CL, BL, and DL one byte registers (hex on the left, ASCII on the right) with characters
Figure 9: Strings being built (obfuscated on the left, deobfuscated on the right)
可以看到數據字符串組合成:kernel32.dll,urlMon.dll(作為調用LoadLibraryA的參數)。
Figure 10: Strings being processed after deobfuscation
同樣還可以看到CreateProcessA,URLDownloadToFileA(作為調用GetProcAddress的參數)。字符串加工之后,PlugX惡意下載器通過 這個URL調用UrlMod.URLDownloadToFileA函數。
Figure 11: Downloader URL target which downloads PlugX
Figure 12: Calls to LoadLibraryA and GetProcAddress receive the dynamically created strings
Figure 13: The next function (4011F0) specifies the malware download location
雖然通過IDA pro或者其它靜態分析器可以獲取到下載器的詳細信息。但更方便的方法是使用調試器。地址00403000顯示了下載的URL。順便說一下,里面還包含了“Hello,World!”字符串。
Figure 14: .data section reveals downloader details
此字符串疊加技術有一個方便的特點是,它留下的的機器碼很獨特,可以通過一定的規則來檢測。雖然這些規則有用,但是生成這些惡意下載器可能一些使用隨機的寄存器或隨機的字節,導致代碼進一步的混亂。
Arbor NetWorks的ASERT(Arbor Security Engineering & Response Team)是一個提供世界級的網絡安全的研究和分析,幫助當今企業維護利益的網絡運營商。ASERT的工程師和研究人員更是機構里面的精英團隊,他們被成為“super remediators”,代表著最好的信息安全團隊。其知名度和修復能力在全球的大多數網絡服務提供商可以反映出來。
ASERT分享給幾百名國際計算機應急反應小組(CERTs)和成千上萬的網絡運營商情報簡要和安全內容供稿。ASERT也運營當今世界上最大的分布式Honeynet,全天候監控全球的網絡威脅http://atlas.arbor.net。這一使命和Arbor Networks相關的資源給全球網絡安全問題帶一個創新和研究的動力。
要查看Arbor近期的研究,新聞和ASERT信息安全社區請訪問我們的門戶http://www.arbornetworks.com/threats/。