AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
蔓靈花APT組織最新的C#木馬組件揭秘
安恒安全研究院獵影威脅情報分析團隊于今年4月份監控并發現“蔓靈花”(BITTER)組織針對我國多個敏感部門進行攻擊,安全研究團隊對該次事件進行深入了分析。通過持續監控,近期又發現其開始了新的攻擊,并加入了新的組件。
?
APT組織介紹
“蔓靈花”又名“BITTER”,一個長期針對中國及巴基斯坦的政府、軍工、電力、核等部門發動網絡攻擊,竊取敏感資料,具有較強的政治背景。該組織最早在2016由美國安全公司Forcepoint進行了披露,他們發現攻擊者使用的遠程訪問工具(RAT)變體使用的網絡通信頭包含 “BITTER”,所以該這次攻擊命名為“BITTER”,同年國內安全廠商也跟進發布了分析報告,命名為“蔓靈花”。
?
攻擊樣本分析
本次攻擊(2019年9月份發現)使用了多個攻擊樣本,如捕獲到一個命名為“mypictures.chm”的樣本,該樣本格式是chm,文件被打開后展示一些圖片:
通過查看代碼發現它會在后臺通過msiexec命令去遠程服務器下載msi文件
觀察進程樹也能發現該行為:
通過安恒文件威脅分析平臺檢索域名gongzuosousuo[.]net,又發現多個樣本,其中2個樣本引起我們注意:
這兩個文件都是捆綁的主樣本,它們偽裝成office圖標的exe文件
其中“中國新的對外安全政策.docx”打開后,是關于我國外交策略的文檔,
另一個文檔顯示亂碼:
這兩個文件除了顯示假文檔還會釋放都“audiodq.exe”,且回連還是相同域名:gongzuosousuo[.]net。
?
另外,通過該域名還可以關聯到另一個msi樣本wupd.msi。
該樣本會釋放運行wupdte.exe,wupdte.exe包含pdb信息為:
-
C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb
?
wupdte.exe的主要功能為獲取基礎信息和遠程下載新樣本并執行,
該樣本會搜集計算機名、用戶名、操作系統版本、操作系統序列號等信息,發送到mil.openendhostservice[.]org遠程地址,并拷貝自身文件到
C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe
并且還可以下載遠程數據解密出樣本并執行。
接下來,分析chm文件下載的ausetup.msi文件,它運行后也會釋放叫“audiodq.exe”,其回連地址是:“lmhostsvc[.]net”,繼續使用平臺檢索該域名,發現叫做engineblock-2.jpg.exe程序
其運行后會打開圖片和釋放并運行audiodq.exe。
audiodq.exe和之前發現的樣本功能一致,只是域名有所變化,如本次攻擊所使用的其中一個域名為lmhostsvc[.]net
并且通過安恒文件威脅分析平臺分析關聯到另一個域名zhulidailiren4winnt[.]net也是主模塊回連域名。
?
深入追蹤發現BITTER組織對其組件進行了一些更新,其中最主要的變化是加入了兩款.net的遠控程序。
從樣本時間來看最新更新的組件時間為10月15日。
?
由于篇幅有限,之前的分析一筆帶過。之前組件的功能匯總如下表所示:
|
樣本名稱 |
Md5 |
功能 |
|
audiodq.exe |
6bb5614223a21db411b1cb3ed29465f5 |
主程序:發送基礎信息,可接受黑客指令下載各個組件 |
|
regdl |
be171b4df9b7db48c67f31c678421bfd |
組件:設置主程序audiodq的注冊表自啟動模塊 |
|
spoolvs |
fc516905e3237f1aa03a38a0dde84b52 |
組件:遠控模塊,具備完善的文件竊密功能,使用加密傳輸,密鑰是”m50e!sq&n67$t”,傳輸地址是:neth****pport.ddns.net |
|
igfxsrvk |
efec7464f07633415cbc36a97b900587 |
組件:鍵盤記錄模塊 |
|
dashost |
d884f6d37c0202935db1a54c7f0a79ed |
組件:功能同spoolvs,文件hash不同而已。 |
|
lsap |
44e936f5f02fa3fdf5925ba9fbd486e5 |
組件:搜集信息(收集的文件列表)和并將文件涉及的文件上傳到:Sysi****vice.ddns.net |
|
upmp |
450005b247add0b1aa03cee00c90bc3b |
組件:功能同lsap一樣,文件hash不同而已。 |
|
misis |
11864ec73e6226f52a1e6e4074b33e89 |
組件:功能和lsap類似,當文件上傳時采取的加密傳輸(參數base64+間隔符切割),地址也是:Sysi****vice.ddns.net |
|
putty |
b3e0ed34b7ee16b12b80a4dc5f8dddae |
正常文件.ssh登入工具putty.exe |
?
我們將更新后的組件和之前的組件進行了對比分析,
-
其中sleep、kill、regdl和之前的regdl一致為給audiodq程序設置自啟動,
-
lsap*系列和之前的lsap功能大致上是一致的都是搜集信息和文件并上傳,
-
igfxsrvk和之前的也是一致的主要為鍵盤記錄功能,
-
winsvc和spoolvs功能一致為遠控模塊。
這些模塊功能大致相同,樣本中的回連地址會做一些變化。
?
下面主要分析新加入的.net程序模塊MSAServices、MSAServicet、onedriveManager、sessionmanagers。MSAServices模塊分析
MSAServices為遠程控制程序,主要功能為回連遠程服務器進行命令控制和數據傳輸。
樣本先回進行一個冒泡排序,將結果寫入到
C:\Users\Public\array.txt文件中,具體內容似乎并無什么意義。
然后進行了刪除,猜測這么做的目的是為了判斷系統是否是win7及以上的系統,在WIN XP下無法發現C:\Users\Public路徑。
?
接著進行網絡連接操作并設置心跳狀態定時回調函數。
可以觀察到網絡連接的C2域名為mswinhostsvc[.]net,端口為 43821,被用于數據傳輸加解密的NetworkKey為745930。
其加密算法如下:
然后接受和發送數據信息,發送的基本信息,包括系統版本、系統用戶、系統目錄、mac地址等等信息
還包括獲取Win序列號信息等
然后該程序會進行Processor調用初始化。
包含了該程序可以執行的主要功能。
接收命令并進行執行并返回執行信息,功能如下所示:
|
包類型 |
完成功能 |
|
Delete File |
刪除文件 |
|
Get Processes |
獲取進程信息 |
|
Kill Processes |
Kill進程 |
|
Suspend Processes |
掛起進程 |
|
Resume Processes |
恢復進程 |
|
Get Process DLLs |
獲取進程中使用的dll信息 |
|
Get Process threads |
獲取進程中的線程信息 |
|
Mod Thread |
改變線程狀態 |
|
Start Process |
開始進程 |
|
FileMgr get drives |
獲取可用邏輯驅動器 |
|
FileMgr get Folders |
獲取目錄下的文件信息 |
|
FileMgr Create File |
創建文件 |
|
FileMgr Copy File |
拷貝文件 |
|
FileTransfer Begin |
傳輸文件 |
|
FileTransfer Data |
傳輸數據 |
|
FileTransfer Complete |
數據傳輸完成 |
|
FileTransfer for downloading start |
傳輸文件 |
|
Get Command |
獲取指令 |
|
Start Command Prompt |
開始命令并監控 |
|
Stop Command Prompt |
結束命令 |
|
Connection Status |
連接狀態 |
MSAServicet和MSAServices功能一致。
?
Sessionmanagers模塊分析
Sessionmanagers也為遠程控制程序,主要功能為回連遠程服務器進行命令控制和數據傳輸。
?
通過安恒文件威脅分析平臺分析發現該樣本的編譯時間故意被篡改。
該程序會連接遠程服務器進行命令和控制。
解密出遠程服務器地址為winqrcservice[.]net,端口為28564。
?
接著程序進行等待命令并處理命令階段。
命令包括獲取信息包括基本的信息和殺毒軟件信息等,
主要命令如下列表:
|
命令 |
功能 |
|
tskmgr |
啟動任務管理器 |
|
getinfo- |
獲取各類信息 |
|
prockill |
Kill進程 |
|
proclist |
列舉進程 |
|
startcmd |
開啟cmd |
|
stopcmd |
停止cmd |
|
cmd§ |
執行各類cmd指令 |
|
fdrive |
獲取邏輯驅動器信息 |
|
fdir§ |
獲取目錄下的文件信息 |
|
f1§ |
f1 +?drive name |
|
fpaste§ |
移動或拷貝文件或文件夾 |
|
fexec§ |
執行程序 |
|
fhide§ |
設置文件屬性為隱藏 |
|
fshow§ |
設置文件屬性為可見 |
|
fdel§ |
刪除文件 |
|
frename§ |
重命名文件或文件夾名 |
|
ffile§ |
新建文件 |
|
fndir§ |
新建文件夾 |
|
getfile§ |
備份文件 |
|
putfile§ |
寫入文件 |
|
fup |
上傳文件 |
|
fdl§ |
下載文件 |
|
fconfirm |
命令確認 |
|
dc |
循環接收指令 |
onedriveManager和sessionmanagers功能一致。
?
總結
通過該次分析,可以看出該組織疑似有新的C#開發成員加入或轉向了C#研發,新的組件代碼仍在持續開發階段,部分功能并沒有調用或只是測試使用,通過回連域名發現攻擊者了解中文,回連域名中包含中文拼音(如zhulidailiren4winnt、tongbanzhichi、gongzuosousuo)。
?
另外,其核心木馬下載功能也做了更新,安恒安全研究院獵影威脅情報分析團隊將持續監控該組織動態。由于篇幅關系內容有所精簡,需詳細報告請聯系郵箱ti@dbappsecurity.com.cn
?
?
IOC
域名:
hxxp://lmhostsvc[.]net
hxxp://zhulidailiren4winnt[.]net
hxxp://mswinhostsvc[.]net
hxxp://winqrcservice[.]net
hxxp://winlocsec.ddns[.]net
hxxp://tongbanzhichi[.]net
hxxp://mscnsservice.ddns[.]net
hxxp://gongzuosousuo[.]net
hxxp://mil.openendhostservice[.]org
?
文件MD5:
c87641a13843682ae16a5da18ffee654
46ef2c0db107b794516dc2b2622e44ad
4b0e5c5c4e0e22f2dfeef0531e021072
b5c66d01d0e96b04702030ed23add415
b5c66d01d0e96b04702030ed23add415
c831af87ab876bd774784eb8f3338b4b
ae02f2f8100de5f9f155f4b8ce3e494e
8831eac19d1a1c30697057fa501d063f
d8c76c736a3285378bc82ea9cd3c972d
4bfff2480fb6eaa0ef82abb0092c2586
a24d5a8f6a916fe976face1f145cf297
79a1e1d2ea5c629f60ef00a96ec4d0fe
be171b4df9b7db48c67f31c678421bfd
e421808b24c1ebd4cf0a078c6e66ded8
fc572eec5ae8b38428259c5d8fc5a05f
