forked from Trietptm-on-Security/WooYun-2
-
Notifications
You must be signed in to change notification settings - Fork 7
/
APT30-网络间谍活动分析.html
387 lines (216 loc) · 150 KB
/
APT30-网络间谍活动分析.html
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
<html>
<head>
<title>APT30-网络间谍活动分析 - virustracker</title>
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
</head>
<body>
<h1>原文地址:<a href="http://drops.wooyun.org/tips/5670">http://drops.wooyun.org/tips/5670</a></h1>
<p>
<p>from:https://www2.fireeye.com/rs/fireye/images/rpt-apt30.pdf</p>
<h1>0x00 介绍</h1>
<hr />
<p>APT30非常擅长执行长期的网络攻击活动,并且从2005年开始,这个黑客组织就一直成功地维护着相关的攻击工具,攻击策略和基础设施。</p>
<p>木马的主要攻击目标是位于东南亚和印度的组织机构,我们怀疑这个网络间谍活动是一次地区性的攻击活动。通过分析木马,我们发现这次间谍活动已经持续了数十年,受攻击的目标大多是政府和商业组织;黑客想要窃取这些组织所掌握的地区性政治,经济和军事情报。</p>
<p>我们把这个黑客小组叫做APT30。他们之所以可怕不是因为他们有能力发动长期的间谍活动,或者是地区性攻击行动;而是因为他们至少从2005年开始,就一直成功地维护着相关的攻击工具,制订着攻击策略,并隐藏着基础设施。</p>
<p>我们通过分析APT30,大致地了解了这个小组的入侵行动,确定了他们是怎样在不改变作案方法的情况下,持续性地渗透某一地区的大量组织机构。根据我们对木马的研究,我们估测了APT30小组的运作方式:他们首先合作确定目标的优先级,并根据计划开发木马。他们的主要任务是从目标手中窃取大量的敏感信息,攻击目标可能包括政府的机密网络,以及其他通过正规途径无法访问的网络。虽然并不是只有APT30在尝试侵染隔离网络(air-gapped networks),但是他们却早在2005年时,就考虑到了这种方案,远远地领先于其他的黑客组织。</p>
<!--more-->
<p>根据APT30的行动计划和维护能力,以及他们的地区性目标选择和攻击任务,我们有理由相信这个黑客组织的背后有国家的支持,在本文中,我们没有研究是行动的幕后推手,而是全面分析了这个黑客小组的发展计划。</p>
<h1>0x01 关键发现</h1>
<hr />
<ul>
<li><p>APT30持续开发并改进着一系列的集成工具,并且他们在这10年中重复使用了一些基础设施,由此可见,他们的任务是长期的。在这一套工具中包括下载器,后门,中央控制器,几个可以感染移动设备和隔离网络的组件。APT30常常是自己注册DNS域名,然后用作木马的C2域名。我们发现,有些木马中的恶意域名已经使用了很多年。</p></li>
<li><p>APT30的工作流程是有结构、有组织的。由此推断,这个黑客组织的各个小组之间互有合作;并且使用的木马开发方法也是一致的。这个黑客组织(或者说是支持他们的开发者)有系统地记录并跟踪着木马的版本开发。木马中应用了互斥量和事件,来确保在给定时间中,只有一个木马是运行中的。木马的版本信息储存到了二进制中。木马在C2通信时会检查版本,这样木马就能时刻更新到最新的版本。</p></li>
<li><p>APT30使用了BACKSPACE后门,也就是“Lecna”。我们通过分析这个后门的控制器软件,发现黑客会安排目标的优先级,也有可能会变换目标。BACKSPACE的C2通信过程分为两个阶段:首先受害设备会联系一个初始的C2服务器来判断自己是否连接到黑客的主控制器。由于控制器本身使用了一个GUI,所以黑客可用通过这个GUI来安排主机的优先级,给受害设备添加注释,并设置警告,确定某些主机的上线时间。最后,控制器太初一个新的对话框,提示当前“用户”登录。</p></li>
<li><p>这个黑客组织的主要目的是窃取政府的敏感信息。APT30使用的木马都具备窃取敏感信息的能力(例如特定的文件类型),在某些情况下,木马也会感染可移动设备,然后以此作为跳板,感染其他的隔离网络。某些木马具备“隐藏”模式,能长期休眠在受害主机上。</p></li>
<li><p>APT30的主要目标是持有大量政府类情报的组织机构。其中多数受害组织位于东南亚。他们在攻击中使用了大量的社会工程方法,由此说明,这个黑客组织比较感兴趣的方面包括:地区政治、军事和经济问题、领土争端问题的记者。</p></li>
</ul>
<h1>0x02 APT30:长期发展</h1>
<hr />
<table>
<thead>
<tr>
<th>域名</th>
<th align="center">域名注册日期</th>
<th align="right">早期样本的编译日期</th>
<th align="right">近期样本的编译日期</th>
</tr>
</thead>
<tbody>
<tr>
<td>km-nyc.com</td>
<td align="center">2004年3月11日</td>
<td align="right">2005年3月11日</td>
<td align="right">2014年5月11日</td>
</tr>
<tr>
<td>km153.com</td>
<td align="center">2007年8月30日</td>
<td align="right">2007年9月4日</td>
<td align="right">2014年5月11日</td>
</tr>
</tbody>
</table>
<p>我们分析了ATP30使用的木马和域名的注册时间,结果发现,这个黑客组织已经运营了10多年。我们现在已知APT30最早在2004年注册了相关的域名,而最先使用这些域名的木马是在2005年编译的。</p>
<p>一般来说,黑客组织注册的恶意域名都只会使用几年,然后弃用。但是,APT30注册的某些域名已经使用了5年,截止到2014年末,他们还在使用着早期注册的一些域名。</p>
<p>比如BACKSPACE木马(md5 哈希<code>b2138a57f723326eda5a26d2dec56851</code>)是在2005年3月11日,00:44:47编译的。这个样本使用的C2域名是www.km-nyc[.]com。近期在2014年11月5日,05:57:26编译的BACKSPACE木马 (md5 hash <code>38a61bbc26af6492fc1957ac9b05e435</code>).也把这个域名用做了一个二级域名。</p>
<p>在这么长的行动历史中,APT30只使用了有限的工具和后门。其中一个原因可能是,既然以前的方案都成功了也就没有必要指定新的方案和计划。虽然,在这么多年中,APT30也使用了一些其他的支持工具(如用于部署后门的投放器、下载器),但是他们的主要工具却没有改变过:也就是BACKSPACE后门和NETEAGLE后门,以及用于感染可移动设备的工具(SHIPSHAPE,SPACESHIP, 和FLASHFLOOD),在隔离网络上窃取数据。</p>
<p>虽然,很多其他的黑客组织会选择最新的、更灵活的具有更多功能的工具。但是,APT30选择长期投资和开发一套工具。这就说明APT30(或者说给他们提供工具的开发者)有能力修改他们的源代码,使之适应当前的需求和目标环境。第一版BACKSPACE后门最早可以追溯到2005年,现在黑客还在使用BACKSPACE系列的后门。可能是因为BACKSPACE本身的框架非常灵活,也可以进行模块开发;所以能够被多次修改开发出多种变体。</p>
<h2>APT30在执行长期任务时,使用的都是已有的工具。</h2>
<hr />
<p>FireEye已经识别了两个主要的BACKSPACE代码分支(“ZJ”和“ZR”),这两个代码的编译命令都略有不同。此外,虽然BACKSPACE的安装方式(如EXE程序,DLL文件,以及可以解压出DLL文件的EXE)和维护方法(如,利用Startup文件夹中的捷径(.link)文件,作为DLL服务文件)有很多,并且也会新增一些其他功能,但是核心功能都是一致的。</p>
<p>NETEAGLE后门的编译时间最早是在2008年,最近的编译时间是2013;这个后门的优化和修改模式都是类似的,其中有两个主要的变体的开发模式也是类似的(我们称之为“Scout” 和“Norton”)。如同BACKSPCE,不同的NETEAGLE变体具体的部署和功能也有可能不同,也可能会有附加的功能和优化,但是核心功能都是一致的。</p>
<p>APT3一直都是在修改已有的工具而没有,这点表明APT30的任务是长期一致的,所以他们只需要修改自己的工具就能胜任长期的任务。</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041703125789905.jpg" alt="enter image description here" /></p>
<h1>0x03 专业的开发工具:APT30的开发方法具有一致性和组织性</h1>
<hr />
<p>除了APT30长期使用的工具,在多数情况下,其他工具的作用可能不同,但是开发特征都具有一致性。这些工具都具有精密的版本管理系统,也会使用相同的版本检测方法和更新方法;这样就能保证在同一时间中只有一个工具在受害设备上运行。由此可见,APT30的行动非常紧凑,效率也很高。</p>
<p>BACKSPACE, NETEAGLE, SHIPSHAPE和SPACESHIP都保有内部的版本号,并能检查版本号;如果版本不是要求的版本,木马就会自动更新。我们怀疑某些木马的版本字符串中还描述了木马的其他属性。例如,一个BACKSPACE (“ZRLnk”)变体的版本字符串中,前两位表示的就是木马的版本号。下一个字符可能说明的是图标类型和漏洞文档的类型(如“p”代表的 是Acrobat Reader / PDF文件,“w”代表的是Microsoft Word)。最后,下一个字符可能说明木马使用了捷径(.lnk)文件来维持木马。</p>
<p>表1-ZRLnk的历史版本</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702491567269871f4cbc489c2507e166e9ef4200d785" alt="enter image description here" /></p>
<h2>APT30有可能是自己开发工具,也可能有开发者在支持他们</h2>
<hr />
<p>根据版本号,我们发现BACKSPACEH后门的”ZJ”变体具有最长的修改历史。我们对55个ZJ样本进行了分析,版本涵盖了1.2到20.50,时间跨度有8年(编译时间从2005年到2012年)。</p>
<p>除了版本控制,APT30还采用了相同的方法来管理多数木马(BACKSPACE, SHIPSHAPE, SPACESHIP, 和FLASHFLOOD)的执行,并保证一段时间中只运行一个木马,这样做可能是为了降低木马被检测到的几率。互斥量和事件的命名方式也有规律,多数名称中都包含‘Microsoft’ 或 ‘ZJ’ 。木马在执行时会创建互斥量,用来确保在这段时间中只能运行这个木马。事件和互斥量的命名方式是一样的,事件是为了给木马和相关的线程发送信号,进行退出。</p>
<p>木马的版本划分说明木马的开发环境具有鲜明的机构和良好的管理。同样,在一段时间中只运行一个木马,说明这个黑客组织是相当专业的。我们推测这些黑客更倾向在受害设备上安装最新版的工具。我们还判断他们可能会大规模地开展行动,希望从木马的自动管理中收益。</p>
<p>虽然我们目前还没有发现其他的黑客使用了任何本文中提到的这些工具,但是我们不能保证这些工具专属于APT30.这些工具在不断地更新中任然没有改变核心功能,说明APT30掌握有可用的开发资源,能用于修改和定制自己需要的木马。也就是说,APT30要么是自己负责工具的开发,要么就是其他的开发者在专门支持他们。</p>
<p>表2-进程执行和版本控制中使用的互斥量和事件</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702491913765e5631b40ac2c58337abc942aa22dba84" alt="enter image description here" /></p>
<h1>0x04 为了平衡隐秘性和规模性,木马的C2通信分为了两个阶段</h1>
<hr />
<p>BACKSPACE后门和NETEAGLE后门使用了两个阶段的C2服务器。后门首先与 阶段1的C2位置通信,通常是一个或多个C2域名。与阶段1 C2的交互是完全自动的;也就是说,阶段1 C2不支持黑客与受害主机之间进行任何交互通信。BACKSPACE和NETEAGLE都会使用HTTP请求与阶段1 C2交互,请求URI下载包含基础指令和信息(包括阶段2的C2位置)的文件,或者是下载并执行额外的二进制。受害主机可能会提示阶段2 C2(如传输关于受害主机的数据),只有接收到指令需要这样操作的主机才会创建完整的连接到BACKSPACE控制器。一旦木马连接到了控制器,黑客就能直接操作受害主机。</p>
<p>黑客利用这种分阶段方法,混淆了自己与受害人之间的关联。这样他们就能方便的管理大量的受害人;新感染的主机可以自动与阶段1 C2服务器交互,直至黑客选中了特定的主机进行阶段2的交互。</p>
<p>下表中列出了BACKSPACE样本(md5 哈希6ee35da59f92f71e757d4d5b964ecf00)可能请求的URI,以及每个文件的目的。完整的URI格式是<code>hxxp://<c2_domain>/<path>/<file></code>, 其中<c2_domain>是木马指定的C2域名;<path>不同样本的路径名称也一般不同(/some/ or/ForZRLnk3z/in the examples below);<file>是请求指定的文件。</p>
<p>表3-BACKSPACE在第一阶段 C2通信时使用的URI</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041703125758000.jpg" alt="enter image description here" /></p>
<p>图1-受害主机与阶段1和阶段2 C2服务器的交互</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702492693291dccaa0c679b8ee0a80f8e9471e1012cf" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/drops/20150417/201504170249349890981c8d1d842c6120100c3d589ad1c2603" alt="enter image description here" /></p>
<h1>0x05 APT30的全能后门控制系统</h1>
<hr />
<h2>给目标指定优先级,黑客轮流攻击</h2>
<hr />
<p>通过检查管理BACKSPACE 后门程序的GUI控制器,能推断出APT30执行了哪些其他的攻击活动。FireEye分析了三个BACKSPACE的控制器软件-网络神鹰远程控制系统(该系统在样本中的版本信息中称作“NetEagle Remote Control System”;在“相关”对话框中称为网络神鹰远程控制系统)。尽管我们分析的副本分别在2010,2011和2013年编译的,但是工具的描述文件还是能说明最原始的控制器软件是在2004年编译的。</p>
<p>BACKSPACE控制器是发展良好且功能全面的GUI工具。该控制器有主菜单项,包括“系统”,“网络”,“文件”,“远程”和“攻击”操作,还包括“相关”对话框。与控制器相连的受害主机的信息会在底端窗格中展示出来,其中包括主机名称,内部和外部IP地址,系统运行时间和OS版本及其语言。</p>
<p><img src="http://static.wooyun.org/drops/20150417/20150417024931749741882421eb15380eae88d218d8da8dfaf" alt="enter image description here" /></p>
<h1>0x06 APT30使用的工具进行版本检查并尝试自我更新</h1>
<hr />
<p><img src="http://static.wooyun.org/drops/20150417/2015041702492443865b8de37d6703fd7a58f23e2d7d0c33995" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/drops/20150417/20150417024922522654e1d5e3dee473eaac75f1ae6e76813fe" alt="enter image description here" /></p>
<h2>建立远程控制</h2>
<hr />
<p>阶段一C2服务器中的两个文件(dizhi.gif 和 connect.gif)能够管理阶段二C2服务器(比如,BACKSPACE控制器)的通信。BACKSPACE受害者电脑将检索dizhi.gif,并通过HTTP POST将受害者电脑的信息传递至阶段二中的IP地址和dizhi.gif明确指定的端口。该受害者信息可用于填充GUI控制器(见Figure 4)。然而,BACKSPACE客户端不能在默认情况下与BACKSPACE控制器建立交互式连接,因为这样,阶段二C2服务器被暴露的风险就会增加。</p>
<p>当有威胁发起者想要通过受害主机建立远程控制时,他会上传一个包括受害主机名和主机ID号码的通知文件(如connect.gif)至阶段二C2服务器。受害者主机会解析服务器检索的connect.gif文件,若文件中有他们的主机名和主机ID号码,他们就会与BACKSPACE控制器(使用dizhi.gif中的数据)相连。</p>
<p>dizhi.gif 和 connect.gif都是由BACKSPACE控制器基于用户定义的配置设置而生成的,且能自动上传至阶段一C2服务器。这意味着其能管理受害者电脑,降低配置错误的风险,甚至能允许相对不熟练的操作者来管理C2的基础设施和受害主机。</p>
<p>下面的屏幕截图表明了这两个文件的配置选项,包括用于连接阶段一服务器的FTP证书,文件路径,文件名及备用的阶段二C2服务器。这些相同的配置设置能够“修复”BACKSPACE二进制中为相关字节,自定义BACKSPACE木马。 相似的,第二个对话框允许威胁发起者指定联系阶段二C2服务器/BACKSPACE控制器的端口(位于dizhi.gif中)。第一个端口用于通过HTTP POST传递受害者数据。第二个端口用于与BACKSPACE控制器建立交互式连接。第三个用于操作位于控制器和受害者机器之间的反向连接后门。</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702495159642b0c1f458caaa09e8fbb818f01e6f42e5" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/drops/20150417/20150417024929631751913d08e51bd951d93e71a6e5bfecf43" alt="enter image description here" /></p>
<h2>BACKSPACE控制器-后门通讯</h2>
<hr />
<p>BACKSPACE控制器用改进的HTTP协议与受害主机上的BACKSPACE用户进行通信。受害主机向HTTP POST格式下的控制器发送数据。当该控制器接受到数据时,它就会忽略其他的HTTP头,只解析Content-Length 值和主体数据。这时也不会有确认信息反馈给后门。</p>
<p>在下面的格式中,BACKSPACE控制器能伪装成Microsoft IIS 6.0服务器中的一个响应,给BACKSPACE用户发送远程命令信息。与控制器相似,BACKSPACE用户只能解析Content-Length领域和储藏在主体中的远程命令,并忽略其他HTTP头。</p>
<h2>目标优先级和警报</h2>
<hr />
<p>BACKSPACE控制器允许威胁发起者更进一步地管理受害主机,主要通过用注释标识个人主机,给受害者机器指定优先级(“普通”,“重要”,“非常重要”),以及当受害主机上线时,设置一个警报通知威胁发起者。</p>
<h1>0x07 APT30确定目标的优先级:“不同”“重要”“非常重要”。</h1>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702493715712f21fe796539c521a8ec819bf7450832b" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/drops/20150417/201504170249332414253d843d80e37b397a1e607bab4fa3446" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/drops/20150417/201504170250002835526970051e89df11efc4d63a1d0ae0383" alt="enter image description here" /></p>
<h2>执行自定义任务</h2>
<hr />
<p>BACKSPACE控制器包括一个“自动执行自定义任务”(下方标注)的菜单项,它可以发送“O”命令,该命令受BACKSPACE后门的多种变体支持。当后门接收该命令时,会在受害主机($LDDATA$\和 %WINDIR%\$NtUninstallKB900727$) 上,根据事先定义好的路径上传数据至控制器。在自动模式下(与手动上传文件或目录相反),这个特殊的命令用来检索受害电脑上的被盗数据。APT30(特别是SPACESHIP 和FLASHFLOOD)用其他工具发现的路径常用于针对目标性的隔离电脑和网络。</p>
<p>在“自动执行自定义任务”菜单项下面是“GOTO自定义路径”的自定义选项。当选择它时,该菜单项也指导操作员用默认状态下事先定义好的路径(FLASHFLOOD的某些版本会用到):</p>
<h2>版本控制和自动更新</h2>
<hr />
<p>像许多APT30用过的工具,BACKSPACE控制器也执行版本检查并试图自我更新。开始执行时,该控制器把一个版本文件((NetEagleVer.txt)和更新过的二进制(NetEagle.exe)传递至下一个HTTP请求。</p>
<p><img src="http://static.wooyun.org/drops/20150417/20150417024936897012f92aeb7224dea75ed5ad71a7776144e" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/drops/uploads/21b12c0902b639e57ba06331e063afd0.png" alt="enter image description here" /></p>
<h2>硬盘序列号认证</h2>
<hr />
<p>BACKSPACE控制器中有一种检查,能确保控制器只能在已授权的机器上运行。控制器把本地主机硬盘序列号与控制器二进制中经过硬编码的45个序列号做比较,直到互相匹配才停止比较。这意味着控制器开发者想要限制控制器的分配和使用。开发者能为他们自己编写控制器;那么出售时,有内置限制的控制器就轮流出售,这样开发者就要持续编写、再向其他人出售自定义版本。如果大部分APT30使用的恶意软件(APT30恶意软件之间及其与控制器之间)具备紧凑的一体化性质,而且控制器能使用APT30域名进行自我更新检查,APT30(或一个与之紧密相联的开发者小组)就更有可能创建一个供他们自己使用的控制器。</p>
<h2>APT30实行轮流工作制</h2>
<hr />
<p>APT30 POSSIBLY WORKING ON SHIFTS 分析BACKSPACE控制器时,我们在可移植可执行(PE)资源部分识别了一个对话框。该对话框包含一个有“请输入您的值班员代号”的登录提示,英文表示为“Please enter your attendant code”。尽管在我们分析的样本中禁用这个功能,这个工具能追踪多个操作员的工作轨迹。</p>
<p><img src="http://static.wooyun.org/drops/20150417/20150417024939467463de331bdddb16cf4ede822130b6253b5" alt="enter image description here" /></p>
<p>BACKSPACE控制器(可能早在2014年就被编写了,但仍然能与去年编译的BACKSPACE变体相互兼容)的历史反映了随着时间的推移,工具得以发展,且能通过一个相对简单的界面,促进与受害主机的相互作用。<strong>这个工具能支持大量受害主机的交互活动,还能允许操作员进行过滤、优先化和预警,另外能管理他或她的受害者,<em>这表明了这些操作已经能证明这些特性了</em>。</strong>控制器有相同的版本控制和自我更新特性,该特性是由APT30用其他恶意软件发现的。此外,嵌入BACKSPACE控制器的序列号检查暗含着一个非常有限的分配工具,它只用于用户选择的号码。最后,“助手”对话框表明控制器本身就是在高度组织化的环境中使用的。<strong>所有这些因素都与一个威胁小组有关,这个威胁小组长期存在,且有组织、结构化的开发资源;随着时间的推移,它也能管理和追踪大量隐藏的受害者;且有实现组织目标的工作能力。</strong></p>
<h1>0x07 APT30的主要任务:出于政治利益窃取数据</h1>
<hr />
<p>基于我们对APT30目标活动和工具的了解,由于他们对经济利益不感兴趣,所以其目标应该是窃取数据。APT30并没有把容易货币化(例如,信用卡数据、个人身份信息或银行转账凭证)的受害者和数据定为攻击目标。相反,他们的工具能够识别和窃取文件,这些文件中包括利益文件,它们可能存储在隔离网络中。</p>
<p>BACKSPACE后门和NETEAGLE后门都支持一系列指令功能,能够允许黑客操纵受害者主机上的文件:可以读取和写入文件、根据指定文件名或属性搜索文件、删除文件以及将选中文件上传到控制器。虽然这些命令对功能完整的后门来说并不典型,但是BACKSPACE的某些命令更为专业,能够将文件元数据(如,文件名、文件大小、属性以及MAC time)返回到控制器。元数据传输使得BACKSPACE能够向服务器发送更少的数据,黑客根据发送结果确定要上传的文件——<strong>这两种技术都会导致网络传输数据的减少,但这几乎不会引起注意。</strong></p>
<p>SHIPSHAPE、SPACESHIP和FLASHFLOOD是三个不同的恶意软件,具有不同的功能,这三个软件会共同感染可移动硬盘、进入其他系统(包括可能存在的隔离系统)并且窃取利益文件。这些工具经常(在互斥锁、事件和他们用的注册表项中)涉及到一些术语,如:“Flash”、“Ship”、“ShipTr”和“ShipUp”,就好像这些工具是用来在电脑和可移动硬盘之间“运输”数据的。我们发现了一个SPACESHIP变体,它在通常显示为“ShipTr”的地方使用了“LunDu”, 该恶意软件可能是用来从隔离网络中将所窃取的文件“轮渡”到可移动硬盘或者到联网主机的,这样一来,这些数据就可以被攻击者删除了。除此之外,恶意软件经常在一些地方使用缩写“LD”,如,在SHIPSHAPE文件(<strong>l dupver.txt</strong>)中,在某些SPACESHIP版本用于存储所盗取数据的文件夹<strong>\$LDDATA$</strong>中,以及在含有盗取数据的扩展名为<strong>.ldf</strong>的编码文件中。</p>
<p>这三个工具的功能不同,但有所互补:</p>
<p><strong>SHIPSHAPE</strong>用于将文件复制到插在主机上的可移动硬盘内,这些文件来自受SHIPSHAPE感染电脑上的特定路径。SHIPSHAPE会查找可移动硬盘上的现有文件和文件夹并将其隐藏。然后,它将可执行文件复制到可移动硬盘,复制后的文件名和文件夹名同原来一致,但是增加了 一个<strong>.exe</strong>扩展名。SHIPSHAPE修改了主机设置以隐藏文件扩展名,所以,可执行文件看起来和原始文件相同。在Windows资源管理器中查看时,可移动硬盘中的内容会正常显示:</p>
<p><img src="http://static.wooyun.org/drops/uploads/c8b05e9cac74e3266c39d76fe34d6463.png" alt="enter image description here" /></p>
<p>APT30识别并窃取文件,尤其是识别和窃取存储在隔离网络中的文件。</p>
<p>但是,从命令行查看驱动器内容时会显示文件的两种设置:</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702494994811ca30e911483ae6bb08da83923e9ff41a" alt="enter image description here" /></p>
<p>如果某用户试图在受感染的驱动器中“打开”一个文件,取而代之的将是执行一个恶意软件的副本。</p>
<p><strong>SPACESHIP</strong>被认为是由SHIPSHAPE复制到可移动硬盘的恶意软件,大概是为了将SPACESHIP传输到隔离电脑。SPACESHIP用于搜索受害者电脑以获取特定文件(根据文件扩展名或最后修改时间)。与搜索条件匹配的文件会被压缩、编码,并复制到受感染主机的指定位置。当可移动硬盘插入受感染的电脑时,位于指定位置的编码文件会复制到可移动硬盘。</p>
<p><strong>FLASHFLOOD</strong>负责从插入电脑的可移动硬盘中复制文件到受感染电脑的硬盘驱动器,大概是为了将隔离系统中的文件移动到联网电脑中以使这些文件从受害者网络中删除。FLASHFLOOD将为指定文件(根据文件扩展名或最后修改时间)扫描受感染系统以及任何插入的可移动硬盘,并运用和SPACESHIP相同的压缩和编码方式将这些文件复制到指定位置。FLASHFLOOD可能也会记录有关受害者主机的其他信息,如:系统信息和用户Windows通讯簿中的数据。</p>
<h1>0x08 APT30的攻击目标主要是东南亚</h1>
<p>APT30经常将其目标瞄向东南亚和印度。我们发现,APT30的目标为国家政府、十个行业的区域公司以及报道区域事务和政府问题的媒体人员。根据APT30的确认目标及其受害者,组织似乎对东南亚区域政治、经济和军事问题、争议领土有关的话题很感兴趣。这让我们认为APT30的目的是为政府提供东南亚和印度主要政府以及企业实体的情报。</p>
<p>我们通过大量资料来了解APT30的预定目标。我们的资料包括:来自FireEye用户的APT30恶意软件警告、网络钓鱼诱饵文件内容和预定收件人、200多个APT30恶意软件样本以及APT30的操作时间和基础设施。我们还注意到,我们通过自己的产品检测的APT30恶意软件中,大约96%试图破坏位于东亚的客户端。</p>
<p><img src="http://static.wooyun.org/drops/20150417/201504170249448088815e2aac2bf87f3690f4ad970c9b9c71e" alt="enter image description here" /></p>
<h1>0x09 APT30跟踪东南亚国家联盟(东盟,ASEAN)的成员</h1>
<hr />
<p>该组织对与东盟有关的机构和政府十分感兴趣,尤其是在东盟召开官方会议期间。东盟是一个重要的区域性组织,其各成员国之间倡导在政治、经济、教育和社会问题方面团结与协作。目前,东盟有10个成员国:印度尼西亚、马来西亚、菲律宾、新加坡、泰国、文莱、越南、老挝、缅甸和柬埔寨。</p>
<h2>以东盟为主题的基础设施和自定义工具</h2>
<hr />
<p>APT30已为C2注册了以东盟为主题的域名,并且编译了窃取数据的恶意软件,该恶意软件专用于东盟事件。APT30很可能试图攻击东盟成员以窃取信息,这些信息有利于深入了解区域的政治和经济。</p>
<p>域<strong>aseanm[.]com——</strong>好像是模仿的东盟的合法域(www.asean.org (http://www.asean.org/))——首次注册是在2010年三月。FireEye识别了100多个BACKSPACE恶意软件变体,这些变体的C2都使用域<strong>aseanm[.]com</strong>,其中含有东盟共同体重大事件的编译日期。下表为BACKSPACE样本的编译次数,这些样本的C2也都使用<strong>aseanm[.]com</strong>,通常与东盟事件有关:</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702494795049c06891f25de3e63aa2d6c101c910a80e" alt="enter image description here" /></p>
<p>最近,大量BACKSPACE样本的出现提高了我们的评估质量,被编译的恶意软件用于以重大东盟问题为中心的攻击运动。87个最新BACKSPACE样本使用C2域<strong>aseanm[.]com</strong>,这些样本的编译日期集中在2013年1月和4月的一段时间。有35个样本的编译日期为2012年12月31日、2013年1月4日和2013年1月5日;2013年1月1日,东盟新秘书长Le Luong Minh执政,任期五年。相似地,有61个样本编译于2013年4月22日和23日;2013年4月24日-25日,第22届东盟峰会在文莱召开。</p>
<h2>2013年1月和4月,东盟峰会期间利用了自定义恶意软件</h2>
<p>黑客自定义恶意软件,这能够很好地说明其打算获取给定目标访问权限的意图;这表明,黑客共同努力以攻击受害者,而不是采取“撒网并祈祷”(“spray and pray”)的方针。2013年1月和2013年4月,APT30将自定义恶意软件用于特定运动来攻击东盟成员,或攻击与东盟国家关系密切或利益息息相关的国家。</p>
<p>APT30创建了自定义BACKSPACE “ZJAuto” (互斥锁 <strong>MicrosoftZjAuto</strong>),“ZJ Link”(互斥锁 <strong>MicrosoftZjLnk</strong>),以及“ZJ Listen” (互斥锁<strong>ZjListenLnk</strong>)变体。这些恶意软件样本有两种自定义方式:(1)<em>BACKSPACE C2 通讯中修改后的URL可能代表东盟国家代码</em>,(2)自定义数据盗窃和通信功能</p>
<p>修改后的URL</p>
<p>其中一个自定义位于指定的URL,用于BACKSPACE C2通信。BACKSPACE对其大部分的C2使用HTTP,并从第一阶段的C2服务器检索了大量文件,每个文件都有恶意软件的附加说明。典型的C2 URL格式是<strong>http://<c2_domain>/<path>/<file></strong>,此处,<strong><c2_domain></strong>是第一阶段C2的位置,<path>是一个目录名称,可能不同样本的目录名称有所不同,<strong><filename></strong>是要下载的文件(如:<strong>dizhi.gif</strong>)。</p>
<p>2013年1月和4月BACKSPACE样本使用的<strong><path></strong>名称大概暗示出,恶意软件最初打算攻击的国家(红色标记出)如下表所示:</p>
<p><img src="http://static.wooyun.org/drops/20150417/20150417025004699588498ed24119e2b38af11ac5859187e08" alt="enter image description here" /></p>
<p>支持数据窃取的自定义恶意软件</p>
<p>唯一确定的BACKSPACE “ZJ Auto”变体在2013年1月4日和5日编译完成,在攻击运动中独树一帜。该 BACKSPACE变体合并了记录的两项附加功能。第一, “ZJ Auto”将搜索利益相关文件的一系列指定文件路径,并将发现的文件上传到第二阶段C2服务器:</p>
<ul>
<li><strong>%WINDIR%\$NtUninstallKB900727$</strong></li>
<li><strong>%WINDIR%\$NtUninstallKB885884$</strong></li>
<li><strong><CSIDL_PROGRAMS>\Outlook Express\data</strong></li>
<li><strong><CSIDL_COMMON_PROGRAMS>\Outlook Express\data</strong></li>
<li>** path.ini**文件中的指定自定义路径</li>
</ul>
<p>此外, BACKSPACE的 “ZJ Auto”变体还并入了自定义命令 “{” (<strong>0x7B</strong>)。当恶意软件接收到来自控制器的该命令时,将把指定路径中的所有文件上传到第二阶段C2服务器,然后从本地驱动器中将其删除。</p>
<p>相似地, 几乎所有“ZJ Link”变体都在2013年1月或2013年4月完成了编译,并且对攻击运动的影响无可替代。 “ZJ Link”变体增加了命令 “^” (<strong>0x5E</strong>)和 “(“ (<strong>0x28</strong>)。 “^”将文件下载到指定目录 <strong>CSIDL_TEMPLATES</strong>并对文件进行重命名。 “(“检测 受“ZJ Link”感染的电脑是否能够与2180端口和443端口的指定主机进行通讯。 “ZJ Link”与另一独特变体 “ZJ Listen”合作。“ZJ Listen”变体侦听位于相同端口(2180和443)上的<strong>入站</strong>连接;这是唯一一个能够确定日期的变体,用于接收来自外部源的C2指令,因为它反对建立一个出站连接到C2服务器。“ZJ Listen”可以安装于独立的LAN,无需直接与互联网连接,而 “ZJ Link”可安装于一个可上网的普通电脑。 “ZJ Link”可接受来自BACKSPACE第二阶段C2服务器的标准指令,并且能够在断网情况下,将指令和响应转发给受 “ZJ Listen”感染的电脑。</p>
<p>APT30使用了大量诱饵文件,这些文件的内容一般会涉及到东南亚,印度以及周边地区的安全和民主问题。根据钓鱼邮件中添加的诱饵文件附件,一般就能推断黑客的出攻击目标。因为黑客一般会根据目标的喜好,来修改文件中的相关问题,以此来诱惑目标点击附件,从而感染目标。</p>
<h2>APT30利用重大的政治交接事件作为钓鱼邮件的内容,感染重要的政治人士</h2>
<hr />
<p>在2014年夏天,FireEye检测到APT30使用钓鱼邮件攻击了一名地区客户。这个诱饵文件的主题是东南亚的以此重大政权更替。在这个钓鱼邮件中植入了一个后门(攻击前一天编译),ATP30利用这个后门可以入侵受害人的计算机,从而获取关于本国不安定因素和政权交替的情报。这类情报属于高度机密的政府类情报。</p>
<p>电鱼邮件的收件人列表显示,这份邮件发送给了30多个用户,这些用户都在受攻击挂架的财政部门,政府防御部门工作。APT30机会攻击专业账户也会攻击个人账户(Gmail,Hotmail)。这份钓鱼邮件的内容都是用目标国家的语言编写的,邮件的主题翻译过来就是“外国记者对政权交替的反应”。很显然,从事国家安全的官员和领导、民主人士和公共媒体会对这个话题很感兴趣。这个钓鱼邮件的发送人来自一个政府部门,有可能是这个部门的账户被窃取了,或者是黑客把发送人账户伪装成了这个部门的账户。</p>
<h2>多个诱饵文件的主题都涉及不同国家的军事关系</h2>
<hr />
<p>APT30把不同国家的军事关系用做了诱饵文件的主题。这样做的目的可能是为了攻击那些持有双边关系情报的目标。APT30使用了一份合法的学术期刊作为其中一份诱饵文件的内容,这篇学术期刊的内容是针对印度国防和军事物资的诱饵文件</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702500279452873bc4da8b6e6bc35727f07b5f9f4b98" alt="enter image description here" /></p>
<p><img src="http://static.wooyun.org/drops/20150417/201504170249538430537853c8b6ab3c2d007252f464c17a68d" alt="enter image description here" /></p>
<p>类似的,已经有APT30的诱饵文件的内容都涉及印度国防与军事物资问题。尤其是有许多_网络钓鱼攻击_spear phishing subjects 都针对印度航空母舰和海洋监测进程。在 Figure 20中出现的诱饵文件与印度首次独立进行航空母舰的实际建设和发射有关。</p>
<p>诱饵文件并不是APT30针对印度组织的唯一证据。在印度, Virus Total的用户已经向服务器提交了APT30恶意软件,表明印度研究人员也在印度的组织中发现了APT30的可疑活动。 FireEye也识别了APT30恶意软件的警报,主要的印度用户有:</p>
<ul>
<li>一个印度航空航天防御公司</li>
<li>一个印度电信公司</li>
</ul>
<p>还有一个循环出现的APT30诱饵文件,它与受争议的地区有关,包括不丹和尼泊尔。</p>
<h2>APT30针对进行负面报道的记者</h2>
<hr />
<p>我们研究发现,APT30不仅关注东南亚和印度,还针对报道腐败、经济、人权问题的记者。黑客组织之前针对过新闻工作者,现在也经常如此,以便更好了解事件进展,预测负面报道,左右公共信息。</p>
<p>我们一个从事传媒行业的客户于2012年10月收到了一条标题为 “2012年10月29日MFA新闻发布会全部记录”的钓鱼邮件,APT30同时将此钓鱼邮件发给了全球大型新闻媒体的五十多个记者,受害人中既有官方工作账户,也有个人电子邮件账户。这些记者报道的主题总的说来可分为6类,按出现次数粗略排序如下:</p>
<p>1 经济状况 2 高科技报告 3 腐败问题 4 对异议分子的报道、人权问题 5 海洋争端 6 防卫相关话题</p>
<p>APT30试图诋毁记者和媒体,这也是对媒体不提供正面报道的一种惩罚。比如,纽约时报和彭博资讯对腐败问题进行负面报道之后,其记者都曾在获取签证时遇到麻烦。</p>
<p>黑客向受害者投放的钓鱼邮件伪装的都十分巧妙.他们是如何办到的呢? 通过观察我们发现,黑客的伎俩可能是这样的:首先他们大概从公开发布的新闻中获得了感兴趣目标的信息,然后以受害者朋友的身份来发送钓鱼邮件.</p>
<h2>已经证实的APT30目标国家及可能目标国家</h2>
<hr />
<p>已经证实的APT30目标国家(印度,泰国,韩国,沙特阿拉伯,马来西亚,美国,越南)</p>
<p><img src="http://static.wooyun.org/drops/20150417/201504170249582076656f2af5fd023a7292b93df5970f5aeb5" alt="enter image description here" /></p>
<p>可能成为APT30 目标的国家(尼泊尔,印尼,不丹,文莱,菲律宾,缅甸,新加坡,老挝)</p>
<p><img src="http://static.wooyun.org/drops/20150417/2015041702495975455089732791e41ab0adb74831864ba624d" alt="enter image description here" /></p>
<h1>0x09 总结</h1>
<hr />
<p>网络间谍有明确的目标,坚持不懈,又有着充足的资源。APT30只是他们的一个缩影。在我们看来,黑客组织要考虑操作的时机,又要优先处理目标,他们的工具还可以侵染隔离网络,对敏感数据(比如政府网络数据)兴趣十足。研究一下网络间谍筛选、跟踪病毒的方式,不难看出,这一组织内部合作协调,管理得当。我们所遭遇的黑客组织中APT30可以说是元老级,运营时间已有十年之久。它也有明确区域瞄准优先权,这种黑客组织为数不多。</p>
<p>我们对APT30的研究证实了许多猜想:网络间谍依靠网络收集近邻的信息,同时也在更大范围内收集全球信息。APT30并不注重窃取宝贵的商业知识产权亦或前沿科技,而是旨在获取邻近的东南亚地区的敏感数据。</p>
<p>在曝光APT30的过程中,我们希望各组织能增强风险意识,提升自我防御能力。APt30目标性很强,因此区域内各组织机构应加强防护,保护信息资产不为对网络间谍所用。</p> </p>
</body>
</html>