APT34攻擊再升級，利用CVE-2017-11882漏洞攻擊中東國家

背景

APT34是長期從事網路攻擊的伊朗黑客組織，該組織從2014年開始活動，活動的主要目的是為了國家利益。APT34組織的攻擊目標廣泛，包括金融業、政府、能源行業、化學行業和電信業，主要攻擊目標在中東。

APT34使用的工具有公開的和非公開的，經常使用魚叉式釣魚攻擊和社會工程系技巧。今年7月，FireEye發現了一起使用基於PowerShell的後門——POWRUNER 和BONDUPDATER對中東的組織進行攻擊活動。BONDUPDATER是含有DGA功能的下載器。該後門利用的是CVE-2017-0199漏洞通過惡意rtf文件進行傳播。

這次攻擊中，APT34利用了最近的office漏洞CVE-2017-11882來應用POWRUNER和BONDUPDATER。

CVE-2017-11882: Microsoft Office棧內存破壞漏洞

CVE-2017-11882影響許多的Office版本，利用該漏洞沒有在內存中合理處理對象，遠程用戶可以在當前用戶環境下執行任意代碼。微軟11月14日就修復了該漏洞，漏洞的報告者1周後公布了POC代碼。

該漏洞存在與老版的公式編輯器（EQNEDT32.EXE）中，公式編輯器是office的組件之一，用於插入數學公式和對公式求值。公式編輯器是用OLE（Object Linking and Embedding,對象連接與嵌入）技術嵌入在office文檔中。

公式編輯器創建後是一個單獨的進程，而不是office應用的子進程。 如果有偽造的公式傳遞給公式編輯器，在拷貝數據時，也是不會合理地檢查數據長度，這會導致棧內存破壞。而且EQNEDT32.exe用的舊版的編譯器進行編譯，也不支持ASLR（address space layout randomization地址空間隨機化），這樣攻擊者就可以很容易地改變程序執行流。ASLR是保護緩衝區溢出問題的安全技術。

漏洞分析

APT34向攻擊的目標組織發送一封惡意的魚叉式釣魚郵件，釣魚郵件附件中含有一個.rtf文件（MD5: a0e6933f4e0497269620f44a083b2ed4）。惡意rtf文件利用CVE-2017-11882破壞內存中的棧，然後將惡意數據送進棧內。惡意軟體會用EQNEDT32.EXE的指令地址覆寫函數地址。覆寫的指令（圖1）用於從kernel32.dll中調用WinExec函數，指令地址為00430c12。

Figure 1覆寫函數地址

利用該漏洞之後，在當前登錄用戶環境下，調用WinExec函數創建了一個子進程mshta.exe。進程mshta.exe會從http://mumbai-m.site/b.txt下載惡意腳本，並執行，如圖2。

Figure 2 拷貝到破壞的棧緩存的攻擊者數據

執行工作流

惡意腳本通過這些步驟成功地執行，最終建立與C2伺服器的連接。從利用漏洞開始的所有事件如圖3。

Figure 3 CVE-2017-11882和POWRUNER攻擊序列

1. 惡意.rtf文件利用 CVE-2017-11882；

2. 惡意軟體利用EQNEDT32.EXE的現存指令覆寫函數地址；

3. 惡意軟體創建子進程mshta.exe，mshta.exe從http://mumbai-m.site/b.txt下載惡意腳本；

4. b.txt含有PowerShell命令，可從http://dns-update.club/v.txt下載一個dropper。PowerShell命令會將v.txt重命名為v.vbs，並執行該腳本。

5. v.vbs腳本會在C:ProgramDataWindowsMicrosoftjava目錄下釋放4個組件，hUpdateCheckers.base,dUpdateCheckers.base,cUpdateCheckers.bat和GoogleUpdateschecker.vbs。

6. v.vbs用CertUtil.exe來解碼hUpdateCheckers.base、dUpdateCheckers.base 2個base64編碼的文件，釋放hUpdateCheckers.ps1 和dUpdateCheckers.ps1到staging目錄。CertUtil.exe是合法的Microsoft命令行程序，是Certificate Services的一部分。

7. 運行cUpdateCheckers.bat來建立一個GoogleUpdateschecker.vbs的計劃任務。

8. GoogleUpdateschecker.vbs在休眠5秒後執行。

9. 然後從staging目錄下刪除cUpdateCheckers.bat 和*.base文件。

Figure 4 Execution Workflow Section of v.vbs的執行工作流部分

在成功執行了Execution Workflow部分的步驟後，Task Scheduler會每分鐘運行一次GoogleUpdateschecker.vbs，輪流執行dUpdateCheckers.ps1 和 hUpdateCheckers.ps1腳本。這些PowerShell腳本是最後一階段的payload，含有DGA功能的下載器和後門組件，可以連接C2伺服器接受命令，並執行其他惡意活動。

hUpdateCheckers.ps1 (POWRUNER)

POWRUNER是一個後門，是可以從C2伺服器發送和接收命令的PowerShell 腳本。POWRUNER可以通過Task Scheduler設定後每分鐘執行一次。

Figure 5 POWRUNER PowerShell腳本hUpdateCheckers.ps1

POWRUNER首先發送隨機的GET請求到C2伺服器，然後等待響應。伺服器會響應一個not_now或11位隨機數。如果響應是隨機數，POWRUNER會發送另一個隨機的GET請求到伺服器，並保存響應消息。然後，POWRUNER檢查保存的隨機數響應的最後一位，並把值翻譯為對應的命令，並執行相應的動作。數字、命令和動作的對應表見表1。

Table 1 POWRUNER命令

成功地執行命令後，POWRUNER發送結果到C2伺服器並停止執行。

C2伺服器可以發送PowerShell命令來獲取受害者系統的截屏並保存。如果fileupload命令執行了，POWRUNER會發送截屏文件到C2伺服器。圖6是發給C2伺服器的PowerShell 「Get-Screenshot」函數。

Figure 6 Powershell截屏函數

dUpdateCheckers.ps1 (BONDUPDATER)

APT34的高級之處就是使用DGA來生成子域名。BONDUPDATER腳本是基於硬編碼的B007命名的，用傳統的DGA演算法來生成與C2伺服器通信的子域名。

DGA 實現

圖7是用BONDUPDATER的DGA生成示例域名的分解過程。

Figure 7 BONDUPDATER創建的子域名的分解

1. 用下面的表達式創建的隨機數生成器：$rnd = -join (Get-Random -InputObject (10..99) -Count (%{ Get-Random -InputObject (1..6)}))

2. This value is either 0 or 1. It is initially set to 0. If the first resolved domain IP address starts with 24.125.X.X, then it is set to 1.

3. 值是0或者1，初始值設定為0。如果域名第一次解析的IP地址為24.125.X.X，就設為1。

4. 初始值設為000，然後每次DNS請求後增加3。

5. 系統UUID的前12個字元。

6. 「B007」硬編碼字元串。

7. 硬編碼的域名mumbai-m.site。

BONDUPDATER 會嘗試解析生成的DGA域名，基於IP地址解析執行下面的動作：

1. 在%temp% 文件夾下創建文件，創建的文件名為解析的IP地址的最後2個8位位元組。

2. BONDUPDATER計算文件名的最後一個字元，執行相應的動作。

Table 2 BONDUPDATER動作

Figure 8 Domain Generation Algorithm

執行後生成的子域名的例子：

143610035BAF04425847B007.mumbai-m.site

835710065BAF04425847B007.mumbai-m.site

376110095BAF04425847B007.mumbai-m.site

網路通信

圖9是POWRUNER後門客戶端和伺服器之間的網路通信示例。

Figure 9 網路通信示例

在本例中，POWRUNER客戶端發送隨機的GET請求到C2伺服器，然後C2伺服器發送隨機數字（99999999990）作為響應。因為響應以0結尾，POWRUNER會發送另1個隨機的GET請求來獲取其他的命令字元串。C2伺服器會返回Base64編碼的響應。如果伺服器返回的響應是not_now，POWRUNER就中止請求並停止執行。

Figure 10 "not now"伺服器響應示例

Batch命令

POWRUNER 可能從C2伺服器接收batch命令來從系統手機host信息。這包括當前登錄的用戶信息、主機名、網路配置數據、激活的連接、進程信息、本地和域名管理帳號、用戶目錄枚舉和其他數據。圖11是batch命令示例。

Figure 11 POWRUNER C2發送的batch命令

POWRUNER / BONDUPDATER的其他使用

2017年7月，APT34就開始使用POWRUNER和BONDUPDATER來攻擊中東的組織了。FireEye發現利用CVE-2017-0199漏洞的惡意rtf文件(MD5: 63D66D99E46FB93676A4F475A65566D8)。該文件用GET請求來從http://94.23.172.164/dupdatechecker.doc下載惡意文件。

圖12所示，dupatechecker.doc文件中的腳本嘗試從同一伺服器下載名為dupatechecker.exe的文件。

Figure 12 dupdatechecker.doc腳本的內容

dupatechecker.exe 文件 (MD5: C9F16F0BE8C77F0170B9B6CE876ED7FB) 釋放了BONDUPDATER和POWRUNER。這些文件連接到 proxychecker.pro與C2通信。

IOCs

本文翻譯自：https://www.fireeye.com/blog/threat-research/2017/12/targeted-attack-in-middle-east-by-apt34.html，如若轉載，請註明原文地址： http://www.4hou.com/vulnerable/9296.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：