bevictor伟德

首页 > 清静研究 > 研究报告 > 攻击与威胁剖析

新攻击新武器：瞎眼鹰APT组织最新攻击运动完全剖析

宣布时间 2020-08-14

一、概述

bevictor伟德ADLab实验室在近几个月内，，，，，，接连捕获到多起针对哥伦比亚国家的政府部分，，，，，，金融、银行、包管等行业及卫生和制药机构提倡的垂纶邮件定向攻击。。。。攻击者以“冠状病毒检测紧迫见告单”或“刑事诉讼通知单”等命名的诱饵文档作为邮件附件，，，，，，并配合鱼叉邮件向攻击目的电脑植入远控木马。。。。从邮件剖析效果来看，，，，，，攻击者会将邮件的泉源伪装成哥伦比亚国家卫生部、国家税务和海关总署、民事身份挂号处、审查院以及移民局等政府部分，，，，，，以增强其邮件的真实性。。。。我们通过对攻击者伪装的泉源信息、域名使用偏好、IP地点关联及地理位置等特征举行比照剖析，，，，，，发明该系列攻击泉源于瞎眼鹰组织，，，，，，但接纳的攻击武器较以往完全差别。。。。瞎眼鹰首次被披露于2019年头，，，，，，是一个疑似来自南美洲的APT组织，，，，，，其最早活跃时间可追溯到2018年，，，，，，主要针对哥伦比亚政府和大型公司举行攻击。。。。

在对攻击运动深入剖析后，，，，，，我们发明该组织在我们发明的这批攻击中接纳磷泣为先进攻击手艺和反追踪手艺。。。。在以往的攻击中，，，，，，该组织多使用MHTML名堂的恶意文档作为攻击附件，，，，，，而在本次攻击历程中，，，，，，该黑客组织使用一个无恶意的文档作为前言，，，，，，诱使目的下载文档中提供的恶意短链接（该短链接指向一个加密过MHTML的恶意文档），，，，，，这大大提高攻击的有用性，，，，，，其不但能够绕过邮件清静防护系统和入侵检测系统，，，，，，并且大大的降低了被杀毒软件查杀的概率（我们捕获的许多样本在VT上的查杀率均0，，，，，，部分样本也恒久坚持着低于5%的极低查杀率）；；；我们发明的这批攻击中，，，，，，该黑客组织放弃了以往常用的ImminentMonitor RAT，，，，，，接纳了一款隐藏能力和免杀能力更强的RAT--AsyncRAT，，，，，，同时连系重大多层加密与代码嵌套手段来提供反剖析能力和反检测能力。。。。

AsyncRAT是泉源于外洋的一款远控木马，，，，，，其除了能够对目的举行最基本的远程特工运动外，，，，，，还可使用USB装备突破物理隔离、使用bot killer扫除目的上的竞争敌手等。。。。该木马最具特点的是接纳不落地的无害�？？？？？？樽魑康牡慕┦�，，，，，，并接纳“propelling in use，，，，，，destroy after use”的事情模式，，，，，，即剖析攻击使命为子使命，，，，，，每个子使命以一个单独的DLL�？？？？？？槔词迪�，，，，，，黑客执行使命时由多个子使命DLL�？？？？？？槠局ひ欢ǖ闹葱行蛄欣词迪�，，，，，，同时对完成使命的�？？？？？？榫傩惺凳毕�。。。。这种事情模式将一个完整恶意使命剖析成多个无害的子使命，，，，，，能够有用地逃避一些重大清静防护战略，，，，，，同时也能有用地避免取证剖析职员获取其焦点攻击�？？？？？？�。。。。

别的，，，，，，该黑客组织还接纳了“DoubleFlux+Fast VPN”手艺来抵达反追踪和反侦测的目的。。。。我们通过对攻击者使用的C&C基础设施举行剖析发明，，，，，，这批攻击的C&C域名是通过DNSExit.com来动态分派IP地点(IP地点是动态转变的，，，，，，险些都归属于哥伦比亚的ISP)。。。。现实上，，，，，，DNSExit不但是一个“1(dns)对n(IP)”的效劳，，，，，，更是一个“m(dns)对n(IP)”，，，，，，因此其应该接纳了“double flux”手艺来规避溯源与追踪。。。。不但云云，，，，，，黑客组织使用这种效劳的背后还加了一层VPN，，，，，，也就是说通过“Double Flux”获得的IP地点并不是黑客真正的IP地点，，，，，，其只是一系列的VPN节点(节点的IP地点由Unus.Ins效劳商提供)，，，，，，因此借用”fastflux”命名法我们将这种反追踪手艺称为”Fast VPN”。。。。攻击者使用“Double Flux+Fast VPN”手艺来作为攻击载荷和木马回连的通道，，，，，，使得黑客的攻击变得很是难以追踪和溯源。。。。

二、攻击运动剖析

本章总结了黑客组织近期的攻击运动事务以及本次运动中使用的攻击手法。。。。

2.1近期攻击运动

bevictor伟德ADLab实验室基于原始线索对黑客组织本次的攻击运动举行了周全追踪、关联和剖析，，，，，，发明此次运动最早可追溯到2019年9月，，，，，，且近期运动主要以COVID-19相关内容作为垂纶诱饵。。。。我们综合所有的威胁情报数据，，，，，，梳理了本次该组织提倡的所有攻击事务，，，，，，并绘制出以下攻击事务时间线。。。。

图2-1 APT组织近期攻击事务时间线

2.2攻击手法

在本次攻击运动中，，，，，，我们发明瞎眼鹰APT组织主要接纳鱼叉邮件作为初期攻击方法。。。。攻击者伪装成来自哥伦比亚卫生部、哥伦比亚国家总审查院、哥伦比亚移民局、哥伦比亚国家税务和海关总署以及哥伦比亚民事身份挂号处等部分，，，，，，向使用西班牙语言的南美地区（特殊是哥伦比亚国家）的政府部分，，，，，，金融、银行、包管等公司，，，，，，以及卫生和制药机构的相关职员投递恶意攻击邮件。。。。邮件主题均与攻击者所仿冒的政府部分文件题材相关，，，，，，并在邮件正文添加针对附件文件的诱导性形貌和附件审查密码等信息，，，，，，更有利于增强邮件的真实性，，，，，，诱使受害者启用恶意宏代码，，，，，，进而向攻击目的机械上植入木马程序，，，，，，以实验对入侵装备的远程控制、窃取神秘数据、系统破损等恶意行为。。。。

bevictor伟德ADLab实验室通过对该组织近期攻击的监测和关联剖析，，，，，，发明了多个与其相关的邮件，，，，，，下面我们枚举出部分邮件内容以及针对性的诱饵文档。。。。

2.2.1 垂纶邮件详情

伪装成哥伦比亚卫生部：

（1）图2-2是攻击者伪装成哥伦比亚卫生部的攻击邮件之一。。。。邮件主题为“Ustedha sido citado para una prueba obligatoria de (COVID-19)”（翻译后为：“您被要求加入强制性检测（COVID-19）”）。。。。

图2-2 伪装成哥伦比亚卫生部邮件之一

（2）图2-3是攻击者伪装成哥伦比亚卫生部的攻击邮件之二。。。。邮件主题为“Lehemos llamado en repetidas ocaciones y no ha sido posible contactarle por favorleer comunicado urgente”（翻译后为：“我们已经多次致电给您，，，，，，无法联系到您，，，，，，请阅读紧迫通知”）。。。。

图2-3 伪装成哥伦比亚卫生部邮件之二

（3）图2-4是攻击者伪装成哥伦比亚卫生部的攻击邮件之三。。。。邮件主题为“Detectamos en su sector la presencia de COVID-19 ( Corona virus ) intentamos comunicarnos via telefonica con usted”（翻译后为：“我们在您的部分发明了COVID-19( Corona virus )，，，，，，并实验通过电话与您联系”）。。。。

图2-4 伪装成哥伦比亚卫生部邮件之三

伪装成哥伦比亚国家税务和海关总署：

图2-5是攻击者伪装成哥伦比亚国家税务和海关总署的攻击邮件。。。。邮件主题为“Procederemos con una orden de embargo a las cuentas bancariasencontradas a su nombre”（翻译后为：“我们将对以您名义发明的银行账户发出冻结令”）。。。。

图2-5 伪装成哥伦比亚国家税务和海关总署的邮件

伪装成哥伦比亚民事身份挂号处：

图2-6是攻击者伪装成哥伦比亚民事身份挂号处的攻击邮件。。。。邮件主题为“Sucedula de ciudadania ha sido reportada como robada en nuestro sistema”（翻译后为：“您的公民证已在bevictor伟德系统报失”）。。。。

图2-6 伪装成哥伦比亚民事身份挂号处的邮件

伪装成哥伦比亚审查院：

图2-7是攻击者伪装成哥伦比亚审查院的攻击邮件。。。。邮件主题为“El presentees el requerimiento enviado a declarar por el proceso iniciado en su contra(ultimo aviso)”（翻译后为：“这是针对您提倡的处置惩罚流程声明（最后通知）”）。。。。

图2-7 伪装成哥伦比亚审查院的邮件

伪装成哥伦比亚移民局：

图2-8是攻击者伪装成哥伦比亚移民局的攻击邮件。。。。邮件主题为“Comunicado710297647: Proceso Penal Pendiente”（翻译后为：“声明710297647：待定刑事诉讼法”）。。。。

图2-8 伪装成哥伦比亚移民局的邮件

2.2.2 诱饵文档

凭证现有的情报剖析批注，，，，，，该组织以往最常用的邮件附件是带有恶意宏的MHTML名堂的DOC文档。。。。我们对近期捕获到的相关攻击样本举行剖析后，，，，，，发明在大大都情形下，，，，，，攻击者最先使用带有短链接的RTF或PDF文档来作为恶意附件，，，，，，以绕过邮箱网关的检测。。。。表2-1列出了黑客组织在此次攻击运动中使用的恶意文档信息。。。。

文件名	时间戳
citacion prueba covid.pdf	2020-07-09 11:06:40
citacion prueba covid.pdf	2020-06-19 14:11:05
Comunicado.pdf	2020-04-25 13:11:38
minsaludcomunicado.pdf	2020-03-04 22:17:40
estado de cuenta.pdf	2020-02-25 21:58:29
reactivar mi cedula.pdf	2020-02-03 23:18:38
DIAN estado de cuenta.rtf	2019-11-04 15:01:00
pdfproceso.rtf	2019-10-25 14:09:00
Proceso.rtf	2019-08-26 21:00:00

表2-1 相关恶意文档信息

（1）案例1

附件RTF文档中内嵌一个名为“VER PROCESO”的跳转链接，，，，，，其指向的恶意链接使用的是IP Logger短链接效劳。。。。

图2-9 RTF文档内容

图2-10 IP Logger短链接平台

（2）案例2

附件PDF文档中内嵌一个名为“Ver comunicado”的跳转链接和一行文本信息（仅用于提升文档的可信度）。。。。其指向的恶意链接使用的是Acortarurl短链接效劳。。。。

图2-11 PDF文档内容

三、溯源与关联剖析

在对本次攻击样本的IOC举行深入追踪溯源后，，，，，，我们挖掘出黑客组织更多的C2效劳器信息。。。。后文，，，，，，我们将连系现在掌握的情报数据和果真的研究报告资料信息，，，，，，来对此次攻击事务举行详细的组织关联剖析。。。。

3.1C&C基础设施剖析

通过提取和关联所有样本中的C&C效劳器相关信息，，，，，，我们发明黑客组织所使用的基础设施都位于哥伦比亚、哥斯达黎加和巴拿马，，，，，，所有IP都归属于哥伦比亚的ISP。。。。审查这些IP的详细信息（如图3-1）可以看到，，，，，，此IP段的网络效劳提供商是Unus.Ins公司，，，，，，该公司操控着26209个IP地点，，，，，，且险些所有这些IP地点都是提供应匿名VPN效劳使用，，，，，，例如Powerhouse Management.Inc（phmgmt.com）。。。。由于该ISP在网络中的流量大大都具有诓骗性，，，，，，因此美国反诓骗清静公司Scamalytics将其标注为高诓骗危害ISP（如图3-2）。。。。

图3-1 相关IP详细信息

图3-2 Scamalytics公司标注信息

图3-3为该组织在此次攻击运动中使用的部分域名、IP、PE文件和Office文件的对应关系。。。。

图3-3 对应关系图

该组织使用的域名是在外洋DNSExit.com平台上免费注册的三级子域（该平台提供的免费域现实上是二级域，，，，，，如图3-4），，，，，，且这些子域所指向的IP地点被频仍的替换（如图3-5）。。。。若是一个C2效劳器被关闭，，，，，，攻击者则可以快速地更新DNS纪录指向新效劳器，，，，，，恢复毗连。。。。攻击者使用域名注册商提供的DNS效劳（double flux），，，，，，再配合使用VPN效劳（fast VPN）作为攻击载荷和木马回连的通道，，，，，，以抵达反追踪和反侦测的目的。。。。

图3-4 DNSExit.com平台

图3-5 域名指向的IP

3.2关联和手艺演进剖析

我们从本次事务中黑客组织所使用的样本、C&C效劳器等层面举行了关联剖析，，，，，，并连系该组织早期攻击运动中的相关特征，，，，，，得出以下几处主要的关联点。。。。

3.2.1 伪装泉源信息

在早期的攻击运动中，，，，，，瞎眼鹰组织惯于将自身伪装成哥伦比亚国家民事挂号处、哥伦比亚国家税务和海关总署等部分来对哥伦比亚的政府和金融机构举行攻击。。。。而在本次攻击事务中，，，，，，攻击者所使用邮件的伪装泉源信息除了同该组织具有一定的重叠以外，，，，，，还新增了一些哥伦比亚其他政府部分信息。。。。详细详见表3-1。。。。

诱饵伪装泉源（2018年4月-2019年2月）	诱饵伪装泉源（2019年9月-2020年7月）
哥伦比亚民事挂号处	哥伦比亚民事挂号处
哥伦比亚国家税务和海关总署	哥伦比亚国家税务和海关总署
哥伦比亚国家司法部分	哥伦比亚国家总审查院
哥伦比亚国家统计局	哥伦比亚移民局
哥伦比亚国家网络警员局	哥伦比亚卫生部

表3-1 泉源信息

3.2.2 恶意附件文档

该组织擅于使用携带恶意宏的MHTML名堂的word文档作为攻击载荷。。。。在此次攻击运动中，，，，，，我们视察到攻击者更改了初期的攻击战略，，，，，，其先将带有短链接内容的PDF或RTF名堂的恶意附件作为第一阶段的诱饵文档，，，，，，再通过诱导受害者点击链接后，，，，，，跳转到指定的效劳器上下载恶意文档，，，，，，该恶意文档是包括宏代码的word文档。。。。从这些PDF/RTF名堂的恶意附件在VT上的扫描效果（如图3-6）可以看到，，，，，，它们的查杀率普遍偏低甚至为0。。。。攻击者将这类低查杀率的恶意文档作为邮件附件，，，，，，能在一定水平上抵达绕过邮件网关的目的。。。。

图3-6 VT查杀效果

3.2.3 域名使用偏好

我们将该组织在早期行动中使用的动态域名，，，，，，与本次行动所使用的域名做比照剖析，，，，，，可以很清晰的看出，，，，，，这些域名都是通过统一个动态域名商DNSEXIT注册的。。。。别的，，，，，，在本次事务中的域名“medicosta.linkpc.net”与2018年岁件中的域名“medicosco.publicvm.com”相似度极高，，，，，，由此推测它们极有可能是由统一组织注册。。。。

3.2.4 IP地点关联

凭证我们在3.1小节中所剖析的效果显示，，，，，，攻击者所有关联域名的曾绑定和现绑定的IP地点，，，，，，均由互联网运营商Unus.Ins公司提供，，，，，，且大大都用作VPN效劳。。。。这与该组织在2018年的攻击事务中发送邮件时使用的VPN相关IP地点128.90.xxx.xxx网段完全相同，，，，，，由此可以看出这极有可能是出自统一组织。。。。

3.2.5 地理位置特征

从攻击者所使用的C&C基础设施来看，，，，，，其所使用的所有IP地点（包括128.90.xxx.xxx、191.95.xxx.xxx、190.253.xxx.xxx及179.33.xxx.xxx等网段）均归属于哥伦比亚的ISP（如图3-7）。。。。而这些IP地理位置也与该组织早期运动涉及的地理位置相同。。。。

图3-7 IP地点的地理位置

基于该组织从伪装泉源信息、诱饵文档、域名使用偏好、IP地点关联以及地理位置特征等方面的比照剖析，，，，，，我们起源推断本次的攻击行动来自“APT-C-36瞎眼鹰”组织。。。。

四、攻击载荷剖析

图4-1显示了黑客组织在此次攻击运动中的整个流程。。。。

图4-1 黑客攻击流程图

在初期阶段，，，，，，该组织首先使用与其伪装泉源有关的主题邮件，，，，，，附加恶意文档一并发送给攻击目的。。。。当受害者点击文档中的短链接时，，，，，，着实际上是被重定向到下一阶段DOC文档的托管平台，，，，，，从而执行下载流程。。。。该DOC文档运行后会启动恶意宏代码，，，，，，会见并剖析执行指定的页面（html文件），，，，，，随后从C&C效劳器上下载payload文件，，，，，，乐成下载后连忙执行。。。。此payload会在内存中加载执行其解密后的DLL�？？？？？？槔词迪值谝唤锥蔚墓π�，，，，，，接着第二阶段的DLL�？？？？？？樵僦葱衅浣饷芎蟮腅XE�？？？？？？�，，，，，，为了隐藏恶意下发功效，，，，，，第三阶段的EXE�？？？？？？榛峤饷芎蟮目芍葱蠵E文件（AsyncRAT远控木马）映射到傀儡历程中执行。。。。最后，，，，，，AsyncRAT木马程序与C&C效劳器建设SSL通讯，，，，，，吸收控制指令以实现其特工运动。。。。

攻击者为了隐藏其真实妄想，，，，，，接纳多层�？？？？？？榍短缀鸵圆宦涞匦问皆谀诖嬷屑釉刂葱心韭沓绦虻氖址�，，，，，，再连系该木马针对自身运行情形检测（如虚拟机、沙箱、反调试等）的功效，，，，，，以阻止其在自动化系统剖析中袒露恶意行为。。。。下文，，，，，，我们从黑客组织近期攻击事务的案例中，，，，，，选取一例举行详细的剖析。。。。

4.1垂纶邮件

图4-2展示了攻击者仿冒来自哥伦比亚国家卫生部的垂纶邮件，，，，，，邮件问题为“Usted hasido citado para una prueba obligatoria de (COVID-19)”（翻译后为：“您被要求加入强制性检测（COVID-19）”），，，，，，正文内容是关于检测的相关问题（如图4-3），，，，，，并声称邮件附件是检测时间和所在，，，，，，以诱导受害者翻开附件文档。。。。

图4-2 仿冒来自哥伦比亚国家卫生部的垂纶邮件

图4-3 邮件翻译后的内容

4.2恶意文档

黑客组织所使用的恶意文档包括PDF、RTF以及MHTML名堂的DOC文档。。。。其并未使用误差，，，，，，而是通过嵌入的恶意宏代码来触发后续恶意行为。。。。与该组织以往攻击手法差别的是，，，，，，本次并未直接通过邮件撒播MHTML名堂的恶意文档，，，，，，而是将包括一个跳转链接（该链接指向MHTML名堂的恶意文档）的正常文档作为邮件附件来举行投递，，，，，，以绕过邮箱网关的清静检测。。。。

图4-4是4.1小节中的邮件附件，，，，，，该pdf文件包括哥伦比亚国家卫生部的标记、一行文本信息（标注文档密码，，，，，，实则无用）和一个名为“Ver comunicado”的跳转链接（如图X）。。。。

图4-4 PDF文档跳转链接内容

当用户点击文档链接时，，，，，，现实上攻击者是使用Acortarurl短链接效劳平台将受害者重定向到其指定的效劳器上，，，，，，下载MHTML名堂的word文档。。。。图4-5为会见Acortarurl的流量内容。。。。

图4-5 Acortarurl的流量内容

虽然此案例中的恶意文档链接已失效，，，，，，不过通过关联剖析后，，，，，，我们发明了其他相关的恶意文档。。。。该文档同样是伪装成来自哥伦比亚国家卫生部，，，，，，攻击者在文档正文使用西班牙语诱导用户点击“启用内容”按钮来审查检测时间和所在。。。。详细内容如图4-6所示。。。。

图4-6 内嵌VBA的DOC恶意文档内容

当我们审查该文档的VBA工程时，，，，，，提醒需要输入密码。。。。解密后从宏代码的内容可以看到，，，，，，当受害者启用宏功效后，，，，，，恶意代码将自动执行Document_Open函数。。。。详细内容如图4-7所示。。。。

图4-7 恶意宏代码内容

该函数会使用Microsoft工具mshta.exe来剖析“http://pastebin.com/raw/Xrp7W0V3”（安排在pastebin网址上的html恶意剧本文件）。。。。详细内容如图4-8所示。。。。

图4-8 加密的HTML剧本文件内容

解密后的恶意剧本文件主要功效是使用Windows内置程序certutil.exe远程下载指定的EXE文件，，，，，，然后将其生涯至“%appdata%msts.exe”并执行该程序。。。。

图4-9 解密后的HTML剧本文件内容

4.3 Payload

如上文所示，，，，，，通过html恶意剧本下载并执行的“msts.exe”（C#编写并加入了大宗的混淆）现实上是一个Dropper文件。。。。“msts.exe”会从资源中解密出“DriverUpdate.dll”（C#编写）并在内存中反射加载该DLL�？？？？？？槔词迪值谝唤锥蔚墓πВ�；；接着第二阶段的“DriverUpdate.dll”再解密出其原始文件“msts.exe”中的另一个资源数据，，，，，，然后执行解密后的“Cyrus.exe”�？？？？？？椋�；；第三阶段的“Cyrus.exe”从自身资源中解密出Async RAT远控木马，，，，，，并将其整个文件笼罩映射到目今历程中执行。。。。最后，，，，，，Async RAT木马程序与C&C效劳器举行通讯毗连，，，，，，毗连乐成则发送上线包请求上线，，，，，，并期待吸收控制指令。。。。

4.3.1 第一阶段�？？？？？？�

“msts.exe”主要用于解密并在内存中加载下一阶段的功效�？？？？？？�。。。。其将自身伪装成Intel无线驱动应用程序，，，，，，并附有详细的文件说明和版本号（如图4-10），，，，，，以此疑惑攻击目的。。。。

图4-10 “msts.exe”文件属性详细信息

该Dropper�？？？？？？榈娜肟诘阍赪indowsFormsApplication1处（如图4-11），，，，，，其首先通过挪用SelectedCard类中的D_D_D_D函数对名为“xor4”的资源数据举行解密。。。。

图4-11 Dropper�？？？？？？榈娜肟诤�

解密算法是循环异或运算，，，，，，其牢靠密钥为“RR5IRBNF5F4GN7997QFBYY”，，，，，，解密代码如图4-12所示。。。。

图4-12 解密代码详细内容

在解密出PE文件后，，，，，，Dropper�？？？？？？樵蚋郊尤銎舳问ā癆cBRmi、S8epuew和IntelWireless”）来加载执行第二阶段的功效�？？？？？？�。。。。

图4-13 加载执行功效代码

4.3.2 第二阶段�？？？？？？�

该阶段�？？？？？？榈奈募癉riverUpdater.dll”，，，，，，当此�？？？？？？樵诵泻�，，，，，，会提取息争密第一阶段Dropper�？？？？？？橹辛硪桓鲎试次募癆cBRmi”，，，，，，之后在内存中加载执行解密出的第三阶段的PE文件。。。。

图4-14 解密和执行PE文件的功效代码

解密算法依然是循环异或运算，，，，，，其密钥为“CZysHnTTIiop”，，，，，，解密代码如图4-15所示。。。。

图4-15 异或解密算法代码

4.3.3 第三阶段�？？？？？？�

此功效�？？？？？？榈奈募剖恰癈yrus.exe”，，，，，，其主要使命为解密和执行最终的远控木马。。。。

（1）初始化阶段

在执行入口函数之前，，，，，，该�？？？？？？榛嵩诔跏蓟疌lass3的私有成员变量byte_Data时，，，，，，先挪用Class1类的要领解密自身资源文件Kdgv。。。。详细如图4-16所示。。。。

图4-16 解密资源文件

资源数据的首次解密接纳简朴的异或加密算法，，，，，，牢靠密钥为"dXhhaxrqDcQ"，，，，，，通过对资源数据的每个字节做简朴的XOR运算完成第一次解密。。。。解密函数的代码如图4-17所示。。。。

图4-17 解密函数代码内容

第一次解密前息争密后的资源数据如图4-18所示。。。。

图4-18 首次解密前后的数据内容

之后再对第一次解密后的数据举行二次解密，，，，，，前16位为解密密钥“0x19 0xEF 0xB6 0xB6 0xE7 0x7E 0x920x92 0x0D 0xA0 0xE0 0x95 0xAD 0x8F 0x6B 0x14”，，，，，，后面紧随着的是待解密密文。。。。解密前后的数据内容如图4-19所示。。。。

图4-19 二次解密前后的数据内容

函数以16字节为循环，，，，，，将密钥同密文依次举行按位异或，，，，，，最终解密获得“Stub.exe”文件。。。。解密函数代码如图4-29所示。。。。

图4-20 解密函数代码内容

除此之外，，，，，，该�？？？？？？榛够峤崛〕龅纳柚眯畔⑹�，，，，，，划分赋值给它们所对应的私有成员变量，，，，，，在我们剖析的此案例中，，，，，，其设置数据大部分的值都为0。。。。详细内容如图4-21所示。。。。

图4-21 设置信息数据内容

（2）执行主功效代码

该�？？？？？？槭紫仁褂肁ssembly.GetEntryAssembly().Location获取目今历程的全路径。。。。接着通过判断上文提到的部分私有成员变量值来决议要执行的流程分支，，，，，，其中包括互斥体的建设、虚拟机和沙箱的检测、文件下载、拷贝自身等。。。。在本案例样本中，，，，，，凭证其设置信息来看，，，，，，此�？？？？？？榻鲋葱凶詈笠幌盍鞒�，，，，，，挪用smethod_11函数。。。。代码如图4-22所示。。。。

图4-22 代码执行流程

进入到smethod_11函数后，，，，，，该�？？？？？？橄扰灿肅lass3.SelectPuppetProcess来选择后续执行的RAT载体。。。。由于参数int_13的值为0，，，，，，以是返回值为string_10（目今�？？？？？？榈娜肪叮�。。。。

图4-23 代码内容

在选择完RAT的傀儡历程后，，，，，，该�？？？？？？樵倥灿胹method_9函数，，，，，，其中参数1为自身历程的全路径，，，，，，参数2为之前解密出的PE文件数据。。。。首先，，，，，，该�？？？？？？橹匦陆ㄉ枰桓鲎陨硇吕�，，，，，，然后卸载此历程映像，，，，，，并把之前解密出的新PE头部，，，，，，以及节数据依次写入到新历程�？？？？？？橹�，，，，，，最后修改OEP并启动运行（“Stub.exe”）。。。。

图4-24 写入和执行新PE文件

4.3.4 RAT�？？？？？？�

如上文所述，，，，，，被执行的名为“Stub.exe”的PE文件则是最终的RAT�？？？？？？�。。。。通太过析和溯源后发明，，，，，，该PE文件是用C#语言编写的AsyncRAT远控木马。。。。除了远程桌面监控、键盘纪录、历程治理、远程WebCam、远程Shell等功效以外，，，，，，其还包括加密、反沙盒、反虚拟机、反剖析和反调试等对抗�？？？？？？�。。。。下面我们会对RAT中的焦点部分做深入的剖析。。。。

图4-25远程程序AsyncRAT控制端

（1）初始化设置信息

木马程序通过挪用Settings.InitializeSettings函数来初始化设置信息。。。。从图4-26中的函数实现代码可以看到，，，，，，其会提取出牢靠的密钥并使用AES256算法解密出所有的设置数据信息。。。。包括端口号、Host信息、版本号、Pastebin信息、解密秘钥、SSL通讯证书及证书署名等信息，，，，，，之后挪用Settings.VerifyHash函数对证书举行验证。。。。

图4-26 初始化设置信息

解密之后的设置信息如图4-27所示。。。。

图4-27 设置信息详细内容

（2）检测运行情形

为了逃避沙箱/清静职员的检测，，，，，，木马程序使用了种种识别沙箱/虚拟机的手艺，，，，，，用于判断自身程序所在的运行情形，，，，，，若是发明是在虚拟情形，，，，，，或是被调试状态，，，，，，程序则直接退出。。。。从而抵达隐藏自身，，，，，，规避检测的目的。。。。下面是该木马使用到的手艺。。。。

VMWARE和VirtualBox虚拟机的检测。。。。

图4-28 虚拟机的检测

SandBox的检测。。。。

图4-29 沙盒的检测

判断程序自身是否被调试。。。。

图4-30 调试情形的检测

通过判断获取的硬盘容量是否大于6100000000L（56.81G），，，，，，来检测是否为真实机械或虚拟情形。。。。

图4-31 判断硬盘容量

（3）装置机制

木马程序的装置机制包括历程唯一性判断、在宿主机的长期化设置和守护历程设置。。。。该木马以解密设置信息中的MTX字串"AsyncMutex_s8H9OlmYu”为名来建设互斥体，，，，，，以包管运行历程的唯一性。。。。

图4-32 建设互斥体

其还会判断目今执行文件路径与装置目录是否一致，，，，，，若是相同，，，，，，则代表该�？？？？？？橐炎爸霉�，，，，，，装置功效便不再执行。。。。如不相同，，，，，，该木马则会通过比照系统中运行的历程名来确保运行历程的唯一性。。。。详细代码如图4-33所示。。。。

图4-33 判断装置路径

之后，，，，，，木马程序凭证目今是否为治理员执行权限，，，，，，来选择是通过装置妄想使命照旧写入开机自启动下令实现长期化。。。。详细代码如图4-34所示。。。。

图4-34 装置妄想使命或添加自启动

在完成长期化操作后，，，，，，木马程序将自身重新写入到装置目录下并命名为指定文件名（chromgoogle.exe）。。。。然后再在暂时目录下天生和执行.bat批处置惩罚剧本文件。。。。该bat文件用于运行“chromgoogle.exe”可执行文件及自身删除。。。。详细内容如图4-35所示。。。。

图4-35 剧本文件内容

最后，，，，，，木马程序通过提升目今历程权限及设置线程始终处于执行状态方法，，，，，，来实现守护历程。。。。

图4-36 历程守护实现代码

（4）上线机制

在装置机制设置完成后，，，，，，木马程序则通过设置信息中的IP和端口与控制端效劳器建设SSL协议毗连。。。。此时该木马会网络受熏染主机的系统信息，，，，，，并把这些信息压缩后作为上线包发送到C&C效劳器。。。。上线包的内容包括主机装备的用户名、系统版本号、治理员账号和木马程序目今执行路径、版本号、装置时间等相关信息。。。。通过对木马程序的剖析，，，，，，我们发明上线包的长度是不牢靠的。。。。bevictor伟德ADLab研究员在对上线包名堂做剖析、提取后，，，，，，整理归纳出木马程序上线数据包名堂和上线数据包内容名堂。。。。详细如表4-1和图4-37（其中“绿色横格”作为一组数据的支解线）所示。。。。

数据巨细	数听说明	数据内容
0x01	子包数目（以组为单位）	0x8D（HEX值牢靠）
0x01	名称长度	0xA6（HEX值牢靠）
0x06	名称	“Packet”（字符串值牢靠）
0x01	包名长度	0xAA（HEX值牢靠）
0x0A	上线包名	“ClientInfo”（字符串值牢靠）

0x01	名称长度	0xA4（HEX值牢靠）
0x04	名称	“HWID”（字符串值牢靠）
不牢靠	标识码长度	不牢靠（如0xB4）
不牢靠	唯一机械标识码	不牢靠（如“F40DD340EC6FDDB01847140”）

0x01	名称长度	0xA4（HEX值牢靠）
0x04	名称	“User”（字符串值牢靠）
不牢靠	用户名长度	不牢靠（如0xAA）
不牢靠	用户名	不牢靠（如“xxx”）

0x01	名称长度	0xA4（HEX值牢靠）
0x04	名称	“Path”（字符串值牢靠）
不牢靠	路径长度	不牢靠
不牢靠	恶意代码目今执行路径	不牢靠

0x01	名称长度	0xA7（HEX值牢靠）
0x07	名称	“Version”（字符串值牢靠）
不牢靠	版本号长度	不牢靠（如0xA7）
不牢靠	恶意代码版本号	不牢靠

0x01	名称长度	0xA5（HEX值牢靠）
0x05	名称	“Admin”（字符串值牢靠）
不牢靠	治理员账号名长度	不牢靠（如0xA5）
不牢靠	治理员账号名	不牢靠（如“Admin”）

0x01	名称长度	0xAB（HEX值牢靠）
0x0B	名称	“Performance”（字符串值牢靠）
不牢靠	窗口信息长度	不牢靠
不牢靠	用户前台窗口信息	不牢靠

0x01	名称长度	0xA8（HEX值牢靠）
0x08	名称	“Pastebin”（字符串值牢靠）
不牢靠	Pastebin值长度	不牢靠（0xA4）
不牢靠	设置中Pastebin的值	不牢靠（如“null”）

0x01	名称长度	0xA9（HEX值牢靠）
0x09	名称	“Antivirus”（字符串值牢靠）
不牢靠	信息长度	不牢靠
不牢靠	杀毒软件信息	不牢靠（如“N/A”）

0x01	名称长度	0xA9（HEX值牢靠）
0x09	名称	“Install”（字符串值牢靠）
不牢靠	信息长度	不牢靠（如0xB1）
不牢靠	恶意代码装置时间信息	不牢靠

0x01	名称长度	0xA4（HEX值牢靠）
0x04	名称	“Pong”（字符串值牢靠）

0x01	名称长度	0xA5（HEX值牢靠）
0x05	名称	“Group”（字符串值牢靠）
不牢靠	Group值长度	不牢靠（如0xA7）
不牢靠	设置中Group的值	不牢靠（如“Default”）

表4-1 上线数据包名堂

图4-37 上线数据包内容名堂

下面是木马程序发送上线请求的详细操作办法：

办法1

其首先会对设置信息中“Pastebin”的值做判断，，，，，，若是不为NULL，，，，，，则使用webClient.DownloadString要领获取效劳端的上线域名/IP和端口号（从“Pastebin”上提�。。。。�。。。。部分代码如图4-38所示。。。。

图4-38 从“Pastebin”上提取上线域名和端口号

若是为NULL，，，，，，则直接从设置信息中提取出对应的上线域名/IP和端口号（以逗号作为脱离符），，，，，，这批注该木马程序是具有设置多个C2的功效，，，，，，攻击者能够无邪地添加多个备用C2，，，，，，纵然其中一部分被阻断，，，，，，也能够重获控制权。。。。详细代码如图4-39所示。。。。

图4-39 从设置信息中提取上线域名和端口号

办法2

木马程序在与控制端毗连乐成后，，，，，，便最先挪用自界说类要领IdSender.SendInfo要领，，，，，，网络受熏染主机和木马自身版本等相关信息，，，，，，这些信息会被逐个的贮保存MsgPack类中。。。。�；；袢∽氨感畔⒋肴缤�4-40所示。。。。

图4-40 获取装备信息

办法3

在此之后，，，，，，木马程序挪用msgPack.Encode2Bytes函数对上线包数据举行封包。。。。该函数首先会执行this.Encode2Stream要领，，，，，，通过调试剖析得知，，，，，，由于该木马是使用map类型来存储上线数据，，，，，，那么此处便会挪用this.WriteMap要领来操作上线包。。。。

图4-41 挪用this.WriteMap要领

木马程序封包功效主要是在Encode2Stream要领中实现，，，，，，为了能更直观地将上线数据包处置惩罚流程展现给读者，，，，，，我们以本案例作为参考，，，，，，绘制出整个封包的流程图（如图4-42）。。。。

图4-42 数据包封包流程图

我们通过对封包函数的交织引用举行详细剖析后，，，，，，得出该木马程序的上线包（以及后续的心跳包和控制指令包）均接纳此方法举行处置惩罚。。。。需要特殊注重的是，，，，，，代表其子包的数目值（value）、名称和数据的长度值（value），，，，，，现实上都是先对这些数据的真实值（num和len）做判断，，，，，，再将真实值与对应的牢靠值相加，，，，，，最后得出value值。。。。发送包名堂如表4-2所示（可连系图4-37明确）。。。。

子包数目

（/组）

长度

（子包1name）

数据

（子包1name）

长度

（子包1data）

数据

（子包1data）

子包2

…

num

name_value

string_name

data_value

string_data

……

表4-2 数据包名堂

办法4

在封包完毕后，，，，，，木马程序使用GZipStream类的要领对上线包举行压缩处置惩罚。。。。代码如图4-43所示。。。。

图4-43 数据包压缩处置惩罚

办法5

最后，，，，，，该木马会将数据包包长和数据包（获取的信息）分两个包依次发送给控制端申请上线。。。。

图4-44 发送数据包

（5）心跳机制

木马程序通过使用Timer类实现了自身的心跳机制。。。。其主要功效是每10到15秒向控制端发送心跳包，，，，，，心跳包内容包括包名和被熏染主机系统用户前台窗口信息。。。。

图4-45 发送心跳包

由图4-45中的代码实现可见，，，，，，该远程木马心跳包的数据是同样使用MsgPack.Encode2Byte要领举行封包处置惩罚的。。。。

（6）远程控制

在针对木马程序处置惩罚控制下令部分举行详细剖析时，，，，，，我们发明在被控端木马的恶意代码中，，，，，，并未包括任何远程指令的详细实现功效代码。。。。于是我们针对控制端和被控端做进一步的调试和视察后，，，，，，发明所有跟远程操作相关的功效代码，，，，，，都是凭证其功效举行归类且被封装在差别的DLL�？？？？？？橹�。。。。当控制端在执行远程操作时，，，，，，则首先与被控端发送特定的数据包举行交互，，，，，，接着再将压缩后的功效�？？？？？？楦郊拥绞莅蟹⑺透豢囟�，，，，，，由被控端以不落地形式在内存中加载执行，，，，，，来完成控制端指定的控制下令。。。。通过接纳“propelling in use，，，，，，destory after use”的事情模式，，，，，，攻击者既可以无邪地调解木马程序的设置信息，，，，，，又能较有用地避免取证剖析职员获取其焦点攻击�？？？？？？�，，，，，，且在一定水平上抵达免杀和绕过清静机制的效果。。。。图4-46是木马程序在执行控制下令时（以“远程控制桌面”指令为例），，，，，，两头之间的详细操作流程图。。。。

图4-46 远程操作交互流程图

该远控木马程序总共有十几个可执行焦点功效�？？？？？？�，，，，，，其中包括远程桌面监控、Webcam监控、键盘纪录、文件查找、远程shell、Bots Killer以及DDos攻击等功效。。。。表4-3列出了所有�？？？？？？榈拿埔约捌渌杂Φ墓π�。。。。

�？？？？？？槊�	�？？？？？？楣π�
Chat.dll	Chat
Extra.dll	Visit Website /Send MessageBox /Get Admin Privileges / Disable Windows Defender /Set Wallpaper
FileManager.dll	File Manager
FileSearcher.dll	File Searcher
LimeLogger.dll	Keylogger
Miscellaneous.dll	BotsKill /USB Spread /Seed Torrent /Remote Shell /DOS Attack /Execute.NET Code
Options.dll	Report Window
ProcessManager.dll	Process Manager
Recovery.dll	Password Recovery
RemoteCamera.dll	Webcam
RemoteDesktop.dll	Remote Desktop
SendFile.dll	Send File To Disk
SendMemory.dll	Send File To Memory

表4-3 焦点�？？？？？？楣π饰�

表4-4为部分攻击指令数据包的内容。。。。其中黄色标注部分为：当控制端要执行远程控制操作时，，，，，，其与被控端交互的通用数据包名堂（除“string_SHA256”和“压缩后的二进制数据”以外，，，，，，其他内容都相同），，，，，，其余都是其他相关操作的信息指令。。。。

数据内容	数听说明
“Packet”“plugin” “DLL”“string_SHR256”（由C&C效劳器提倡） ------------------------------------------------------ “Packet”“SendPlugin” “DLL”“string_SHR256”（由RAT提倡） ------------------------------------------------------ “Packet”“plugin” “DLL”“压缩后的二进制数据” “Hash”“string_SHR256” （由C&C效劳器提倡）	动态回传种种控制指令功效�？？？？？？槭莅�。。。。
“Packet”“dos” “Option”“postStart” “Host”“string_host” “Port”“string_port” “Timeout”“string_timeout”	DDos攻击相关设置信息
“Packet”“fileManager” “Command”“getPath” “Path”“string_path” ------------------------------------------------------ “Packet”“fileManager” “Command”“getDriver”	远程文件治理相关操作信息
“Packet”“keylogger” “isON”“false”	键盘纪录相关操作信息
“Packet”“processManager” “Option”“Kill” “ID”“string_id” ------------------------------------------------------ “Packet”“processManager” “Option”“List”	历程治理相关操作信息
“Packet”“ShellWriteInput” “WriteInput”“string_txt” ------------------------------------------------------ “Packet”“ShellWriteInput” “WriteInput”“exit”	远程Shell执行相关操作信息

表4-4 攻击指令数据包剖析

五、总结

通太过析可以看出，，，，，，“APT-C-36瞎眼鹰”组织主要接纳的手法是网络垂纶攻击，，，，，，即以使用带有社工伪装的邮件（仿冒国家政府部分）作为攻击入口，，，，，，使用低查杀率的邮件附件（用于绕过邮箱网关）向目的主机投放后门程序。。。。在侵入主机装备后，，，，，，再通过多层嵌套加载、虚拟机沙箱检测及功效�？？？？？？槎扑偷仁忠帐侄�，，，，，，抵达在目的主机上恒久潜在而不被发明的效果。。。。同时，，，，，，连系对该组织历史攻击武器的深入研究我们发明，，，，，，为了应对一直前进的清静防御和检测，，，，，，该黑客组织刷新了其攻击战略，，，，，，所使用的后门木马工具更重大、对抗性更强，，，，，，这批注该组织在一连地更新迭代恶意代码的功效和形态，，，，，，并泛起出功效�？？？？？？榛那魇�。。。。

鉴于该黑客组织恒久通过垂纶邮件以及OfficeVBA宏举行攻击的习用手段，，，，，，我们建议相关用户不要随意翻开和下载未知泉源的邮件附件及链接，，，，，，做好邮件系统的防护，，，，，，若有需要可通过翻开Office文档中的：文件-选项-信任中心-信任中心设置-宏设置，，，，，，来禁用一切宏代码执行。。。。一旦系统或效劳器泛起异常行为，，，，，，实时报告并请专业职员举行排查，，，，，，以消除清静隐患。。。。

IOC

SHAR·1

612b7cd95eb317c2931d89acfb1c99506d799d26

ee42b8a4b53c8363828b9bc732045aa248e1d64a

e9e0871d37d1765756175e8931eedadb3f210b9b

e9e0871d37d1765756175e8931eedadb3f210b9b

c277bb8d01cb3e9d18d5378c6f518f4faca508fb

b586969a25aca22612ff59978d3a6062663baa86

79bf3730a7089b5c108bad883c1cc9a3779cb366

IP

128.90.112.142

128.90.112.231

128.90.105.72

URL

https://acortaurl.com/diangovocestadodecuentadeudaquotamp___P

https://acortaurl.com/activarcedulaonlineregistraduriagovcoquotamp__

https://yip.su/2oTZk

https://acortaurl.com/pdfproceso00910020190976543

https://acortaurl.com/diangovcodocumentos2019deudaalafecha0393948amp_

bevictor伟德起劲防御实验室（ADLab）

ADLab建设于1999年，，，，，，是中国清静行业最早建设的攻防手艺研究实验室之一，，，，，，微软MAPP妄想焦点成员，，，，，，“黑雀攻击”看法首推者。。。。阻止现在，，，，，，ADLab已通过CVE累计宣布清静误差近1100个，，，，，，通过 CNVD/CNNVD累计宣布清静误差900余个，，，，，，一连坚持国际网络清静领域一流水准。。。。实验室研究偏向涵盖操作系统与应用系统清静研究、移动智能终端清静研究、物联网智能装备清静研究、Web清静研究、工控系统清静研究、云清静研究。。。。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静效劳等。。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? bevictor伟德版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】