原文地址:http://drops.wooyun.org/tips/10560

from:http://blog.checkpoint.com/wp-content/uploads/2015/11/rocket-kitten-report.pdf

0x00 概括

網絡間諜小組“Rocket Kitten”，由伊朗人組成，他們的首次活動可以追溯到2014年，主要是通過釣魚活動來傳播木馬，從而感染目標受害者。據報道，這個小組現在仍在活動中，最新的攻擊活動出現在了2015年10月。

一些安全機構和安全專家已經分析了Rocket Kitten小組和他們的攻擊活動，有大量相關的報告也介紹這個小組的行動方法、以及他們使用過的工具和技術。

這個小組使用的技術并不復雜，經常是利用釣魚活動來攻擊中東地區（包括伊朗）、歐洲和美國的個人目標和組織目標。他們已經利用定制編寫的木馬成功地入侵了其中的大量目標。雖然與基礎設施相關的識別工作一直在進行，但是， 他們也在一次又一次的調整自己的工具和釣魚域名，以逃避攔截。

Check Point已經從攻擊者的服務器上獲取到了一份 目標名單，其中確定的目標有高級別的國防官員，多個國家的大使館，伊朗研究人員，人權活動人士，媒體和記者，學術研究所，以及物理與核科學領域的學者。

• 在這份報告中，我們總結了下列發現：
• Check Point在調查攻擊者的基礎設施期間，發現了新的證據，包括此前未公布的木馬標識。
• 獲取到的一些信息，能完整披地露攻擊活動的范圍，能幫助我們了解受害者檔案與攻擊活動的內部關聯
• 通過分析攻擊數據，獲取到了詳細的受害者信息和產業信息，這些情況可能與伊朗的政治和軍事利益息息相關
• 通過分析攻擊者的失誤，首次發現了主要開發者的真實身份（也就是“Wool3n.H4T”）

我們希望，這份報告以及其中提出的方法能有效地遏制攻擊者的行動（應對當前的工具和基礎設施）。雖然，Check Point的客戶不會受到這個威脅的影響，我們還是呼吁安全廠商和木馬研究專家擴大當前防護基礎設施中惡意IoC（入侵標識）的涵蓋范圍。

0x01 調查時間回顧

（如果你已經看過了以前出版的報告，可以跳過這一部分）

有幾家不同的廠商，威脅情報小組和個人研究者都已經研究和分析過了Rocket Kitten的活動。在木馬研究領域中，有一個老生常談的問題，就是我們經常會在不同的報告中看到不同的代碼名稱和行動名稱，但是實際上，這些代號有可能指的是同一起活動或同一組攻擊者。

雖然木馬命名方式不同，但是所有的報告都認為這些活動是從伊朗發源的。根據活動的攻擊目標，以及各種間接和直接證據都能支持這一結論。盡管，我們知道攻擊者可以偽造和篡改數字證據來欺騙分析者，但是根據在這幾年的活動中發現的大量證據來看，這些數字信息不可能是偽造的。

雖然報道和公布了相關的惡意標識，但是Check Point發現仍然有一些攻擊活動 在使用相同的方法和基礎設施。其他安全廠商和Check Point的研究伙伴也都證實了這些發現。

看起來，雖然這些攻擊使用的技術不復雜，但是他們完全不在意西方安全領域的研究和發現。他們往往會通過更換域名和更新他們的木馬攻擊， 繼續按部就班地實施他們的行動。

我們現在就回顧和簡要總結一些有趣的發現。

2014年發布的‘Operation Saffron Rose’報告把這個伊朗攻擊小組命名為了‘Ajax Security’（CrowdStrike使用的代碼名稱是‘Flying Kitten’）。報告中稱，這個小組通過釣魚攻擊了伊朗的異議分子（那些企圖規避政府交通監控的人）。這個小組與最近發生的Rocket Kitten活動很可能存在聯系（不同的工具，但是行動模式和釣魚域名的命名方式類似）。不過，目前還沒有確鑿的證據能證實這樣的關聯。

在同一個月里，iSight發布了BNewscaster報告，詳細地說明了相似的釣魚活動，這次的釣魚活動利用了虛假的社交媒體賬號，偽裝成了‘newsonair.org.’網站的一名記者。據說，iSight與FBI合作，發現這些攻擊活動都是伊朗人實施的。報告中指出，攻擊者的目標有美國、英國和以色列的政客，資深軍事人員和國防組織。我們沒有發現有直接證據能表明Rocket Kitten與這些活動有關聯。

ClearSky在2014年9月發布的文章中，首次說明了這些攻擊活動使用了一種叫做‘Gholee’ 的木馬（這個名稱出現在了惡意有效載荷的導出函數中，可能是根據一名伊朗歌星來命名的）。研究人員發現了一些與其他攻擊活動相關的線索，并且注意到大量的AV產品都無法檢測出這個木馬。

圖1-ClearSky注意到的‘gholee’導出名稱

Gadi & Tillman在31c3大會（第31屆Chaos通訊大會，德國）上，通過報告首次明確了Rocket Kitten的身份，緊接著CrowdStrike確定了對伊朗攻擊小組的命名方式。在報告中，研究人員介紹了黑客‘Wool3n.H4t’以及其他成員的身份。

圖2-Tillman Werner & Gadi Evron注意到惡意文檔中的人工痕跡能指示文件創建者

接著，研究人員又介紹了攻擊者使用的兩個木馬：

• 在深入研究了ClearSky所說的“Gholee”木馬后，我們發現這個木馬實際上是一個滲透測試工具的“Wrapper”，這個測試工具最初是阿根廷公司Core Security開發的，是一個合法的滲透測試工具，叫做“Core Impact”。攻擊者非法修改了這個工具，然后，用在了Rocket Kitten小組的惡意攻擊活動中。
• 一個基于.NET的憑據竊取器，負責竊取在受感染計算機上儲存的某些憑據，[email protected] (mailto:[email protected])[email protected]。

Trend Micro在2015年的報告中重新介紹了‘Gholee’木馬（GHOLE）活動和‘Operation Woolen Goldfish’行動，以及一個不太復雜的鍵盤記錄器‘CWoolger’-這個程序的名稱似乎是‘woolger’（可能是從‘wool3n keylogger’這個詞而來），使用了C++進行編寫，現有證據表明，這個程序是從2011年開始出現的。

C:\Users\Wool3n.H4t\Documents\Visual Studio 2010\Projects\C-CPP\CWoolger\Release\CWoolger.pdb

研究人員還稱，Wool3n.H4T很可能就是木馬的作者，這個人只登錄過伊朗的一個博客平臺。

圖4-Trend Micro的研究人員發現了wool3nh4t.blog.ir

在這次的報告中，Trend Micro的研究人員記錄了Rocket Kitten如何修改了Gholee木馬（把‘gholee’函數重新命名為了‘function’），應該是為了避開ClearSky公布的Yara簽名。另外，研究人員還記錄了日期為2011年3月的Gholee木馬樣本，并作為了調查早期攻擊活動的證據。

ClearSky仍然在繼續調查這個小組的活動，并且在2015年6月公布的報告中介紹了 ‘Thamar Reservoir’活動，這次活動使用了Thamar E. Gindin來命名，因為她也是Rocket Kitten小組的攻擊目標。ClearSky的研究人員指出，在這次活動中，釣魚網站托管在了以色列的一家學術研究網站上，接著，ClearSky的研究人員發現攻擊者犯了一次OPSEC（行動安全）失誤，從而發現了一份詳細的目標名單（一部分）。

圖5-ClearSky在釣魚服務器日志中發現的部分目標國家分布

我們在分析了這份名單后發現，這些目標都關系著國家政治利益，有的受害者是伊朗的對頭， 有的則是具有重要的情報價值。ClearSky還引用了美國財政部無意在網上公開的一份備忘錄，證明了攻擊者來自伊朗。

ClearSky展示了大量私人定制的釣魚郵件和通訊，其中涉及到了一些電話通話，攻擊者利用了這些通話來誘惑受害者打開郵件中的附件。由此可見，這個攻擊小組的毅力和行動廣度不一般。

圖6-ClearSky發現了定制的釣魚頁面

Citizen Lab在2015年8月發布了一份報告，詳細地說明了攻擊者如何利用這種電話通話騙局，來誘騙受害者交出他們的雙重認證令牌。很顯然，攻擊者會首先研究受害者，然后撥打電話，督促他們趕快處理接收到的郵件。在受到攻擊的受害者中，Citizen Lab提到了EFF的國際言論自由主管Jillian York。Citizen Lab在報告中說道，在這次釣魚攻擊中，有一些釣魚域名是已經報道過的，已經確認了與Rocket Kitten存在關聯。

圖7-Citizen Lab發現的谷歌密碼重置釣魚頁面

有趣的是，Citizen Lab后來又在報告中新增了一份來自一家新聞媒體的回應，據稱，這家媒體與伊朗情報機構的關系很密切。在這篇回應下面，他們還附上了伊朗流亡記者Omid Memarian的斷言，稱這些攻擊“無疑”是伊朗革命衛隊發動的。媒體回應中嘲笑道“西方媒體這是在渾水摸魚”，所有這些斷言都是“可笑的”。

在Trend Micro和ClearSky最新發布的文章中（2015年9月），詳細地說明了這個小組的情況以及現今的行動模式，并介紹了另外的幾起攻擊事件，以及最新的“downloader”木馬。

0x02 Rocket Kitten使用的工具&基礎設施

Rocket Kitten攻擊小組的主要攻擊途徑是釣魚。有效的釣魚攻擊只需要一個定制的釣魚頁面，托管在一個價格較低的web服務器上就足夠了。正如先前的報告中所說的，Rocket Kitten小組利用了各種各樣的釣魚方式，有時候是通過郵件往來與受害者通訊，有時候甚至會撥打電話來誘使受害者打開惡意附件。

在此次活動中檢測到的惡意附件有的是定制編寫木馬，有的是“downloader”組件，而“downloader”組件會從遠程服務器上獲取木馬，然后在受害者的機器上執行。

除此之外，我們還遇到了一些利用了“web 入侵”工具和套件的攻擊活動，這些攻擊活動企圖入侵受害者的網站。 此前報道過的定制木馬包括：

• CWoolger—一個基于C++ 的 ‘woolen 鍵盤記錄器’。這個木馬會記錄所有的鍵盤輸入并把數據發送到木馬中硬編碼的FTP服務器。
• Wrapper/Gholee—這個木馬實際是重新改造后的Core Impact 滲透測試工具，允許遠程訪問某個平臺，用于平行感染或隨后的木馬安裝。
• FireMalv—一個基于.NET 的Firefox 憑據竊取器。這個工具會復制儲存在Firefox瀏覽器中的密碼。

Check Point在調查中還發現攻擊者使用了下面的工具：

• .NETWoolger—一個基于.NET 的 “woolen 鍵盤記錄器”。這個木馬的功能類似于 CWoolger。攻擊者似乎是在交換使用這兩個工具，作為備用的感染機制（以防受害者檢測到了計算機上的木馬）。
• MPK—一個多功能的定制RAT木馬。這個木馬能記錄鍵盤輸入，允許遠程命令執行，截圖和流量監控。詳細的MPK木馬介紹請參考附錄B。

除了定制編寫的木馬，我們還發現攻擊者使用了多種入侵和掃描工具來攻擊受害者的網站。

• Metasploit—一個開源的多功能滲透測試平臺。Metasploit的 ‘meterpreter’ 有效載荷封裝在了一個可執行文件中，攻擊者會把這個工具添加到釣魚郵件的附件中，當做一個RAT木馬來傳播。
• Havij & SQLMap—SQL注入工具； Havij 是伊朗人開發的，而SQLMap是一個開源項目。
• Acunetix & Netsparker—現有的web漏洞掃描器，能自動發現和利用常用web平臺上的漏洞。
• WSO Web Shell—一個無人不知的web shell- PHP 腳本，允許攻擊者通過后門訪問遭入侵的服務器。一般是在成功入侵后部署，以便進一步的操作。
• NIM-Shell—伊朗黑客小組開發的一個web shell，功能與上一個類似，在遭入侵的服務器上額外使用了一個Perl腳本。

我們檢測到這個Web入侵企圖是從多個IP范圍發起的，與Rocket Kitten C&C服務器的地址很接近。我們估計，發動這次活動的攻擊者要么直接使用了這些服務器，要么就是把這些服務器配置成了代理/VPN端點來引導其攻擊活動。

結合目前完成的研究工作以及Check Point所觀察到的攻擊活動，我們繪制了一幅攻擊者的基礎設施概況圖。

• 我們不認為上述的任何提供商參與了這次惡意活動。很可能是攻擊者偽裝成了合法的消費者或入侵了這些服務器，而服務提供商并不知情。
• 有一些特定的范圍可能是作為整體分配給了攻擊者。由于IP地址分配的動態特性，在報告公布時，這些地址可能已經過期了。
• 因為衛星通訊的工作方式，顯示位于德國的基礎設施可能實際并沒有安放在德國。更合理的猜測是，這些服務器實際位于伊朗。有一些證據是能證明我們的猜測的，比如注冊人信息。

0x03 GEFILTE PHISH—永志之仇

在得知了某個客戶網絡遭到了Rocket Kitten小組的攻擊后，Check Point的研究人員決定主動參與調查。雖然，在Trend Micro和ClearSky最近公布的報告中(‘The Spy Kittens Are Back: Rocket Kitten 2’)已經詳細地介紹了這次活動，但是我們想要確認我們分析的攻擊活動與這次活動存在關系，并發現其他有價值的信息。

在得知了這次攻擊后，我們嘗試與釣魚服務器通訊，并進行初步的勘察。我們了解到有好幾個惡意域名都是用了相同的IP地址。 我們注意到這個服務器上的IP地址是活動的，接著，我們就開始探測和思考這個服務器的目的到底是什么。

結果讓我們大吃一驚。

在web探測時，我們首先制作了一個GET請求腳本，嘗試瀏覽已知的路徑。一分鐘后，我們發現在發出了幾個請求后，包括/xampp和/phpmyadmin(!)，返回了一條200 OK響應。

我們懷疑腳本出現了誤報結果，所以，我們在瀏覽器中輸入了/xampp，結果令我們很驚訝：

圖8-XAMPP的默認配置-在一個活動的攻擊服務器上

我們很好奇地在瀏覽器中輸入了直接路徑，并加載了phpmyadmin界面。

直到我們把查詢提交到服務器上，我們才明白了phpmyadmin被配置成了允許任何訪客不使用密碼就能獲取root權限。

我們立刻想到“這樣的疏忽一定是一個圈套”。國家級別的攻擊者怎么可能會犯這么業余的錯誤來暴露自己的釣魚服務器數據庫呢？他們會犯這樣的失誤嗎？

如果他們注意到了‘XAMPP Security’頁面：

圖9-MySQL管理用戶root不需要密碼-不安全

在瀏覽了整個數據庫后，我們很快發現了大量的圖示結構，但是大多數都是空的（是為了用于測試？），其中有一個很突出：‘phakeddb’。

圖10-phakeddb方案-注意幾個列表中的utf8_persian_ci collation

’phakeddb’中包含了一些非常有趣的列表和數據集；這些數據集又豐富了研究人員對木馬活動的猜想。在瀏覽了這些列表后，我們發現了一個phishing web application，很可能是Rocket Kitten小組定制開發的。這個web應用會根據操作者的要求，生成針對特定目標定制的釣魚頁面，偽裝成目標服務（Gmail，Youtube，Hotmail等）。

后來我們得知，攻擊者把這個平臺命名為了‘Oyun Management System’。

我們首先看看‘users’ 列表：

圖11-‘users’ 列表

攻擊者登錄這個應用，也是為了像其他平臺一樣來設置其釣魚活動。這個服務器似乎是在2014年8月部署的，在當時創建了所有的用戶。

密碼字段使用的哈希類型是什么？他們使用了MD5哈希，這點不是很意外。

但是，在這個系統中，這還不是最明顯的失誤。用戶名 “super admin”（分配有所有的權限）的哈希是e10adc3949ba59abbe56e057f20f883e。解密愛好者都認識這個字符串就是“123456”的MD5哈希。

通過觀察用戶名，我們發現了幾個波斯語姓名和化名，比如merah,，kaveh，ahzab 和amirhosein。這些名字可能就是活動的“策劃者”-針對目標都有社交工程和釣魚任務。（提示：“123456”并不是這份列表中唯一一個容易破解的密碼）

接下來是“conversation”一欄，這好像是攻擊者之間通訊使用的一個實驗功能。不過很少使用。

圖12-“conversation”列表

大部分信息都是指向釣魚頁面的鏈接，而這些頁面都是攻擊活動中使用的，也證明了這個數據庫確實與攻擊活動有關聯。

有意思的是，我們可以看到用戶ID 55（對應著用戶表中的用戶名‘attache’）發出了一個請求：

please 20 subject for me. 
tank you
attache

隨后，用戶ID 60（(‘john’)請求了：

seyeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeedddddddddddddd
ddddddddd
please
please
please
support me
please
I need make a new project please add 50 subject tank you so match fadaaaaaaaaaaaaaaaaaaaaat bos bos
;0

boos’是波斯語的’kiss'，'bos bos'可能是波斯語的'xoxo'

這是什么意思呢？這個系統的用戶指的是什么項目和話題呢？我們通過調查‘requiretypes’更加明確了這個系統的目的：

圖13-‘requiretypes’列表

我們發現了釣魚頁面使用的代碼樣板，包括“Victim Full Name” “Victim User Name”等字段值。甚至我們還獲取到每個字段所使用的樣本。Wool3n.H4T再次引起了我們的注意（鍵盤記錄木馬的作者），因為在這一欄中不停地提到了這個人。我們有理由懷疑Wool3n.H4T編寫了這個“釣魚應用”來支持其行動。

[email protected] (mailto:[email protected])’，但是ybsoft.com目前注冊到了中國的一家電商，所以這個方向上就沒什么好運了。

但是，真正的大獎還在前面。

當我們打開“projects”時，我們都忘了喘氣了。很明顯每個“project”代表的就是一個受害者（目標的郵箱地址），每個“project”還會分配有一個“proj_id”，一名操作員和一個特定的鏈接，這個鏈接就會發送給這名受害者。我們總共發現了1842條記錄，包括從2014年8月到2015年8月期間（我們訪問這個數據庫的時間），所有遭到攻擊的受害者。

圖14-‘projects’列表

我們不僅僅獲取到了所有受害者的郵箱地址，還獲取到了每個釣魚頁面的樣本值（在‘projectmailrequirevalues’中）！例如，在一個‘Google Sign-In’頁面上，一般會顯示受害者的全名，以及用戶自己定義的公開頭像。攻擊者必須要復制網站的外觀，感受，并在數據庫中填充每個目標的全名，地址和照片。

不出所料，我們驗證并獲取到了已經報道過的受害者姓名和照片。

圖15-‘projectmailrequirevalues’列表

但是，‘projectlogs’里面有什么呢？

是我想的那樣嗎？

圖16-每條訪問釣魚頁面的記錄

在這個列表里，保存著每個釣魚頁面的每一次訪問記錄，如果受害者上當了，這里面還會有受害者提供的憑據。現在，我們可以利用這些數據，進一步了解從2014年8月到2015年8月期間的釣魚活動。具體請參考報告中的攻擊日志分析部分。

我們在繼續探索這個服務器時，發現了一個類似暴露的‘Webalizer’界面，這個界面提供了一些實用的分析工具，包括計數器和一些經常訪問的鏈接。

圖17-2015年8月的Webalizer統計

Webalizer界面給我們提供了大量有用的元數據，包括“前40個訪客IP”-我們能很清楚的知道是哪個攻擊者訪問了這個網站，并且這個界面還能為接下來的調查提供很多線索。很有趣，我們還發現了一些來源標頭，這些標頭指向了相同服務器上的一個路徑：

圖18-登錄界面

在一個‘hacker secret access’門戶中，我們似乎遇到了釣魚平臺的web界面。通過測試我們此前“破解的”“admin”憑據，我們獲取到了：

圖19-“Oyun Mangement System (OMS)”“Oyun”管理系統

現在，我們知道攻擊者把這個系統命名為了“Oyun”，并且使用了Larry Page的照片作為管理員頭像。這個界面上的其他部分還能允許讀寫phakeddb數據庫，包括插入并編輯“projects”（目標）和內部聊天平臺-“conversations”。

0x04 WOOLGERED—搬起石頭砸自己的腳

憑借在woolen鍵盤記錄器中硬編碼的憑據，我們獲取到了大量的woolger DAT文件（鍵盤記錄日志），是世界各地的受害者上傳的。

同樣明顯的是，同樣的硬編碼FTP憑據實際上是C&C Windows服務器上的管理員憑據，在這上面有C$和D$ NetBIOS/SMB管理員共享，可以通過WAN訪問。

圖20-如果你不想讓研究人員獲取你的CC服務器<captain_hindsight.png> 上的管理員權限，你不應該把管理員憑據硬編碼到你的木馬中

在眾多包含有竊取數據的鍵盤日志中，我們找到了一些令人震驚的發現：Rocket Kitten的攻擊活動實際上感染了自己的工作站，似乎是“測試運行”了woolger。攻擊者沒有從C&C服務器上清除這些文件，由此可見，攻擊者缺少OPSEC意識。

我們最感興趣的還是‘Wool3n.H4t’自己的日志：

圖21-測試成功

對于接下來在同一個日志文件中發現的東西，你感到驚訝嗎？

圖22-攻擊者測試了自己的工具

是的，我們實際上剛剛發現Wool3n.H4T更換了自己打開的窗口，包括了一個‘CWoolger’項目的Microsoft Visual Studio調試會話。

在另一個日志中，我們觀察到了一個特定的程序會加載‘wsc.vbs’腳本，符合Trend Micro和其他廠商公布的報告。此時，毫無疑問，我們現在查看的就是木馬作者的開發工作站。

圖23-互斥量和線程-你最不應該擔心的就是安全性

下一個日志告訴我們，攻擊者想要測試他的工具能否準確地捕捉輸入到Firefox HTTP認證窗口的憑據，因此，他輸入了自己的C&C服務器…

圖24

Wool3n.H4T的所有日志都是2014年10月獲取的。

然后，我們就注意到了這個日志區段：

tu 25-‘AOL Mail’已經縮小了范圍

在Wool3n.H4T名稱下的一條記錄顯示，一名用戶使用用戶名‘yaserbalaghi’登錄了AOL郵箱。

這名用戶是否是近期Trend Micro和ClearSky報告中指出的‘Yaser’呢？ (‘D:\Yaser Logers\CWoolger’...) 能否解釋Phakeddb對“ybsoft”的引用呢？ 目前我還不清楚，我們還需要繼續深入。

[email protected] (mailto:[email protected])’在伊斯蘭立法年1389年（2010-2011）時， 在伊朗的一個程序員論壇(“Barname Nevis”)上通過一個C++線程給出了自己的技術回答：

這名yaserbalaghi用戶還發了另外幾個帖子，與多個編程教程視頻存在關聯，涉及到的主題有ASP.NET，AJAX，jQuery 和 SQL 注入，他要求用戶都使用截屏軟件。

在仔細看完了這些視頻后，我們發現了幾處有意思的細節。首先，Yaser Balaghi是一名Microsoft Visual Studio 2010用戶，很熟悉在‘Rocket Kitten’活動中使用的幾個工具。

圖26-Yaser Balaghi(Engineer Balaghi) 教程視頻中的截圖

圖27-Engineer Balaghi主機名

通過進一步調查屏幕截圖中的用戶名和主機名，我們注意我們獲取到的鍵盤記錄實際上來自一臺“受感染的計算機”，這臺計算機上的用戶就是“Engineer Balaghi”，這一點更加深了我們的猜測。但是，我們目前還無法確定；Yaser Balaghi可能就是一個很普通的名字，或者是與Wool3n.H4T和攻擊者相關的某個人。

幾分鐘后，我們在SQLi教程視頻中發現了一處OPSEC錯誤，這就是我們要找的關鍵證據：

圖28-我們在看了一個小時的SQL注入教程后有了發現

Wool3n.H4t當場現行。在他犯的眾多錯誤之一，他現在竟然在教程中登錄了自己的秘密化名，如果他沒有這樣做的話，我們根本不會聯系到他的真實身份。這些視頻是在2014年2月拍攝的，早于 Rocket Kitten在年中實施的首次攻擊。

我們看了一眼W00l3n.Hat的桌面，發現桌面上的攻擊工具就是Rocket Kitten所使用的。

圖29-Havij, Acunetix, Netsparker, SQLMap, wamp,那是一個正常的IDA許可嗎？

隨后憑借幾個在線查詢，我們獲取到了很多結果，現在我們要像驗證Yaser Balaghi一樣，交叉驗證Wool3n.H4T的身份。

EngineerYaser Balaghi不僅僅活躍在一些編程論壇上-他還有一個網站（www.eng-balaghi.com在2014年8月下線，仍然可以通過Wayback Machine訪問）。在網站介紹中，他稱自己是一名“程序員，分析師，顧問和講師”，并且接受聘用。

圖30-Yaser Balaghi的stackoverflow賬戶

如果所有這些還不夠的話，我們還獲取到了一份最新的簡歷，上面顯示Balaghi的所在地是德黑蘭：

圖31-Yaser Balaghi的的簡歷（2013）

Balaghi畢業于伊斯蘭阿薩德大學計算機軟件專業，曾經擔任“軟件開發團隊的技術總監和團隊領導（Private）”和“安全與進攻主管（合法）（Private）”。隨后，他又列出了曾經完成的項目，包括為一家“安全組織”開發和設計了一個“釣魚攻擊系統”。

應一家網絡組織的要求，設計爆破軟件
應一家網絡組織的要求，設計釣魚攻擊系統
應一家網絡組織的要求，設置文件裝訂軟件
應一家網絡組織的要求，設計一個用Python寫的Windows木馬
應一家網絡組織的要求，完成大量的攻擊項目
設置并執行了大量的軟件項目，入侵工具和其他項目

圖32-（原文和翻譯）-我們不騙你

從這一部分中你能學到的一課是：如果你不想讓人知道你為政府開發木馬，就不要把這事寫在你的簡歷上。

0x05 收線—分析釣魚日志

據目前的報道，攻擊者會向受害者發送郵件，撥打電話，并根據不同的受害者偽裝成相應的身份。很顯然，攻擊者們會閱讀相關的分析報告，并修改自己的戰術。

有一份報告中曾寫到，攻擊者偽裝成了一名ClearSjy的研究員，引用了最近的Rocket Kitten報告，附上了一個“檢測軟件”，而這個軟件實際上是一個木馬。這種策略很有意思，在社會工程課堂上值得一提。此時，我們要說一下，這份報告在發布時并沒有提供任何檢測或防御工具，只有Check Point的 Software Blade。如果你收到的報告中附上了一個可執行程序，那么這個程序很可能是一個惡意誘餌。

在另一個例子中，攻擊者以一名受害者的身份發送了惡意附件。一名以色列的用戶在接收到附件后，很懷疑郵件的來源，于是他回了一封郵件，問“這是你發的，還是伊朗人又控制了你的電腦？”攻擊者回應道（絕對是希伯來語，不是用Google翻譯的 ）：“伊朗人再也無法返回我的電腦了！”

德黑蘭操作中心可能已經對此進行了討論，甚至在主餐廳中貼出了這份郵件。

由于先前的報告（閱讀TrendMicro和ClearSky的近期報告）已經很好地確定了Rocket Kitten小組的行為特征，所以，我們主要是通過分析‘Oyun’系統的受害者數據庫來獲取新的見解。我們知道這個 數據庫中包含有一份局部圖，開始于2014年8月，一直到2015年8月。雖然，這些數據能成功關聯到我們從其他服務器上收集的日志，但是我們無法查看包含有惡意附件的郵件（不同于用于竊取憑據的釣魚鏈接），或任何描述攻擊活動的完整web入侵日志。

從目標數據庫的數量來看，這幾個月以來，攻擊行動很頻繁 ，工作量也很大。這些日志中包括有訪問IP的所屬國家。我們通過分析，確定了下面的IP分布：

表1-釣魚訪客的國家分布

我們研究了訪客數據，判斷出有很多攻擊者都訪問這個網站并測試了網站的功能性。我們了解到攻擊者使用了伊朗的地址，美國，德國，沙特阿拉伯和荷蘭的VPN。這些數據必須要攔截，并納入參考。

我們過濾掉了系統中大約25%的日志和15%的“測試運行”項目。下表就是根據每條有效項目創建的。

通過繪制出釣魚日志圖，我們可以觀察其時間線：

表2-釣魚日志和成功事件

我們通過研究這些數據，發現了下面幾點有趣的地方：

• 平均來說，這個服務器上26%的釣魚頁面都成功地欺騙受害者輸入了他們的憑據。這個結果已經相當高了，很可能就是長期和定制郵件的功勞。
• 在2015年5月26日，出現了一次網站訪問高峰，并沒有取得多成功。在分析時，我們發現在幾分鐘內出現了3批訪問，‘project_ids’也越來越高，并且沒有提供任何數據，這些IP地址顯示都來自以色列。我們可以忽略這些訪問，因為這些訪問都是來自研究人員的測試。我們嘗試“爆破”這些釣魚頁面，緊接著就在6月發布了Clear Sky報告。
• 似乎，攻擊者在6月和7月關停了他們的平臺（可能是由于報告的發布），并在8月時恢復了行動。我們發現有證據表明，這個數據庫是從先前的一個服務器中移植過來的。

我們根據user_id對項目進行了分類，借此我們更了解了攻擊者的任務分配；雖然我們的目標分析還遠遠無法得出結論，我們可以評估每名用戶的作用和任務：

雖然，我們的了解有限，但是我們可以確定大量的攻擊都是成功的-攻擊者從世界各地的目標那里收集到了大量的機密信息。

0x06 后記

我們認為，在木馬研究行業中，Rocket Kitten是一個非常有趣的研究案例，代表了我們在這兩年中親歷的國家級攻擊者趨勢；現在，對于網絡間諜活動，不僅僅是財力雄厚的組織會雇傭上千名的網絡戰士來破解超級計算機的密碼或通過高級研究來感染你的硬盤固件。攻擊者經常會通過更簡單的方式來實現更有效的入侵，比如釣魚和簡單地定制木馬。

在這種情況下，與先前報道的案例一樣，政府機構會雇傭當地的黑客來攻擊網站或實施針對性的間諜活動。因為這些人缺乏經驗，所以往往會缺少行動安全意識，留下可以追蹤的痕跡，從而暴露攻擊來源和他們的真實身份（比如Yaser Balaghi, Mehdi Mahdavi等）。

雖然安全公司公布了報告，代碼名稱和文章，但是這個攻擊小組仍然在繼續發動攻擊，并且只有一小部分被攔截了。

這里不得不重提一個行業問題，稍微修改一下現有的木馬就能繞過目前的大部分防護解決方案。如何有效地阻止攻擊者的行動需要分析努力。

我們會通過與CERT合作，繼續幫助托管服務提供商。我們希望這些努力能取得成果，并且能幫助減少攻擊基礎設施。

附錄A

樣本

所有的哈希都是MD5或SHA1

誘餌文檔/Dropper
01c9cebbc39e273ac1f5af8b629a7327
08273c8a873c5925ae1563543af3715c
1685ba9dbdb0e136d68e0b1a80a969b5
177ef7faab3688572403730171ffb9c4
1ceca1757cb652ba7e5b0d45f2038955
266cfe755a0a66776df9fd8cd2fee1f1
271a5f526a638a9ae712e6a5a64f3106
2cb23916ca60a63a67d974f4ddeb2a11
393bd2fd420eecf2d4ca9d61df75ff0c
395461588e273fab5734db56fa18051b
48573a150562c57742230583456b4c02
4bf2218eb068385ca1bfff8d609c0104
50d3f1708293f40a2c0c1f151c2c426f
54ee31eb1eed79d4ddffd1423d5f5e28
55ff220e38556ff902528ac984fc72dc
5a009a0d0c5ecaac1407fb32ee1c8172
5af0cbc18c6f8ed4fd1a3f68961f5452
60f5bc820cf38e78b51e1e20fed290b5
61a808ce0b645c4824d79865be8888ed
85b79953bf2b33fb6118dc04e4c30910
8ed01ac79680d84c0ee7a5f027d8b86a
9fc345c25e6ab94bca2db6ee95d2c861
ac94ee83c91ca784a88ff26cf85e273a
aeb9d12ecbe73bfa91616ebacf24831b
c9ea312c35e9ac0809f1c76044929f2f
d0c3f4c9896d41a7c42737134ffb4c2e
d14b3e0b82e3b5d6b9cc69b098f8126d
e1a5b4ffc612270425d5d31f4c336aa9
f68a0a3784a7edfc60ad9333ec209cbf
f8547010eb4238f8fb76f4e8a756e36d
0482fc2e332918456b9c97d8a9590781095b2b53
0f4bf1d89d080ed318597754e6d3930f8eec49b0
1a999a131144afe8cb7316ebb842da4f38101ac5
2627cdc3324375e6f41f93597a352573e45c0f1e
2c3edde41e9386bafef248b71974659543a3d774
46a995df8d9918ca0793404110904479b6adcb9f
4711f063a0c67fb11c05efdb40424377799efafd
476489f75fed479f19bac02c79ce1befc62a6633
64ba130e627dd85c85d6534e769d239080e068dd
6571f2b9a0aea89f45899b256458da78ac51e6bb
788d881f3bb2c82e685a98d8f405f375c0ac2162
9579e65e3ae6f03ff7d362be05f9beca07a8b1b3
a9245de692c16f90747388c09e9d02c3ee34577e
ad6c9b003285e01fc6a02148917e95c780c7d751
ae18bb317909e16f765ba2e88c3d72d648db2798
b67572a18282e79974dc61fffb8ca3d0f4fca1b0
c485b0d59b28d37a1ac80380b0d7774bdb9d8248
c727b8c43943986a888a0428ae7161ff001bf603
e2728cabb35c210599e248d0da9791991e38eb41
e6964d467bd99e20bfef556d4ad663934407fd7b
ec692cf82aef16cf61574b5d15e5c5f8135df288
ed5615ffb5578f1adee66f571ec65a992c033a50
f51de6c25ff8e1d9783ed5ac13a53d1c0ea3ef33
f7f69c5ed94a03f6d57e9afd33c2627ff69205f2    

Wrapper/Gholee
05523761ca296ec09afdf79477e5f18d
08e424ac42e6efa361eccefdf3c13b21
0b67ebed08f09c0584b92f4e94ced778
13039118daadbe87e337310403e64454
14f2e86f11114c083856c92095d79256
1b02ac8c0e1102faaee70f4026cad291
223feb91efbe265696f318fb7c89c3fd
3dd221b0ea6f863e086868b246a6a104
4215d029dd26c29ce3e0cab530979b19
48573a150562c57742230583456b4c02
4b0edcd1d2953c26b6fc4298e8bf9150
4cdc28ab6e426dc630638488743accfb
58bcfe673d21634616d898c3127bd1bc
60f5bc820cf38e78b51e1e20fed290b5
63558e2980d1c6aaf34beefb657866fe
8a45dfec98dd96c86d933d9c1d6ef296
8bd58db9c29c53197dd5d5f09704296e
916be1b609ed3dc80e5039a1d8102e82
a42cea20439789bd1d9a51d9063ae3e4
b7de8927998f3604762096125e114042
b884f67c247d3dd6c559372a8a31a898
b8fb83d76eb67cbeed0b54c02a68256b
c222199c9a7eb0d162d5e96955739447
d5517542b5f8dc2010933ee17a846569
da976a502a3afc4ba63611d47c625738
ee41e7c97f417b07177ea420afe510a1
f3c3ed556072209b60c3342ddefba0f9
f89a4d4ae5cca6d69a5256c96111e707
02b04563ef430797051aa13e48971d3490c80636
07a77f8b9f0fcc93504dfba2d7d9d26246e5878f
0b0cdf47363fd27bccbfba6d47b842e44a365723
0b880fb3414374dbbf582217ee0288a76c904e9b
22f6a61aa2d490b6a3bc36e93240d05b1e9b956a
25d3688763e33eac1428622411d6dda1ec13dd43
37ad0e426f4c423385f1609561422a947a956398
476489f75fed479f19bac02c79ce1befc62a6633
47b1c9caabe3ae681934a33cd6f3a1b311fd7f9f
53340f9a49bc21a9e7267173566f4640376147d9
58045d7a565f174df8efc0de98d6882675fbb07f
62172eee1a4591bde2658175dd5b8652d5aead2a
6e30d3ef2cd0856ff28adce4cc012853840f6440
729f9ce76f20822f48dac827c37024fe4ab8ff70
7ad0eb113bc575363a058f4bf21dbab8c8f7073a
7fef48e1303e40110798dfec929ad88f1ad4fbd8
8074ed48b99968f5d36a494cdeb9f80685beb0f5
86222ef166474e53f1eb6d7e6701713834e6fee7
c1edf6e3a271cf06030cc46cbd90074488c05564
c6db3e7e723f20ed3bcf4c53fc4748e9591f4c40
cabdfe7e9920aeaa5eaca7f5415d97f564cdec11
ce03790d1df81165d092e89a077c495b75a14013
e6964d467bd99e20bfef556d4ad663934407fd7b
e8dbcde49c7f760165ebb0cb3452e4f1c24981f5
efd1c6a926095d36108177045db9ad21df926a6e
fa5b587ceb5d17f26fe580aca6c02ff2e20ad3c4
fd8793ce4ca23988562794b098b9ed20754f8a90
fe3436294f302a93fbac389291dd20b41b038cba
ffead364ae7a692afec91740d24649396e0fa981    

FireMalv憑據竊取器
0b0e2c4789b895e8ac44b6ada284aec1
29d93b156bcfbcecf79c5ba389094796a1ba76ee    

Woolen-Keylogger
0a22232c1d5add9d7aabdf630b6ed5af
0e2dc1cb6bda45d68ee9c751e37df73b
1a2b18cb40d82dc279eb2ef923c3abd0
1f7688653c272d5205f9070c2541a68c
3c6c1722acfb70bfa4453b69e99c98bb
662d094799e9c7108f35c00eb894205f
b4790618672197cab31681994bbc10a4
c72dce99e892bbf2537f5285a01985c0
f7e093d721d2616ecb9067934a615f70
f898eef9dfa04820bb2f798e063645a7
f9b235067b1c607b5b26896d465b6665
29968b0c4157f226761073333ff2e82b588ddf8e
5d334e0cb4ff58859e91f9e7f1c451ffdc7544c3
8e1bd64acd8bbe819ac60650eb1fa4f501d330ec
a42f1ad2360833baedd2d5f59354c4fc3820c475
a65b39d3919f15649106a039469013479a31ba4b
b9842058c88170cc45183aaaae4206c74e6c7351
c8096078f0f6c3fbb6d82c5b00211802168f9cba
d5b2b30fe2d4759c199e3659d561a50f88a7fb2e
db2b8f49b4e76c2f538a3a6b222c35547c802cef
eeb67e663b2fa980c6b228fc2e04304c8992401d
faf0fe422259d36494a0b2c9ccefe40dee978f31    

MPK
014bf8a588f614883d3d8b96024cd278
5c66b560f70c0b756bfc840b871864ce
d1b526770abb441d771f4681872d2fcb
eb6a21585899e702fc23b290d449af846123845f
f2ed8cd0154ae4d6ecf52a0bcf5fa80c7095dcd2
f710bd9ea40fd94c06d704c00e16a5941544378f    

網絡流量
Wrapper/Gholee
HTTP/HTTPS [80/443]
index\.php\?c=\w+&r=\d+
Woolger
FTP [21] to 107.6.181.116, 107.6.172.54, 5.145.151.6
MPK
raw [8900,8899,8987,9090,1993] -
\/\/\[mpk\]\\\d{4} example: //[mpk]\2012 \/\/\[smpk\]}\\\d{4} example: //[smpk]}1992    

域名
account.login.gfimail.us
accounts.google.uk.to
account-user.com
drive-google.co
drives-google.co
gfimail.us
gmail-member.us.to
google-setting.com
google-verify.com
login.miicrosoftonline.us.to
login.office365.uk.to
logins-verify.com
login-users.com
mail.mail2.mod.gov.af.mail.al
mail-verify.com
my.idc.ac.il.my.to
outlook.profile.com.hmail.us
outlook.tau.ac.il.mail.al
owa.inss.mises.org.il
owas.haifa.ac.il.info.gf
owas.haifa.us.to
profile.gmail.us.to
profile.google.uk.to
profiles.faceboek.in
profiles.googel.com.inc.gs
profiles.googlemembers.com.home.kg
profiles-google.uk.to
qooqle.co
secure.www.cfr.us.to
service-logins.com
signin-users.com
signin-verify.com
signs-service.com
verification.google-it.info
video.qooqle.co
webmail.tau.ac.il.us.to
webmail.technion.ac.il.us.to
yahoo-profiles.uk.to
youtube.com.now.im    

IP地址
[107.6.181.96-127]
[107.6.172.50-62]
[107.6.154.224-231]
107.6.181.116
107.6.172.54
107.6.172.55
107.6.181.114
107.6.172.51
107.6.172.53
107.6.181.100
107.6.172.52
107.6.154.230
5.39.223.227
31.192.105.10
[5.145.151.1-7]
5.145.151.6
[84.11.146.52-63]
84.11.146.55
84.11.146.62
84.11.146.61
[109.169.22.69-72]
[109.169.61.4-8]
109.169.61.8
109.169.22.69
109.169.22.71
109.169.22.72
162.223.90.148
162.223.91.226
162.222.194.51
212.118.118.100

附錄B-MPK技術介紹

攻擊者似乎把這個木馬命名為了‘MPK’，可能是根據wool3n.h4t名下的伊朗博客網站“Masoud_PK”起的名。

安裝

木馬會把自己添加到“explorer”項目下的autorun：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

木馬中包含一個Visual Basic腳本（‘tmp.vbs’），這個腳本會首先嘗試把木馬的可執行程序復制到目標位置：

#!vb
Sub CopyFile(SourceFile, DestinationFile)
Set fso = CreateObject("Scripting.FileSystemObject") Dim wasReadOnly
wasReadOnly = False
If fso.FileExists(DestinationFile) Then
If fso.GetFile(DestinationFile).Attributes And 1 Then fso.GetFile(DestinationFile).Attributes = fso.GetFile(DestinationFile).Attributes - 1 wasReadOnly = True
End If
fso.DeleteFile DestinationFile, True End If
fso.CopyFile SourceFile, DestinationFile, True
If wasReadOnly Then
fso.GetFile(DestinationFile).Attributes = fso.GetFile(DestinationFile).Attributes + 1
End If
Set fso = Nothing End Sub
copyme = WScript.Arguments.Item(0) copyto = WScript.Arguments.Item(1) CopyFile copyme,copyto,0

另外，木馬還會執行下面的Wscript，這個腳本會在9s后啟動木馬。

WScript.Sleep 9000
CreateObject("WScript.Shell").Run "iexplorer.exe [1]"

主要操作

從本質上看，這個木馬是一個RAT木馬（遠程訪問木馬）。木馬可以實現的功能有鍵盤記錄，嗅探TCP和UDP流量，獲取屏幕截圖，并作為一個遠程命令shell。

此外，這個木馬還能收集關于目標系統的信息，比如文件枚舉，磁盤，服務，進程信息，并且還能把文件發送到CC服務器。

木馬還可以提取一些不太重要但是很敏感的信息：

• 主顯示器的分辨率
• 是否具有管理員權限
• 處理器信息
• 主機名信息
• Windows版本
• Service Pack 版本
• 目標系統上安裝的內存容量
• 網絡適配器和網絡配置信息
• TCP 連接表

必須創建下面的互斥量：

[2]opened

然后，木馬會檢查下面的互斥量是否存在：

MyApp1.0

如果存在，木馬就會退出，這樣每次只能運行一個木馬實例，然后會繼續主要的操作。

Keylogger

Keylogger 會把鍵盤輸入儲存到下面的文件中：

%TEMP%\log%d.txt

下面是一個簡單的鍵盤日志輸出：

(((((((Hello new File)))))))))
+++++++++++++
Window= VMware Accelerated AMD PCNet Adapter (Microsoft's Packet Scheduler) : Capturing - Wireshark
+++++++++++++ [UP][DOWN][DOWN][UP][UP][DOWN][UP][DOWN][DOWN][UP][UP][DOWN][DOWN][DOWN][UP][UP][UP][UP] [DOWN][DOWN][DOWN][DOWN]r
+++++++++++++
Window= Run
+++++++++++++
cmd[ENTER]
+++++++++++++
Window= C:\WINDOWS\system32\cmd.exe +++++++++++++
notepad[ENTER]
+++++++++++++
Window= VMware Accelerated AMD PCNet Adapter (Microsoft's Packet Scheduler) : Capturing - Wireshark
+++++++++++++
[DOWN][UP]
+++++++++++++
Window= Untitled - Notepad
+++++++++++++
test test test
+++++++++++++

隨后，這個文件會被發送到遠程的CC服務器。

如果木馬檢測到打開的“Gmail”, “Yahoo” 或“Outlook”窗口，木馬就會進行特殊的處理，這樣攻擊者就能識別最優價值的數據。下面的字符串會附到輸出文件中：

\r/////////////\r\nMail Find

捕捉Webcam

木馬可能會捕捉Webcam中的照片。首先，文件會儲存成test.bmp，隨后轉換成JPEG并保存成Cam.jpg，最后發送給CC服務器。

TCP 連接表

木馬會使用GetTcpTable API收集與當前TCP連接相關的可用元數據，并把獲取到的數據整理成某種格式，發送給CC服務器。

截圖

木馬可能會獲取截圖。截圖使用的文件名是Screeny.jpeg。

遠程Shell (活動的命令執行)

木馬會創建下面的進程作為一個活動的命令窗口：

cmd.exe /c cmd.exe

這個進程的輸出和輸入都是通過遠程CC服務器的管道連接和重定向的，允許攻擊者輸入命令來控制受害者的計算機。首先發送給服務器的是下面的內容：

Welcome To mpkshell Command Line (This Message Send From Server)

流量監控

木馬可能會嗅探機器上的所有TCP和UDP流量。這是通過使用RAW socket實現的。下面的狀態字符串會發送到CC服務器：

Initializing Winsock 2.2...
Creating RAW socket...
Configuring socket for packet interception Starting the sniffing process...
UDP Packet Information:
Source IP: %s DESTINATION IP: %s SOURCE PORT: %d DESTINATION PORT: %d PACKET DATA:
#############################################################
TCP Packet Information:
Source IP: %s DESTINATION IP: %s SOURCE PORT: %d DESTINATION PORT: %d
#############################################################

如果當前用戶權限不能執行這個操作，就會出現下面的錯誤：

the processs is not admin try after restart to while mpkProcess To Admin...

文件提取

木馬可以向遠程CC服務器發送任何數據。木馬還能枚舉系統上的所有文件，并查找攻擊者指定的文件。

在文件提取時，木馬會檢查文件的大小。這樣是為了發送4Kb“區塊”的文件，每個區塊框架的大小都是0x1014h字節。

在上傳任何文件到CC服務器之前，木馬會報告文件的大小：

length: %d

在發送了每個區塊后，木馬會報告當前的傳輸狀態：

%d Bytes / %d Bytes

當傳輸結束后，木馬會使用下面的字符串報告傳輸結束：

Completed: %d Bytes Downloaded.

如果有任何問題，就會報告這個字符串：

Failed to open %s, %s not found.

通訊協議

木馬會使用IP協議上的原始socket（IPPROTO_IP標記），有效地實現其自己的協議來進行數據傳輸。

可執行程序自己的“文件版本信息”會被解析，用于獲取服務器的IP，編碼到“Company”值：

這個數據中包含有硬編碼的IP地址和CC服務器的端口。在這個樣本中是：

83.170.33.67:9090

木馬會連接到這個IP，并定期發送‘keep-alive’信息，包含這6個字節：

123456

文件提取數據包有0x1014h個字節。前兩個字節指示了需要提取的文件類型：

? 0811h—logs(initialpacket)
? 0810h—logs(subsequentpackets)
? 080Fh—logs(finalpacket)
? 0BCDh—webcamimages(initialpacket)
? 0BCFh—webcamimages(subsequentpackets) 
? 0BCEh—webcamimages(finalpacket)
? 0803h—screenshots(initialpacket)
? 0805h—screenshots(subsequentpackets) 
? 0804h—screenshots(finalpacket)
? 13C2h—errorwithfile

文件名稱位于第一個數據包的偏移0x08h。接下來的數據包只會包含文件內容。