-
-
[分享]复盘分析Hermit(隐士)APT组织2020年最新攻击样本
-
发表于: 2020-5-31 19:48
-
背景
两年前,腾讯安全威胁情报中心曝光了SYSCON/SANNY木马的活动情况,并且根据关联分析确定跟KONNI为同一组织所为。该组织的攻击对象包括与朝鲜半岛相关的非政府组织、政府部门、贸易公司、新闻媒体等。
这个组织专门攻击一些重要人物,他们主要攻击目标为高端商务人士和政要人物。而且他们技术实力雄厚,在多次攻击行动竟然都使用了0day进行攻击,0day漏洞是一种已经被发现但可能未公开的而且官方还没有相关补丁的漏洞。
这个组织的攻击方式是通过诱饵投递,包括WiFi投递诱饵和鱼叉邮件攻击。其中鱼叉邮件攻击为该组织最常使用的攻击方式,一般针对攻击目标发送精心伪装的邮件,诱使目标打开邮件附件,而且精准攻击的鱼叉邮件会针对不同的攻击目标设计不同的内容。
他们投递的恶意文件类型多种多样,Office文档是使用的最多的诱饵文件类型,他们利用office文档中的宏来攻击,宏是一个命令的集合,是一段程序,就是说本来几个步骤实现的一个功能,只要一个步骤,一个按钮就可以完成任务。但是使用了宏,宏可能生成宏病毒,宏病毒的特色是它们不依赖操作系统。宏病毒编制极其容易,微软的宏语言都是BASIC语言的子集,BASIC是众多病毒制造者喜爱的编程语言,它比汇编语言容易,所以宏病毒会有如此之多且日趋复杂化。在文档中工具/宏/安全性中可以进行选择安全性的高低,我认为我们应该谨慎使用公共WiFi,在使用重要文档建议将安全性选为高(虽然这样可能会有一些提示)。
他们另外也通过快捷文件使用powershell(一种命令行外壳程序和脚本环境,使命令行用户和脚本编写者可以利用)等系统进程来继续下载相应的恶意文件和通过使用doc文件做图标来隐藏scr文件让用户误以为打开的是一个doc文档,而不知道打开文档的同时还会加载相应的恶意文件。
自2010年起到现在,该组织使用了多种木马,如XC-Rat,Inexsmar,KONNI和Asruex等。它们的共同特点是隐蔽性强,如XC-Rat木马除了用到图标伪装外,还有包装成lnk文件、漏洞利用、文件名RLO欺骗等;Inexsmar木马喜欢伪装成图标为word的可执行文件,然后执行后,会释放一个恶意文件及一个doc文件。而且不同木马有不同的特点和攻击目标,如Retro(寄生兽)木马通常使用漏洞打包成诱饵文档进行定向攻击,至今至少发现两个0day漏洞被该木马用来打包攻击文档。SYSCON/SANNY一直被用来针对全球的外交机构,尤其是朝鲜的,其主要使用鱼叉攻击,诱饵文件内容主要为英语和俄语,而且还习惯使用Office的宏来触发恶意代码。而KONNI对缅甸、朝鲜等多个目标进行了攻击。
SYSCON/SANNY木马是一个非常有特色的远程控制木马,通过ftp协议来进行C&C控制,该后门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃,并且对多个目标进行了攻击活动。被曝光后,该组织活动没有任何减弱的迹象。腾讯安全威胁情报中心根据该组织的特点,在2018年12月将其命名为“Hermit(隐士)”。
腾讯安全御见威胁情报中心曾在2018年12月发布了分析文章:《Hermit(隐士):针对朝鲜半岛的APT攻击活动披露》。2019年06月,腾讯安全御见威胁情报中心再次监测到该组织的新活动。通过分析和溯源,我们发现该攻击活动主要针对区块链、数字货币、金融目标等,但是我们也发现了同样针对外交实体的一些攻击活动。本次攻击活动跟之前的活动相比,技术手段类似,但是也有一定的更新,如通过下载新的doc文档来完成后续的攻击以及使用AMADEY家族的木马。而最终的目标依然为运行开源的babyface远控木马。此外,传统的Syscon/Sandy家族的后门木马也依然在进行活跃。
2020年,“Hermit(隐士)”APT组织依然保持较高的活跃度,攻击方式和木马行为上也有了较大的更新,针对该木马进行复盘分析,使用带有恶意Office宏代码的攻击诱饵依然是SYSCON/SANNY最常用的攻击方式,此外通过修改字体颜色来伪装宏代码的恶意行为也是该组织的特点之一,该特点一直保持至今。而诱饵的主题依然是紧贴时事热点,尤其是全球新冠疫情(COVID-19)热点以及朝鲜半岛相关的局部热点事件。
例如3月份“Hermit(隐士)”组织使用“口罩仅建议用于照顾COVID-19病人的人使用”的文档标题作为攻击诱饵。
<center><b>“Hermit(隐士)”使用新冠疫情(COVID-19)口罩话题为诱饵</b></center>
<center><b>“Hermit(隐士)”组织使用2020年东京残奥会捐助相关的诱饵</b></center>
<center><b>“Hermit(隐士)”组织伪装成2020年朝鲜政策相关话题为诱饵</b></center>
<center><b>“Hermit(隐士)”组织使用朝鲜Covid-19疫情相关主题为诱饵</b></center>
病毒的攻击流程图如下图所示:
<center><b>流程图</b></center>
分析报告
基本信息
| 文件名称 | 文件大小 | 文件类型 | MD5 | 修改时间 |
|---|---|---|---|---|
| up.exe | 9,216 字节 | downloader | a83ca91c55e7af71ac4f712610646fca | 2020:03:11 09:10:59 |
| wprint.dll | 10,240 字节 | RAT | 77f46253fd4ce7176df5db8f71585368 | 2020/1/6 15:54:52 |
样本分析
downloader模块
该样本是通过携带恶意宏代码的恶意office释放出来的PE文件,并由宏创建进程以及传递参数给恶意进程。
<center><b>可执行文件运行的命令行参数</b></center>
将参数传递给病毒后,程序开始启动,访问目标url请求3.dat文件
<center><b>网络请求行为</b></center>
UPX脱壳,导出PE文件后使用IDA进行反编译
<center><b>upx壳部分特征</b></center>
从命令行中获取URL参数,判断操作系统是32位还是64位,如果是32位下载2.dat,如果是64位下载3.dat,然后使用expand释放cab文件,Expand工具用来压缩的Wndows CAB文件中展开文件,并把释放出来的文件保存在磁盘的指定目录内。
<center><b>dowmloader核心功能</b></center>
<center><b>进程权限检测</b></center>
检测权限后用CMD执行批处理程序,如果权限不足(权限受限,管理员用于以非管理员权限运行程序)就使用下面三种方式绕用户账户控制(UAC)
<center><b>进程权限查询调整相关代码</b></center>
UAC BYPASS 的第一种方法
<center><b>UAC bypass代码片段一</b></center>
UAC bypass 的第二种方法
<center><b>UAC bypass代码片段二</b></center>
UAC bypass 的第三种方法
<center><b>UAC bypass 代码片段三</b></center>
其下载2.dat后解密为temp.cab后使用expand展开文件。
<center><b>压缩文件内容</b></center>
install.bat的功能就是将wprint.dll和wprint.ini复制到system32目录(),并创建服务持久化dll,然后进行清理步骤。
<center><b>批处理文件内容</b></center>
wprint.dll模块
读取ini里的文件内容,并对文件内容进行解密,得到一个URL,下载4.dat并解密出里面的FTP服务器地址、用户名和密码。
<center><b>解密ini文件代码片段</b></center>
连接FTP服务器。
<center><b>连接FTP代码片段</b></center>
加密系统信息、进程程序上传到FTP服务器。
<center><b>命令执行收集系统信息代码片段</b></center>
加密上传FTP的部分代码,判断文件后缀来辨别是否是压缩文件,将要上传的文件压缩成cab并加密上传。
<center><b>上传文件前对文件处理的代码片段</b></center>
从FTP服务器获取指令,指令在CC(X)文件里。
<center><b>获取C2命令的代码片段</b></center>
用#分隔命令,解析其中的指令。
<center><b>解析C2命令的代码片段</b></center>
如果命令只有stext则执行下载的文件将结果输出到temp.ini;如果没有参数则执行下载的文件。
<center><b>指令处理一</b></center>
如果命令是/user,带stext或者>,则使用user执行权限执行下载的文件将结果输出到temp.ini;如果有user不带stext则使用user权限执行下载的文件。
<center><b>指令处理二</b></center>
命令带cmd /c,pull,/f则将文件进行移动,压缩加密上传temp.ini到FTP,不带/f则加密上传指定文件。
命令带cmd /c,put则移动文件。
<center><b>指令处理三</b></center>
命令带cmd /c,带>则执行cmd命令后输出结果带temp.ini,不带>则执行cmd命令。
<center><b>指令处理四</b></center>
IOC
| 文件 | MD5 |
|---|---|
| up.exe | a83ca91c55e7af71ac4f712610646fca |
| 2.dat.cab | 977a95b8538ef148fbff65941817a23e |
| temp.cab | 1b46058a468fcc77f76792a4e5d5c7f9 |
| install.bat | c358aa1c5edfadc1e6d49c5f6348205f |
| wprint.dll | 77f46253fd4ce7176df5db8f71585368 |
| wprint.ini | 921681b6fa1168075a09052460b359bd |
| C2 | |
|---|---|
| http://mydownload-202001.c1.biz | 185.176.43.92 |
总结
这个木马病毒有着通过恶意文档进行进行攻击,通过混淆命令逃避检测,大多数文档病毒都用着类似的手法,有意思的是恶意文档释放执行的病毒下载器使用的压缩文件方法是Windows的压缩格式,对攻击目标操作系统有很好的兼容性,通过判断系统的路径来下载对应的RAT木马服务,因为C2连接不上,所以用的是其他沙箱网站提供的32位样本进行分析,下载器的功能除了下载RAT木马外,还有三种绕过用户账户控制的方式,可以尝试研究它们实现的原理,并尝试用代码实现bypass的过程,接着下载器会将下载的文件解压并执行批处理,批处理为木马创建服务并执行,实现木马的持久化,详细分析木马服务后 ,其使用的字符串全都是加密处理,从而隐藏自身的恶意行为,它的恶意通信行为都使用的是FTP服务进行,并且是通过读取远程服务器的文件中的命令来解析执行,在通信的过程中使用自身的加密方法,FTP通信是该木马的特点,木马内容很简洁没有特别漏洞利用,反病毒等技术,适合刚入门的安全研究(分析)人员。
参考资料
Hermit(隐士)APT组织2020年最新攻击活动分析:
https://www.freebuf.com/articles/network/235010.html
背景:https://blog.csdn.net/weixin_43414614/java/article/details/83479959
UACbypass相关技术:https://news.sophos.com/en-us/2020/04/24/lockbit-ransomware-borrows-tricks-to-keep-up-with-revil-and-maze/
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
