作者:高級威脅研究團隊@深信服千里目安全實驗室
原文鏈接:https://mp.weixin.qq.com/s/gN7cUwfy4q_wVOuTn13Sxw
1. 概述
Mustang Panda 是CrowStrike最早披露的一個APT攻擊組織,這個組織主要使用的後門是PlugX,CobaltStrike。因爲PlugX被人溯源到是一箇中國人開發的。所以很多安全公司發現有使用了PlugX了的攻擊,就宣稱這些攻擊來自於中國。
Palo Alt one network的Unit42 Team在Virus Bulletin 2019年會上發表了一篇名爲”Pulling the PKPLUG: the Adversary Playbook for the long-standing espionage activity of a Chinese nation state adversary”的報告,報告中沒有任何直接證據的指控一些攻擊行爲來自於中國國家資助的APT組織。它們的唯一的判斷依據是攻擊者使用了PlugX。Anomali公司在自己的安全年會上也發佈一篇名爲”China-Based APT Mustang Panda Targets Minority Groups, Public and Private Sector Organizations”的報告。這篇報告聲稱來自中國的APT組織,攻擊了德國,越南,蒙古,緬甸,巴基斯坦等國家。unit42 Team和Anomali公司分析的樣本基本上是一樣的。
近期我們又發現了類似的樣本,在溯源的過程中找到了一個越南的安全公司的博客。在這個博客裏,作者提到了他分析的一個樣本,樣本是針對越南的一個省政府。這個博客的作者後來發現,這個省政府最近做了一次信息安全的培訓並且把演練的內容公佈了出來。博客作者提到的樣本,我們也發現了。經過關聯,我們發現不少類似的郵件,這些郵件都是用於信息安全培訓的。我們還在樣本的PDB路徑中發現了一個越南人的名字,這些信息證明了所謂的Mustang Panda的攻擊是一場烏龍,國外安全廠商只不過是見獵心喜而已。
2.樣本分析
郵件的內容:
這個封郵件的主題是說由於疫情的原因,9月份和10月份的工資和社保現在補發。郵件的附件是一個名字爲”824_BHXHV0002.pdf.zip”的壓縮包。打開之後裏面實際上是一個lnk文件(MD5: d8fa9b6e4ffd02fd3006e505f7368ea7)。這個lnk包含一個HTA文件:
點擊lnk文件後就會觸發惡意代碼的執行,HTA會釋放一個名稱爲”TEMP\3.ps1”的powershell 文件:
釋放出來的PDF文件的內容如下:
釋放的zBcga.exe是使用C#編寫,在dnspy看到如下內容:
這個樣本是某個版本的njRat,接着我們找到了它的C&C服務器:
103.68.251.102(ZoomEye搜索結果) 是一個越南的IP,位置是越南峴港。
3. 溯源分析
我們在上面的Lnk文件中發現了一個MachineId字段,字段的值是win-egbvi09sep9。這個字段代表了生成lnk文件的PC的名字。根據這個名字我們進行了搜索,然後發現有人懷疑類似的樣本可能使用的是模板或者是越南CERT的測試用例[5]。
然後我們分析了推特上提到的樣本,發現攻擊流程和我們分析的完全一致。只是這個樣本彈出一個計算器。顯然這是一個測試用例。並且這個文件是在VirusTotal上顯示上傳者的國家是越南。
我們發現2020年初的時候,越南的安全廠商viettel cyber security發佈了一篇博客,報告的名字是”Mustang Panda – m?t case d? khóc d? c??i”,翻譯過來就是”Mustang Panda---一個非常有意思的案例”[4]。在博客中作者提到,CrowStrike的印度員工聯繫了他,聲稱來自中國的Mustang Panda APT組織攻擊了越南政府。作者感到奇怪的是郵件是針對越南的一箇中南部的省份。作者分析完後,回到家突然想起來那個省份最近做了一次信息安全的培訓並且公佈了細節。他確信分析的樣本就是那次培訓中用到的。作者也提及了他們在工作中也多次發現了安全培訓中用到的樣本。
我們找到了越南那個省的公告[6],其中演練的背景如下:
這段話翻譯過來就是:廣義省XYZ機構發生一起網絡信息安全事件,現在該部門向廣義省信息通訊部提出協助故障排除和追蹤溯源的請求。基本信息是:名稱爲ABC的官員使用的電子郵件是[email protected],收到了一個名爲Nguyen Thanh Tra的人,地址是[email protected]的郵件。郵件的主題是”求職者簡歷”。這個官員查看了這封郵件。目前XYZ網絡裏發現了一些可疑的連接。
包含[email protected] 這個郵件地址的郵件,我們共發現了三個。這三封郵件的內容完全一樣,只是收信人不一樣。其中一封郵件中就包含廣義省的公告中提到的收件人:
我們判斷這封郵件就是廣義省信息安全培訓中用到的郵件。我們發現這個郵件中的樣本和我們前面分析郵件中的樣本的攻擊流程完全一樣。並且和前面的越南的那家安全公司分析的樣本是一樣的。這個郵件的附件的payload也是njRat, C&C服務器是103.68.251.31(ZoomEye搜索結果),是一個越南的IP。另外兩封郵件如下:
這三封郵件除了收件人不一樣外,其他的完全一樣。這兩封分別是和越南社保局、越南萊州省政府有關。103.68.251.31(ZoomEye搜索結果)這個IP地址和我們前面分析的的郵件中C&C 地址103.68.251.102(ZoomEye搜索結果)高度接近,它們都屬於越南峴港市。峴港市是越南的第四大市。因此我們判斷我們前面分析的郵件是越南的信息安全部門在安全培訓中使用的。
越南CERT部門在2019年10月30,發佈了一篇通告。通告的大致內容是越南的信息安全部對越南的網絡進行監控發現了有針對性的網絡攻擊(APT),該攻擊對於越南政府機構的信息系統和重要國家基礎設施的所有者散佈了大量的惡意代碼。越南的信息安全部在這項攻擊中共發現了16個以上的惡意軟件變種,受影響的IP多達400000個IP。越南CERT在通告中公佈了19個文件的MD5值,我們找到了16個文件。對這些文件做了分析後發現,這些樣本和越南廣義省的信息安全培訓中用的樣本的攻擊流程一樣。唯一區別是越南CERT公佈的樣本的payload是CobaltStrike或者PlugX。分析結果如下:
我們注意到MachineID爲win-egbvi09sep9的樣本共出現了8次。我們前面提到的郵件中LNK文件的MachineID都是這個值。這些MachineID去重後共有5個:
(1)win-egbvi09sep9
(2)win-jq9h4qp3a4u
(3)win-ha4ucnjj6cg
(4)win-2a9b78ts069
(5)win-nuptedkl53m
這些樣本的執行流程如下:
如果payload是CobaltStrike,會創建一個名爲爲”Security Script kb00769670”的任務計劃,僞裝成windows的更新程序。其中kb00769670是可變的。Plugx使用了ESET公司的一個簽名的文件。這個文件原始名是EhttpSrv.exe,它運行後會加載http_dll.dll。Payload是Plugx時,除了會釋放誘餌文件外,還會釋放3.exe,http_dll.dll,http_dll.dat三個文件。前面的郵件中包含的LNK文件的執行流程和這些樣本的執行流程是一樣的,只是payload換成了njRat。
通過對所有樣本的分析,我們判斷應該存在一個可配置化的攻擊工具框架,這些樣本都是同一套工具產生的,但是由不同配置選項產生的。越南CERT用於安全演練的樣本是不是他們仿造了真實的攻擊中使用的工具?我們覺得可能性並不大。工具應該並不複雜,但是仿造起來也是很費力氣的。目前我們沒有發現公開的生成這些樣本的工具。
我們在分析過程中發現了不少疑似測試的樣本,這些樣本的C&C server IP在越南CERT發佈的通告列表中。比如文件名爲: test2.exe ( MD5: e343f1d68549f8558b2bb512e082ff2f)
這個文件中包含一個PDB路徑:
C:\Users\PHAM KIM CUONG\Documents\Visual Studio 2008\Projects\test2\Release\test2.pdb
這個路徑中包含一個開發者的名字:PHAM KIM CUONG。通過搜索這個名字發現,這個名字在越南比較常見。這個樣本是在2019年3月17日被上傳到Virus Total上的,並且上傳者的國家是越南。這個樣本使用的payload是CobaltStrike,樣本執行後會鏈接144.202.54.86。這個IP在我們發現的另一封郵件中出現過:
這封郵件中包含的LNK文件沒有使用HTA文件而是直接運行powershell,後續的攻擊流程和前面是一樣的。LNK文件的payload是CobaltStrike,C&C 服務器是144.202.54.86。所以這封郵件和這個名爲PHAM KIM CUONG的人有很大關係。我們也能判斷這一類攻擊絕對不能簡單的判斷是所謂的”來自中國的攻擊”。
越南CERT的通告中提到一個infosecvn.com域名,我們查詢發現一個越南人經常使用infosecvn這個字符串。我們找到了他的博客,臉書,推特信息:
這個人是一個越南的網絡安全專業的學生。和infosecvn.com綁定的同一個IP的另一個域名aridndvn.com也是很有意思。”aridnd”估計是仿造自”aribnb”,上面的名字爲PHAM KIM CUONG的越南人是Aribnb的第100號員工。這不是重點,重點是在越南CERT的報告中提到的aridndvn.com,我們分析的所有樣本中都沒有這個域名。我們只發現樣本訪問了”aridndvn.ccom”。如果在google上搜索aridndvn.ccom,可以找到四家安全廠商的分析報告中提到了這個域名。這四家分別是avira,Any.Run, cmc cybersecurity(越南的一家安全公司),Anomali。如果搜索aridndvn.com則沒有任何和惡意代碼相關的內容。顯然是有人在填寫PlugX配置時寫錯了,我們發現有三個樣本的配置裏都是”aridndvn.ccom”。我們不想搞陰謀論,我們只是描述我們發現的現象。
4. 關於Unit42 Team和Anomali團隊報告
在我們分析完成時,我們又謹慎的讀了一下Unit42 Team和Anomali的報告,發現我們同行的結論幾乎經不起推敲。下面舉幾個例子進行討論。
4.1 Anomali的報告
(1) Daily News (19-8-2019)(Soft Copy)(MD5: 5f094cb3b92524fced2731c57d305e78)
Anomali 聲稱這個文件是針對緬甸的山泰族,並稱”攻擊少數羣體是中華人民共和國的一個已知的策略”。這個說辭讓人啼笑皆非。這個文件的MD5出現在越南CERT發出的通告中。如果真的是攻擊樣本,越南CERT難道看不出來是和緬甸相關的嗎?
(2) European.lnk(9ff1d3af1f39a37c0dc4ceeb18cc37dc)
Anomali 聲稱這個文件是針對China-Zentrum eV。China-Zentrum eV在官網上聲稱是一個指在促進西方和中國進行文化,宗教交流的非營利組織。這個組織和越南沒有任何關係。很不幸,這個文件的MD5也出現在越南cert發出的通告中。
Anomali在報告中提到了17個LNK文件,其中有16個出現在越南CERT通告中。這樣Anomali所宣稱的”Mustang Panda 攻擊了德國,蒙古,巴基斯坦,緬甸”的結論根本不成立。
4.2 Unit42 Team的報告
Unit42 Team的情況和Anomali的情況類似,我們這裏討論不出現在越南CERT的通告列表中的文件。Unit42 Team從推特上獲得有人發現的Plugx樣本。這些樣本不是lnk而是exe,它們都是nsis安裝包。使用7z解壓後如下:
這裏仍然使用DLL Side-Loading攻擊方法並且文件也是前面所提到的ESET的簽名文件。這個樣本的C&C server 是apple-net.com。這個域名出現在越南CERT通告的C&C server列表裏,並且我們也在lnk相關的樣本中找到了這個域名。
我們先來欣賞一下unit42 團隊的分析:
unit42 認爲名爲爲NATIONAL SECURITY CONCEPT OF MONGOLIA.exe的文件是針對蒙古政府的。這個文件名翻譯過來應該是”蒙古國國家安全法全文”。通過google查詢可知這個法律至少在1993年就已經存在了。重點是蒙古國是一個官方語言是蒙古語的國家,向蒙古政府發送一個英文版的”蒙古國安法全文”。蒙古國的官員會上當嗎?這就好比向中國政府發送一個英文版的《中國憲法全文》,中國的官員會上當嗎?所以這個樣本絕對不是針對蒙古政府的。如果是真實的攻擊,那也是針對對國家安全法感興趣的非蒙古國的立法機關或者智庫。我們在Virus Total上發現了多個從越南上傳的疑似測試用的樣本,這些樣本也有使用自解壓包作爲攻擊手段的。在越南CERT發佈的通告中的樣本有一個是和蒙古航空有關的圖片。所以我們判斷NATIONAL SECURITY CONCEPT OF MONGOLIA.exe和DSR & CSR of Special Branch Sind.exe是測試樣本或者其他國家在信息安全演練中的樣本。
5. 越南部分政府部門2020安全培訓
我們搜索了一下,發現在2020年年末,越南不少的政府部門在官方網站上公佈了他們舉行的信息安全培訓。
| 時間 | 來源 | 參與單位 |
|---|---|---|
| 2020年12月11日 | 奠邊省信息和通訊部 | 宣光省、永福省、富壽省、河楊省、老街省、萊州省、山羅省、奠邊省、安沛省的國家事故響應網絡的單位和成員的信息安全和信息技術官員。 |
| 2020年12月11日 | 廣義省新聞網站 | 信息與通信技術中心(信息與通信部下屬)與CyRadar信息安全股份公司合作,參與人員是廣義省網絡信息安全事件響應團隊的成員。 |
| 2020年11月21日 | 諒山省政府網站 | 諒山省、曹邦省、北(?)省,太原省,北寧省,北江省 |
由於我們不懂越南語,完全依靠google翻譯,我們只能在這裏面列舉很少的部分。另外我們也注意到越南信息安全部門曾經和卡巴斯基、bkav等公司合作,舉辦過信息安全的攻防演練。我們強烈呼籲信息安全行業同行,在對APT攻擊分析和溯源時一定要注意這些信息安全培訓。
6.總結
PlugX是一個存在了8年以上的遠控工具,它被國內外的不少安全廠商分析過。雖然PlugX被國外安全公司發現是中國的一個網名爲”無花果(WHG)”的安全愛好者開發的,這也不能證明每次利用PlugX發起的攻擊都是來自中國的。PlugX有多個版本的生成器,不少都能在網絡上找的到,也在不少的安全廠商的報告中出現過。我們認爲如果發現非中國的攻擊者使用PlugX也不是不可能。
在我們分析完樣本後,最讓我們費解的是越南的廣義省和萊州省有什麼重要的,以至於會引起”APT攻擊組織”的興趣。雖然我們隱約覺得這可能不是真實的攻擊,但我們沒有證據。感謝越南的viettel cyber security公司幫我們解開了疑惑。在CrowStrike公司的印度員工堅持是來自中國的Mustang Panda 攻擊了越南政府時,我們的越南同行阻止了一次針對中國的抹黑。同時我們也要感謝越南廣義省政府公佈了演練的細節,這個細節成爲我們反駁不實指控的證據。類似的誤把信息安全演練當作APT攻擊的案例,在國內也有過。爲了避免引起不必要的爭論,我們不去談那件事的細節。
安全沒有國界,所有的安全研究者應該共同對抗來自世界各地的攻擊。當看到Unit42 Team和Anomali團隊在沒有直接證據的情況下,僅僅憑藉文件名和文件內容,就做出了”中國國家支持的APT組織”和”來自中國的Mustang Panda APT組織”的結論,我們真的很遺憾。在對APT攻擊進行溯源的過程中,地緣政治是最重要的一個判定依據。但是地緣政治不是萬能靈藥。隨着各國對信息安全的重視,類似的信息安全培訓會越來越多。作爲安全研究人員不應該見獵心喜,不負責任的作出結論。
7. IOC
MD5:
d8fa9b6e4ffd02fd3006e505f7368ea7
80bcda9fde78c70566c6f693f1c7938f
5781a2b62de1f3301e38394607b03d79
IP:
103.68.251.102(ZoomEye搜索結果)
103.68.251.31(ZoomEye搜索結果)
144.202.54.86(ZoomEye搜索結果)
8. 參考
(1) “我兔”的典故,請參考”小白兔的光榮往事”
(2) Meet CrowdStrike’s Adversary of the Month for June: MUSTANG PANDA
https://www.crowdstrike.com/blog/meet-crowdstrikes-adversary-of-the-month-for-june-mustang-panda/
(3) Pulling the PKPLUG: the Adversary Playbook for the long-standing espionage activity of a Chinese nation state adversary
(4) China-Based APT Mustang Panda Targets Minority Groups, Public and Private Sector Organizations
(5) Mustang Panda – m?t case d? khóc d? c??i
https://blog.viettelcybersecurity.com/mustang-panda-mot-case-do-khoc-do-cuoi/
(6) https://twitter.com/cyber__sloth/status/1298719815964618753?lang=en
(7) http://lichlamviecsld.nuian.vn/items/files/1_1341.PDF
(8) http://www.vncert.gov.vn/baiviet.php?id=127
本文由 Seebug Paper 發佈,如需轉載請註明來源。本文地址:https://paper.seebug.org/1444/