黑客攻击的首选目标是哪些?潜藏十年的网络攻击
“暗象”组织(DarkElephant Group)是一个疑似来自印度的APT攻击组织,其主要针对印度境内的社会活动人士、社会团体和在野政党等,同时也会窃取印度周边国家如中国和巴基斯坦等的军事政治目标的重要情报。“暗象”组织的主要攻击手段是使用谷歌/雅虎邮箱或者利用盗取的邮箱,向对方发送极具迷惑性的鱼叉邮件,诱骗对方运行具备多种免杀技巧、包含成熟商用远控木马载荷。至少自2012年以来,该组织针对印度境内的目标,以及包括中国在内的印度周边的目标,发动了长达十年的网络攻击活动。因为该黑客组织在构陷其境内目标时手段十分暗黑(Bhima Koregaon案件中诬陷社会活动人士的执行者),以及结合其组织层面的面貌暗藏十年有逾而鲜有曝光的情况,安天CERT将该组织命名为“暗象”。本文参考了国际其他安全团队的研究成果[1][2],并补充“暗象”组织针对我国重要单位的网络攻击活动,最后通过溯源分析指出该组织背后的运营人员可能位于东5.5时区(印度国家标准时间)。
2.攻击组织分析“暗象”组织的整体特点可总结如下:
表2-1 “暗象”组织特点总结
组织名称 |
“暗象”组织 / DarkElephant Group | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
组织性质 |
高级持续性威胁 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
疑似来源 |
印度 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
活动时间 |
最早可追溯到2012年,迄今存在活跃 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
攻击意图 |
获取个体和组织信息、窃取情报 | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
针对目标 |
印度境内的社会活动人士、社会团体和在野政党等等; 图 2‑1样本文件谈及印度境内相关组织制作定时炸药 经过关联并结合已公开的数据,我们统计出“暗象”组织典型的攻击样本如下: 表2-2 “暗象”组织典型样本
在以上样本中,攻击者采用过不同的C2运营技巧。最早在2012年时,“暗象”组织的击键记录器会将窃密数据发往硬编码的邮箱账号。在之后采用各种商业木马窃密时,先是注册免费的动态域名如:*.ddns.net和*.zapto.org等,到2020年以后开始自行注册命名上具有迷惑性的C2域名。 除了在网络基础设施的搭建运营上表现出一定的低廉性,在所有观察到的攻击样例里,也没有发现任何攻击者自身设计研发的窃密程序,大多是直接使用成熟的商用远控工具如NetWire、DarkComet、ParallaxRAT等,猜测此能力状况主要是适应其主要业务:应对集中在印度境内的处境窘迫、缺乏网络安全防范意识和手段的社会活动人士,事实上,当攻击者尝试以此手段攻击我国境内目标时可能就很容易被察觉和阻断。 3.针对我国的窃密事件3.1 攻击流程分析 2020年10月13日,国内某重要单位信箱收到一份可疑的电子邮件,发件人使用Gmail邮箱且不在该单位的通讯录内,邮件主题为“关于丢失带有敏感文件的外交包的信”,并在正文中提供了一条可供下载可疑文件的网盘链接。 该链接为国外某网盘的分享链接,点击可下载得到一份ZIP压缩包,名为“Letter regarding loss of Diplomatic Bag with Sensitive Documents.zip”,包内存有一份包含恶意代码的自解压诱饵“Letter regarding loss of Diplomatic Bag with Sensitive Documents.exe”:
图 3‑1 ZIP压缩包的内容 表 3‑1自解压诱饵
该自解压诱饵同时被多个数字证书签名,文件内容包含:4个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe),加载器Nevaeh.exe及其配置文件Nevaeh.cfg,功能脚本Meredith.vbs:
图 3‑2 自解压诱饵的内容 以及1个运行后展示给受害者的掩饰文档:DiplomaticBag.pdf
图 3‑3 掩饰文档的内容 当自解压诱饵被执行后,会先运行加载器Nevaeh.exe,加载器调用其配置文件Nevaeh.cfg后运行功能脚本Meredith.vbs,Meredith.vbs负责运行4个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe),4个木马程序会解密远控木马的载荷,最后将载荷注入系统的白进程的内存中运行。梳理整体的流程如下图:
图 3‑4 整体攻击流程图 3.2 加载器分析 加载器Nevaeh.exe实际为知名的自动运行工具AdvanceRun,攻击者此处通过配置文件Nevaeh.cfg传输参数,实现在系统的临时目录中静默执行功能脚本Meredith.vbs:
图 3‑5 调用配置文件后的加载器参数 3.3 功能脚本分析 Meredith.vbs脚本的代码夹杂有大量注释,梳理出的主要功能有如下: a)展示掩饰文档DiplomaticBag.pdf,迷惑受害者:
图 3‑6 打开诱饵文件 b)强制关闭系统的SmartScreen安全功能:
图 3‑7 关闭SmartScreen功能 c)实现持久化,将木马程序Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe都添加到计划任务中:
图 3‑8 添加任务计划 3.4 木马程序分析 四个木马程序(Pollard.exe、Sexton.exe、Beltran.exe和Wilcox.exe)都会随计划任务而定时启动,启动后运行各自对应的四个系统白程序,同时在内存中解密出同一shellcode, shellcode负责将自身包含的一段PE数据(ParallaxRAT远控木马)注入对应的白进程中。其中,Beltran.exe负责操作rundll32.exe进程,Pollard.exe操作svchost.exe进程,Sexton.exe操作dllhost.exe进程, Wilcox.exe操作notepad.exe进程。
图 3‑9 解密出的shellcode数据
图 3‑10待注入notepad.exe白进程的PE数据 梳理出的白进程调用和注入流程关系如下:
图 3‑11 白进程调用和注入的流程关系图 注入白进程的PE数据属于Parallax RAT远控木马,在内存中运行时会尝试连接域名asianmedics.today,解析到的IP为23.160.208.250,端口号为8647。Parallax RAT属于公开的商业远控,具备文件管理、击键记录、远程桌面、密码窃取、命令执行、进程管理、上传和执行等能力,功能运行都成熟稳定,足以支持常规的窃密操作。
图 3‑12 典型的Parallax RAT控制面板 3.5 对抗手段分析 上述四个木马程序皆具备以下三种对抗分析的能力: a)拥有数字签名:形成一定的免杀能力,迷惑取证分析时的人工判断,且基本每次行动都会更换签名。
图 3‑13 木马程序皆有数字签名 a)文件图标伪装:题材的选取上非常随意,并无表现出针对性。
图 3‑14 木马程序皆有图标伪装
图 3‑15 同源木马程序也存在图标伪装 c)时间戳篡改:都被统一篡改成了2006-12-05 20:36:44,意在对抗时区分析。
图 3‑16 木马程序皆有篡改时间戳 在后续关联出的同源木马中,除了存在以上常用的三种对抗技巧外,还有如填充无用字节形成数百兆的大体积文件以对抗云查杀等手段。 4.Bhima Koregaon案件4.1 攻击流程分析 2016年6月13日下午3点07分,印度知名社会活动家Rona Wilson收到一封来自其好友Varavara Rao的电子邮件,信中提醒Rona Wilson下载查看附件中的文档“another victory.doc”,并表示文件来自Kobad(疑似Kobad Ghandy)。Rona Wilson此时并不知道Varavara Rao的邮箱账号早已被黑客盗用,附件文档也被漏洞(CVE-2012-0158、CVE-2015-1642)所武器化,如果被点击打开,系统会被植入商业远控木马NetWire:
图 4‑1 攻击邮件一(未攻击成功) Rona Wilson查看该邮件后,发现附件的文档不能被正常打开,回复对方说希望重新发送一份。对方在14分钟后重新发送了一份与上述所类似的攻击文档,并用ZIP压缩打包,表示“希望这次能顺利运行”:
图 4‑2 攻击邮件二(未攻击成功) Rona Wilson尝试下载对方发送的压缩包,但发现附件被浏览器告警存在病毒,不能成功下载。将该情况告知对方后,对方时隔38分钟又回复了一条Dropbox网盘的下载链接,并声称自己不擅长电脑技术,于是重新上传到了网盘中希望Wilson下载。 但正文中的Dropbox链接实际指向了一条暗链接,点击后实际上是从攻击者的服务器下载:
图 4‑3 攻击者的回复包含暗链接 Rona Wilson这次成功的将RAR压缩包下载回来,并回复对方这次虽然已经能够下载,但是打开后会弹出一个损坏的文件,只有信头可读,其他文字全是乱码:
图 4‑4 Wilson回复对方已经成功下载文件并打开
图 4‑5掩饰文档展示的内容 此刻Rona Wilson还没意识到,自己的笔记本电脑已经经历了如下图所示的木马植入流程,对方能已经能够通过NetWire木马远程控制其电脑系统:
图 4‑6 攻击邮件三(成功实现了攻击入侵) 4.2 诬陷投递分析 攻击者从Rona Wilson的电脑中进行一系列的窃密操作。根据Arsenal公司的取证报告[2],攻击者将本地的重要文件复制到C盘建立的“backup2015”目录中,在利用脚本调用同步工具将文件同步到攻击者的FTP服务器上,操作对象包括本机硬盘以及所有接入系统的外设存储设备。 更重要的,攻击者也向Rona Wilson的电脑中进行一系列的文件投送操作。根据Arsenal公司的取证结果[2],2016年11月3日,攻击者在Rona Wilson电脑的D盘中建立了一个名为“Rbackup”的目录,然后将其设置为隐藏属性。Wilson的电脑中安装了Quick Heal杀毒软件,其行为监测系统(BDS)会日常记录系统中各种应用程序的执行信息。通过还原出的记录表明,在创建“Rbackup”隐藏目录后的一年多里,攻击者通过NetWire远控向该隐藏目录陆续发送了上千封精心制作的信件文件,而这些信件的内容会严重触犯印度的反恐法律。 通讯信件的投递过程都是通过NetWire木马远程进行的,通常以向隐藏目录发送RAR压缩包和WinRAR解压程序开始,然后在同目录下解压出一堆文件,最后以删除该RAR压缩包和该WinRAR程序的操作为结束。 这些通讯信件以PDF格式和Office格式为主,内容大都是格式简陋的传统信件,不像电子邮件具备严格的数字痕迹,而且大多数的信件文件据称还被刻意地清除了元数据。
图 4‑7 信件内容为购买军火和刺杀莫迪总理 同时这些信件的创建和留存还存在诸多疑点:
4.3 事件流程梳理 2018年3月14日,攻击者将隐藏目录积累的大量信件中最关键性的一部分,复制到了连接在Rona Wilson电脑上的闪迪U盘中。 2018年4月16日下午4点50分,“Rbackup”隐藏目录最后一次被攻击者更改。 2018年4月17日早上6点,印度马哈拉施特拉邦的浦那区警方,声称通过得到线人密报[5],前往突袭了Rona Wilson位于新德里的住宅,并在Wilson使用的U盘和电脑硬盘中查获了一些足以论罪的数字证据。
图 4‑8 Bhima Koregaon案件时间线 5.溯源分析由于大量攻击活动使用的是商业远控工具,所涉及恶意程序的有效时间戳也基本被篡改,已无法通过基于正常作息的时区分析去推理攻击者所在的地理位置。但攻击者在制作掩饰白文档的过程中,通过浏览器将HTML网页另存为PDF文档的阶段里,我们收集到此类PDF样本中有少数的几例记录下了疑似攻击者机器所处的时区:UTC 05’30’:
图 5‑1 掩饰文档记录的时区 UTC 05:30时区除了适用于斯里兰卡外,也是印度的国家标准时间。 6.小结安天对来自疑似印度的网络攻击的捕获分析始于2013年,先后捕获、分析、命名了“白象”、“幼象”、“苦象”等攻击组织。在过去近10年的攻击中,印度的网络攻击中心逐渐从巴基斯坦转移到中国。而通过对“暗象”攻击组织的活动,我们可以看到印度相关机构不仅极为频繁对周边国家实施网络攻击,同时也将网络攻击手段广泛用于国内目标,甚至用攻击手段构陷其国内社会活动人士,相关组织行动隐蔽能力较强,值得关注与警惕。 参考资料[1] ModifiedElephant APT and a Decade of Fabricating Evidence https://www.sentinelone.com/labs/modifiedelephant-apt-and-a-decade-of-fabricating-evidence/ [2]【Rona Wilson计算机设备取证报告】BK-Case-Rona-Wilson-Report-I https://arsenalexperts.com/persistent/resources/pages/BK-Case-Rona-Wilson-Report-I.zip [3]【Rona Wilson iPhone 6s取证报告】BK-Case-Rona-Wilson-Report-IV https://arsenalexperts.com/persistent/resources/pages/BK-Case-Rona-Wilson-Report-IV.zip [4] One of many "process trees" Arsenal built from recovered application execution data on Rona Wilson's computer https://twitter.com/ArsenalArmed/status/1359472050235199490/photo/1 [5]【孟买高等法院刑事令状请愿书】Ronal-Wilson_Bombay-HC https://theleaflet.in/wp-content/uploads/2021/02/Ronal-Wilson_Bombay-HC.pdf 往期回顾:[1] “幼象”组织在南亚地区的网络攻击活动分析 “幼象”组织在南亚地区的网络攻击活动分析 [2] “幼象”组织针对巴基斯坦国防制造商的攻击活动分析报告 “幼象”组织针对巴基斯坦国防制造商的攻击活动分析报告 [3] “苦象”组织上半年针对我国的攻击活动分析 “苦象”组织上半年针对我国的攻击活动分析 [4] 苦象组织近期网络攻击活动及泄露武器分析 苦象组织近期网络攻击活动及泄露武器分析-安天 智者安天下 [5] 白象的舞步——来自南亚次大陆的网络攻击 白象的舞步——来自南亚次大陆的网络攻击-安天 智者安天下 [6] “折纸”行动:针对南亚多国军政机构的网络攻击 “折纸”行动:针对南亚多国军政机构的网络攻击-安天 智者安天下 [7] 安天发布:潜伏的象群——越过世界屋脊的攻击 安天发布:潜伏的象群——越过世界屋脊的攻击 ,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com 热门推荐
|