一起针对蓄电池等制造企业的“蓄力”APT攻击

2017年7月，腾讯安全反病毒实验室发现了一批行为可疑的邮件，收件方的邮箱地址指向一些欧美大型制造业公司，包括机械制造，生物制药，金属经销商以及蓄电池等企业。邮件类型种类也较丰富，有提醒查看付款账单附件，有通知查收6月份发货单，还有进行询价咨询的邮件。邮件发送时间集中在6月到7月10日之前。

经过我们的分析，可以确定这是近期一起针对大型企业的APT攻击，目的是窃取商业方面的机密。并且目前国内已发现中招用户。当中招员工点击邮箱附件的文档后，会触发CVE-2017-0199漏洞。该漏洞下载一个hta文件解密运行，进而下载攻击载荷窃取用户隐私，而攻击载荷可接受66多种指令，进行行为监控。下图展示的就是此次APT事件的攻击过程。

技术分析

当用户点击附件后，触发了CVE-2017-0199漏洞，此漏洞是今年 发现的一个较新的OFFICE漏洞。在无需用户交互的情况下，打开word就可以通过 hta脚本执行任意代码。

下载hta脚本后，是一个被混淆过得代码。

通过字符变换后，解密出来发现此vbs会继续下载一个可执行文件。

我们登录到存放服务器的站点，发现可以看到服务器上保存的文件。

这里可以看到ERPVXX.exe是病毒通过vbs将要下载的文件。而 Filr.hta则是word文档利用漏洞首先下载的脚本文件。简单看了其他的文件Fila.hta 与YUZLKK.exe是配套的另外一组，sab1.hta与YKKDNL.exe 是另外一组。而从时间上来看，此次分析的这一组合，上传时间是7月9号，应该是 黑客更新的最新版。对比两个版本的exe，新版本删除了某些远控指令

able.vbs文件在后文中介绍。

下载ERPVXX.exe后，继续运行。此PE文件是一个 加壳了的AutoIt的可执行文件。脱壳后，提取其 脚本文件，可以看到还是一个高度混淆的脚本。

此类型的混淆方式，是一种通用的AutoIt脚本混淆方法。比较重要的函数有A2700004F2C ，主要作用是16进制与字符转换。而$OS则是 关键的一个变量，这是一个数组，去里面的16进制，然后通过A2700004F2C进行 转换，就可以拼接处可阅读的代码。$OS指向了一个字符串，如下图

通过对0×4578数据进行了三次解密，最终看到 $OS指向了一个文件。

此文件名是由$A2700004F2Csz_函数返回，对此函数解密后发现会在Temp文件夹下生成一个随机文件名。 去此文件夹下取得文件后，对混淆的代码进行解密，最终 获取到了可阅读的脚本，也是此次攻击的关键所在。

此文件非常庞大复杂，里面有判断杀软，上报ip 电脑信息，存储了一个pe文件，接受指令进行监控，心跳等功能 。下图展示了病毒与服务器之间的交互。

下图是接受指令进行录音，并将数据上传的 功能：

下图是记录键盘功能：

下图是获取视频内容，并上传：

其中$DllData是携带的PE文件，此文件是一个dll，主要的功能是操作摄像头 。下图是其导出函数表

下表列出了病毒所有监控的行为：

前文中提到的在病毒站点上看到的able.vbs文件，实际上就是一个携带了PE文件的脚本。 而所携带的pe就是ERPVXX.exe。下图是直接运行able.vbs 脚本的行为

不排除，黑客可能直接把此脚本嵌入到hta中运行，少去了链接网络的步骤，也有可能直接放在邮件附件中。

溯源

对站点服务器进行扫描后，发现了其他一些有意思的目录。登录到服务器站点的test目录 ，发现此目录下的exe文件链接的C&C地址是内网，可以推测这就是黑客的测试目录。

从更新时间来看，作者还在“孜孜不倦”的码代码 。

总结了此次攻击的公司地域分布情况，发现美国、 荷兰的公司为本次攻击的重点区域

另外扫描站点服务器，发现开放了2082,2086,2095等端口，登录后发现部署了一个mail服务器 。

尝试进行重置密码，可以看到黑客留下的一个提示邮箱地址

但遗憾的是，并没有在发件人邮箱中找到类似地址。

通过挖掘C&C服务器，找到了其他类似的样本

总结

此次APT攻击事件利用了最新的cve-2017-0199漏洞，如果用户没有及时更新补丁，很容易中招。同时 攻击手段比较复杂，混淆较多加大了分析，查杀的难度。目前已经检测到有广东 、河北、江苏等三地的国内用户中招，腾讯电脑管家提醒广大用户尽快修复漏洞。