APT 白象
【微步在线报告】境外黑客组织'白象'于三月上旬 对我国发起攻击
微步情报局 2018-03-30 13:09:48 6887人浏览

TAG: 高级可持续性攻击、APT、白象、特殊时期、CVE-2017-8570、木马、漏洞 

TLP: 白 (公开) 

日期:2018-03-21


概要 

    微步在线长期跟踪全球超过100个黑客团伙组织,并发布《“白象”团伙最新动向分析》、《”白象”团伙借中印边境问题再次发起攻击》、《“白象”团伙最新钓鱼网站曝光》和《“白象”团伙开始利用DDE漏洞发起攻击》等多篇与印度背景APT团伙“白象”的相关文章。2017年12月下旬,国外网络安全公司趋势科技对其攻击活动曝光后,该团伙迅速停用了所有域名、IP等基础设施,进入“蛰伏期”[1]。三月上旬,微步在线的数据监控再次监测到该团伙活动动向,具体内容包括: 

- “白象”团伙于3月初再次发起针对我国的网络攻击,使用的诱饵文档均为特殊时期的新闻话题,涉及军事、社会、法律等多个方面。 

- 诱饵文档利用Office漏洞向受害主机植入木马后门,相关程序与该团伙此前使用的木马结构功能基本一致,可根据远程控制服务器发送的指令完全控制受害主机。

- 此次攻击活动系通过钓鱼邮件对特定单位和个人发起,且攻击活动仍在继续。

- 微步在线关联到该团伙最新使用的10个域名(其中5个于今年1月19日最新注册),可用于威胁情报检测。

详情

    微步在线近日捕获“白象”使用的多个诱饵文档,分别存放在fprii.net、ifenngnews.com和chinapolicyanalysis.org等该团伙注册的仿冒网站上,文档内容涉及“2018最新部队工资调整政策” (3月6日出现)、 “民政部公布一批非法社会组织” (3月14日生成)、“中华人民共和国监察法(草案)”(3月15日生成)、以及日本防卫研究所发布的2018年版《中国安全战略报告》(3月13日出现)等特定期间热点话题,具备较强的迷惑性和针对性。如下图所示:

image.png

image.png

image.png

image.png

    这批诱饵文档均利用了微软Office较新漏洞CVE-2017-8570[1],未及时安装补丁的用户一旦打开文档就会触发恶意代码,并被植入后门程序。 

    我们以名为“Chinas_Arctic_Dream.doc”的样本(8003a48db4924d9fd241069ac5ff20c18cfdf3a81303b201a56f772f09453d67)为例对此次攻击涉及的木马程序分析如下: 

 1、样本流程概要 

       与2017年12月捕获的样本不同的是,此次样本较早期样本解密流程更加简洁,木马后门不在内存解密执行,而是落地后直接运行。流程对比图如下:

                                    image.png

                                       2017年12月份样本

                                    image.png

                                    2018年3月份样本

                                 image.png

https://s.threatbook.cn/report/win7_sp1_enx86_office2013_sp1/8003a48db4924d9fd241069ac5ff20c18cfdf3a81303b201a56f772f09453d67/?sign=history

2、Droper分析(qrat.exe) 

 1)      Word文档被打开后,会通过触发漏洞释放并运行qrat.exe,样本为C#开发,并做了混淆以防止被分析。

image.png

2)      该Droper样本和以往捕获的“白象”样本功能相似,主要是进行木马后门的安装。样本运行后会通过资源先后释放Microsoft.Win32.TaskScheduler.dll和microsoft_network.exe。这两个文件都被存放在qrat.exe的资源中,该段资源包含两个PE文件,最开始的MZ头是后门程序,而第二个MZ头是添加计划任务的dll。通过PE工具可以查看明显的PE文件特征。

image.png

    为了验证猜想,可通过PE工具和16进制编辑器对这段资源进行提取和分离然后分别得到后门microsoft_network.exe和动态链接库文件Microsoft.Win32.TaskScheduler.dll。

    释放后门到路径%APPDATA%\MicrosoftNetwork\microsoft_network\1.0.0.0目录,并注册开机启动,通过调用Microsoft.Win32.TaskScheduler.dll添加计划任务,每5分钟执行一次。

image.png

qrat.exe的编译时间为2018年2月2日。


3、后门分析(microsoft_network.exe) 

 1)      样本从编译时间来看是2018年1月23日,同样采用C#编写,也同样做了混淆,去掉混淆后发现该样本为远控木马。木马采用开源远控xRAT的源码编译,一直被“白象”团伙所使用。此次木马在功能能上相比去年12月份的样本,并没有什么功能性的变化,但是对配置文件选项进行了AES加密,并进行了Base64编码。如下图所示:

image.png

    该款木马的内部版本号为2.0.0.0 RELEASE3,上线域名tautiaos.com(当前解析43.249.37.199,已无法连接),上线端口号23558,连接密码g00gle@209.58.185.36,互斥体为eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM,配置信息解密密钥为Kkbnev10lq5zOdKl51Aq。与之前捕获的样本相比,此次样本的配置信息均进行了修改,但端口号仍然使用23588。

2)      样本运行后获取操作系统基本信息,通过“ freegeoip.net”获取受害者的地理位置,然后创建互斥体等。远控基本功能包括: 

 a)基础功能:远程 Shell,进程管理,屏幕管理,文件操作,获取主机信息,查看开机启动项,远程关机、重启等;

 b)杀软对抗,防火墙检测;

 c)自动更新功能,dll 注入; 

 d)获取同一个域下的其它设备的信息。


关联分析

    通过微步在线追踪溯源平台(z.threatbook.cn)对此次涉及的恶意域名ifenngnews.com、chinapolicyanalysis.org关联发现,除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我们此前已经掌握该团伙资产外,还发现了包括wipikedia.xyz、armynews.today等多个于2018年1月19日最新注册的可疑域名,从域名注册商、服务器信息等特点研判认为,这些域名仍为“白象”团伙所有,如下图所示:

image.png

    此外,有情报显示,“白象”团伙此次攻击主要利用钓鱼邮件向特定单位和个人传播恶意文档的下载链接,截至2018年3月21日,大多数恶意链接仍可访问下载(如hxxp://fprii[.]net/The_Four_Traps_for_China.doc),证明攻击活动仍在继续。

   IOC在下面的列表里面,可以下载放入监控或者自己的日志中捞一下看看,近期这个团伙是否关注了相关单位

  image.png

另外,微步在线开放了团伙监控的能力,你也可以使用数据监控,自己监控黑产、黑客、APT攻击者的近期状况,自动巡航,想跑都跑不了

image.png

评论 19
匿名用户 2018-05-22 16:04:13 回复
还有这种操作?
匿名用户 2018-05-21 16:18:02 回复
不错
匿名用户 2018-05-21 16:11:58 回复
姿势可以
匿名用户 2018-05-21 16:10:35 回复
姿势可以
匿名用户 2018-05-21 16:07:51 回复
学习学习1
h0st 2018-05-21 16:07:19 回复
新姿势学习下。。。
匿名用户 2018-05-21 16:06:31 回复
学习学习
匿名用户 2018-05-21 16:04:43 回复
厉害了
匿名用户 2018-05-21 15:57:07 回复
学习个
匿名用户 2018-05-21 15:50:16 回复
niupi 1
匿名用户 2018-05-21 15:49:18 回复
niupi
匿名用户 2018-05-21 15:48:03 回复
77777
匿名用户 2018-05-21 15:46:58 回复
666
匿名用户 2018-05-21 15:45:39 回复
666
匿名用户 2018-05-21 15:44:34 回复
666
匿名用户 2018-03-30 16:56:48 回复
有微步在线的系统盯着,妥妥的
AI渗透 2018-03-30 15:55:53 回复
66666
ac 2018-03-30 15:31:17 回复
8003a48db4924d9fd241069ac5ff20c18cfdf3a81303b201a56f772f09453d67 这个样本sha256给错了,应该是 21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d
微步情报局 2018-03-30 17:04:45 回复
回复@ac: 多谢 已加分