臭名昭著的遠程控制木馬Poison Ivy（后面稱作PIVY）最近開始重新露出水面。并且出現了一些新行為。過去一年，已經發現PIVY為了種種企圖攻擊了許多亞洲國家。

Palo Alto Network的Unit 42最近發布博文，一個被稱為SPIVY的新Posion Ivy變種正在攻擊香港活動家，它使用DLL旁加載（DLL sideloading），并且在操作方面與ASERT（Arbor’s Security Engineering &Response Team ）最近發現的至少活躍了12個月的變種有很大不同。技術細節

ASERT捕捉到的PIVY變種與以前發現的相比出現了一些新的行為。樣本會釋放一個doc誘餌-通常在目標上會有清晰地提示，一個名為ActiveUpdate.dll的DLL和PIVY shellcode文件Active.dat。ActiveUpdate.dll和Active.dat文件在形如ActiveUpdate_ [0-9]{3}的文件夾中創建?？蓤绦形募裷undll32.exe拷貝為ActiveFlash.exe，然后用這個新文件執行DLL，通過在Window啟動目錄下創建.Lnk文件實現自啟動安裝。ESET把這些樣本稱為“Win32/Korplug.I[F-I] variant”，或許是因為惡意軟件通過rundll32使用DLL旁加載技術加載釋放的DLL來執行它的惡意行為。這個惡意軟件從去年（或許更早）就開始部署了，在拷貝rundll32時使用了不同的可執行文件名和目錄名，但是，這篇文章只討論使用“ActiveUpdate”的變種子集。

　　PIVY樣本的執行流程圖

這些二進制的編譯時間與第一次發現它們在外散播的時間聯系緊密，與樣本在配置文件中的一些活動ID（campaign ID）里包含的時間戳項的聯系也很緊密。

解密后的配置文件也發生了輕微的變化，這樣就可以干擾網上公開的工具解析配置文件數據?；顒覫D也不再是全部使用null填補，而是使用一個字節的null加一個全為“x”字符的字符串來填補，這樣就可以起到干擾一些腳本的作用。此外，C2s也不再使用null填補，每個主機名后面都會包含一個null字節，后面接著是一個類似于“0.1127.0.0.1127.0.0.100000”的字符串。對于每個Command &Control (C2)服務器，這個字符串會有輕微的變化，以“1”開始的地方會在第二個C2時變成“2”，第三個會變為“3”，以此類推。這些值最后會出現在內存的某個地方，解析時不需要額外的東西只需要做一點微調就可以了。

在許多PIVY樣本中發現了名為webserver.servehttp[.]com的主機名，這篇文章中會涉及到其中一些。此外，這個主機名解析出來的IP，與早期發現的似乎與此無關的PIVY樣本中使用的fileshare.serveftp[.]com解析出的IP有重合。誘餌文檔和目標信息

發現許多PIVY樣本攻擊緬甸和其它一些亞洲國家。但是ASERT目前還不知道其確切的目標和傳播方法，文檔和提交源提供了關于攻擊的動機和潛在目標的線索。前一部分描述的樣本-a7d206791b1cdec616e9b18ae6fa1548ca96a321-被發現于2015年12月后期攻擊緬甸，樣本的編譯時間戳是2015年12月2日，文件名里的時間標記看起來是引用了2015年12月25日發布的一篇報告，而文件是在美國時間2015年12月24日傍晚首次看到的，這正好是緬甸的12月25日。釋放了名為“STEP Democracy Year 1 Acheivements_25112015.docx”的文檔，該文檔也被SHA1值為724166261e9c2e7718be22b347671944a1e7fded的樣本釋放為“Year1achievementsv2.docx”，但是這個樣本在與之相同的C2s上使用了不同的通信密鑰。文檔似乎是STEP民主倡議的分支，國際民主和選舉援助學會（International Institute for Democracy and Electoral Assistance，IDEA），在12月發布的最終報告的草案。

IDEA是歐盟資助的項目-支持選舉程序和民主（Support to Electoral Processes and Democracy ）(STEP Democracy)的一部分，它的目標是在全世界支持民主。IDEA在緬甸最近選舉前后都與其協作，保證“和平，透明和可信的選舉”。這項工作的一部分是發布類似于上面提到的報告和草案。在這里，誘餌文件的元數據包含一個“0IDEA”的公司名和一個“Sophia”的作者名-或許是組織中的某個現任成員，

最后一次編輯時間是2015年12月20日。文檔的內容描述了關于緬甸民主選舉的一場辯論的細節。這個時間軸說明目標經歷了12月初發生的選舉，但是仍然關注有志于緬甸國內民主的個體。緬甸選舉后的目標好像是跟隨ASERT寫的“Uncovering the Seven Pointed Dagger”文章中提到的模式。在這里看起來，攻擊者開始使用STEP組織的文章，利用選舉后的緬甸相關內容繼續開展魚叉攻擊。這些樣本使用的C2-jackhex.md5c[.]com-解析出的IP地址屬于103.240.203.0/22，而在Seven Pointed Dagger攻擊活動中也是這樣做的，這說明兩者存在可能的聯系。“LURK0”Gh0st遠程管理工具和另外一個PIVY域名也同樣解析到了那個范圍里的IP，這說明這個子網有發動針對性攻擊的嫌疑。

　　釋放的涉及緬甸民主進程的文檔

同時最近也發現了許多關注經濟的文檔，并且其中一個樣本也涉及到緬甸。這個樣本使用了“mm20160405”活動ID，釋放了名為“Chairman’s Report of the 19th ASEAN Regional Forum Heads of Defence Universities, Colleges, Instiutions Meeting, Nay Pay Taw, Myanmar.doc” 的文件，其中提到了2015年9月在緬甸召開的東南亞國家聯盟(Association of Southeast Asian Nations,ASEAN)會議。這個樣本的時間與早些時候的樣本有點不同，好像是一個后續活動，因為惡意文件的編譯時間戳是2016年3月25日，再加上活動ID里的時間戳是2016年4月5日，以及首次發現在外散播的時間是2016年4月11日。配置文件中的mutex-20150120-與前期釋放STEP計劃相關文檔的樣本的mutex是同一個，但是這個mutex在其他許多使用“ActiveUpdate”目錄結構的PIVY樣本中也被使用，好像不是用于識別活動或者識別外面的使用相同版本的樣本之間的關系。這個樣本中使用的C2-admin.nslookupdns[.]com-解析到了118.193.218.0/24子網中包含的IP。與前面討論的樣本相同，ASERT觀察到了包括Nitol, Gh0strat以及其它使用“ActiveUpdate”的PIVY樣本在內的惡意軟件家族存在重疊。這個樣本的C2域名是news.tibetgroupworks[.]com，這明顯得暗示了目標動態，但是，沒有發現釋放誘餌文檔，也沒有發現進一步的信息幫助支持這個目標假定。

　　釋放的與緬甸的ASEAN會議相關的文檔

繼續討論關于攻擊ASEAN的活動的話題，樣本31756ccdbfe05d0a510d2dcf207fdef5287de285釋放了名為“Robertus Subono-REGISTRATION_FORM_ASEAN_CMCoord2016.docx”的誘餌文檔，它涉及到2016年3月28至4月1日在曼谷舉辦的東盟人道主義軍事協調會議。這個文檔是印度尼西亞出席者的注冊表，要發往泰國國防部郵箱。這個樣本的編譯時間是2016年3月10日，被ASERT在2016年3月20日首此發現，并且包含了一個有效的Google數字簽名。把意圖，會議的地點以及表格要發往的郵件地址和“modth”活動ID相結合，推測這個樣本的可能目標是泰國國防部。這個樣本使用的C2與前面的涉及緬甸ASEAN會議的樣本在很大程度上相重合-第一個C2使用80端口，而前面的樣本使用81端口，并且它們都是使用了相同的mutex和密碼。這個重合暗示了對ASEAN成員國及他們舉行的會議的持續攻擊。

31756ccdbfe05d0a510d2dcf207fdef5287de285樣本釋放的涉及泰國ASEAN會議的誘餌文件。

ec646c57f9ac5e56230a17aeca6523a4532ff472樣本釋放的“2016.02.29-03.04 -ASEM Weekly.docx”誘餌文檔也很有趣，它不像其它兩個文檔使用英文-谷歌識別出文檔中的語言為蒙古語。

ec646c57f9ac5e56230a17aeca6523a4532ff472釋放的涉及亞歐會議（Asia-Europe Meeting ，ASEM)的誘餌文檔

f389e1c970b2ca28112a30a8cfef1f3973fa82ea釋放的誘餌文檔1.docx，在沙盒中運行時奔潰，手工恢復出了一個韓文文檔，惡意軟件的活動ID是kk31。這個文檔看起來與外國的韓語學校有關，電話號碼說明從屬于韓國外交部，但是現在也不清楚其攻擊目標。

　　f389e1c970b2ca28112a30a8cfef1f3973fa82ea釋放的韓語誘餌文檔

樣本f389e1c970b2ca28112a30a8cfef1f3973fa82ea釋放了一個名為“Commission on Filipinos Overseas &Dubai.doc”的誘餌文檔，但是這個文檔無論是在惡意軟件沙盒還是手動打開都沒有正確渲染。VirusTotal顯示了一個來自菲律賓的樣本，這說明菲律賓是目標，并非阿拉伯聯合酋長國的迪拜。這個樣本的C2s使用了webserver.servehttp[.]com，這在最近的許多樣本中也出現了，說明相同的攻擊者參與了這次攻擊活動。結論

正如這篇文章和前面的幾篇文章中描述的，PIVY在持續進化，被用于無數的目標攻擊活動中-不像其它的惡意軟件家族，比如PlugX或者Dukes。這肯定不是PIVY的最后進化，ASERT會在發現他們時持續監視這些威脅。我要感謝ASERT的Curt Wilson幫助我研究文章中的一些問題。IOCS

文章中討論過的樣本的配置要素和額外信息

SHA1: a7d206791b1cdec616e9b18ae6fa1548ca96a321

First Seen: Nov. 24, 2015

Name:STEP Democracy Year 1 Acheivements_25112015.exe

Decoy Doc: STEP Democracy Year 1 Acheivements_25112015.docx

Campaign ID: om

C2s: jackhex.md5c.net:8080

jackhex.md5c.net:53

Mutex: 20150120

Password: 18703983384

SHA1: 724166261e9c2e7718be22b347671944a1e7fded

First Seen: Nov. 23, 2015

Name:Year1achievementsv2.exe

Decoy Doc: Year1achievementsv2.docx

Campaign ID: om

Mutex: 20150120

Password: 15911117665

SHA1: 675a3247f4c0e1105a41c685f4c2fb606e5b1eac

First Seen: April 7, 2016

Name: Commission on Filipinos Overseas &Dubai %E2%80%AEcod.doc

Decoy Doc: Commission on Filipinos Overseas &Dubai.doc

Campaign ID: gmkill

C2s: webserver.servehttp.com:8080

webserver.servehttp.com:8080

webserver.servehttp.com:8081

Mutex: 20150120

Password: 13813819438

SHA1: 63e00dbf45961ad11bd1eb55dff9c2771c2916a6

First Seen: April 11, 2016

Name: 1.exe

Decoy Doc: Chairman's Report of the 19th ASEAN Regional Forum Heads of Defence Universities, Colleges, Instiutions Meeting, Nay Pay Taw, Myanmar.doc

Campaign ID: mm20160405

Domain Created: December 17, 2015

C2s: admin.nslookupdns.com:81

admin.nslookupdns.com:53

admin.nslookupdns.com:8080

Mutex: 20150120

Password: 52100521000

SHA1: 31756ccdbfe05d0a510d2dcf207fdef5287de285

First Seen: March 20, 2016

Name: Unknown

Decoy Doc: Robertus Subono-REGISTRATION_FORM_ASEAN_CMCoord2016.docx

Campaign ID: modth

C2s: admin.nslookupdns.com:80

Mutex: 20150120

SHA1: ec646c57f9ac5e56230a17aeca6523a4532ff472

First Seen: March 10, 2016

Name: 2016.02.29-03.04 -ASEM Weekly.docx.rar^2016.02.29-03.04 -ASEM Weekly.docx.exe

Decoy Doc: 2016.02.29-03.04 -ASEM Weekly.docx (Mongolian language)

Campaign ID: wj201603

Domain Created: January 14, 2016

C2s: web.microsoftdefence.com:8080

web.microsoftdefence.com:8080

web.microsoftdefence.com:80

Mutex: 20150120

Password: 80012345678

SHA1: f389e1c970b2ca28112a30a8cfef1f3973fa82ea

Name: Unknown

Decoy Doc: 1.docx (corrupted but recoverable, Korean language)

First Seen: April 9, 2016

CampaignID: kk31

C2s: webserver.servehttp.com:59148

webserver.servehttp.com:59418

webserver.servehttp.com:5000

Mutex: 20160301

Password: 13177776666

SHA1: 49e36de6d757ca44c43d5670d497bd8738c1d2a4

Name: Unknown

Decoy doc: 1.pdf, references project in Vietnam requesting an email to a Thailand email address

webserver.servehttp.com:59418

webserver.servehttp.com:1024

Mutex: 20160219

Campaign ID: mt39

Discovered during investigation, but do not drop decoy docs, exhibited similar configuration padding

SHA1: ef2618d58bd50fa232a19f9bcf3983d1e2dff266

Name: 2.tmp

Decoy Doc: None

First Seen: June 3, 2015

Domain Created: May 29, 2015

C2s: news.tibetgroupworks.com:80

news.tibetgroupworks.com:80

Campaign ID: 213

Mutex: 2015012SHA1哈希

63e00dbf45961ad11bd1eb55dff9c2771c2916a6

675a3247f4c0e1105a41c685f4c2fb606e5b1eac

49e36de6d757ca44c43d5670d497bd8738c1d2a4

cbbfc3b5ff08de14fdb2316f3b14886dfe5504ef

a7d206791b1cdec616e9b18ae6fa1548ca96a321

ec646c57f9ac5e56230a17aeca6523a4532ff472

ef2618d58bd50fa232a19f9bcf3983d1e2dff266

f389e1c970b2ca28112a30a8cfef1f3973fa82ea特有的C2主機名*本文譯者felix，翻譯自：，轉載須注明來自FreeBuf黑客與極客（FreeBuf.COM）