概述
瑞星威胁情报平台于2021年12月21日捕获了一起疑似威胁组织Patchwork对中国发起的攻击事件。攻击者可能利用钓鱼邮件等方式向目标分发带CVE-2017-11882漏洞的诱饵文档,该文档内容是个与中华人民共和国国家健康委员会相关的登记表,登记表内需要填写的内容包含姓名,出生日期,地址,邮箱以及电话等隐私信息。当成功诱使目标打开诱饵文档后,攻击者会利用文档漏洞执行一段shellcode,从而在目标系统内隐秘释放远控木马。
Patchwork是一个至少从2015年就开始进行网络攻击的APT组织,疑似来自印度。这个APT组织还有摩诃草、Dropping Elephant、Chinastrats、APT-C-09、Quilted Tiger和ATK 11等称谓。该组织主要是从事信息窃取和间谍活动,其针对的目标包含了中国,巴基斯坦、日本、英国和美国等多个国家,涉及的目标行业多为航空、国防、能源、金融、IT和政府等。
ATT&CK矩阵
| 战术 | 技术 | 具体行为 |
|---|---|---|
| 战术 | 技术 | 具体行为 |
| 初始访问 | 网络钓鱼 | 推测攻击行动以网络钓鱼为起始 |
| 执行 | 利用漏洞执行 | 利用CVE-2017-11882漏洞执行shellcode |
| 执行 | 计划任务/作业 | 满足一定条件会创建名为WindowsUpdate的任务计划 |
| 执行 | 用户执行 | 诱使用户点击执行 |
| 持久化 | 启动或登录自动执行 | 利用注册表自启动实现持久化 |
| 持久化 | 计划任务/作业 | 利用计划任务实现持久化 |
| 防御规避 | 隐蔽组件 | 释放的恶意程序带有隐藏属性 |
| 防御规避 | 伪装 | 释放的恶意程序伪装成OneDrive主程序并且带有无效的代码签名 |
| 防御规避 | 混淆过的文件或信息 | 上传的数据进行了对称加密和base64编码 |
| 指挥与控制 | 应用层协议 | 释放的恶意程序使用80端口上HTTP协议进行通信 |
| 指挥与控制 | 数据编码 | 外传数据使用了base64编码 |
| 指挥与控制 | 数据混淆 | 外传数据使用了对称加密 |
| 指挥与控制 | 文件传输工具 | 下载文件在受害者机器上执行 |
| 外传信息 | 自动外传 | 自动发送收集到的受害者机器信息 |
| 外传信息 | 通过替代协议外传 | 释放的恶意程序收发指令和外传数据使用不同通道 |
攻击事件
这起攻击事件投递的诱饵文档内容是个与中华人民共和国国家健康委员会相关的登记表(表内有语句不通顺处,电话缺少数字7,疑似通过机器翻译制作),登记表中需要填写的内容包含姓名,地址出生日期,邮箱以及电话等隐私信息,最后文中提及将填好的登记表发送到邮箱chinahealthgovt@163.com中。
攻击流程
样本分析
瑞星威胁情报平台捕获的样本zhuce_erlingersan.rtf带有CVE-2017-11882漏洞,攻击者会利用该漏洞执行一段shellcode,利用shellcode来隐秘释放名为OneDrive.exe的窃密远控木马。
漏洞文档分析
| 字段 | 内容 |
|---|---|
| 名称 | zhuce_erlingersan.rtf |
| MD5 | F1F51717EB81E4DF0632E20C8E455299 |
| 文件大小 | 918.55 KB (940594 bytes) |
| 文件类型 | RTF |
| 病毒名 | Exploit.shellcode/RTF!1.DA02 |
| 主要功能 | 利用CVE-2017-11882漏洞执行shellcode释放远控程序OneDrive.exe |
攻击者向目标投递的恶意文档含有CVE-2017-11882漏洞,攻击者利用文档漏洞执行shellcode,shellcode的主要作用是在C:\ProgramData目录下释放名为OneDrive.exe的带隐藏属性的远控木马。以下是关于shellcode的详细分析。
查询系统进程是否存在avp.exe(Kaspersky卡巴斯基杀毒软件相关程序)和AvastSvc.exe(Avast!杀毒软件服务进程),如果不存在AvastSvc.exe,则首先创建OneDrive.exe,再通过注册表自启动实现OneDrive.exe持久化后,将OneDrive.exe执行起来。如果存在AvastSvc.exe,则先创建计划任务实现OneDrive.exe持久化,再创建OneDrive.exe并执行。以下是对两种情况的详细分析。
- 第一种情况:进程中存在
AvastSvc.exe
首先创建名为WindowsUpdate的任务计划实现每隔1分钟启动C:\ProgramData\OneDrive.exe的操作,再在C:\ProgramData目录下创建带隐藏属性的空白文件OneDrive.exe,接着在数据中填充0x4D5A,复原得到完整的PE数据,再将完整的PE数据写入所创建的C:\ProgramData\OneDrive.exe中,接着启动C:\ProgramData\OneDrive.exe进程。
/c schtasks /create /sc minute /mo 1 /tn WindowsUpdate /tr C:\\ProgramData\\OneDrive.exe- 第二种情况:如果不存在
AvastSvc.exe
首先在C:\ProgramData目录下创建带隐藏属性的空白文件OneDrive.exe再在数据中填充0x4D5A,复原得到完整的PE数据,接着将完整的PE数据写入所创建的C:\ProgramData\OneDrive.exe中再通过注册表HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run中实现恶意程序C:\ProgramData\OneDrive.exe自启动,接着执行C:\ProgramData\OneDrive.exe。
OneDrive.exe分析
| 字段 | 内容 |
|---|---|
| 名称 | OneDrive.exe |
| MD5 | 63264BBB1D750560830A3EEA0B14485F |
| 文件大小 | 160.12 KB (163960 bytes) |
| 文件类型 | Win32 EXE |
| 病毒名 | Trojan.[Patchwork]JakyllHyde!1.C7FC |
| 主要功能 | 窃密,截图,执行cmd命令以及下发文件执行等操作 |
| 备注 | 带隐藏属性 |
OneDrive.exe是个远控木马,除了会自动收集目标信息外,还有下发文件执行,截图以及执行cmd命令等远控功能,以下是关于该程序的详细分析:
释放的恶意程序OneDrive.exe带有无效数字签名(数字签名名称:G DATA Software AG)。
创建名为asssszzcccjddddddjjjddssdfgredf的互斥体,防止多个实体互相干扰。
收集信息:包括GUID,用户名,电脑名,系统版本信息,系统网络地址。
| 信息 | 符号 |
|---|---|
| uuid | GUID后拼接随机数 |
| Un | 用户名 |
| Cn | 电脑名 |
| On | 系统版本信息 |
| Lan | 系统网络地址 |
| Nop | 无 |
| Ver | 1.0 |
将上述收集的用户名、电脑名、网络地址等信息先进行对称加密和再进行base64编码,在加密数据后拼接字符串&crc=e3a6。通过POST方式向hxxp[:]//104[.]143[.]36[.]19/e3e7e71a0b28b5e96cc492e636722f73/4sVKAOvu3D/ABDYot0NxyG.php发送加密后的数据。
接收和解析回传数据并进行相对应的远控操作。恶意程序中涉及远控操作的指令码有多个,功能主要包含退出程序,执行cmd命令,上传截图以及下发文件执行等。
| 指令码 | 功能 |
|---|---|
| 0 | 退出程序 |
| 8 | 发送%temp%目录下TPX498.dat文件的相关信息并接收数据 |
| 23 | 发送%temp%目录下截图文件TPX499.dat的相关信息并接收数据 |
| 13 | 执行cmd命令并回执结果和接收数据 |
| 4 | 发送%temp%目录下edg499.dat文件的相关信息并接收数据 |
| 5 | 上传指定的文件内容并接收数据 |
| 33 | 从指定URL获取文件并执行 |
关联分析
瑞星威胁情报平台发现此次攻击事件和10月份疑似Patchwork针对巴基斯坦的攻击事件类似,在针对巴基斯坦的攻击事件中,攻击者也是利用带CVE-2017-11882漏洞的诱饵文档对目标进行攻击。诱饵文档名为Special_Tax_Relief_Package.rtf_,文档内容是个和巴基斯坦政府部门税收减免计划相关的登记表,登记表中要填写的内容包含姓名,工作单位,出生日期,CNIC号码,邮箱以及手机号码等信息。当目标打开诱饵文档后,攻击者利用文档漏洞执行一段shellcode,从而在目标系统C:\ProgramData目录下释放的名为OneDrive.exe的窃密远控木马。两次攻击的攻击手法,过程等大致相同,猜测是和威胁组织Patchwork相关。
总结
APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征,针对的目标都是具有重大信息资产,如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等,国内相关政府机构和企业单位务必要引起重视,加强防御措施。
预防措施
-
不打开可疑文件。
不打开未知来源的可疑的文件和邮件,防止社会工程学和钓鱼攻击。
-
部署网络安全态势感知、预警系统等网关安全产品。
网关安全产品可利用威胁情报追溯威胁行为轨迹,帮助用户进行威胁行为分析、定位威胁源和目的,追溯攻击的手段和路径,从源头解决网络威胁,最大范围内发现被攻击的节点,帮助企业更快响应和处理。
-
安装有效的杀毒软件,拦截查杀恶意文档和木马病毒。
杀毒软件可拦截恶意文档和木马病毒,如果用户不小心下载了恶意文件,杀毒软件可拦截查杀,阻止病毒运行,保护用户的终端安全。
瑞星ESM目前已经可以检出此次攻击事件的相关样本
-
及时修补系统补丁和重要软件的补丁。
沦陷信标(IOC)
-
MD5
F1F51717EB81E4DF0632E20C8E455299 63264BBB1D750560830A3EEA0B14485F -
IPV4
104.143.36.19 -
URL
hxxp://104.143.36.19/e3e7e71a0b28b5e96cc492e636722f73/4sVKAOvu3D/ABDYot0NxyG.php hxxp://104.143.36.19/e3e7e71a0b28b5e96cc492e636722f73/4sVKAOvu3D/UYEfgEpXAOE.php