簡介
2016年1月,蔡英文當選爲臺灣首位女領導。在大選之前,據報道此次選舉發生了一系列的網絡威脅事件。[1] 回顧在這段時間從不同羣體中觀察到的惡意軟件,從這些零碎中拼湊出來的證據表明有幾波人使用臺灣總統選舉作爲魚叉式網絡釣魚主題。
EvilGrab
我們遇到的第一個使用臺灣選舉爲主題的樣本的是一個名爲“2016年臺灣總統選舉觀戰團 行程20160105.xls(393dafa8bd5e30334d2cbf23677e1d2e)的Excel電子表格,一旦執行電子表格,一個名爲6EC5.tmp的文件將會出現在%temp%文件夾。該文件實際上是一個可執行二進制文件,一旦執行就會產生一個ctfmon.exe進程並將其自身克隆到%userprofile%目錄並命名爲IEChecker.exe(fb498e6a994d6d53b80c53a05fc2da36)。
所使用的Evilgrab惡意軟件,在註冊表值中包含編碼模塊
除了創建IEChecker.exe,ctfmon惡意進程同時還在以下路徑創建了一組包含編碼數據的註冊表鍵。事實上這些都是惡意軟件使用的模塊,這些行爲都預示着我們分析的惡意軟件就是一個 EvilGrab樣本[2]:
- HKCU\Software\rar\e
- HKCU\Software\rar\s
- HKCU\Software\rar\data
- HKCU\Software\rar\ActiveSettings
- HKCU\Software\Classes\VirtualStore\MACHINE\Software\rar\e
惡意軟件通過設置一個自動運行鍵調用ctfmon確保IEChecker.exe在啓動時執行以達成持久性目的。
該惡意軟件還有一個C&C服務器192.225.226[.]98:8080,大約每30秒就發送一個TCP SYN包。
DynCalc/Numbered Panda/APT12
我們遇到的第二個樣本名爲“總統辯論會後:民眾政黨支持趨勢變化.exe ”(791931e779a1af6d2e1370e952451aea) ,該樣本是一位臺灣用戶2016年1月11日(總統大選前5日)提交到VirusTotal。
該二進制文件使用標準的微軟word圖標,如下圖所示,誘騙用戶誤以爲該文件是一份合法的word文檔
執行時,該二進制文件會在同一目錄下創建一個名爲ka4281x3.log的文件,這個文件包含編碼數據。該文件的命名風格頗有IXESHE[3]特色以及Etumbot[4]家族惡意軟件相關,基於行爲判斷與其他的Etumbot樣本相類似(e.g. 2b3a8734a57604e98e6c996f94776086),我們相信這起攻擊與 APT12脫不了干係。
除了.log文件,還創建了一個誘餌文檔顯示給用戶,如下圖所示。研究誘餌文檔中的內容,顯示的內容與之前臺灣智庫[5]發佈的“總統辯論會後:民眾政黨支持趨勢變化”演講一樣。下圖顯示了誘餌文件所使用的相同演講內容,誘餌文件沒有格式化,表明攻擊者可以從PDF簡單的複製粘貼內容來創建一個新的word文檔,相同內容如下所示:
臺灣智庫[6]的原始報告題目 “總統辯論會後:民眾政黨支持趨勢變化”,顯示了從最新的民意調查獲得的結果(左)。誘餌文件則是加入了 IXESHE/Etumbot樣本(右)
之後惡意軟件將名爲vecome.exe的二進制文件加載到%Appdata%\Roaming\Location目錄,並安裝一個自動運行鍵確保二進制文件在啓動時能夠執行。
類似於其他IXESHE/Etumbot樣本,惡意軟件在%temp%目錄生成6個臨時文件:
惡意軟件通過SSL與C&C服務器201.21.94[.]135在443端口進行溝通,使用的SSL證書與電子郵件地址[email protected][7]有關
SunOrcal and Surtr
我們檢測的最後一份樣本是使用臺灣選舉爲主題的名爲“2016總統選舉民情中心預測值.doc”(09ddd70517cb48a46d9f93644b29c72f)的惡意word文檔。這份文件的內容包含兩個空白的方格,會有一個自解壓文件加載到%temp%,之後會單獨顯示一個僅有一行提到總統選舉的誘餌文檔。
不管如何,這句話非常荒謬。通過搜索這句話我們得知,它還曾被用作魚叉式釣魚攻擊郵件的題目發送給許多政治家和香港維權分子,包括James To[8], Tommy Cheung[9] 以及 Joshua Wong.[10] 。Wong是著名的香港學生維權分子,2016年1月6日他在Facebook上公開宣稱,他收到了魚叉式釣魚攻擊郵件,但是並沒有因爲好奇而打開這份.rar附件。
通過檢測誘餌文件的 EXIF數據,樣本顯示文檔創建於釣魚郵件發送的當天。
鑑於相似的主題以及魚叉式釣魚攻擊相同的文本,以及反對香港維權的時機和誘餌文件的創建時間,我們相信這兩起攻擊事件應該出於同一團隊之手。
回到我們的樣本分析,一旦被引誘執行文檔會生成一個自解壓文件並執行,該文檔包含3個文件。一個批處理文件,一個wget二進制文件的副本,以及一個名爲iuso.exe的輔助二進制文件。
一旦執行,二進制文件會加載到%programdata%目錄,之後執行批處理文件從已經被拿下的kcico[.]com下載第二階段惡意軟件。
下載二進制文件wthk.exe後並執行,會在%programdata%: “Javame” 和 “sun orcal”目錄下生成兩個嵌套目錄,基於這種獨特的文件夾命名的使用, “sun orcal” 可早可以追溯到2013年[11],似乎可以理解爲拼寫錯誤的Sun Oracle,我們稱這個惡意軟件爲SunOrcal。
以下爲完整的嵌套路徑:
- C:\ProgramData\Javame\Java\Jre\helper\113507
- C:\ProgramData\sun orcal\java\JavaUpdata
- C:\ProgramData\sun orcal\java\SunJavaUpdata
一旦執行wthk.exe,會將其自身可憐到\sun orcal\java\SunJavaUpdata並命名爲SunJavaUpdata.exe。此外,在Javame文件夾下會生成一個名爲SunJavaUpdataData.lnk的快捷方式,其指向 SunJavaUpdata.exe
這個快捷方式的目的很清楚,當我們檢測註冊表發生的的變化,惡意軟件會修改位於HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folder\的啓動鍵指向\Javame\Java\Jre\helper\113507目錄,當它第一次加載時會導致資源管理執行快捷方式,並且確保了能夠在啓動時執行。
如批處理腳本所示,一旦wthk.exe執行完成,接着就會執行iuso.exe。檢測該二進制的代碼顯示該代碼的目的是使機器休眠一分鐘,然後執行位於%programdata%中的Keyainst.exe。不幸的,我們無法檢索這些二進制文件。
檢索由 SunJavaUpdata.exe產生的網絡流量,我們發現惡意軟件與C&C服務器safety.security-centers[.]com 進行通信,解析的IP地址爲210.61.12[.]153。根據域名工具[12],security-centers[.]com域名與兩個電子郵件有關:
- 註冊郵箱: [email protected]
- 管理員郵箱: [email protected]
有趣的是,該惡意軟件在HKCU\Software\Google\info註冊表鍵中存儲C&C信息
上圖中顯示的行動代號“wthkdoc0106”與“wthk”惡意程序的名稱相同,“doc” 是交付的惡意軟件文檔類型,“0106”指的是1月6日(攻擊開始日期)
除了行動代號之外,惡意軟件還有一個硬編碼 “M&BX^DSF&DA@F”:
從惡意軟件樣本中還觀察到有調用一個DLL函數,FunctionWork(惡意軟件中的硬編碼)
儘管我們沒能從基礎設施中找到我們的SunOrcal樣本與其他威脅樣本中有直接重疊部分,但是我們可以分析Citizen Labs[13] 在2013年分享出來的樣本。
特別是通過找到的樣本創建相同的目錄名“javame” 和 “sun orcal”,我們遇到的下列SunOrcal樣本共享着相同的互斥元,文件夾結構,註冊表路徑,以及調用DLL函數“FunctionWork”:
- 6b3804bf4a75f77fec98aeb50ab24746 (C2: www.olinaodi[.]com)
- 1fd33fe7c2800225bfc270f9ae053b65 (C2: www.eyesfeel256[.]com)
- 397021af7c0284c28db65297a6711235 (C2: safetyssl.security-centers[.]com)
- 415f5752bf5182b9d108d7478ba950f9 (C2: www.eyesfeel256[.]com)
查看olinaodi[.]com 以及 eyesfeel256[.]com的WHOIS信息,顯示他們的註冊留下的郵箱地址相同[email protected]。通過郵箱地址反向查詢出該郵箱註冊了14個域名,其中大部分都包含 fly, dream, eyes 以及feel關鍵詞
特別有趣的是flyoutside[.]com,該域名在2013年曾被Citizen Lab報告與Surtr惡意軟件相關
我們相信SunOrcal和Surtr RATs出自同一團體,基於域名的註冊日期,我們猜測這波人應該是從2010年開始着手部署的。
[2] See http://blog.trendmicro.com/trendlabs-security-intelligence/evilgrab-malware-family-used-in-targeted-attacks-in-asia/ and, more recently, http://researchcenter.paloaltonetworks.com/2015/06/evilgrab-delivered-by-watering-hole-attack-on-president-of-myanmars-website/
[3] http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp_ixeshe.pdf
[5] www.taiwanthinktank.org/english/welcome
[6] http://www.taiwanthinktank.org/chinese/page/5/71/3074/0
[7] Note that it is possible to provide a fake address when creating a SSL certificate and so this does not necessarily mean that the attacker controls this email address.
[8] https://en.wikipedia.org/wiki/James_To
[9] https://zh.wikipedia.org/wiki/%E5%BC%B5%E7%A7%80%E8%B3%A2
[10] https://en.wikipedia.org/wiki/Joshua_Wong_(activist)
[11] http://contagiodump.blogspot.co.uk/2013/09/sandbox-miming-cve-2012-0158-in-mhtml.html
[12] https://whois.domaintools.com/security-centers.com
[13] https://citizenlab.org/2013/08/surtr-malware-family-targeting-the-tibetan-community/
*原文鏈接:pwc,鳶尾編譯,轉載請註明來自FreeBuf黑客與極客(FreeBuf.COM)