指向欧洲和亚洲很多国家的某个APT网络攻击事件的研究报告

一、概述

最近几天，360成都网安相应中间检测到一批可疑Word文档，该类文档自被检测以来赓续蜕变出新变种，颠末对此类文档的阐发和联系关系，发明文档背后影藏着一路针对欧亚多国(俄罗斯、白俄罗斯、哈萨克斯坦)的高档连续入侵攻击运动。入侵攻击者针对这三国的航天机构、军事机构、科研机构等紧张范畴展开了有结构、有筹划、有针对性的不间断入侵攻击，入侵攻击平台紧张会合在Windows体系，入侵攻击目的会合在白俄罗斯、哈萨克斯坦、俄罗斯。停止今朝一共捕捉到Windows平台样本16个(包括32位和64位版本)，触及C&C地点5个。

该黑客结构紧张应用鱼叉邮件停止入侵攻击，应用体系破绽漏洞bugCVE-2015-1641或嵌入黑客恶意宏代码履行黑客恶意载荷，入侵胜利后入侵攻击者可以或许对用户计算机停止及时监控，同时可以或许远端下载履行指定载荷。

二、受影响环境

本章紧张对相干入侵攻击行为所针对目的触及的地区和行业停止相干统计阐发，光阴规模抉择 2017年8月1日到至今。

1.地区散布

这次行为紧张针对目的为白俄罗斯，占比高达56.2%，其次是哈萨克斯坦占25%，详细散布如图1所示。

图1 受影响地区散布

2.受影响范畴散布

经由过程收件人邮件地点，发明军事机构是这是定向行为重点针对目的，占比高达75%，其次是科研机构与航天机构，分离盘踞12.5%，详细散布如图2所示。

图2 受影响行业散布

三、载荷送达

1.入侵攻击方法

入侵攻击者紧张应用鱼叉邮件停止流传，并针对目的停止经心结构文件名、邮件主题、注释内容等信息，图3为捕捉的此中一封黑客恶意邮件。

图3 黑客恶意邮件

2.技巧方法

从捕捉的黑客恶意文档看，入侵攻击者紧张采纳了两种技巧手腕停止来履行黑客恶意载荷：

1) 应用CVE-2015-1641Office破绽漏洞bug

CVE-2015-1641破绽漏洞bug为范例混杂破绽漏洞bug，word在剖析docx文档处置displacedByCustomXML属性时未对customXML工具停止验证，可以或许传入其余标签工具停止处置，形成范例混杂，招致随意率性内存写入，终极颠末经心结构的标签和对应的属性值可以或许形成随意率性代码履行。

捕捉的黑客恶意文档嵌入了三个OLE工具(Object Linking and Embedding)，即“工具链接与嵌入”， 此中第三个OLE工具嵌入的是docx文档，该文档重如果用于停止破绽漏洞bug触发，解压后包括document.xml，如下图4所示，入侵攻击者经由过程该XML文件笼罩到指定地位，招致随意率性内存写入。

图4 黑客恶意文档嵌入的document.xml文件

在捕捉的样本中入侵攻击者应用了很多相似的黑客恶意文档停止屡次入侵攻击，并且入侵攻击者同时把样本发送给分歧部分停止垂纶入侵攻击。经由过程比较样本发明，相似的黑客恶意文档只要嵌入的document.xml中某些属性值分歧，这阐明入侵攻击者为了使入侵攻击可以或许胜利针对分歧Office版本做了分歧的适配。

2)应用宏嵌入黑客恶意代码

部分样本还应用宏代码停止黑客恶意载荷的开释，并且宏代码还停止了加密掩护。图5为黑客恶意文档中嵌入的宏。

图5 黑客恶意文档嵌入的宏

3.钓饵文件

从今朝捕捉的数据来看，黑客恶意载荷紧张经由过程CVE-2015-1641破绽漏洞bug文档停止流传，目的中招后运转该文档，会开释出黑客恶意样本并关上钓饵文件停止假装。

钓饵文档紧张包括上面三类，第一类是无关白俄罗斯和俄罗斯联邦筹备在8月21日到8月25日停止计谋练习的一个阐明，从钓饵文档名“_Плановая подготовка____21 - 25 августа 2017 г. .doc”(8月21到8月25日的计谋筹划)可以或许看出入侵攻击者针对这次入侵攻击做了充足筹备。图6为此类钓饵文档。

图6 钓饵文档1

其次是无关哈萨克斯坦行政职位的种别列表，如下图7所示，该钓饵文档部分内容来自https://tengrinews.kz新闻网。

图7 钓饵文档2

末了一类则是对于俄罗斯航天机构的信息，如图8所示，

图8 钓饵文档3

四、样本阐发

1.母体文件阐发

a. 此中一个破绽漏洞bug文档信息如表1所示：

表1 破绽漏洞bug文档信息

应用方法应用破绽漏洞bugCVE-2015-1641

开释的PE文件Hashc7e81606e37d9c8****5fd86a7de6995

该文档所应用的破绽漏洞bug为CVE-2015-1641，入侵攻击者应用的破绽漏洞bug应用代码是通用的文件型绑缚shellcode，这套应用的特色是两段shellcode，第一段shellcode功效负责将从文件数据中读取shellcode_2，创立可履行内存地区，将shellcode_2拷贝至目的内存,第二段shellcode_2才是真正的黑客恶意代码功效履行部分，这类做的利益是shellcode_2可以或许足够用长。图9为第一段shellcode。

图9 第一段shellcode开端地位

第一段shellcode分派内存空间，将真正的黑客恶意shellcode复制到分派的空间内，并跳至第二段shellcode并履行。如图10所示，

图10 跳至第二段shellcode

下图为第二段shellcode进口,

图11 第二段shellcode开端地位

第二段shellcode紧张运转流程演绎为如下四点：

1、暴力搜刮有用文件句柄，经由过程婚配特性来肯定能否为本身文件;

2、肯定本身文件后，经由过程文件句柄将文件映照至内存;

3、经由过程指定偏移来定位绑缚数据，并开释绑缚数据到指定目次;

4、末了运转开释文件。

图12 第二段shellcode开释PE反汇编代码

将开释PE的反汇编代码停止复原后，部分C代码如下：

图13 复原后的部分C代码

b、此中一个黑客恶意宏代码文档信息如下，如表2所示。

表2 黑客恶意宏代码文档信息

该样本紧张经由过程宏代码来开释PE文件并增加自启动用于履行。

以上两种方法都是为了开释黑客恶意PE，开释的PE功效险些同样。前面重点阐发宏开释的PE文件。

2.开释PE文件阐发

该样本加载后，起首创立一个互斥体{5A419JHS3-5LHG867LS0347}，免得屡次运转。

图14 创立互斥体

衔接远端地点(http://45.xx.xx.160/9EkCWYA3OtDbz1l.dat)下载文件

图15 下载黑客恶意文件

末了经由过程异或解密开释的PE文件，并经由过程rundll32履行dll(md5: bffc3e2b7382d0****7440cabbd7b1ba)中的ServiceMain导出函数。

图16 履行黑客恶意文件

3.远端下载PE文件阐发

该样本为DLL文件，且有32位和64位版本。此中ServiceMain都为核心功效函数，32位版本导出函数如下：

图17 32位导出函数

64位版本如下：

图18 64位导出函数

在ServiceMain中创立线程履行核心功效代码，先解密出C&C地点并衔接

图19 C&C地点

而后轮回和服务器通信并依据分歧的敕令履行相应的操纵，紧张功效如表3所示。

表3 功效列表

五、C&C阐发

图20为C&C地理地位散布，可以或许看出该结构入侵攻击行为中所应用的IP地理地位会合在美国、英国和荷兰，并且从C&C阐发发明入侵攻击者很留意本身的网安，症结数据间接衔接IP停止数据传送，纵然部分处所应用域名链接，域名也是停止了Whois掩护，即暗藏域名注册者的实在信息，如电子邮件地点、电话号码等，如许也招致了网安研究机构或职员很难找到相干线索信息停止联系关系回溯。

图20 IP地点地位散布

六、总结

经由过程对这次入侵攻击中相干TTPs(Tools、Techniques、Procedures)的研究阐发，总结出如下几点：

1、入侵攻击者具备很强的自我掩护认识

入侵攻击者应用的木马症结数据都采纳字符串加密(如C&C)、并颠末屡次云控下载(下载过程当中，C&C均间接采纳IP地点，削减裸露的信息)才获得其紧张功效的黑客恶意代码模块，并且代码含有沙箱检测功效。别的，含有域名C&C信息都停止了Whois掩护，这些都阐明入侵攻击者具备较强的掩护认识。

2、入侵攻击者针对性强

入侵攻击者应用鱼叉邮件对目的的多个职能部分同时提议入侵攻击，并针对各个目的停止经心结构文件名(如_Плановая подготовка____21 - 25 августа 2017 г. .doc)、邮件主题(如Подготовка к Запад-2017)、注释内容等信息，可以或许看出入侵攻击者针对性很强。

3、入侵攻击者在入侵攻击过程当中应用多种资本

入侵攻击者应用了黑客恶意宏代码及office破绽漏洞bug停止流传，并且黑客恶意宏代码停止加密避免被复原。

综合来看，该结构入侵攻击目的明白、 社工手腕精准，并且入侵攻击过程当中应用了多种资本，都注解这不是小我可以或许蒙受的入侵攻击本钱，极可能是具备高度网安认识的APT结构。