“绿斑”行动——持续多年的攻击

1.概述

在以前的数年光阴里,安天始终鉴戒地监测、阐发、跟踪着各类针对中国的APT进击活动,并审慎地表露了“海莲花”(APT-TOCS)、“白象”(White Elephant)、“方程式”(Equation)等进击组织的活动或进击设置设备摆设阐发,同时也对更多的进击组织和行动形成了持续监测阐发成果。本申报主要阐发了某地缘性进击组织在2015年前的进击活动,安天以与该地区有必然关联的海洋生物作为了该进击组织的名字——“绿斑”(GreenSpot)。为提升中国用户的安然意识,推动收集安然与信息化扶植,安天公布这份申报。 综合来看,“绿斑”组织的进击以互联网裸露目标和资产为进击进口,采纳社工邮件结合破绽进行进击,其生动周期可能长达十年以上。

1.1 疑似的早期(2007年)进击活动

在2007年,安天对来自该地区的收集入侵活动进行了应急相应,表1-1是在相关被进击的办事器系统上所提取到的相关进击载荷的主要行径和功能列表。

表 1-1 早期“绿斑”组织进击活动相关载荷及功能列表

这些对象多半为开源或免费对象,从而形成了进击方光显的DIY式的功课风格。因为这些对象多半不是专门为恶意意图所编写的恶意代码,有的照样常见的网管对象,是以反而起到了必然的“免杀”效果。但同时,这种DIY功课,并无Rootkit技巧的维护,给系统情况带来的变更较为显着,功课粒度也较为粗拙。同时只能用于节制可以被进击跳板直接链接的节点,而无法反向链接。和其他一些APT进击中呈现的自研木马、商用木马比拟,是一种相对低资源、更多寄托功课者技术的进击要领。

图 1-1 早期“绿斑”组织进击活动相关载荷调用关系图

这些对象可以在被入侵情况中形成一个功课闭环。进击者应用收集渗透手段进入目标主机后,向目标主机上传表1-1中的多种进击载荷,使用持久化对象杀青开机启动效果,实现经久驻留;经由过程NC开启远程Shell实现对目标主机远程敕令节制;调用Mt1.exe获取系统基础信息和进一步的治理;同时进击者可以经由过程Spooler.exe形成磁盘文件列表并记录、经由过程keylog.exe网络键盘输入并记录、经由过程Rar.exe网络指定的文件并打包、经由过程HTTP.exe开启HTTP办事,即可远程获取通盘文件列表,获取用户击键记录,回传要网络的文件和日志。 我们倾向觉得,2007年前后,相关进击组织总体上自研能力有限,对开源和免费对象对照依附,喜爱行敕令功课。同时,功课风格受到类似Coolfire式的早期收集渗透进击教程的影响较大年夜。今朝我们无法确认这一进击事故与我们后面命名的“绿斑”组织是同一个组织,但可以确定其来自同一个滥觞偏向。

1.2 2011-2015年进击活动

从光阴上来看,自2010年今后,该地区组织进击能力已经有所提升,善于改善1day和迂腐破绽进行使用,能够对公开的收集进击法度榜样进行定制改动,也呈现了自研的收集进击设置设备摆设。2010年今后相关活动显着增多、进击能力提升较快。 “绿斑”组织主要针对中国政府部门和航空、军事相关的科研机构进行进击。该组织经由过程鱼叉式钓鱼邮件附加破绽文档或绑缚可履行文件进行传播,主要投放RAT(Remote Administration Tool,远程治理对象)法度榜样对目标主机进行节制和信息偷取,其范例进击伎俩和流程因此邮件为载体进行传播,邮件附件中包孕恶意文档,文档以MHT款式居多(MHT是MIME HTML的缩写,是一种用来保存HTML文件的款式),该文档打开后会开释并履行可履行载荷。作为迷惑用户的一种措施,嵌入在MHT中的一份起到诈骗感化的正常的文档文件也会被打开显示,进击历程图1-2所示:

图 1-2 “绿斑”组织活动进击流程

经由过程人工阐发结合安天追影要挟阐发系统及安天阐发平台进行关联阐发,我们对其进击目标、进击者采纳的IP和常见的伎俩进行了梳理。该组织使用破绽的文件是不常见的附件文件款式,相关进击技巧和伎俩也是颠末经久筹备和试验的。安天基于原始线索对该组织进行了周全跟踪、关联、阐发,终极得到了近百条IoC(信标)数据。经由过程对事故和样本的整体阐发,我们梳理了该组织在2011-2014年的部分活动光阴轴。

图 1-3 “绿斑”组织2011-2014进击活动光阴轴

1.3 近期的部分进击活动(2017年)

“绿斑”组织在2015年后继承生动,我们在2017年监测到该组织建立了一个新的传播源,该次活动的载荷都存储在同一个WEB办事器上,每一个进击流程内的载荷都按照目录寄放,其进击流程是首先传播含有破绽的Office文档,经由过程破绽文档下载履行恶意载荷(EXE),随后经由过程C2对目标主机进行远程节制,详细进击流程拜见图1-4。

图 1-4 最新活动进击流程

该WEB办事器

[1] [2] [3] [4] [5] [6] [7]下一页

上寄放了多个不合设置设置设备摆设摆设的恶意脚本和可履行文件,一个目录下是一组进击样本,终极运行的Poison Ivy ShellCode(Poison Ivy是一个远程治理对象)都邑连接一个零丁C2地址,图1-5中血色的域名(pps.*.com)是与2011-2015年活动相关联的C2域名。

图 1-5 传播源办事器样本支配及C&C关系图

2.进击伎俩阐发:经由过程定向社工邮件传送进击载荷

2.1 范例案例

针对“绿斑”组织2011-2015年间的进击活动中,安天经由过程监测发明和关联阐发,梳理出了数十起事故和载荷的关联关系。经由过程对范例案例的基础信息和诱饵文件等进行阐发,我们可以看出“绿斑”组织多采纳经由过程定向社工邮件传送进击载荷,进击载荷有两种:一种是绑缚型PE恶意代码,在被进击者打开履行后,其会打开嵌入在PE中的诈骗收件人的“正常”文档文件;另一种是款式进击文档,使用破绽CVE-2012-0158来开释并履行可履行文件,同时打开诈骗收件人的“正常”文档文件。但在两种进击要领中,所开释的可履行文件路径和名称相同,除部分案例采纳%TEMP%路径外,其他均为C:\Documents and Settings\All Users\「开始」菜单\法度榜样\启动\update.exe,来杀青开机履行的持久化效果,从开释路径、文件名称可以看出这些样本是具有关联性的(详细阐发拜见4.4节)。从光阴上来看,应用绑缚型PE恶意代码的进击晚于破绽文档,这有可能是在使用破绽文档进击无效后,才应用了这种虽然简单粗暴但可能最有效的要领。

2.1.1 案例1

2.1.2 案例2

2.1.3 案例3

别的值得留意的地方是图2-3中相关翰墨内容为从“全国人夷易近代表大年夜会网站”(文档内容出处:“http://www.npc.gov.cn/npc/xinwen/node_12435.htm”2013年的网页内容,今朝网页内容已更新。)页面直接复制粘贴的内容。

2.1.4 案例4

2.1.5 案例5

2.1.6 案例6

2.1.7 案例7

2.1.8 案例8

2.1.9 案例9

2.2 社工技术阐发

“绿斑”进击组织主要针对被进击者的职业、岗位、身份等定制文档内容,冒充成中国政府的看护布告、学会组织的年会文件、相关单位的看护、以及被进击者可能感兴趣的政治、经济、军事、科研、地缘安然等内容,其所应用的诈骗性文档多半下载自中国相关部委机构、学会的网站。

3.进击载荷阐发:破绽、后门及可履行文件

3.1 CVE-2012-0158破绽使用

CVE-2012-0158是一个文档款式溢出漏洞,款式溢出漏洞的使用要领是在正常的文档中插入精心构造的恶意代码,从外面上看其是一个正常的文档,很难引起用户的狐疑,是以常常被用于APT进击。CVE-2012-0158破绽是各类APT进击中迄今为止应用频度最高的。使用该破绽的载体平日是RTF款式的文件,其内部数据以十六进制字符串形式保存。

3.1.1 由RTF到MHT的高档抗衡

传统的CVE-2012-0158破绽使用款式主要以RTF为主,而该组织则应用了MHT款式,这种款式同样可以触发破绽,而且在当时一段光阴内可以躲避多种杀毒软件的查杀。

图 3-1 RTF与MHT文件款式比较

假如应用RTF文件款式构造可触发破绽的文件,在解码后会在文件中呈现CLSID(CLSID是指Windows系统对付不合的利用法度榜样、文件类型、OLE工具、特殊文件夹以及各类系统组件分配一个独一表示它的ID代码),而新的使用要领应用MHT文件款式,CLSID会呈现在MHT文件中,因为之前的RTF溢出款式嵌套DOC文档(如图3-2,红框中是DOC文档文件头),CLSID寄放于嵌套的DOC文档里(如图3-3,红框中是CLSID,部分采纳了收集字节序,部分采纳了主机字节序)。

上一页[1] [2] [3] [4] [5] [6] [7]下一页

图 3-2 以RTF为载体的溢出文件

图 3-3 以RTF为载体的溢出文件

MHT文件款式的CLSID不会寄放在嵌套的DOC里,而是直接在MHT文件中(如图3-4,红框中所示),这样可以回避大年夜部分安然软件的检测,而且在MHT中编码款式也发生了变更,是以假如应用曩昔根据RTF文件编写的CVE-2012-0158检测法度榜样则会掉效。

图 3-4 案例6涉及的MHT文件

MHT文件的主要功能是将一个离线网页的所有文件保存在一个文件中,方便浏览。将文件后缀改动为.doc后,Microsoft Word是可以正常打开的。 该文件可以分为三个部分:第一部分是一个网页;第二部分是一个base64编码的数据文件,名为“ocxstg001.mso”,该文件解码后为一个复合式文档即DOC文档;第三部分的数据是二进制文件。 在第一部分我们发清楚明了一段这样的代码,该代码描述了第一部分和第二部分的关系也是导致破绽触发的关键:

这段代码大年夜致表示当网页加载的时刻同时加载一个COM控件去解释第二部分的数据。该控件的CLSID是{奸淫奸淫奸淫*-11D1-B16A-00C0F0283628},颠末查询该控件就是MSCOMCTL.OCX.。当时已知的与该控件有关的最新破绽是CVE-2012-0158,是以可以确定这三个案例是经由过程精心构造MHT文件,使用破绽CVE-2012-0158来履行,从而实现可履行文件的开释和履行。

3.1.2 值得关注破绽载荷免杀技术的使用

“绿斑”组织高频应用MHT破绽款式文档的传播使用光阴主要在2013年5月之前,这是一个高度值得关注的信息。我们基于对某个闻名的第三方要挟情报源使用CVE-2012-0158破绽并采纳MHT文件款式的恶意代码数据进行了相关统计。

图 3-5 安天捕获部分“绿斑”免杀样本(血色)与MHT破绽款式文档(黄色)大年夜量呈现光阴的比较

从图3-5中我们可以看到,2013年3月前,MHT文件款式的CVE-2012-0158破绽相关文件并未呈现在该要挟情报源傍边,但已经被“绿斑”组织应用。我们尚不能觉得“绿斑”组织是这种免杀要领的发现者,但至少其是这种要领的早期应用者。而对付一个2012年1月的迂腐破绽,“绿斑”组织则较早应用了可以延续其进击窗口的措施。并不是所有APT进击都邑应用0day破绽,这取决于进击者的资本贮备和冲破被进击方的防御的需要性等身分,部分APT进击组织并没有能力去掘客0day破绽,但其同样试图采购得到商业的0day破绽,针对1day破绽快速跟进,并考试测验应用免杀要领来使迂腐破绽形成新的进击能力。这些问题和0day破绽检测防御一样值得关注。

3.2 CVE-2014-4114破绽使用

我们有必然的阐发证据注解,“绿斑”组织在2014年10月前曾应用CVE-2014-4114破绽。这可能表示该组织与地下破绽买卖营业有响应的渠道联系。

3.3 CVE-2017-8759破绽使用

安天2017年针对“绿斑”组织的一个新的前导进击文档进行了阐发,该文档使用最新的CVE-2017-8759破绽下载恶意代码到目标主机履行。样本采纳RTF款式而非之前的宏代码要领,在无须用户交互的环境下就可以直接下载并履行远程文件,进击效果更好。 CVE-2017-8759破绽是由一个换行符激发的破绽,该破绽影响所有主流的.NET Framework版本。在. NET库中的SOAP WSDL解析模块IsValidUrl函数没有精确处置惩罚包孕回车换行符的环境,导致调用者函数PrintClientProxy存在代码注入履行破绽,今朝该破绽主要被用于Office文档高档要挟进击。

图 3-6 经由过程objautlink和objupdate节制字段自动更新链接

图 3-7 嵌入的链接实际上是一个WSDL文件(见下一节TXT文件)

3.3.1 破绽触发文件:TXT文件

该类文件是WSDL文件,是导致破绽触发的文件。触发破绽会导致履行此中的代码纵然用msHTA.exe履行指定的HTA文件,应用HTA文件获得解析和运行。以样本jin2.txt为例阐发,关键代码如下:

图 3-8 WSDL文件调用msHTA履行HTA文件

每个txt文件的不合之处在于包孕的HTA文件链接不合,详细请看表3-1:

上一页[1] [2] [3] [4] [5] [6] [7]下一页

表 3-1 txt调用hta列表

3.3.2 下载指定EXE文件:HTA文件

HTA文件是html页面文件,嵌入了VBScript脚本,该脚本的主要功能是使用PowerShell下载指定的EXE文件,保存为officeupdate.exe并履行该法度榜样。图3-9为样本jin2.HTA的内容:

图 3-9 HTA文件调用powershell下载履行文件

每个HTA文件的不合之处是下载地址不相同,进击者使用破绽触发HTA下载并履行终极的可履行文件载荷,详细对应关系请看表3-2:

表 3-2 HTA对应EXE下载地址

3.4 相关载荷阐发

3.4.1 Poison Ivy RAT后门

我们颠末阐发,发明案例1、案例2、案例3、案例9中所开释的update.exe,均为Poison Ivy RAT后门法度榜样,Poison Ivy是一款已经公开的、闻名的RAT法度榜样,功能强大年夜,天生的载荷小巧易于加密和抗衡检测。正因Poison Ivy有这些优点,是以也被其他进击组织应用在其他进击事故中。以下为部分Poison Ivy后门的功能:

可以获取系统基础信息;

可以进行通盘文件治理,包括查看所有文件,下载文件,上传文件等;

获取系统进程信息,停止进程,挂起进程等;

获取系统办事法度榜样信息;

查看系统安装的软件,可进行卸载;

获取系统打开的端口号;

可履行远程shell,履行随意率性敕令;

可获取密码Hash值;

可进行键盘记录;

可获取屏幕截图;

可打开摄像头进行监控;

图3-10、3-11为这四个案例涉及的样本(update.exe)文件中互斥量和域名相关的信息:

图 3-10 多案例样本互斥量比较

图 3-11 多案例样本连接域名比较

同时,我们将四个案例涉及样本的版本信息、光阴戳、连接域名等相关信息收拾如表3-3:

表 3-3 Poison Ivy RAT后门版本信息比较

经由过程上面的信息,我们可以看出,在这四个案例中,虽然均为Poison Ivy RAT的后门,然则还可以分为三类: 第一类是案例1和案例2,它们之间除域名外,其它信息均相同,经由过程对案例1和案例2中update.exe二进制的比较,发明它们之间90%的二进制是相同的,不合之处是加密的二进制代码,它们的不合是因为加密密钥的不合。

图 3-12 案例1、2涉及样本的解密算法

第二类是案例3,第三类是案例9,这两类样本的加密算法与第一类不合,但解密后的代码,除了相关设置设置设备摆设摆设不合,其功能部分险些完全相同。

图 3-13 案例3涉及样本的解密算法

图 3-14 案例9涉及样本的解密算法

根据案例3中update.exe的光阴戳,我们可以判断该样本呈现于2013年2月6日,虽然光阴戳是可以被改动的,然则结合案例3开释的诈骗文档的内容(请拜见第2章,doc中内容的光阴),我们信托它具有必然的参考代价。

3.4.2 Gh0st后门

经由过程我们对付案例4中update.exe的阐发,获得该样本所应用的互斥量为“chinaheikee__inderjns”,该互斥量与我们阐发过的gh0st样本的互斥量同等,是默认设置设置设备摆设摆设,而且上线数据包与gh0st 3.75版本异常同等,是以我们可以鉴定该update.exe为gh0st后门。

图 3-15 Gh0st RAT后门界面

3.4.3 HttpBots后门

经由过程我们对付案例5中svchost.exe的阐发,可以确定该样本实际是一个BOT后门法度榜样。svchost.exe经由过程Web端来节制安装有该后门法度榜样的机械,图3-16为详细指令信息截图。

图 3-16 httpbots后门节制指令

表 3-4 指令阐明

3.4.4 ZXSHELL后门(针对性)

颠末安天阐发,案例6、7、8中开释的PE文件确定为ZXShell后门家族(分手为3个不合版本),是应用ZXShell源码改动后编译的,具有ZXShell后门老例功能:系统信息获取、文件治理、进程查看等。 很特其余一点是作者将版本改动为V3.6(ZXShell着末更新版本为3.0),并新增了窃密功能:样本网络*.doc*、*.xls*、*.ppt*等文档文件(案例6只网络收集磁盘、U盘、CDROM中的文件,案例7-8则网络通盘文件),且为包管网络的文档具有代价,只网络半年内改动过的文档文件并应用RAR打包,以日期加磁盘卷序列号命名(案例6以磁盘卷序列号命名),后缀名和压缩包密码各不相同。

上一页[1] [2] [3] [4] [5] [6] [7]下一页

图 3-17 案例6只网络U盘、CD、收集磁盘中的文件

图 3-18 打包网络到的文档

根据已有样本分析设置设置设备摆设摆设后,我们统计出样本汇集文档的类型:*.doc*、*.xls*、*.ppt*、*.wps*、*.pdf。 经阐发,我们发清楚明了样本新增的功能: 1. 获取IE自动保存的邮箱账户密码和对应网址,对IE6和IE6以上的版本采取不合的措施。 2. 网络收集信息、主机信息、进程信息,记录在如下目录中: %Application Data%\Microsoft\Windows\Profiles.log 3. 样本根据各自的设置设置设备摆设摆设,网络通盘包孕指定关键字的文件路径、C盘Program Files目录下的EXE文件路径,将网络到的文件路径信息同样记录在 %Application Data\Microsoft\Windows\Profiles.log

图 3-19 网络指定关键文件列表

根据今朝已捕获样本,我们发明每个样本都硬编码了三个关键字,根据关键字对进击目标进行敏感资料网络,去重后的详细关键字为十二个,包括“战”、“军”、“航”等,经由过程这些关键字我们可以清晰的懂得“绿斑”组织的功课意图: 4. 样本存在一个额外域名,自动回传Profiles.log文件和RAR打包文件。 5. 后门发包:奸淫_IP-谋略机名^^//@@&&奸淫(“奸淫”部分各个样本不合) 6. 监听回应:kwo(口令) 7. 后门发包:IP-谋略机名-2014010106.tmpp19769(年月日小时.tmpp文件大年夜小) 8. 监听回应:随意率性(支持以指定偏移读取文件) 9. 后门发包:Profiles.log文件内容(拜见图3-20)

图 3-20 Profiles.log文件内容

10. 案例6样本中,指令的赞助提示为正常中文,而案例8样本是乱码,颠末阐发,发明新样本着实对这部分中文是其他编码,而在编译法度榜样时刻却将这部分转换为GB2312编码,导致显示乱码。

图 3-21 案例6样本指令提示

图 3-22 案例8样本指令提示

11. 案例7样本对中国安然厂商产品的相关进程的判断,根据安装不合的杀软,采取退出、正常运行、添加特殊启动项等不合的行径,可以看出这是针对中国用户专门设计的恶意法度榜样。 表3-5是该组织应用的样本与ZXShell原版功能的比较,可以发明这批样本只保留了需要的远控功能,并添加了ZXShell蓝本没有的窃密相关功能,详细功能对比如表3-5所示:

表 3-5 案例6、7、8样本与 ZXShell RAT原版后门比较

3.4.5 进击时代部分样本的检出环境

事故中的后门样本均是互联网公开的RAT法度榜样,一样平常而言安然厂商对这些法度榜样都邑重点关注,基础主流安然厂商都可以检测和查杀,然则该组织对这些公开的RAT法度榜样进行改动和加密应用,使这些样本在其行动的一段光阴内的整体检出率不到8%,一些个别样本以致只有1-2家安然厂商检出,可见这批样本是针对杀软做了针对性的免杀处置惩罚的,可以在目标主机持续化驻留。

图 3-23 部分样本检出率

3.4.6 近期捕获样本分析

3.4.6.1 EXE文件

EXE文件是3.3.2章节中提到的由HTA文件下载并履行的终极载荷,该类文件主要功能是从指定网址下载ShellCode,解密之后,创建线程履行此ShellCode。以jin2.exe为例阐发,样本关键代码如下:

图 3-24 连接指定网址下载ShellCode

图 3-25 解密shellcode函数

从指定网址下载完ShellCode后,样本对ShellCode进行解密,然后分配内存将解密后的ShellCode复制以前。随后创建一个线程,将ShellCode的首地址作为参数传给线程函数从而运行ShellCode。

图 3-26 分配内存,创建线程履行ShellCode

每个EXE文件功能代码基真相同,只有下载ShellCode的地址不合的,各个地址如下表所示:

上一页[1] [2] [3] [4] [5] [6] [7]下一页

表 3-6 EXE文件下载shellcode对应列表

3.4.6.2 ShellCode(Poison Ivy)

我们对解密后的ShellCode进行阐发,发明其ShellCode为Poison Ivy法度榜样天生,与3.4.1章节的样原先自同一远控法度榜样。在传播源放置的不合ShellCode中所连接的IP地址如表3-7所示:

表 3-7 shellcode连接c2对应列表

我们经由过程本地挟制的要领,将C2地址重定向到本地谋略机,经由过程设置设置设备摆设摆设好的Poison Ivy客户端可以与样本建立连接,确定进击者应用的Poison Ivy版本为2.3.1,详细信息如图3-27所示:

图 3-27 重定向C2成功连接阐发的样本

4.样本关联性阐发

4.1 多案例横向关联

安天CERT对范例案例中的前6个案例的相关信息进行了关联阐发,主要涉及文件名、互斥量、文件版本信息等,经由过程横向关联(拜见图4-1)以及之条件到的doc文件内容、破绽使用要领、可履行文件的相关信息,我们初步鉴定这些事故之间是存在关联的。

图 4-1 多案例横向关联

4.1.1 ShellCode部分(CVE-2012-0158)比较

表 4-1 ShellCode部分(CVE-2012-0158)比较

4.1.2 开释的PE文件比较

表 4-2 开释的PE文件比较

4.2 域名关联

经由过程提取和收拾十几个有关联样本中的域名信息(拜见图4-2),我们可以很清晰地看出,所有域名均为动态域名,且办事供给商均处于境外,同时大年夜部分域名都是经由过程changeip.com和no-ip.com注册的,我们觉得这些域名并非单一狼藉注册的,而是属于同一滥觞的、有组织的进行注册。

图 4-2 行动涉及域名信息

4.3 IP地址关联

经由过程提取和收拾十几个有关联样本中域名的曾跳转IP和现跳转IP,我们可以很清晰地看出,在所有的IP地址中,绝大年夜多半的IP地址都属于同一地区,并且这些IP多半来自两个互联网地址分派机构AS3462、和AS18182,每个互联网地址分派机构治理现实中的一个区域,这也同时阐清楚明了这是一组有相同滥觞的进击事故。

4.4 恶意代码之间关联性

为了方便出现和理解,我们对范例案例中所有的样本、C2的关联性进行了关系梳理(拜见图4-3)。

图 4-3 恶意代码之间关联图(2011-2015年活动)

经由过程钻研发明,虽然“绿斑”组织应用了多种不合的后门法度榜样,然则它们之间共用了C2办事器,这很有可能是为了方便治理与节制,这一点从表4-3的后门ID与上线密码也可以发明不合后门类型之间的对应关系。

图 4-4 不合事故/恶意载荷(PE)共用根基举措措施C2

经由过程对Poison Ivy RAT相关样本分析,我们得出其上线ID和密码。我们可以看到此中有不合的样本均采纳了同样的ID和密码。

表 4-3 Poison Ivy RAT上线ID和密码

经由过程对已捕获的ZXShell RAT相关样本进行阐发,我们统计出样本的上线密码和压缩包加密密码。可以看出ZXShell样本中也有很多采纳了相同的密码,同时这些密码与表4-3(Poison Ivy RAT上线ID和密码)中的密码也有一些相同或者相似,再经由过程域名、IP等其他信息可以觉得这些样本为同一进击组织所为。

表 4-4 ZXShell RAT上线密码和压缩设置设置设备摆设摆设

5.组织关联性阐发

除以上样本分析中所出现的较为直接的多起事故的关联性外,安天CERT还进行了比较阐发,从代码相似性、域名应用偏好、C2的IP地址关联性及地舆位置特点等方面得出了这些载荷均来自“绿斑”进击组织的结论。

5.1 代码相似性

在2011-2015的行动中,进击组织应用了4类远程节制法度榜样,此中主要应用ZXShell和Poison Ivy。在对付Poison Ivy的应用中,进击组织首老师成Poison Ivy 的ShellCode,然后对ShellCode异或加密硬编码到Loader中,在Loader投放到目标主机后解密履行ShellCode。这种伎俩与2017年所发明行动中的样本完全相同,且都是采纳三次异或加密,样本解密算法代码比较拜见图5-1。

上一页[1] [2] [3] [4] [5] [6] [7]下一页

图 5-1 左图为2011-2015年行动中样本解密算法,右图为2017年行动样本解密算法

5.2 域名应用偏好

在2017年发明的行动中整个应用了动态域名商(共计14个),而在2011-2015年的行动中则应用了35个动态域名商。可以发明两起行动的进击者都偏好应用动态域名,同时本次行动中有7个动态域名商与历史行动涉及的域名商相同。 别的,在这次事故中的一个域名“geiwoaaa.xxx.com”与2013年事故中的域名“givemea.xxx.com”释义相似度较高,我们预测很可能是同一组织注册。

5.3 C2的IP地址关联性

经由过程对两次行动中C2的IP地址进行关联阐发,我们发明在2017年行动中的样本的C2(uswebmail163.xxx.com和l63service.xxx.com)解析到同一个IP:45.77.xxx.xxx,而在2011-2015年行动中涉及的pps.xxx.com这个域名也曾指向这个IP。

图 5-2 关联到2013年行动中的C2域名

5.4 地舆位置特点

在2017年行动中的一个域名“geiwoaaa.xxx.com”与2011-2015年行动可能存在某种关联,由于该域名解析的IP(114.42.XXX.XXX)地舆位置与早期活动涉及的地舆位置相同(其他IP地址多为美国),这可能是进击者早期测试遗留的,而这个IP与2013年行动都属于亚洲某地区电信的114.42段,在我们的监控中发明2013年行动中C2地址多为这个IP段内,这表示两起行动的进击组织可能存在亲昵联系。同时该地区电信相关网站资料显示:“114.32.XXX.XXX – 114.47.XXX.XXX非固定浮动IP”,这阐明该段内IP地址为动态分配IP,必然区域内在此电信运营商解决收集营业的用户都可能被分配到该IP地址,这表示可能两次行动的进击者所在位置邻近或者采纳的跳板位置邻近。

图 5-3 指向2011-2015年行动的C2域名

6.小结

“绿斑”进击组织主要针对中国政府部门和航空、军事、科研等相关的机构和职员进行收集进击,试图偷取机密文件或数据。这是一组光阴跨度异常漫长的进击行动,今朝可以确定该进击组织的生动光阴跨越7年,以致可能达到11年以上。该进击组织主要采纳的伎俩是鱼叉式收集钓鱼进击,即以邮件作为进击前导,邮件附件应用有社工技术的款式溢出文档或冒充过EXE可履行文件,进行定向投放,该组织对开源后门法度榜样进行了大年夜量改造,使其相符功课必要,并绕过主机防护软件。在该组织的进击中,有数应用0day进击的环境,而反复应用迂腐破绽,但其对破绽免杀技术的利用是纯熟的,以致是抢先的。在侵入主机后,经由过程加密和动态加载等技巧手段,试图杀青进入目标并在目标机械内经久匿伏而不被发明的效果。这些进击手段看起来并无富丽繁杂的进击设置设备摆设组合,但其反复地重复应用,恰好阐明这种进击是可能杀青目的的。我们在此前反复强调,APT进击组织应用相关破绽的进击窗口期,假如与可能被进击目标的未进行对应破绽修复的进击窗口期重叠,就不是简单的破绽修复问题,而是深入的排查和量损、止损问题。 收集入侵相对与传统空间的各类信息偷取破坏行径,无疑是一种资源更低,隐蔽性更强、更难以追踪溯源的要领。只管“绿斑”组织不代表APT进击的最高水准,但其要挟依然值得高度鉴戒。APT的核心从来不是A(高档),而是P(持续),由于P表现的是进击方的意图和意志。面对拥有坚决的进击意志、对高昂进击资源的遭遇力、团队体系化功课的进击组织来说,不会有“一招鲜、吃遍天”的防御法门,而必须建立踏实的系统安然能力。以“绿斑”进击组织常用的进击进口邮件为例,不仅要做好身份认证、通讯加密等事情,附件动态检测阐发,邮件收发者所应用终真个安然加固和主动防御等事情也必要深入到位。对付紧张确政府、队伍、科研职员,更必要在公私邮件应用上、收发公私邮件的不合场景情况安然方面都有明确的规定与要求。邮件只是浩繁的念头进口之一,所有信息互换的进口,所有开放办事的裸露面,都有可能成为APT进击者在漫长窥视和守候历程中,首发射中的时机。 面对具有中高能力水平且组织缜密的网空要挟行径体,紧张信息系统、关键信息根基举措措施运营者应根据收集与信息系统的国家安然、社会安然和营业安然属性,客不雅判断必须能够有效抗衡哪些层级的收集空间要挟,并据此驱动收集空间安然防御需求。当前,收集安然抗衡已经是大年夜国博弈和地缘安然中的常态化抗衡,收集安然事情者必须“树立精确收集安然不雅”,直面真实的敌情想定,建立动态综合的收集安然防御体系。并以“关口前移”对收集安然防护措施的紧张要求为指引,落实安然能力的紧张节制点,有效办理安然能力“结合面”和“覆盖面”的问题,将收集安然防御能力深度结合信息系统“物理和情况、收集和通信、设备和谋略、利用和数据”等逻辑层次,并周全覆盖信息系统的各个组成实体和全生命周期,包括桌面终端、办事器系统、通信链路、收集设备、安然设备以及供应链、物流链、信息进出甚至职员等,避免因为存在局部的安然盲区或者安然短板而导致全部收集安然防御体系的掉效。紧张的是,在收集安然体系扶植实施的历程中,必须在投资预算和资本配备等方面予以充分保障,以确保将“关口前移”要求落到实处,在此根基长进一步扶植实现有效的态势感知体系。 在未来事情中,安天将继承根据总布告的事情要求,努力实现“全天候全方位感知”、“有效防护”和“关口前移”,在实践中,赓续提升收集安然能力与信息技巧的“结合面”和“覆盖面”问题。更多深入介入用户的信息体系筹划扶植,将安然治理与防护步伐落实前移至筹划与扶植等系统生命周期的早期阶段,将态势感知驱动的实时防护机制融入系统运行掩护历程,帮忙客户实现常态化的要挟发明与相应处置事情,慢慢实现“防患于未然”。安天将直面敌情,赓续完善能力体系,帮忙用户应对高档网空要挟行径体的寻衅。

上一页[1] [2] [3] [4] [5] [6] [7]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包