聲明：本文為F-Secure報告翻譯，文中涉及的觀點立場不代表本網站觀點立場。

1. 前言

本報告描述了我們發現并命名的木馬-NanHaiShu（NanHaiRAT）?；谖覀兊募夹g分析表明，該木馬的主要攻擊對象為政府和私營機構，其中包括幾個值得注意的目標: 菲律賓司法部、亞太經合組織APEC峰會組織者和一家跨國律師事務所。

我們認為，以上組織機構和南海爭議問題相關，所以被攻擊者列入了滲透攻擊目標。而最近的核心沖突問題便是2016年7月12日的南海仲裁案。根據對NanHaiShu木馬的技術分析，結合幾個被入侵的特定目標，我們確定了木馬的攻擊源。

兩年前我們捕獲了NanHaiShu木馬的第一個樣本，截至2016年3月，該木馬的攻擊活動仍然處于活躍狀態。攻擊者通過在郵件附件中捆綁NanHaiShu木馬進行魚叉式郵件攻擊，若木馬被成功植入，將會向遠程C&C服務器建立信息回傳通道。

2. 相關信息

（1）木馬傳播方式

攻擊者通過精心構造郵件內容，向特定目標發送魚叉式郵件。例如，攻擊律師事務所的郵件包含薪資和財政事宜，為了誘騙郵件接收者，攻擊者還以社工方式“精心”編寫了相關郵件內容。

圖 針對律師事務所雇員的魚叉式郵件

（2）攻擊目標描述

被木馬NanHaiShu滲透攻擊的目標，都有一個共同特性：與南海領土爭端問題有關。這些被攻擊的目標中包含：菲律賓司法部、亞太經合組織APEC峰會組織者、介入南海爭議的國際律師事務所（美國福利·霍格律師事務所）。

菲律賓司法部：菲律賓司法部介入了菲方對中國的仲裁案件；

APEC會議組織者：2015年11月，在菲律賓舉行亞太經合組織領導人非正式會議（AELM）之前，新聞報道表明菲律賓在與會期間將不會提及南海問題。而就在會議準備前期，我們捕獲了與AELM會議相關的木馬樣本。

一家跨國律師事務所：自2013年起，在南海仲裁案中涉及聯合國海洋法公約爭端等方面，這家律師事務所就一直代表菲方進行相關運作。

3. 攻擊時間線

在我們的調查中，多個NanHaiShu木馬樣本被發現，其中一些特定樣本被用來竊取南海仲裁案相關的情報信息。這些樣本最早于2015年1月13日被發現，其中樣本文件“司法部2015年1月13日員工獎金.xls”在海牙常設仲裁法院公開發布中菲仲裁案新聞稿的一個月后被發現。

在新聞稿中，菲律賓通過其代理律師事務所單方面宣布：菲方將于2015 年3月15日前提交完成仲裁案的相關補充材料，而留給中國的截止日期為2015年 6月16日。就在這兩個時間點之間，我們發現了NanHaiShu木馬的兩起攻擊事件：

（1）在菲方截止日期過后，菲方代理律師事務所收到一封以公司為名義的包含惡意附件的電子郵件；

（2）在2015年5月22日，一封針對菲方律師的魚叉式釣魚郵件被發現，郵件中包含惡意文件“Salary and Bonus Data.xls”。

另外，我們還發現了一個名為“AELM Entertainment budget and Attendance allowance.xls”的威脅樣本文件，該樣本最早于AELM會議之前的2015年10月被發現，而中菲雙方在AELM會議前的磋商焦點就是南海爭議的擱置問題。2015的10月26日，媒體報道美國軍艦近距離駛入中國島礁活動，就在同一時期，NanHaiShu木馬的C&C服務器作出了明顯改變（后文將說明）。以下為木馬NanHaiShu的攻擊時間線：

圖 NanHaiShu木馬攻擊時間線

4. 攻擊屬性與連接

木馬使用的VBA Base64解密函數在大量中國軟件開發網站中出現

圖 Base64解密函數的搜索結果

其解密程序似乎是Java Script Base64公開解碼程序的分支版本。后者代碼最早于2005年公布于中國程序員網站CSDN

圖 NanHaiShu木馬使用的Base64解密程序（上）與公開版本的Base64解密程序對比（下）

最初階段，Nanhaishu木馬樣本C&C服務器IP解析指向美國IP地址（大多是一些云服務提供商）。然而，在2015年10月26日，也就是美國軍艦駛入南海活動當天，木馬C&C服務器解析全部轉向位于中國的IP 地址103.238.224.218。

我們的技術分析明顯表明，Nanhaishu木馬的代碼和架構方式與中國開發人員有關。此外，我們還認為，攻擊者目的直接與國家戰略利益相關。

5. 技術分析

（1）感染過程

Nanhaishu木馬被捆綁到魚叉式郵件附件中通過電子郵件發送，使用社會工程郵件文本內容，吸引用戶打開惡意附件。附件通常是包含了惡意宏程序的XLS或DOC文檔。雖然在微軟office程序安全設置中，宏自動運行功能是被禁用的，但即使如此，宏運行功能仍然可能被用戶執行。Office程序在執行宏代碼之前會顯示一個選擇宏功能運行的通知消息：

如果用戶不小心選擇啟用宏代碼enable content功能，那么攻擊者的惡意VBA宏代碼將會執行

大多數樣本的VBA宏代碼中內置了兩套Base64編碼文件。在最近的一個樣本中，VBA宏在運行之前，將進行解碼并向 “%APPDATA%directorymicrosoftnetworknetwork .js”寫入JScript數據。

宏代碼對XLS誘餌文件進行解碼，加載木馬執行，利用network.js修改% RegRun %注冊表鍵值實現自啟動機制，達到永久駐留目的。木馬將搜索以下系統信息并回傳到C&C服務器：

（1）存儲驅動器序列號

（2）IP地址

（3）計算機名稱

（4）用戶名

（5）操作系統

（6）代理服務器

木馬信息收集程序模塊：

木馬與C&C服務器與之間建立連接的時間間隔約為10.584秒。

（2）混淆

攻擊者嵌入在誘餌文件XLS和Jscript中的VBA宏使用了Base64編碼。最近的一個樣本中， JScript代碼中的URL字符串被兩層加花指令混淆；必須使用Base64解碼方式，結合Unicode字符轉碼程序才能解密。以下為加花指令函數：

（3）網絡流量

攻擊者CC服務器使用DNS動態域名進行回連，而且木馬回連請求中包含JScript代碼。在最近的樣本中，木馬和C&C服務器之間的通信請求在加密前的結構如下：

md5(VolumeSerial Number)|IP Address|Computer Name|User Name|Operating System|ProxyServer|Malware Version|

以下則為受感染主機發送的POST數據：

action=aaa&data=N2RkZjMyZTE3YTZhYzVjZTA0YThlY2JmNzgyY2E1MDl8MTkyLjE2OC4xLjF8Sm9obkRvZS1QQ3xKb2huRG9lLVBDXEpvaG5Eb2UoYWRtaW5pc3RyYXRvcil8TWljcm9zb2Z0IFdpbmRvd3MgWFAgUHJvZmVzc2lvbmFsfHxqc25lWzEuNF0saW1wdCxwcnw=

木馬使用HTTP POST方式回傳相關加密信息，使用HTTP GET方式下載JScript 和VBScript執行代碼，以下為相關操作函數：

6. 其他

惡意宏代碼的Jscript腳本中包含一個名為“gVersion”的常數變量，該變量似乎用于攻擊者在源代碼中識別木馬名字或版本，“gVersion”還包含以下不同字符串內容：

1.hta[1.1]doj.m

2.jsne[1.3.3]PP

3.jsne[1.4],impt,pr

圖 gVersion變量示例

樣本“DOJ Staff bonus January 13, 2015.xls”和后期樣本釋放的HTA文件中包含相同的JScript程序，而且都被封裝在一個HTML文件中。HTA文件通過注入打開IE瀏覽器的mshta.exe進程實現加載。HTA文件具有創建、編輯及刪除系統文件和注冊表項權限。

其中，第一個SCRIPT tag運用resizeTo命令隱藏IE窗口，第二SCRIPT tag包含Nanhaishu木馬中常見的Jscript代碼程序。HTA文件和Jscript文件的唯一區別是C&C服務器不是加密的，而且包含有SafeIE函數，SafeIE函數通過更改“Internet Settings” 和 “Internet Explorer注冊表項鍵值，避免IE對不安全ActiveX程序的提示，讓受害者不易察覺。

7. 調查結論

Nanhaishu屬于竊取信息資料的遠程訪問木馬（RAT），它能夠接收和執行JScript和VBScript代碼指令，也可以上傳下載任何文件腳本，進一步滲透，將會造成目標系統敏感信息泄露。以下為Nanhaishu木馬的C&C服務器IP解析情況：

8. 樣本信息

*本文譯者：clouds，參考來源：F-Secure，轉載須注明來自FreeBuf.COM