Author：天眼實(shí)驗(yàn)室 && 追日團(tuán)隊(duì)

0x00 概述

人面獅行動(dòng)是活躍在中東地區(qū)的網(wǎng)絡(luò)間諜活動(dòng)，主要目標(biāo)可能涉及到埃及和以色列等國家的不同組織，目的是竊取目標(biāo)敏感數(shù)據(jù)信息?；钴S時(shí)間主要集中在2014年6月到2015年11月期間，相關(guān)攻擊活動(dòng)最早可以追溯到2011年12月。主要采用利用社交網(wǎng)絡(luò)進(jìn)行水坑攻擊，截止到目前我總共捕獲到惡意代碼樣本314個(gè)，C&C域名7個(gè)。

人面獅樣本將主程序進(jìn)行偽裝成文檔誘導(dǎo)用戶點(diǎn)擊，然后釋放一系列的dll，根據(jù)功能分為9個(gè)插件模塊，通過注冊資源管理器插件的方式來實(shí)現(xiàn)核心dll自啟動(dòng)，然后由核心dll根據(jù)配置文件進(jìn)行遠(yuǎn)程dll注入，將其他功能dll模塊注入的對應(yīng)的進(jìn)程中，所以程序運(yùn)行的時(shí)候是沒有主程序的。用戶被感染后比較難以發(fā)現(xiàn)，且使用多種加密方式干擾分析，根據(jù)PDB路徑可以看出使用了持續(xù)集成工具，從側(cè)面反映了項(xiàng)目比較龐大，開發(fā)者應(yīng)該為專業(yè)的組織。

進(jìn)一步我們分析推測人面獅行動(dòng)的幕后組織是依托第三方組織開發(fā)相關(guān)惡意軟件，使用相關(guān)惡意軟件并發(fā)起相關(guān)攻擊行動(dòng)的幕后組織應(yīng)該來自中東地區(qū)。

0x01 載荷投遞1.社交網(wǎng)絡(luò)水坑攻擊

我們發(fā)現(xiàn)其中一個(gè)希伯來語的誘餌文檔來自于Facebook以色列軍隊(duì)主頁的評論。也就是攻擊者通過利用目標(biāo)所關(guān)注的社交網(wǎng)站帳號進(jìn)行載荷投遞，這是一種典型的水坑攻擊方式。這與傳統(tǒng)的水坑攻擊不同，APT攻擊中主流的水坑攻擊主要分為以下兩種：

第一種：目標(biāo)關(guān)注A網(wǎng)站，攻擊者將A網(wǎng)站攻陷，并植入惡意代碼（一般為漏洞腳本文件，俗稱掛馬），當(dāng)目標(biāo)訪問被攻陷的A網(wǎng)站并瀏覽相關(guān)頁面時(shí)，當(dāng)目標(biāo)環(huán)境相關(guān)應(yīng)用觸發(fā)漏洞則有可能被植入惡意代碼。

第二種：目標(biāo)關(guān)注A網(wǎng)站，攻擊者將A網(wǎng)站攻陷，并將A網(wǎng)站上一些可信應(yīng)用或鏈接替換為攻擊者所持有的惡意下載鏈接，當(dāng)目標(biāo)訪問被攻陷的A網(wǎng)站并將惡意下載鏈接的文件下載并執(zhí)行，則被植入惡意代碼。這種攻擊的典型案例是2014年公開Havex木馬[“Havex Hunts For ICS/SCADA Systems”，https://www.f-secure.com/weblog/archives/00002718.html]，也被稱作蜻蜓（Dragonfly）和活力熊（Energetic Bear）和我們在2015年5月末發(fā)布的海蓮花（OceanLotus）APT組織[海蓮花（OceanLotus）APT組織報(bào)告，https://ti.360.com/upload/report/file/OceanLotusReport.pdf]。

這兩種水坑攻擊的共性是攻擊者需要獲得目標(biāo)所關(guān)注網(wǎng)站的修改權(quán)限，而本次攻擊行動(dòng)中攻擊者完全是利用目標(biāo)所關(guān)注的第三方社交網(wǎng)絡(luò)平臺進(jìn)行攻擊，攻擊者只需簡單注冊，則具備留言評論等權(quán)限。

　　圖 1 Facebook樣本來源

下表是上圖具體惡意下載鏈接和鏈接對應(yīng)的RAR文件MD5。

RAR壓縮包中誘餌文檔內(nèi)容為個(gè)人所得稅調(diào)整，通過修改exe圖標(biāo)為文檔來誘導(dǎo)用戶點(diǎn)擊。

　　圖 2壓縮包內(nèi)誘餌文檔截圖

　　圖 3相關(guān)C&C域名被卡巴斯基sinkhole

進(jìn)一步我們發(fā)現(xiàn)相關(guān)攻擊涉及10個(gè)社交網(wǎng)絡(luò)帳號，具體請參看“附錄A：希伯來語樣本來源”，相關(guān)帳號主要涉及如：以色列國防軍、以色列海軍等以色列軍方和政府的社交網(wǎng)絡(luò)帳號，相關(guān)攻擊評論時(shí)間主要集中在2015年1月底至2月初期間。攻擊者通過在社交網(wǎng)絡(luò)評論下發(fā)表回復(fù)誘導(dǎo)用戶點(diǎn)擊，回復(fù)的內(nèi)容為個(gè)人所得稅改革。

2.誘餌文檔

根據(jù)誘餌文檔的內(nèi)容，也可以從體現(xiàn)出攻擊者關(guān)注的目標(biāo)領(lǐng)域范圍，進(jìn)一步主要分為以下2類：

(A)埃及：阿拉伯語

　　圖 4 誘餌文檔1

此文檔的原始文件[ hxxps://docs.google.com/file/d/0ByavzARTLomhc3hFeFhGN1JOOE0/edit?pli=1]，文件末尾有[愛資哈爾大學(xué)反對政變的學(xué)生]的YouTube主頁。

　　圖 5 誘餌文檔2

annonymous rabaa是一個(gè)攻擊政府官網(wǎng)以抗議2013年8月Rabaa大屠殺的埃及黑客組織。

(B)以色列 ：希伯來語

　　圖 6 誘餌文檔5

文檔內(nèi)容為：以色列個(gè)人稅收改革。

3.自身偽裝

分為兩種方式，一種偽裝成文檔或圖片，一種偽裝成安裝程序，具體如下圖所示：

　　圖 7偽裝成安裝程序

　　圖 8偽裝成安裝程序

前一種方式用戶點(diǎn)擊后并不會(huì)彈出文檔或圖片，后一種方式點(diǎn)擊后安裝成功然后會(huì)釋放出正常的安裝程序。

模塊的文件屬性為Office組件，早期版本安裝目錄為 %UserProfile%/AppData/Roaming/officeplugin，最近版本的安裝目錄為 C:/Program Files/{GUID}，比如C:/Program Files/{59f0641e-45ac-11e5-af9e-b8ca3af5855f}，偽裝成系統(tǒng)組件。

　　圖 9相關(guān)文件屬性信息

0x02 ROCK后門分析1.功能簡述

人面獅攻擊行動(dòng)中所使用的惡意代碼主要以ROCK木馬為主，這類家族屬于人面獅幕后組織自行開發(fā)或委托第三方訂制的惡意程序。另外其中一個(gè)樣本會(huì)釋放遠(yuǎn)控木馬，屬于njRat的變種，在本章節(jié)中暫不對njRat的變種展開詳細(xì)介紹。

通過將自身圖標(biāo)修改為文檔、圖片或安裝程序圖標(biāo)，會(huì)偽裝成pdf文件、圖片、flash安裝程序，誘導(dǎo)用戶點(diǎn)擊執(zhí)行。

主要功能是竊取用戶信息，比如系統(tǒng)信息、鍵盤和鼠標(biāo)記錄、skype監(jiān)控、攝像頭和麥克風(fēng)監(jiān)控、瀏覽器保存的賬號密碼，以及URL、瀏覽歷史記錄等敏感信息。收集信息后會(huì)加密并發(fā)送到指定C&C。

2.功能結(jié)構(gòu)

　　圖 10 整體結(jié)構(gòu)

配置文件中存儲(chǔ)著每個(gè)模塊的配置信息，比如模塊是否開啟、數(shù)據(jù)文件的加密Key、用戶ID（rkuid）、過期日期（未設(shè)置）、 C&C、截圖和錄音的質(zhì)量及間隔時(shí)間，注入的進(jìn)程名稱等。

　　圖 11 模塊功能

Dropper總共會(huì)釋放出20個(gè)dll，32位和64位各10個(gè)，每個(gè)功能模塊都有32位版和64位版。

Zcore主模塊啟動(dòng)時(shí)解密安裝目錄下的配置文件，根據(jù)配置文件是否開啟決定是否注入到指定進(jìn)程。

部分功能模塊介紹：

Zcore.dll核心模塊：負(fù)責(zé)加載其他的功能模塊，并注入到指定進(jìn)程中。以及模塊的注冊、升級、卸載、日志和消息的派發(fā)功能。Plgcmd.dll命令模塊：負(fù)責(zé)獲取系統(tǒng)信息，刪除文件或目錄、截圖、上傳下載文件，啟動(dòng)和結(jié)束進(jìn)程的功能。Plgcomm.dll通信模塊：負(fù)責(zé)將其他模塊生成的數(shù)據(jù)文件發(fā)送到指定CC，發(fā)送過程無加密，加密是其他模塊生成數(shù)據(jù)是完成的。每分鐘向服務(wù)器發(fā)送一次請求，獲取遠(yuǎn)程指令。

模塊之間跨進(jìn)程通過 WM_COPYDATA消息通信，消息頭Magic為0x34AB541作為唯一標(biāo)識識別。消息內(nèi)容均格式化為json發(fā)送。

3.通信方式

通過HTTP POST向服務(wù)器80端口發(fā)送數(shù)據(jù)，數(shù)據(jù)包中的敏感字符串通過查詢json配置文件的對應(yīng)表替換。

　　圖 12 網(wǎng)絡(luò)通信

　　圖 13 網(wǎng)絡(luò)通信字符串還原

由于網(wǎng)絡(luò)通信模塊注入到瀏覽器進(jìn)程中，且使用HTTP POST向C&C的80端口發(fā)送數(shù)據(jù)，使異常流量很難被發(fā)現(xiàn)。

4.對抗手法文件名隨機(jī)

Dropper釋放的文件，文件名來自于json文件，重命名為各種名詞，比如gendarme.dll，jerques.dll。

　　圖 14 模塊文件名

字符串加密

所有的字符串都經(jīng)過加密，且有多個(gè)加密算法。

　　圖 15 字符串加密

API封裝

大量的API（300多個(gè)）調(diào)用被封裝在公共庫中，干擾靜態(tài)分析。

無主進(jìn)程運(yùn)行

核心模塊作為explorer.exe的擴(kuò)展啟動(dòng)，其他功能模塊根據(jù)配置文件注入到指定進(jìn)程，無主進(jìn)程，所以比較難發(fā)現(xiàn).即使用戶發(fā)現(xiàn)異常，沒有找到可疑進(jìn)程，也會(huì)放松警惕。

行為隱藏

主模塊在explorer中運(yùn)行，安全軟件不會(huì)攔截;通訊模塊注入到瀏覽器進(jìn)程，無瀏覽器進(jìn)程不和CC通信;竊取文件模塊注入到殺軟，遍歷文件的行為不容易被用戶發(fā)現(xiàn)。

PE資源和配置文件加密

Dropper中的PE文件經(jīng)過zlib壓縮和AES加密，釋放出來的json配置文件也經(jīng)過此方法加密。

從對抗手段來看，可見人面獅攻擊行動(dòng)中惡意代碼開發(fā)者無論在靜態(tài)還是動(dòng)態(tài)對抗上面都花了大量功夫，以達(dá)到免殺和隱藏行為的效果。

0x03 相關(guān)線索信息1.攻擊者Facebook帳號信息

　　攻擊者在進(jìn)行社交網(wǎng)絡(luò)水坑攻擊時(shí)主要使用的兩個(gè)Facebook帳號。

2.PDB信息

　　根據(jù)PDB信息我們可以推測以下結(jié)論：

開發(fā)者id為zico工程名稱為 ROCK-RW2-BRW6R內(nèi)部定義為rootkits工具 3.誘餌文檔

　　從文件名可以看出，涉及埃及和以色列。

4.釋放的木馬

52f461a133e95328ccd9ba7f70e2f3e6（圖標(biāo)為Adobe pdf）樣本中釋放出一個(gè)遠(yuǎn)控，屬于njRat的一個(gè)變種，而njRat主要流行于中東地區(qū)。

5.IP地理位置

　　圖 16 樣本和CC對應(yīng)關(guān)系

其中一個(gè)樣本的C&C:196.205.194.60所屬國家為埃及，且此樣本運(yùn)行時(shí)釋放的njRAT的 C&C為196.205.194.61也是埃及。

附錄A：希伯來語樣本來源

附錄B：最新樣本查殺結(jié)果

轉(zhuǎn)載本站任何文章請注明：轉(zhuǎn)載至神刀安全網(wǎng)，謝謝神刀安全網(wǎng) 人面獅行動(dòng)——中東地區(qū)的定向攻擊活動(dòng)