摩訶草APT團伙新腳本類攻擊樣本分析報告

02-01

「摩訶草」組織，又稱Hangover、Viceroy Tiger、Patchwork、Dropping Elephant、MONSOON，國內其他安全廠商也稱其為白象、豐收行動。

該組織是一個以長期針對中國、巴基斯坦及其他部分南亞國家從事網路間諜活動的APT組織。從2013年5月16日由國外安全廠商Norman首次曝光以來，該組織的網路攻擊活動異常的活躍，並被國內外不少安全廠商相繼發現其攻擊事件和使用的惡意代碼。

360公司也曾在2016年8月4日發布了《摩訶草組織（APT-C-09）來自南亞的定向攻擊威脅》一文【1】，詳細介紹了該組織發起的歷史4次攻擊行動，並對其歷史使用的攻擊工具和基礎設施的關聯性進行比較和總結。

「摩訶草」組織主要針對我國的政府機構、科研教育領域以及軍事領域的目標人員進行攻擊，其主要使用魚叉攻擊，也使用基於即時通訊工具和社交網路作為惡意代碼的投遞途徑。其攻擊使用的惡意代碼主要針對Windows系統，歷史也出現過針對其他平台的惡意代碼。

360威脅情報中心在近期對「摩訶草」組織的攻擊活動監測過程中，發現其投入使用的新的攻擊樣本，我們決定發布此篇子分析報告，揭露該組織最新的攻擊技術細節。

背景概述

「摩訶草」組織的攻擊活動從2013年5月16日首次曝光以來，其歷史的攻擊行動及使用的攻擊工具和資源也被國內外安全廠商多次揭露，但從360威脅情報中心對該組織的持續監測顯示，該組織的攻擊行動從未停止，並持續保持著一個比較高的頻度活躍。

自我們上一次公開發布「摩訶草」組織的完整分析報告，已經過去了一年多，我們發現該組織在過去一年依然延續了過去的一些攻擊模式，但使用的攻擊工具和惡意代碼還是出現了一些顯著變化。

我們發現，「摩訶草」組織最近發起了一次可能是針對東歐部分國家的攻擊事件，並使用了其新製作的一些基於腳本的攻擊惡意代碼文件，和過去常見的採用誘導漏洞文檔類的攻擊載荷手法出現了一些明顯變化，並且已經有部分烏克蘭用戶遭受此類攻擊並被植入遠控木馬。

目前我們尚不能確定該攻擊事件背後的攻擊動機，但為了預防該組織在未來的攻擊行動中進一步大規模使用該類攻擊惡意代碼，我們決定披露其部分技術細節並預警，以便能更好的防禦其未來使用該類攻擊技術。

下面我們將重點分析「摩訶草」組織最新的腳本類攻擊惡意代碼技術。

基於腳本的攻擊載荷投放

在「摩訶草」組織最新製作的攻擊惡意代碼中，我們發現其主體模塊使用JS和PowerShell腳本進行編寫，並利用多次解密、拼接來釋放和載入下一階段的攻擊載荷。

下圖為該惡意代碼的結構和執行流程。

Dropper JS – dog.js

Dropper JS是一個96KB的腳本，其會釋放一個中間JS腳本。其前面部分為hex形式的附加數據被作為注釋語句存放；後面的腳本會先獲取當前正在執行腳本的路徑，並讀取自身文件數據，找到前面注釋的附加數據拼接起來，轉換成二進位形式，保存到」%temp%laksasokpaslkak.js」，最後通過WScript容器執行這個腳本。

中間JS腳本 – laksasokpaslkak.js

該腳本會首先判斷目標主機是否存在卡巴和NOD32程序，如果存在則腳本退出；如果不存在，會把腳本里的「dllData」和「code」兩個數據一起寫入到一個PowerShell腳本文件中，其名字為隨機生成的5個位元組。最後執行該PowerShell腳本。

隨機名稱PowerShell腳本

該PowerShell腳本以數組形式亂序放置Base64編碼的數據，通過Base64解碼並解壓成PowerShell腳本後，採用了一種Bypass UAC的形式來執行該腳本。其使用的Bypass UAC技術在另一個APT組織「海蓮花」的攻擊工具中也曾使用【2】。其通過修改註冊表鍵值劫持eventvwr.exe，調用SC命令創建一個服務，並指向解密後的PowerShell腳本。

PowerShell Loader

PowerShell Loader腳本也是隨機生成的名字，其主要功能是載入主體遠控模塊。

該腳本從內存中載入payload，如下為載入代碼流程：

其中「strexp」保存的為遠控模塊的文件數據，經過base64decode解碼得到原始文件內容為一個DLL文件，其導出模塊名為socksbot.dll。最後使用ReflectiveLoader技術載入。

通過對載入的部分代碼分析，我們推測其可能參考了開源的代碼實現【3】，並添加了在64位Windows系統下的兼容性代碼。

遠控模塊分析

載入入口 – ReflectiveLoader

該函數首先獲取當前函數的地址，然後往前搜索PE頭部「MZ」標誌以定位該DLL模塊的基地址。

通過hash獲取3個函數LoadLibrary、GetProcAddr、VirtualAlloc的地址。

然後調用VirtualAlloc分配一片內存空間。

把該DLL模塊複製到新申請的內存中。

然後執行DllMain。

執行入口 – DllMain

DllMain會首先獲取一些硬體信息計算出機器碼。機器碼是根據驅動器信息、電腦名和用戶名算出來的：

然後會獲取GetProcAddress和LoadLibraryA的地址，並把sub_1000234A代碼通過複寫進程的方式注入svchost.exe宿主中，如圖：

注入後的代碼會初始化網路套接字，發送一次touch包，然後創建一個主線程函數，如下：

在主線程中會連接C&C伺服器地址5.8.88.64:80。

控制協議

這裡我們詳細分析該遠控模塊使用的控制通信協議，其基於HTTP協議實現控制通信。

touch包

遠控模塊會發送touch數據包，其會根據機器碼生成對應的php路徑用作HTTP訪問的請求路徑，其將機器碼和隨機生成的密鑰加密並附上密鑰信息。

其具體演算法實現如下：

計算後生成的機器碼字元串是放到HTTP數據包的GET數據里，例如生成的字元串為j2ylvj50suxr8vzss17s3.php，那麼加密後的機器碼數據為j2ylvj50suxr8vzss17s3。其前16位元組是機器碼加密後的數據，從16位元組開始到末尾是隨機生成的密鑰信息，密鑰長度在5-16位元組隨機，數值的範圍在0-35隨機，然後通過編碼成可見字元。

當伺服器接收到該字元串會採用如下方式解密還原機器碼：

分割出加密的機器碼和密鑰
通過解密演算法去解密前面16位元組的機器碼。

例如這裡對j2ylvj50suxr8vzss17s3.php進行解密。

分割j2ylvj50suxr8vzs為加密的16位元組機器碼，s17s3為隨機生成的密鑰。解密演算法如下。

從而解密還原出原始的機器碼：

其隨後構造成HTTP格式的數據包發送出去。

如圖為構造HTTP數據包的函數，UserAgent是通過ObtainUserAgentString函數生成的。

指令下發

遠控伺服器是通過不同的HTTP狀態碼來下發控制指令，受控端會進行判斷。

在返回的HTTP數據包頭中，Date欄位中存放伺服器返回的機器碼。

受控端會對伺服器下發的控制信息進行解密，解密演算法如下：

其解密密鑰為136位元組。

EC1ABCB66F641126C2250C5CF26C9902BD53043EAAF5FE0374597261674FD732E2C0498A9FA06203C5641323C3B4DDCB5CD8A22A0EDCAE39A11D7E98A2B1B6276C595E7CC1E1A0C743B8C075416C7DB3CB509AB5059556E99D2818BDDDEEE508AC871474239CC4B5527A8AED49949D5A421C785484ED084F1FCD3D3CFD1D8D8B

回傳數據

受控端接受到控制伺服器下發的指令後，會根據HTTP返回的狀態碼確定要執行的命令，例如返回碼是203的時候就會上傳執行，返回碼是202的時候就會截屏和獲取進程列表。

並且上傳數據按如下格式構造：

4個位元組長度 + 1位元組token + 加密後的內容。

例如這裡執行獲取屏幕截屏和進程快照信息，並加密發送到控制伺服器。

功能小結

該遠控模塊實現了以下控制命令，包括：

上傳執行腳本
上傳執行PE
回傳屏幕截屏
回傳進程列表

其使用HTTP協議進行控制通信，採用這種控制協議也更便於攻擊者使用Web頁面來可視化控制和管理失陷主機，其HTTP協議通信步驟如下：

機器中木馬後，會每隔不定時間間隔去連接C&C伺服器的80埠，根據HTTP協議發送touch包，發送的http數據包的GET數據中包括編碼後的長度隨機的機器碼。
伺服器收到touch包後，會記錄下來最近一次活躍時間，判斷是否在線。
伺服器如果需要對受控端進行控制，就會回一個202或者203的HTTP狀態碼，下髮指令。下發的指令是在http數據段裡面，數據包格式為4個位元組長度+1個位元組token+加密後的內容。
受控端收到命令後，會判斷伺服器返回的http狀態碼，根據不同的狀態碼去解析數據包去執行不同的命名，然後把執行後的結果回傳給伺服器。
控制者可以通過對服務端的Web界面對受害者進行控制。

交互操作可以總結為如下圖：