疑似"摩訶草"組織最新樣本分析及域名資產揭露
0x00 背景介紹
摩訶草組織(APT-C-09),又稱HangOver、Patchwork、Dropping Elephant以及白象。該組織歸屬南亞某國,主要針對中國、巴基斯坦等亞洲國家和地區進行網路間諜活動,也逐漸將滲透目標蔓延至歐洲和中東等地。
近些年該組織持續活躍,在近期的攻擊事件中,該組織向攻擊目標的郵件系統投遞包括”民政部公佈一批非法社會組織”、“2018最新部隊工資調整政策”、”Chinas Arctic Dream”、”PLA Deployment Revealed”為主題的魚叉郵件。360威脅情報中心相繼釋出《摩訶草APT組織針對我國敏感機構最新的網路攻擊活動分析》、《多個疑似“摩訶草”團伙來源定向攻擊的關聯分析》等分析文章對該組織的攻擊活動過程和細節進行揭露。
9月中上旬,360 CERT在處理惡意樣本時發現一例疑似摩訶草組織的攻擊樣本。該樣本C2指向filepiece.com。本著小心求證的態度,我們一直在查證域名的相關資訊,觀察相關網路請求變化。到目前為止,我們沒有關聯到與該域名相關的更多惡意樣本,也沒有查詢到開源情報對該域名進行標記。我們判定,這是摩訶草組織一個新的,準備或正在投入使用的域名資產。
0x01 核心樣本分析
該樣本是一個Dropper。屬於攻擊鏈條的中間環節。其主要功能是獲取目標物件的使用者名稱、計算機名等基礎資訊。將這些基礎資訊編碼後回傳C2伺服器,並從C2伺服器下載下一階段攻擊載荷繼續執行。並設定開啟自啟動。
1.1 基本資訊
1.2 加/解密字串
解密字串
樣本中關鍵字串經過加密處理,解密的Key為:dc67f@#$%hlsdfg
關鍵解密演算法如下:
解密的字串及其用途如下表所示:
加密字串
樣本獲取系統資訊之後對User name and System Name :- [UserName]_[ComputerName]字串加密儲存在Insertion.log檔案中,然後讀取加密內容回傳C2。
關鍵加密演算法如下:
1.3 關鍵流程
- 1.樣本首先在StartUp目錄建立memory optimizer.lnk快捷方式實現自啟動。
- 2.樣本建立Restore.txt檔案並隨機填寫標識主機的字串ID。
- 3.樣本建立Insertion.log檔案並加密寫入使用者名稱和計算機名資訊。
- 4.最後將獲取的基礎資訊回傳C2並下載下一階段攻擊載荷執行。
1.4 獲取系統資訊
以下顯示1.3節中的第三步,樣本獲取系統資訊並持久化儲存在檔案中。
1.5 網路引數和Content-type
以下顯示1.3節中的第四步,樣本解密C2引數和Content-type並連線C2伺服器。
1.6 資料回傳和指令接收
樣本與C2伺服器建立連線,將獲取系統資訊的加密資料傳送給C2伺服器並接收響應。
0x02 關聯分析
通過樣本功能和程式碼結構的對比,我們確認該樣本與摩訶草組織今年5月的攻擊樣本屬於同源樣本。這裡我們選擇一個已經被360威脅情報中心和Cisco Talos研究團隊定性的樣本(MD5:F9AD3D4C90528E654DE20159859CA15B)進行關聯對比。我們將從解密Key,解密演算法以及抽取部分關鍵程式碼結構進行對比證實推測。
2.1 使用Bindiff對比程式碼相似度
排除已知的框架程式碼,我們通過使用Bindiff對比發現兩者程式碼相似度極高。
2.2 解密Key相同
和定性的摩訶草樣本解密Key同為:dc67f@#$%hlsdfg
2.3 解密演算法相同
和定性的摩訶草樣本具有相同的解密演算法。
2.4 關鍵程式碼結構相同
和定性的摩訶草樣本關鍵功能程式碼結構相同。
2.5 HTTP請求對比
兩者HTTP請求路徑和引數結構上相似。對於techwach.com域名,各安全廠商已經確認該域名與摩訶草組織和Bahamut組織存在關聯(詳細分析參見文末連結)。
該樣本的HTTP請求為:
ofollow,noindex" target="_blank">hxxp://filepiece.com/Danglingpointer/refrences.php?bertg=
定性樣本的HTTP請求為:
hxxp://techwach.com/Beastwithtwobacks/Barkingupthewrongtree.php?bb=
Beast with two backs隱喻兩個從事性交的人。Barking Up The Wrong Tree描述一個人在尋找事情發生的緣由時捕風捉影,找錯了原因,攻擊錯了物件。dangling pointer為計算機術語,表示懸垂指標。從這些字串我們推測摩訶草組織成員掌握著地道的英文,可能是其母語(之一)。
0x03 filepiece.com域名分析
該域名在本次攻擊中作為C2域名使用。以下我們分析該域名的一些基礎資訊以及歷史解析記錄。根據我們持續的跟蹤,該域名在9月25日主頁解析產生變化。由於主機空間提示資訊路由地址尚存在,表明該域名正受到控制,也正在被使用。
3.1 域名基本資訊
該樣本對 hxxp://filepiece.com/Danglingpointer/refrences.php?bertg= 進行了GET和POST操作。
- Domin:filepiece.com
- IP:185.15.208.81
- Port:80
3.2 域名開放埠
經過查詢該域名開發了一些常見埠:
- 53: dns
- 80: web
- 443: ssl web
- 143: imap
- 993: imap ssl
3.3 域名解析記錄
從解析時間上來看,域名解析初始2017年12月13日至今。該域名上一次解析截至到2017年01月20日,空白了一年的時間。由此我們判斷該域名是攻擊組織新的域名資產。該組織使用該域名至今,尚無IP和解析變化。
近一年的時間中,該域名在3月27日和5月31日分別有兩次活動。我們推測是該組織進行的相關測試。這段期間域名的解析非常安靜。5月的活動規模稍大一些但也只解析了A記錄12次。
從主頁內容上顯示近日該C2頁面可能改變了代理規則。9月中旬主頁顯示資訊如下:
9月25日主頁被設定為403 Forbidden
0x04 靜態檢測規則
我們結合樣本中存在的原始碼編譯路徑和解密Key配合關鍵函式位元組碼編寫同源樣本的yara規則,共享給安全社群使用。
規則結合攻擊組織、樣本屬性以及原始碼路徑標識的工具欄位命名。
rule APT_Patchwork_Dropper_AS_Retainer
{
meta:
author = "Khwarezmia"
organization = "360 CERT"
data = "Sept. 26, 2018"
description = "Delphi Dropper, According to the path, the key and a piece of byte-code to match the malware."
md5 = "F9AD3D4C90528E654DE20159859CA15B"
strings:
$header = "MZ"
$stringPath = "C:\\Users\\Admin\\Desktop\\AS-Retainer(3-01)\\Unit3.pas"
$stringKey = "dc67f@#$%hlsdfg" fullword
$hex_stringCode = {8B F0 85 F6 7E 36 BB 01 00 00 00 8B ?? ?? 8A 44 18 FF 88 45 ?? F6 45 ?? E0 74 15 8D 45 ??}
condition:
@header == 0 and uint32(uint32(0x3C)) == 0x00004550 and ((1 of ($string*)) and $hex_stringCode)
}
0x05 總結
對於此次樣本分析中,我們首先從樣本具體行為判斷該樣本是一個Dropper。屬於攻擊鏈條的中間一環,在樣本成功連線C2併成功下載後續載荷後,後續載荷繼續實施下一步攻擊。根據該樣本行為和程式碼特徵與近期摩訶草組織的攻擊樣本高度匹配我們判斷這是該組織最新的同樣樣本。該樣本稍微變化的是不再對殺軟進行檢測,轉而執行惡意功能前先檢測沙箱。
除了程式碼極高的相似度,從域名上看,我們認為filepiece.com極有可能是模仿fieldpiece.com的釣魚站點。這與摩訶草組織曾使用rannd.org模仿rand.org的行為不謀而合。
到目前為止,樣本連線的C2域名鮮有解析記錄,也沒有跟任何其它惡意樣本關聯。雖然域名能夠正常解析,卻不能下載後續攻擊載荷。根據以上幾點,我們猜測該域名是一個摩訶草組織新的正在或者準備發起攻擊的域名資產。
0x06 IOC/">IOCs
6.1 Domin
- filepiece.com
- techwach.com
6.2 MD5
- 2C3B9984BE2D8609F83D10171A4F1059
- F9AD3D4C90528E654DE20159859CA15B
6.3 Key
- dc67f@#$%hlsdfg
6.4 Path
- C:\Users\Admin\Desktop\AS-Retainer(3-01)\Unit3.pas
0x07 時間線
2018-06-12 talos釋出報告
2018-07-27 360威脅情報中心釋出報告
2018-09-06 360CERT捕獲新樣本
2018-09-27 360CERT完成本次報告發布