技術分享：巴基斯坦的某APT活動事件分析

作者：天眼實驗室

作者主頁：- 有思想的安全新媒體

原文鏈接：【技術分享】針對巴基斯坦的某APT活動事件分析 - 安全客 - 有思想的安全新媒體

本文非《安全大事件》原創

如需轉載請註明來源及原文地址。

事件背景

2017年6月， 360威脅情報中心發現了一份可疑的利用漏洞執行惡意代碼的Word文檔，經過分析後，我們發現這有可能是一起針對巴基斯坦的政府官員的APT攻擊事件，釋放出來的載荷會收集受害者的鍵盤記錄和重要軟體密碼、文檔等。本文檔對並對此次攻擊事件的攻擊鏈條進行梳理，並對使用的木馬相關技術進行分析。

樣本分析

漏洞利用Dropper

該文檔所利用的漏洞為CVE-2015-2545（關於該漏洞的分析已經有不少詳細分析的資料，這裡就不再贅述），當受害者點開該文檔時，會載入EPS文件從而觸發漏洞，這裡攻擊者使用的漏洞利用代碼是已經在野外流傳很久的成熟利用，這套利用的特點是通過shellcode注入explorer進程下載木馬文件，但shellcode後附加一個DLL文件以利用CVE-2015-2546許可權提升漏洞得到系統最高許可權。

注入explorer.exe的代碼如下：

explorer.exe中下載載荷的代碼如下：可以看到下載地址為http://tes[.]sessions4life[.]pw/quiz/WelcomeScrn.exe

CVE-2015-2546許可權提升DLL部分代碼：

WelcomeScrn.exe

這是個downloader，功能非常簡單，直接連接到內置網址http://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe ，下載並執行文件。

DefenderReference.exe

DefenderReference.exe通過HTTP協議與伺服器通信的竊密木馬，被執行起來後，會先完成一些初始化的工作，釋放並載入WER167893459067.dll後創建以下目錄：

%Local%SharedFilesLogn% Local % SharedFiles Sysn% Local % SharedFiles Tempn% Local % SharedFiles WinAeron% Local % SharedFiles WinDataShotsn% Local % SharedFiles WinInternetDatan% Local % SharedFiles WinLogn% Local % SharedFiles WinRMn

然後終止cmd.exe、PATHPING.EXE、TRACERT.EXE、net.exe、systeminfo.exe進程,並判斷自身進程啟動路徑是否為% Local % SharedFiles Sys，如果不是，則將自身拷貝到% Local % SharedFiles Sys DefenderReference.exe，釋放MSOBuild.exe、AdminNewDll.dll、AdminServerDll.dll等文件，最後啟動MSOBuild.exe

這個文件其實還是個downloader，在初始化和檢查執行環境（虛擬機、沙箱、調試）後，訪問http://docs.google.com/uc?id=0Bx9cf6a5Mapaa3g4MlI4T244SlU&export=download,獲取C&C的地址185.109.144.102

接著下載以下配置文件：

hxxp://185[.]109.144.102/DistBuild/getAllFiles.php(指明需要下載的組件)

http://185[.]109.144.102/DistBuild/getExecutables.php (指明要執行的組件)

http://185[.]109.144.102/DistBuild/getExtensions_doc.php (指明關心的文檔類型文件後綴名)

http://185[.]109.144.102/DistBuild/ getExtensions_nondoc.php (指明關心的非文檔文件類型)

http://185[.]109.144.102/DistBuild/getExtensions_rmdrive.php (指明要執行的組件)

接著下載配置文件中指定的組件，再一一啟動這些組件：

下表是木馬的各個組件信息：

經過以上分析，我們發現這個木馬家族有以下功能：上傳/下載文件、執行指定文件、鍵盤記錄、屏幕截圖、感染U盤、發送感染電腦位置信息等，竊取的文件列表如下：

.doc .docx .ppt .pps .pptx .ppsx .xls .xlsx .pdf .inp .vcf .txt .jpg .jpeg .bmp .gif .png .avi .wmv .mp4 .mpg.mpeg .3gp .mp3 .wavn

並且該木馬可以通過在線獲取新插件的形式迅速方便地擴展更多的功能。木馬的代碼清晰、結構嚴謹，受控端通過HTTP請求與控制伺服器通信，訪問不同的php頁面代表執行不同的功能，可能是高度定製的專用木馬，或者是專門出售的商業間諜木馬。

下面介紹該木馬比較有特色的地方：

1. 不同的組件都通過調用同一個AdminServerDll.dll來完成具體功能，高度模塊化。例如MSOBuild.exe和DefenderReference.exe中，分別獲取AdminServerDll.dll的不同導出函數，然後調用這些導出函數，程序里只有基本的邏輯而沒有具體的功能實現，下面左邊是MSOBuild.exe,右邊是DefenderReference.exe

其中AdminServerDll.dll是主要的功能模塊，其每一個導出函數對應一個功能，可以從導出函數名知道其功能，如下：

2. 通信控制：

受控端通過HTTP請求與控制伺服器通信，通過訪問不同的php頁面與控制端交互：

經過整理後的路徑如下：

3. 檢查VM、沙箱和調試

通過特權指令檢查Virtual PC和VMWare：

擴展與關聯分析

使用威脅情報平台（威脅情報中心）對樣本連接的C&C地址（185.109.144.102）做進一步關聯，我們發現了更多的信息。

其中有幾個樣本引起了我們的注意：

1. MD5：a6c7d68c6593b9dd2e9b42f08942a8b0，文件名：isi_report_of_2016.rar

這個樣本是一個郵件附件，解壓後為Name of Facilitators revealed.scr，這個其實是一個sfx自解壓文件，點擊後會將explorerss.pub改名為explorerss.exe，註冊啟動項並執行，然後打開Pakistan army officers cover blown.pdf迷惑受害人。

而explorerss.exe是由python打包成exe的，功能是竊取指定文件內容並上傳到hxxps:// 185[.]109[.]144[.]102/browse.php?folder=%s&%s中。將其中的python代碼還原後，部分代碼如下：

2. MD5：872e7043ee8490db6e455942642c2c86 文件名：Current vacancies.doc

這個樣本利用CVE-2012-0158釋放一個downloader，downloader會下載執行hxxp://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe，之後的流程就和前面分析的一樣，就不再多說了，值得注意的是文檔的內容。顯示為聯合國招聘文件，這明顯是對安全相關人員投遞的郵件，有明顯的政治動機：

3. MD5: 1b41454bc0ff4ee428c0b49e614ef56c文件名：Ramadan Mubaraq.rtf

這個樣本所利用的漏洞為CVE-2017-0199，olelink的地址為http://138[.]197[.]129[.]94/logo.doc

從以上的分析和其他關聯到的樣本中，我們注意到一些有趣的事情：這些樣本應該都是通過郵件附件的形式傳遞的，並且使用office Nday漏洞或者社工手段引誘目標點開；從文件名、文檔內容來看，都是對政治領域的相關人員進行的釣魚郵件投遞。綜合多個樣本的來源信息，這很有可能是一起針對巴基斯坦政府人員的定向攻擊事件。

IOC

推薦閱讀：