1 綜述
2016年8月8日,卡巴斯基和賽門鐵克相繼披露出一個長期對中國、俄羅斯等國進行APT攻擊的組織——ProjectSauron(也被稱作索倫之眼)。ProjectSauron至少在2011年10月起就一直保持活躍。此前,該團伙一直行事低調,其目標主要為國家情報部門所關注的政府機構、民生企業和個人。
該組織攻擊目標時使用了一種名為“Remsec”的高端惡意軟件。Remsec工具是一款技術含量特別高的遠程控制軟件,主要用來暗中監視和控制目標。這種軟件能夠在受感染計算機上打開后門,記錄用戶點擊的按鍵,并盜取相關文件。
我公司墨俠團隊基于鉆石分析模型,對該攻擊事件進行相關的事件還原和攻擊者分析。
2 受害者分析
目前興華永恒團隊諦聽APT防御系統監測到該組織對全球多個國家的多個行業發起攻擊。
已知攻擊包括20多個針對俄羅斯的攻擊,40余起針對中國的攻擊,針對比利時大使館的攻擊和瑞典某公司的攻擊。同時包括伊朗、盧旺達以及幾個意大利語系國家。
3 技術能力分析
1)Remsec遠程控制技術分析
這里針對某一個遠程控制樣本進行分析。
樣本名:Backdoor.Remsec.server.exe
MD5 :234e22d3b7bba6c0891de0a19b79d7ea
Hash :9214239dea04dec5f33fd62602afde720b71d2d2
文件大小:135168 字節
樣本通過 MSAOSSPC.DLL裝載硬盤文件,并執行。硬盤上的文件是一種特殊格式BLOB,并通過“0xBAADF00D”進行加解密。
加載路徑c:System VolumeInformation_restore{ED650925-A32C-4E9C-8A738E6F0509309A}RP0A0000002.dll
獲取啟動參數,這個啟動參數在該樣本中并沒有起到太大作用,需要其他輔助增加參數完成具體攻擊行為。
參數識別,并將獲取的參數存入重新分配的內存中
判斷是不是pe結構,并開始查找pe的區塊,找到bin區塊之后返回bin區塊的首地址
動態加載該程序,初始階段有明顯的脫殼函數調用。
這里動態解析pe,并修正導入表
調用rsaenh.dll交互的進行加密,rsaenh.dll是微軟Microsoft增強加密服務相關文件,用于128位加密
分配一段bin區塊大小的內存存放加密過的shellcode
加載kernel32,主要是為了獲取kernel32模塊的首地址
Shellcode中循環解密字符串,獲取api地址。
獲取api函數地址后保存
循環解密兩次之后有一個crc檢測,當檢測到被調試或者下斷點便直接退出返回。
在解密之后啟用遠程鏈接的命名管道同時創建線程來配合管道命名,該命名管道可以實現對任意文件的讀寫刪除,接受遠程命令等操作。同時還有遠程加載pe文件行為,實現無實體惡意代碼的運行。
綜合各種分析發現,remsec遠程控制軟件具備多種高級特性:
l Remsec的強大功能
Remsec適用于所有的x64和x86 Microsoft Windows操作系統。由于Remsec采用獨特的插件系統,插件用Lua語言編寫,這種lua插件可自定義配置,從特定機器中獲取特定數據文件,能便捷的進行網絡操作,完成各種網絡任務。同時該平臺具備數十種插件,能支持從類似ls命令到keylog,hashdump的全系列工具插件。
l Remsec的偽裝術
Remsec遠程控制軟件自身只是一個平臺,不具備特殊功能,所有的功能都通過內存加載,減少了使用了自身的行為特征。它還使用一種Lua模塊技術,多種操作通過Lua語言是實現。另外,我們還發現,Remsec 惡意文件根據每臺機器安裝的軟件不同,偽裝成不同軟件的不同組成部分,如下圖所示:
remsec偽裝進程列表
Remsec 偽裝的文件多種多樣,包括像卡巴斯基、賽門鐵克這種殺毒軟件,同時也有諸如微軟補丁文件、VmWareTools更新文件。有趣的是,Remsec偽裝的kavupdate.exe文件即是卡巴斯基殺毒軟件的進程文件,同時也是國產迅雷安全組件的必要文件。
偽裝迅雷/卡巴斯基升級文件
l 特殊的上線技術
Remsec遠程控制軟件使用特殊的技術上線,在這里發現的有DNS方式上線和mail方式實現數據傳輸。這兩種傳輸技術在遠程控制軟件中都不多見。
一個叫“DEXT”的插件顯示了DNS隧道數據傳輸。
Remsc使用特殊的郵件方式進行數據傳輸
l 虛擬文件技術
Remsec木馬VFS具有兩個主要功能,一個是負責竊取數據保存在本地C:System Volume Information_restore{ED650925-A32C-4E9C-8A73-8E6
F0509309A}目錄下,以bka*、da、~*.tmp等方式存儲。
另一功能是連接外部通信,將竊取的數據通過自己本地服務器發送出去,不過木馬在完成以上兩個功能后,由于木馬本身的設計缺陷,木馬并沒有將緩存文件刪除干凈。
綜上可以看到,該遠程控制軟件具備很多特殊的高級特征和特殊功能,絕不是普通的黑客個人或小團體所能有能力開發使用的。
2)內網拓展技術能力
該組織使用了多種特殊的攻擊方式進行內網拓展。從木馬偽裝位置和功能上就可以看出,在內網拓展中秘密收集各種用戶密碼和機密文件。
該APT攻擊團隊,會通過網絡滲透控制目標內網系統中的域服務器,以域服務器為重要攻擊目標。獲取相應權限之后,再通過被控制的服務器進行橫向移動,攻擊內網系統中的其他設備和終端。最終獲取到想要的目標數據。
3)0day使用能力
在所有的攻擊中,各大廠商都未報道發現相關了0day攻擊漏洞,都只發現了被方式remsec控制型后門的攻擊結果,未能發現攻擊過程。由此推測,該組織一定具備較多的0day資源,使用較多的0day工具、較好的攻擊技能和特殊的隱藏技術才能實現這種效果。
4)非聯網數據獲取能力
遠程控制軟件可以使木馬跳出隔離的網絡實現繼續控制。其原理在于USB磁盤分區有一塊預留空間,木馬利用這塊USB磁盤空間,感染USB驅動,秘密寫入執行指令,一旦目標網絡系統不能使用,攻擊者等待USB驅動器繼續控制被感染的機器。
4 基礎網絡設施分析
從披露的情報來看,ProjectSauron組織使用的域名和IP有以下基礎網絡設施。
通過對相關域名繼續passive dns分析,可以得出如下可能具有關聯性的域名。
分析得出域名主要信息如下:
| 域名 | 郵箱 | 最后更新時間 |
|---|---|---|
| ping.sideways.ru | N/A | N/A |
| lydia-leydolf.at | ||
| gtf.cc | [email protected] [email protected] |
2016-07-25 00:31:27 |
| domain.com | [email protected] | 2015-11-12 04:16:42 |
| sba-messebau.at | ||
| art-irisarns.com | [email protected] [email protected] |
2016-03-20 00:31:36 |
| ad-consult.cc | [email protected] [email protected] |
2015-11-16 04:17:12 |
| wildhorses.awardspace.info | N/A | N/A |
| bikessport.com | [email protected] | 2015-11-14 00:00:00 |
| mbit-web.com | 2015-11-09 01:27:16 | |
| techno-fandom.org | [email protected] | 2015-08-25 04:17:08 |
| display24.at | ||
| ipchicken.com | 2016-01-08 16:01:01 | |
| iut.hcmut.edu.vn | N/A | N/A |
| windward-trading.biz | [email protected] [email protected] |
2015-08-16 01:41:36 |
| liebstoecklco.at | ||
| rapidcomments.com | [email protected] | 2014-10-21 12:05:51 |
| mycruiseship.net | 2016-04-24 12:21:13 | |
| utc-wien.at | [email protected] | |
| easterncredit.net | 2016-07-16 00:00:00 | |
| weingut-haider-malloth.at | ||
| winnie-andersen.com | 2015-08-11 07:43:07 | |
| flowershop22.110mb.com | N/A | N/A |
| dievinothek.net | 2016-03-25 01:28:26 | |
| der-wein.at | ||
| avian.org | [email protected] | 2016-01-09 18:14:33 |
| chirotherapie.at | [email protected] | |
| mail.mbit-web.com | N/A | N/A |
| dr-rauch.com | 2016-08-09 09:45:46 | |
| dee.hcmut.edu.vn | N/A | N/A |
| csrv01.rapidcomments.com | N/A | N/A |
| myhomemusic.com | [email protected] [email protected] |
2011-09-16 14:12:03 |
通過信息擴展,可以得到cloudstream.me、myhomemusic.net等域名都為該APT組織使用。
同時發現[email protected]具有密碼泄漏的情況。
5 溯源分析
1)與火焰病毒的極其相似
Flame病毒(又名火焰病毒)是于2012年5月被卡巴斯基首次發現的超級電腦病毒,其構造十分復雜,危害性巨大,可以通過USB存儲器以及網絡復制等多種方式傳播,并能接受來自世界各地多個服務器的指令,堪稱目前世界上最復雜、最危險的病毒。
Flame 病毒用上了 5 種不同的加密算法,3 種不同的壓縮技術,和至少 5 種不同的文件格式,包括其專有的格式。并將它感染的系統信息以高度結構化的格式存儲在SQLite 等數據庫中,病毒文件達到20MB 之巨。此外,它還使用了游戲開發用的 Lua 腳本語言編寫,使得結構更加復雜。從某些證據可以表明,火焰病毒和攻擊伊朗核設施的震網病毒師出同門,是由某國政府研發或資助開發用于對伊朗等國家發起網絡攻擊的尖刀利器。
Remsec病毒和火焰病毒有很多相同點:都采用Lua模塊編寫木馬;盜取數據的方式多種多樣;木馬程序異常復雜;使用多種加密技術和數據傳輸技術;木馬本身具有安全刪除文件的能力;具備隔離網絡文件竊取能力;受害者大多具有政治因素。
雖然無法證明Remsec病毒和火焰病毒出于統一組織或團隊之手,但是可以看到二者的技術特點極其相似,技術水平旗鼓相當,出現時間也相差無幾。
2)可能與Anonymouse有關
通過對提及的相關域名進行深入分析,匯總得到如下結果。
分析發現www.myhomemusic.com注冊人為[email protected],同時該郵箱也注冊了www.myhomemusic.net。關系圖如下:
通過對具有特殊性的Jason Rza進行深入分析,發現其中一個facebook用戶名為Jason Rza的匿名者黑客。
通過對其blog進行分析,可以發現該jason.raz經常性發表網絡相關內容,應該是Anonymous相關成員。
3)網絡基礎資源和受害者
經過分析,擴展的域名指向11個IP,我們對這11個IP重點進行分析,發現這11個IP全部來自于IDC機房。
可以判斷出,該組織其主要的控制服務器都是通過IDC租賃得來。這個和斯諾登曝光的某國政府慣用的手段相似。
受害者則主要集中在俄羅斯和中國兩地,多以政府、科研機構、機場等基礎設施為主。從地緣政治的角度來看也不難發現其真實的發起者。
4)總結
綜合本報告分析,可以做出初步判斷,ProjectSauron組織可能是由實力強大的以中俄為競爭對手的某國政府資助。以獲取相關國家的經濟、政治和科技情報為基本目的。同時也不排除同樣就有強大實力的Anonymous黑客組織參與其中。
6 參考文件
l Symantec_Remsec_IOCs.pdf
l The-ProjectSauron-APT_IOCs_KL.pdf
l The-ProjectSauron-APT_research_KL.pdf
l The-ProjectSauron-APT_Technical_Analysis_KL.pdf
*本報告由興華永恒(北京)科技有限責任公司墨俠團隊完成,墨俠團隊是致力于信息安全服務、威脅情報、APT防御等方向的專業安全團隊,轉載請注明來自FreeBuf黑客與極客(FreeBuf.com)
京公網安備 11010502049343號