首頁(yè) > 關(guān)于我們 > 安恒動(dòng)態(tài) > 2019 > 正文

蔓靈花APT組織最新的C#木馬組件揭秘

閱讀量：次

安恒安全研究院獵影威脅情報(bào)分析團(tuán)隊(duì)于今年4月份監(jiān)控并發(fā)現(xiàn)“蔓靈花”(BITTER)組織針對(duì)我國(guó)多個(gè)敏感部門進(jìn)行攻擊，安全研究團(tuán)隊(duì)對(duì)該次事件進(jìn)行深入了分析。通過(guò)持續(xù)監(jiān)控，近期又發(fā)現(xiàn)其開(kāi)始了新的攻擊，并加入了新的組件。

APT組織介紹

“蔓靈花”又名“BITTER”，一個(gè)長(zhǎng)期針對(duì)中國(guó)及巴基斯坦的政府、軍工、電力、核等部門發(fā)動(dòng)網(wǎng)絡(luò)攻擊，竊取敏感資料，具有較強(qiáng)的政治背景。該組織最早在2016由美國(guó)安全公司Forcepoint進(jìn)行了披露，他們發(fā)現(xiàn)攻擊者使用的遠(yuǎn)程訪問(wèn)工具（RAT）變體使用的網(wǎng)絡(luò)通信頭包含 “BITTER”，所以該這次攻擊命名為“BITTER”，同年國(guó)內(nèi)安全廠商也跟進(jìn)發(fā)布了分析報(bào)告，命名為“蔓靈花”。

攻擊樣本分析

本次攻擊(2019年9月份發(fā)現(xiàn))使用了多個(gè)攻擊樣本，如捕獲到一個(gè)命名為“mypictures.chm”的樣本，該樣本格式是chm，文件被打開(kāi)后展示一些圖片：

通過(guò)查看代碼發(fā)現(xiàn)它會(huì)在后臺(tái)通過(guò)msiexec命令去遠(yuǎn)程服務(wù)器下載msi文件

觀察進(jìn)程樹(shù)也能發(fā)現(xiàn)該行為：

通過(guò)安恒文件威脅分析平臺(tái)檢索域名gongzuosousuo[.]net,又發(fā)現(xiàn)多個(gè)樣本，其中2個(gè)樣本引起我們注意：

這兩個(gè)文件都是捆綁的主樣本，它們偽裝成office圖標(biāo)的exe文件

其中“中國(guó)新的對(duì)外安全政策.docx”打開(kāi)后，是關(guān)于我國(guó)外交策略的文檔，

另一個(gè)文檔顯示亂碼：

這兩個(gè)文件除了顯示假文檔還會(huì)釋放都“audiodq.exe”，且回連還是相同域名：gongzuosousuo[.]net。

另外，通過(guò)該域名還可以關(guān)聯(lián)到另一個(gè)msi樣本wupd.msi。

該樣本會(huì)釋放運(yùn)行wupdte.exe，wupdte.exe包含pdb信息為：

C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb

wupdte.exe的主要功能為獲取基礎(chǔ)信息和遠(yuǎn)程下載新樣本并執(zhí)行，

該樣本會(huì)搜集計(jì)算機(jī)名、用戶名、操作系統(tǒng)版本、操作系統(tǒng)序列號(hào)等信息，發(fā)送到mil.openendhostservice[.]org遠(yuǎn)程地址，并拷貝自身文件到

C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe

并且還可以下載遠(yuǎn)程數(shù)據(jù)解密出樣本并執(zhí)行。

接下來(lái)，分析chm文件下載的ausetup.msi文件，它運(yùn)行后也會(huì)釋放叫“audiodq.exe”,其回連地址是：“l(fā)mhostsvc[.]net”，繼續(xù)使用平臺(tái)檢索該域名，發(fā)現(xiàn)叫做engineblock-2.jpg.exe程序

其運(yùn)行后會(huì)打開(kāi)圖片和釋放并運(yùn)行audiodq.exe。

audiodq.exe和之前發(fā)現(xiàn)的樣本功能一致，只是域名有所變化，如本次攻擊所使用的其中一個(gè)域名為lmhostsvc[.]net

并且通過(guò)安恒文件威脅分析平臺(tái)分析關(guān)聯(lián)到另一個(gè)域名zhulidailiren4winnt[.]net也是主模塊回連域名。

深入追蹤發(fā)現(xiàn)BITTER組織對(duì)其組件進(jìn)行了一些更新，其中最主要的變化是加入了兩款.net的遠(yuǎn)控程序。

從樣本時(shí)間來(lái)看最新更新的組件時(shí)間為10月15日。

由于篇幅有限，之前的分析一筆帶過(guò)。之前組件的功能匯總?cè)缦卤硭荆?/p>

樣本名稱	Md5	功能
audiodq.exe	6bb5614223a21db411b1cb3ed29465f5	主程序:發(fā)送基礎(chǔ)信息，可接受黑客指令下載各個(gè)組件
regdl	be171b4df9b7db48c67f31c678421bfd	組件:設(shè)置主程序audiodq的注冊(cè)表自啟動(dòng)模塊
spoolvs	fc516905e3237f1aa03a38a0dde84b52	組件:遠(yuǎn)控模塊，具備完善的文件竊密功能，使用加密傳輸，密鑰是”m50e!sq&n67$t”，傳輸?shù)刂肥牵簄eth****pport.ddns.net
igfxsrvk	efec7464f07633415cbc36a97b900587	組件:鍵盤記錄模塊
dashost	d884f6d37c0202935db1a54c7f0a79ed	組件:功能同spoolvs，文件hash不同而已。
lsap	44e936f5f02fa3fdf5925ba9fbd486e5	組件:搜集信息（收集的文件列表）和并將文件涉及的文件上傳到：Sysi****vice.ddns.net
upmp	450005b247add0b1aa03cee00c90bc3b	組件:功能同lsap一樣，文件hash不同而已。
misis	11864ec73e6226f52a1e6e4074b33e89	組件:功能和lsap類似，當(dāng)文件上傳時(shí)采取的加密傳輸(參數(shù)base64+間隔符切割)，地址也是：Sysi****vice.ddns.net
putty	b3e0ed34b7ee16b12b80a4dc5f8dddae	正常文件.ssh登入工具putty.exe

我們將更新后的組件和之前的組件進(jìn)行了對(duì)比分析，

其中sleep、kill、regdl和之前的regdl一致為給audiodq程序設(shè)置自啟動(dòng)，
lsap*系列和之前的lsap功能大致上是一致的都是搜集信息和文件并上傳，
igfxsrvk和之前的也是一致的主要為鍵盤記錄功能，
winsvc和spoolvs功能一致為遠(yuǎn)控模塊。

這些模塊功能大致相同，樣本中的回連地址會(huì)做一些變化。

下面主要分析新加入的.net程序模塊MSAServices、MSAServicet、onedriveManager、sessionmanagers。

MSAServices模塊分析

MSAServices為遠(yuǎn)程控制程序，主要功能為回連遠(yuǎn)程服務(wù)器進(jìn)行命令控制和數(shù)據(jù)傳輸。

樣本先回進(jìn)行一個(gè)冒泡排序，將結(jié)果寫入到

C:\Users\Public\array.txt文件中，具體內(nèi)容似乎并無(wú)什么意義。

然后進(jìn)行了刪除，猜測(cè)這么做的目的是為了判斷系統(tǒng)是否是win7及以上的系統(tǒng)，在WIN XP下無(wú)法發(fā)現(xiàn)C:\Users\Public路徑。

接著進(jìn)行網(wǎng)絡(luò)連接操作并設(shè)置心跳狀態(tài)定時(shí)回調(diào)函數(shù)。

可以觀察到網(wǎng)絡(luò)連接的C2域名為mswinhostsvc[.]net，端口為 43821，被用于數(shù)據(jù)傳輸加解密的NetworkKey為745930。

其加密算法如下：

然后接受和發(fā)送數(shù)據(jù)信息，發(fā)送的基本信息，包括系統(tǒng)版本、系統(tǒng)用戶、系統(tǒng)目錄、mac地址等等信息

還包括獲取Win序列號(hào)信息等

然后該程序會(huì)進(jìn)行Processor調(diào)用初始化。

包含了該程序可以執(zhí)行的主要功能。

接收命令并進(jìn)行執(zhí)行并返回執(zhí)行信息，功能如下所示：

包類型	完成功能
Delete File	刪除文件
Get Processes	獲取進(jìn)程信息
Kill Processes	Kill進(jìn)程
Suspend Processes	掛起進(jìn)程
Resume Processes	恢復(fù)進(jìn)程
Get Process DLLs	獲取進(jìn)程中使用的dll信息
Get Process threads	獲取進(jìn)程中的線程信息
Mod Thread	改變線程狀態(tài)
Start Process	開(kāi)始進(jìn)程
FileMgr get drives	獲取可用邏輯驅(qū)動(dòng)器
FileMgr get Folders	獲取目錄下的文件信息
FileMgr Create File	創(chuàng)建文件
FileMgr Copy File	拷貝文件
FileTransfer Begin	傳輸文件
FileTransfer Data	傳輸數(shù)據(jù)
FileTransfer Complete	數(shù)據(jù)傳輸完成
FileTransfer for downloading start	傳輸文件
Get Command	獲取指令
Start Command Prompt	開(kāi)始命令并監(jiān)控
Stop Command Prompt	結(jié)束命令
Connection Status	連接狀態(tài)

MSAServicet和MSAServices功能一致。

Sessionmanagers模塊分析

Sessionmanagers也為遠(yuǎn)程控制程序，主要功能為回連遠(yuǎn)程服務(wù)器進(jìn)行命令控制和數(shù)據(jù)傳輸。

通過(guò)安恒文件威脅分析平臺(tái)分析發(fā)現(xiàn)該樣本的編譯時(shí)間故意被篡改。

該程序會(huì)連接遠(yuǎn)程服務(wù)器進(jìn)行命令和控制。

解密出遠(yuǎn)程服務(wù)器地址為winqrcservice[.]net，端口為28564。

接著程序進(jìn)行等待命令并處理命令階段。

命令包括獲取信息包括基本的信息和殺毒軟件信息等，

主要命令如下列表：

命令	功能
tskmgr	啟動(dòng)任務(wù)管理器
getinfo-	獲取各類信息
prockill	Kill進(jìn)程
proclist	列舉進(jìn)程
startcmd	開(kāi)啟cmd
stopcmd	停止cmd
cmd§	執(zhí)行各類cmd指令
fdrive	獲取邏輯驅(qū)動(dòng)器信息
fdir§	獲取目錄下的文件信息
f1§	f1 +?drive name
fpaste§	移動(dòng)或拷貝文件或文件夾
fexec§	執(zhí)行程序
fhide§	設(shè)置文件屬性為隱藏
fshow§	設(shè)置文件屬性為可見(jiàn)
fdel§	刪除文件
frename§	重命名文件或文件夾名
ffile§	新建文件
fndir§	新建文件夾
getfile§	備份文件
putfile§	寫入文件
fup	上傳文件
fdl§	下載文件
fconfirm	命令確認(rèn)
dc	循環(huán)接收指令

onedriveManager和sessionmanagers功能一致。

總結(jié)

通過(guò)該次分析，可以看出該組織疑似有新的C#開(kāi)發(fā)成員加入或轉(zhuǎn)向了C#研發(fā)，新的組件代碼仍在持續(xù)開(kāi)發(fā)階段，部分功能并沒(méi)有調(diào)用或只是測(cè)試使用，通過(guò)回連域名發(fā)現(xiàn)攻擊者了解中文，回連域名中包含中文拼音(如zhulidailiren4winnt、tongbanzhichi、gongzuosousuo)。

另外，其核心木馬下載功能也做了更新，安恒安全研究院獵影威脅情報(bào)分析團(tuán)隊(duì)將持續(xù)監(jiān)控該組織動(dòng)態(tài)。由于篇幅關(guān)系內(nèi)容有所精簡(jiǎn)，需詳細(xì)報(bào)告請(qǐng)聯(lián)系郵箱ti@dbappsecurity.com.cn

IOC

域名：

hxxp://lmhostsvc[.]net

hxxp://zhulidailiren4winnt[.]net

hxxp://mswinhostsvc[.]net

hxxp://winqrcservice[.]net

hxxp://winlocsec.ddns[.]net

hxxp://tongbanzhichi[.]net

hxxp://mscnsservice.ddns[.]net

hxxp://gongzuosousuo[.]net

hxxp://mil.openendhostservice[.]org

文件MD5：

c87641a13843682ae16a5da18ffee654

46ef2c0db107b794516dc2b2622e44ad

4b0e5c5c4e0e22f2dfeef0531e021072

b5c66d01d0e96b04702030ed23add415

c831af87ab876bd774784eb8f3338b4b

ae02f2f8100de5f9f155f4b8ce3e494e

8831eac19d1a1c30697057fa501d063f

d8c76c736a3285378bc82ea9cd3c972d

4bfff2480fb6eaa0ef82abb0092c2586

a24d5a8f6a916fe976face1f145cf297

79a1e1d2ea5c629f60ef00a96ec4d0fe

be171b4df9b7db48c67f31c678421bfd

e421808b24c1ebd4cf0a078c6e66ded8

fc572eec5ae8b38428259c5d8fc5a05f

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢(shì)感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場(chǎng)>

工業(yè)互聯(lián)網(wǎng)安全>