第一章 攻击事件源起
根据有关事件传言,多家国际大型企业网络遭受了入侵攻击,对此,相关报道、媒体以及网络传言都有不同说法,从相关消息汇总来看,其中相对有依据的说法来自几家国际安全厂商,包括Symantec、Mcafee、TrendMacro等,综合根据各厂商已经发布的分析报告和有关报道,较多的结论是相关企业的工作人员受到针对客户端程序的0 Day漏洞攻击(业内主要认为是IE浏览器相关漏洞,这个漏洞已经被命名为“极光”),并进而被植入了木马。第二章 攻击采用的漏洞分析
根据有关描述,安天认为所捕获到的有关漏洞利用代码与有关资料描述的攻击方法是一致的。攻击方法都是利用被称为极光的IE 0day漏洞,并对有关代码采用了javascript加密变形,在常见的堆喷射技术的利用代码部分进行了变换,使得堆喷射代码只有在javascript运行后才能看到。其中比较特殊的是采用了String.fromCharCode(sss/7)手段对堆喷射代码进行变形成为数字数组形式,使静态检测堆喷射代码检测困难。
但需要指出的是,脚本加密方法是当前网页木马的常规技术手段,整体来看这个攻击的代码的加密复杂程度有被夸大的倾向,实际上相关加密并不难于分析还原。下面是部分代码截图:
第三章 攻击样本分析
安天实验室在此事件过程中并未与相关企业建立直接的联系,相关样本集的主要判定依据是通过使用Mcafee、Symantec所发布资料中对相关样本的命名检索安天样本库的对照命名,并验证有关样本行为基本符合目前相关厂商公开发布文档有关描述。截至到2010年1月26日,安天根据上述病毒对照名称、基因片段关联、行为辅助验证和调用关系,共筛选出关联样本13个进行细粒度分析(其中两个样本直接来自境外反病毒厂商提供),其中3个为PE可执性程序,10个为PE动态链接库。经关联分析确认,3个可执行程序的基本功能逻辑完全一致,最典型行为即:均释放在资源节中部分加密存储的名为Rasmon.dll的动态链接库;而有7个样本原始文件名均为Rasmon.dll,经验证此7个文件基本功能逻辑完全一致,其差异主要是反向连接的外部地址不同等配置差异,且均可加载acelpvc.dll,而acelpvc.dll又进一步加载VedioDriver.dll。因此可以判定3个可执行程序是相关2进制样本的关系逻辑的原点。
但由于缺少实际场合验证,且与目前公开资料所公布的一些控制域名指向因被2级域名服务商屏蔽发生变化,安天无法确定相关样本就是相关事件中的样本,只能说明相关样本存在较大的同源性关系。 | MD5 | 样本原始文件名 | 病毒名 | 文件类型 | 1B59487D4DC029D92B61ABD4F69C9923 | 30755.malware* | 安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq | PE可执行程序 | 9F880AC607CBD7CDFFFA609C5883C708 | b.exe* | 安天:Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq | PE可执行程序 | BCBEF5AB2C75C171FEDCCA0A33BCF7F7 | 1.bin* | 安天:Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq | PE可执行程序 | 32CC9F9DA93DD4E9FD3D203881197CBF | Rasmon.dll | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq | PE动态链接库 | BBE6FE27D503DA9B1F1C30ADAA40730E | Rasmon.dll | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | PE动态链接库 | 0F9C5408335833E72FE73E6166B5A01B | Rasmon.dll | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | PE动态链接库 | 2CFCD8C34F22FFB772C99C9293C21BDA | Rasmon.dll | 安天:Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | PE动态链接库 | 3A33013A47C5DD8D1B92A4CFDCDA3765 | Rasmon.dll | 安天:Trojan/Win32.Genome.epow
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | PE动态链接库 | 4A069A20B8262B20E7440C8AB9C54E11 | Rasmon.dll | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | PE动态链接库 | 80FC413CF908CD4506C3F790E484822E | Rasmon.dll | 安天: Trojan/Win32.Genome.eqqr
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | PE动态链接库 | 4A47404FC21FFF4A1BC492F9CD23139C | acelpvc.dll | 安天: Trojan/Win32.Genome.eraf
McAfee: Roarur.dll
Symantec: Trojan.Hydraq | PE动态链接库 | 467EEF090DEB3517F05A48310FCFD4EE | VedioDriver.dll | 安天: Trojan/Win32.Agent.bcvj[Spy]
McAfee: Roarur.dll
Symantec: Trojan.Hydraq | PE动态链接库 | BA3545841D8A40ED8493E22C0E70A72C | c_1758.nls* | 安天: Trojan/Win32.Genome.eqgc
McAfee: Generic.dx
Symantec: Trojan.Hydraq | PE动态链接库 |
上述带有*标志的相关程序,由于其没有VERSION信息且并非从现场采集,其现场文件名已不可考。采用的是安天获得该样本时的文件命名,其中30755.malware名字从风格看是采用其他厂商的病毒命名作为文件名。下面是样本来源和衍生关系图谱(关于相关样本的更多细节,可以查看附表一): 
样本提取来源关系图
根据已经描述的样本间的衍生和调用关系,可以基本描绘出相关攻击和恶意代码样本的整体作用流程和因果关系为:受害用户通过IE浏览相关攻击页面后,被注入执行PE可执行样本,相关样本运行后创建rasmon.dll文件到%System32%目录下并动态加载,释放批处理文件删除该PE可执行文件。rasmon.dll加载acelpvc.dll,成功加载后acelpvc.dll会继续调用VedioDriver.dll,在rasmon.dll运行后便会尝试连接网络,接受控制。整体逻辑如下图所示: 
由于样本集中的3个可执行文件基本功能逻辑完全一致,且样本中的各rasmon.dll的功能相同,所以下面以BCBEF5AB2C75C171FEDCCA0A33BCF7F7样本为主展开进行综合分析:3.1 PE可执行样本的本地行为
1、相关PE可执行文件运行后会释放以下文件
%System32%\Rasmon.dll
2、创建注册表服务项
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\ImagePath
值: 字符串: “%SystemRoot%\Sys-k netsvcs.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\ObjectName
值: 字符串: "LocalSystem"
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Parameters\ServiceDll
值: 字符串: “c:\windows\system32\rasmon.dll.”
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Start
值: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\RaS(随机四位数)\Type
值: DWORD: 32 (0x20)
3、开启svchost.exe进程将Rasmon.dll注入到进程中创建一个线程向病毒作者地址发送数据,使控制者可以对被感染的用户进行远程控制等相关操作。3.2 PE可执行样本的网络行为
协议:TCP
主动连接远程443端口发送数据并等待回复
当前域名解析后IP地址已经被相关免费2级域名服务商指向:127.0.0.2,已经不具有分析价值。
描述:连接到该域名等待接收病毒作者发送的控制指令 3.3 衍生样本Rasmon.dll的功能分析
病毒运行后开启6个线程,分别对文件数据进行操作,允许远程攻击者进行监测、窃取等操作。
远程攻击者可以对受控系统做如下操作: - 检查进程和服务的状态、控制和关闭进程与服务。
- 创建、修改和删除注册表项与键值。
- 读、写、执行、复制、删除等文件操作。
- 重启和关闭计算机系统。
- 收集受控系统信息,如:IP地址、计算机名、操作系统版本、内存大小等。
- 清除系统事件日志。
病毒的衍生文件rasmon.dll创建文件%temp%\1.tmp: 
并检测是否存在%system32%\acelpvc.dll,如果存在则加载: 
并调用EntryMain()入口: 
由acelpvc.dll导入%system32%\VedioDriver.dll。调用%system32%\drivers\etc\networks文件中的信息。
尝试下载远程文件到本地并重命名为mdm.exe并执行(地址已失效) 。
攻击者可以利用VedioDriver.dll相关功能模块对受控系统进行监视用户界面活动。
发送数据: 
数据格式如下:
+00 DWORD MajorCode
+04 DWORD MinorCode
+08 DWORD SubCode
+0C DWORD ExtraSize
+10 WORD ExtraChecksum
+12 BYTE ExtraKey
+13 BYTE Padding
接收14字节数据(已失效),如接收失败则删除临时目录下的1.tmp: 
尝试连接360.homeunix.com, 该域名已经被相关免费2级域名服务商被指向:127.0.0.2
3.4 acelpvc.dll、VedioDriver.dll的同源关系确认
相关国外厂商在命名中对acelpvc.dll、VedioDriver.dll与可执行主程序与Rasmon.dll采用了同一命名,这是一种以事件归一性为准的命名方法,实际上acelpvc.dll、VedioDriver.dll与其他样本明显不具有代码同源性,经acelpvc.dll与VedioDriver.dll分析确认发现,这一个VNC型后门。
VNC(Virtual Network Computing)是由Olivetti & Oracle实验室开发的开源远程管理软件,后此实验室被AT&T收购,2002年AT&T终止了项目更新。由于该项目遵循 GPL协议,因此后续衍生出了RealVNC、TightVNC、UltraVNC、Vine Viewer等多个版本。
VNC拥有较大的用户基数,其Server端运行后有可控托盘图标,因此并不是一个后门程序。但由于其开放源码,2000年已经发现有通过修改功能代码、屏蔽掉托盘图标的后门,之后利用VNC源码进行改造的后门呈现出家族化趋势。2003年3月8日被安天捕获,并引发业内广泛关注的口令蠕虫(Worm/Win32.Dvlodr)也正是以此为后门。
样本中VedioDriver.dll包含(auroraVNC)编译路径,如下图。 
由http://www.realvnc.com/下载VNC程序,其中文件wm_hooks.dll与acelpvc.dll文件逻辑有一定相似性。
1. Wm_hooks.dll相似代码处: 
acelpvc.dll相似代码处:
2. Wm_hooks.dll调用.NET Framework相关组件文件及函数代码处:
acelpvc.dll调用.NET Framework相关组件文件及函数代码处:
VedioDriver.dll编译路径:
由此相关分析可得出:acelpvc.dll与VNC文件中的Wm_hooks.dll有部分代码功能相同,但并未完全具有VNC的所有功能。
3. acelpvc.dll的逆向代码功能与VNC功能代码有相同之处。
VNC查找的窗口类名部分源代码:
acelpvc.dll注册窗口类创建窗口与VNC查找的类名相匹配:
3.5 acelpvc.dll、VedioDriver.dll的功能分析
acelpvc.dll检测受控端是否是屏幕保护状态,如果是则发送关闭屏幕保护消息: 
注册窗口类: 
调用VedioDriver.dll更新窗口图像: 
acelpvc.dll、VedioDriver.dll的功能具有VNC的相关功能,可以被远程监视窗口活动。
3.6 样本使用的域名分析
上述样本的控制跳板定向为免费2级域名,这是当前远程控制木马广泛使用的技术手段,由于免费2级域名申请相对简单,且不产生支付环节,使攻击者的成本降低,隐蔽性提高。
安天通过行为分析系统与人工分析结合提取了目前样本集合所使用的五个域名。其中除了一个已经失效域名,都是免费2级域名服务商所提供的动态2级域名。相关服务商已经进行了上述指向处理,目前相关木马已经无法与控制服务器连接。这可能是有关国家应急响应(CERT)体系同一的协调响应的结果。
域名 | 被指向的IP地址 | IP地址属地 | bl88.webhop.org | 127.0.0.1 | 本地(被服务商屏蔽) | blog1.servebeer.com | 127.0.0.2 | 本地(被服务商屏蔽) | www.ccmp1.com | 域名失效 | 域名失效 | 360.homeunix.com | 127.0.0.1 |
本地(被服务商屏蔽) | sl1.homelinux.org | 127.0.0.2 | 本地(被服务商屏蔽) |
安天提取到的域名信息与目前境外厂商公开资料域名有所差异,这说明相关恶意代码有更多的变种或被加工、定制的版本,根据目前全部公开资料整理的域名结果集来看,尚有19个域名与安天目前分析到的5个域名不重合,根据目前每一个定制版本都对应一个不同域名的规律,应该至少有19个样本不在本次分析的样本集合中。这可能由于安天没有捕获到相关样本,也可能由于安天对照命名更新机制有一定滞后性,有的样本安天捕获入库时其他厂商尚不能检测,因此没有对照命名没有提取到。
同时各厂商和网络安全组织可查阅公开资料也表明,部分在此次事件中出现的域名也在其他类型攻击中被发现(如Microsoft Registry Cleaner与Security Lab所公布的adobe flash player的攻击事件),通过上述关联基本可以看出,相关攻击事件存在一定的时间跨度和关联。当然地下经济体系的各种资源有一定的可置换交易性,同时也不能排除免费域名注册者账户密码被窃取、或者被猜测到的各种可能。因此也并不能绝对确认上述攻击与本次事件绝对系同一源头。第四章 结论 在本事件中攻击者主要依托客户端程序的0day漏洞,实现可执行木马注入,并加载远程控制等其他功能模块,其后利用免费2级域名为控制跳板,实施相关行为。
综合相关样本集合分析结果与网络资料汇总分析表明,这是一组有时间跨度的、有覆盖范围的关联型攻击事件。相关事件样本的同源性可以得到确认。但由于当前全球地下经济体系漏洞、恶意代码和地下资源的产业链条的存在,漏洞的POC和exploit代码、恶意代码源码和加工的版本、肉鸡(跳板)、其他可利用空间和代理等,都在被广泛的交易或共享,代码同源性分析只能作为事件存在关联的判据,在没有有关网络行为有效辅证的情况下,难以对攻击的同源性进行确认。
同时根据安天 CERT了解到的情况,各个反病毒公司都捕获到了一定基数的相关样本,而非全部来自现场定向提取,这使相关事件是一组定向型攻击,还是广泛的攻击事件,或者兼而有之,很难做出有效判定。加之有关分析时效性所限较长,场景难于追溯复现,而传言受到入侵的有关公司亦没有公布更多有效信息,这都使进一步分析工作已经缺少进展的空间。
附录
附录一:相关样本属性信息表
样本1(*):| MD5 | 1B59487D4DC029D92B61ABD4F69C9923 | 文件大小 | 34,816 字节 | 原始文件名 | 30755.malware | 对照命名 | 安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq | 壳/编程语言 | UPX 0.89.6 - 1.02 / 1.05 - 1.24(Microsoft Visual C++ v7.1) | 时间日期戳 | 2009-7-21 7:38 | 控制端服务器域名 | bl88.webhop.org | 备注 | (可执行样本)/原始命名无可考,该名字系提交者的命名 |
样本2(*): | MD5 | 9F880AC607CBD7CDFFFA609C5883C708 | 文件大小 | 34,816 字节 | 原始文件名 | b.exe | 对照命名 | 安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq | 壳/编程语言 | UPX 0.89.6 - 1.02 / 1.05 - 1.24(Microsoft Visual C++ v7.1) | 时间日期戳 | 2009-7-21 7:38 | 控制端服务器域名 | 360.homeunix.com | 备注 | (可执行样本)/原始命名无可考,该名字系提交者的命名 |
样本3(*): | MD5 | BCBEF5AB2C75C171FEDCCA0A33BCF7F7 | 文件大小 | 34,817 字节 | 原始文件名 | 1.bin | 对照命名 | 安天: Trojan/Win32.Genome.epoy
McAfee: Roarur.dr
Symantec: Trojan.Hydraq | 壳/编程语言 | UPX 0.89.6 - 1.02 / 1.05 - 1.24(Microsoft Visual C++ v7.1) | 时间日期戳 | 2009-7-21 7:38 | 控制端服务器域名 | 360.homeunix.com | 备注 | (可执行样本)/原始命名无可考,该名字系提交者的命名 |
样本4: | MD5 | 32CC9F9DA93DD4E9FD3D203881197CBF | 文件大小 | 81,920 字节 | 原始文件名 | Rasmon.dll | 对照命名 | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq | 壳/编程语言 | Microsoft Visual C++ | 时间日期戳 | 2009-5-16 18:15 | 控制端服务器域名 | sl1.homelinux.org | 域名IP地址国家 | 69.164.192.40(美国) |
样本5: | MD5 | BBE6FE27D503DA9B1F1C30ADAA40730E | 文件大小 | 81,920 字节 | 原始文件名 | Rasmon.dll | 对照命名 | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | 壳/编程语言 | Microsoft Visual C++ | 时间日期戳 | 2009-5-16 18:15 | 控制端服务器域名 | sl1.homelinux.org | 域名IP地址国家 | 69.164.192.40(美国) |
样本6: | MD5 | 0F9C5408335833E72FE73E6166B5A01B | 文件大小 | 90,112 字节 | 原始文件名 | Rasmon.dll | 对照命名 | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | 壳/编程语言 | 未知 | 时间日期戳 | 2009-7-21 7:38 | 控制端服务器域名 | 360.homeunix.com |
样本7: | MD5 | 2CFCD8C34F22FFB772C99C9293C21BDA | 文件大小 | 90,112 字节 | 原始文件名 | Rasmon.dll | 对照命名 | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | 壳/编程语言 | Microsoft Visual C++ v7.1 | 时间日期戳 | 2009-7-21 7:38 | 控制端服务器域名 | bl88.webhop.org |
样本8: | MD5 | 3A33013A47C5DD8D1B92A4CFDCDA3765 | 文件大小 | 90,112 字节 | 原始文件名 | Rasmon.dll | 对照命名 | 安天: Trojan/Win32.Genome.epow
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | 壳/编程语言 | Microsoft Visual C++ v7.1 | 时间日期戳 | 2009-12-16 12:55 | 控制端服务器域名 | blog1.servebeer.com |
样本9: | MD5 | 4A069A20B8262B20E7440C8AB9C54E11 | 文件大小 | 90,112 字节 | 原始文件名 | Rasmon.dll | 对照命名 | 安天: Trojan/Win32.Genome.epoz
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | 壳/编程语言 | Microsoft Visual C++ v7.1 | 时间日期戳 | 2009-7-21 7:38 | 控制端服务器域名 | www.ccmp1.com |
样本10: | MD5 | 80FC413CF908CD4506C3F790E484822E | 文件大小 | 90,113 字节 | 原始文件名 | Rasmon.dll | 对照命名 | 安天: Trojan/Win32.Genome.eqqr
McAfee: Roarur.dll
Symantec: Trojan.Hydraq!gen1 | 壳/编程语言 | 未知 | 时间日期戳 | 2009-7-21 7:38 | 控制端服务器域名 | 360.homeunix.com |
样本11: | MD5 | 4A47404FC21FFF4A1BC492F9CD23139C | 文件大小 | 136,704 字节 | 原始文件名 | acelpvc.dll | 对照命名 | 安天: Trojan/Win32.Genome.eraf
McAfee: Roarur.dll
Symantec: Trojan.Hydraq | 壳/编程语言 | ASPack 2.12 | 时间日期戳 | 2006-6-7 11:41 |
样本12: | MD5 | 467EEF090DEB3517F05A48310FCFD4EE | 文件大小 | 8,192 字节 | 原始文件名 | VedioDriver.dll | 对照命名 | 安天: Trojan/Win32.Agent.bcvj[Spy]
McAfee: Roarur.dll
Symantec: Trojan.Hydraq | 壳/编程语言 | Microsoft Visual C++ 6.0 DLL | 时间日期戳 | 2006-5-24 1:32 | 备注 | (可能下载的PE文件) |
样本13(*): | MD5 | BA3545841D8A40ED8493E22C0E70A72C | 文件大小 | 20,480 字节 | 原始文件名 | c_1758.nls | 对照命名 | 安天: Trojan/Win32.Genome.eqgc
McAfee: Generic.dx
Symantec: Trojan.Hydraq | 壳/编程语言 | Microsoft Visual C++ 6.0 DLL | 时间日期戳 | 2006-8-15 22:18 |
注:1、上述带*的相关程序,由于其没有VERSION信息且并非从现场采集,其现场文件名已不可考。
2、其中大部分控制域名已经失效,其屏蔽基本是由对应免费域名的公司自行屏蔽的。
3、样本列表中rasmon.dll的编译时间为2009-5月、7月、12月3个时间段。
附录二:参考资料链接 1.Symantec有关本次事件分析链接:
http://www.symantec.com/connect/blogs/trojanhydraq-incident-analysis-aurora-0-day-exploit2.McAfee有关本次事件分析链接:
http://www.mcafee.com/us/threat_center/operation_aurora.html3.TrendMicro 有关本次事件分析链接:
http://us.trendmicro.com/us/trendwatch/current-threat-activity/zero-day-attacks/index.html?WT.seg_2=2009HP_Alert_TW_ZeroDay4.ESET有关本次事件分析链接:
http://www.eset.com/threat-center/blog/2010/01/21/operation-aurora-%e2%80%93-history-repeats 5.有关安全组织的分析链接
http://www.threatexpert.com/report.aspx?md5=7ee6628b8caeef57607e5426261b8c0c
http://blog.fireeye.com/research/2009/07/who-is-exploiting-the-flash-0day.html 6.Microsoft Registry Cleaner与Security Lab有关adobe flash player漏洞攻击分析链接:
http://en.securitylab.ru/viruses/382837.php
http://www.registrycleanergeeks.com/trojan/trojanpidiefg/ | 
发表于 2010-1-28 18:01