找回密码
 注册创意安天

剖析针对韩国的网络间谍活动Operation Troy

[复制链接]
发表于 2015-7-27 09:58 | 显示全部楼层 |阅读模式
剖析针对韩国的网络间谍活动Operation Troy
迈克菲实验室RyanSherstobitoff,Itai Liba
首席技术官办公室JamesWalter
01.jpg

非官方中文译文•安天技术公益翻译组译注

  
文档信息
  
  
原文名称
  
  
Dissecting Operation Troy: Cyberespionage  in South Korea
  
  
原文作者
  
  
Ryan Sherstobitoff,Itai Liba,
  
James Walter
  
  
原文发布日期
  
  
2013年7月8日
  
  
作者简介
  
  
Ryan Sherstobitoff是迈克菲实验室威胁研究员。在此之前,他是熊猫安全公司的首席安全战略员,负责响应新兴威胁。
  
Itai Liba是迈克菲实验室的高级安全研究员,是僵尸网络研究小组的成员。Itai参与过移动漏洞研究和大型逆向工程项目,以及显示驱动程序的开发工作。
  
James Walter是全球威胁情报运营总监,为首席情报官办公室管理着MTIS(迈克菲威胁情报服务)。他专注于新威胁的研究,记录漏洞并开发相应的对策。
  
请参见本文的“作者简介”部分。
  
原文发布单位
  
  迈克菲实验室
  
  
原文出处
  
    
  
译者
  
安天技术公益翻译组
校对者
  
安天技术公益翻译组
免责声明
  
•       本译文译者为安天实验室工程师,本文系出自个人兴趣在业余时间所译,本文原文来自互联网的公共方式,译者力图忠于所获得之电子版本进行翻译,但受翻译水平和技术水平所限,不能完全保证译文完全与原文含义一致,同时对所获得原文是否存在臆造、或者是否与其原始版本一致未进行可靠性验证和评价。
•       本译文对应原文所有观点亦不受本译文中任何打字、排版、印刷或翻译错误的影响。译者与安天实验室不对译文及原文中包含或引用的信息的真实性、准确性、可靠性、或完整性提供任何明示或暗示的保证。译者与安天实验室亦对原文和译文的任何内容不承担任何责任。翻译本文的行为不代表译者和安天实验室对原文立场持有任何立场和态度。
•       译者与安天实验室均与原作者与原始发布者没有联系,亦未获得相关的版权授权,鉴于译者及安天实验室出于学习参考之目的翻译本文,而无出版、发售译文等任何商业利益意图,因此亦不对任何可能因此导致的版权问题承担责任。
•       本文为安天内部参考文献,主要用于安天实验室内部进行外语和技术学习使用,亦向中国大陆境内的网络安全领域的研究人士进行有限分享。望尊重译者的劳动和意愿,不得以任何方式修改本译文。译者和安天实验室并未授权任何人士和第三方二次分享本译文,因此第三方对本译文的全部或者部分所做的分享、传播、报道、张贴行为,及所带来的后果与译者和安天实验室无关。本译文亦不得用于任何商业目的,基于上述问题产生的法律责任,译者与安天实验室一律不予承担。

执行摘要

当地时间2013年3月20日下午两点,韩国遭受了严重的网络攻击。这次网络攻击擦除了数万台计算机的硬盘,对受感染的组织带来了严重的损害。
迈克菲实验室的研究揭示了可能的攻击源头。虽然还未得到确切的结论,但是我们的分析提供了一个更清晰的画面。研究还表明,攻击可能涉及两个不同的组织。
这次攻击一开始被称为Dark Seoul,现在我们将其称为Operation Troy。分析表明,除了MBR(主引导记录)擦除导致的数据丢失,该攻击事件还故意破坏网络等等。这些针对韩国目标的攻击实际上是一场隐秘间谍活动的结束篇。

攻击时间线

我们的分析揭示了攻击的时间线,如下所示。在本报告的后续部分,我们还会介绍一些其他因素,但是我们始终认为攻击者在启动擦除组件之前能够访问目标环境。
3月20日的攻击针对韩国的银行和新闻机构:

1.        远程访问木马于2013年1月26日编译。
2.        擦除大量系统的MBR的组件编译于1月31日。
3.        首先利用远程访问木马对目标组织中的初始受害者发动鱼叉式网络钓鱼攻击,这可能发生于3月20日之前(可能是几个星期以前)。
4.        投放器编译于3月20日,即发动攻击的几个小时之前。
5.        投放器在受害组织的系统中传播,几分钟之内,MBR就被擦除了。这发生于首尔时间3月20日下午2点左右。

国家赞助or网络恐怖主义?

我们尚不清楚攻击者是谁,但是我们的研究揭示了可能的攻击源头。各种线索显示,声称负责的组织只是烟雾弹,旨在掩盖攻击的真正来源。

对手

似乎参与该攻击的两个组织在此事件之前毫无联系。

•       NewRomanic网军组织

与该组织有关的样本非常具有说服力。我们发现的大多数擦除工具包含字符串“principes”和“hastati”,这些字符串也出现于一个受攻击网站的网页弹出消息中。擦除工具还用其中一个字符串重写了MBR。以下数据能够说明这一点:

-       一些擦除工具的代码中包含字符串“principes”1和“hastati”2。相同的字符串还出现于韩国Nocut新闻网站的网页弹出消息中。该字符串是古罗马语,指的是军队,因此在这里指的是“网军”。该弹出消息甚至指出了参与该攻击的具体hastati部队。

-       被发现的远程访问木马的一个创建路径包含“Make Troy”,这是文件夹“Work“的子目录。Troy(特洛伊)3指的是一个古老的罗马帝国领土,这一点又将攻击组织与罗马语引用联系了起来。

•       Whois黑客组织

3月20日,该组织攻击了网络提供商LG+U的网站。事件涉及了第二个攻击组织,这只是一个巧合吗?所有的证据表明,这两个组织有强烈的关联,但没有坚实的证据。我们发现,虽然Whois黑客组织和NewRomanic网军使用的擦除组件的运行方式不同,但是这两个擦除组件根本上是相同的。Whois的MBR擦除组件包括与LG+U网站上的擦除组件相同的图形(在二进制资源文件中),只是其行为方式不同而已。但是,我们在主要可执行文件内发现了与NewRomanic网军擦除工具的结构相匹配的部分代码,所以Whois组织很可能投放了该擦除工具。

不管是不是国家赞助的,这些攻击都在削弱。与我们见过的其他攻击相比,该攻击的整体战术并不成熟。该攻击似乎针对目标使用以下技术:

•       窃取和保存数据,并宣称其窃取行为。公共新闻媒体只报道说成千上万的计算机的MBR被恶意软件擦除了,但实际上还有其他后果:攻击组织声称窃取了大量的个人信息。这种战术符合黑客活动的匿名操作等行为,他们宣称对攻击负责并泄露了一部分机密信息。

•       擦除MBR导致系统不可用,使得目标立即瘫痪。

分析

攻击动机是什么?攻击者为何选择这些目标?攻击成功地导致了ATM网络的显著破坏,同时拒绝资金获取。这种类型的攻击(恶意软件破坏金融机构的系统)在韩国已经不是第一次了。2011年,同样的金融机构也遭受了恶意软件的DoS攻击。

攻击事件发生一天后(即3月21日),攻击者通过网页弹出消息的方式声称NewRomanic网军组织对攻击负责,并泄露了多家银行和媒体公司的个人信息。

他们还通过网页弹出消息的方式声称对大量机器的MBR数据擦除负责。Internet Explorer的页面标题显示:“Hey, Everybody in Korea????”


3.png

恶意软件

此次攻击使用了一些类型的恶意软件。每个变种都有其特定的用途。报道只提到了擦除组件,但是实际上共有3个组件,其目的各不相同,能够协助攻击者的行动。

表1:攻击组件
组件
目的
文件大小
编译日期
  
投放器木马
  
  
安装MBR擦除工具
  
  
418KB
  
  
2013年3月20日
  
  
MBR擦除工具
  
  
擦除磁盘MBR
  
  
24KB
  
  
2013年1月31日
  
远程访问木马
为攻击者提供后门访问
46KB
2013年1月26日


该攻击的两个其他行为是:

•       使用MBR擦除组件破坏计算机,时间是3月20日。
•       在攻击之前的一段时间对目标进行远程访问,这种访问的持续时间尚未确定。

投放器木马

投放器木马主要用于下载能够破坏系统MBR的可执行文件。我们认为,攻击发生时,投放器木马利用被感染的补丁管理服务器(该服务器伪装为运行合法更新)传播。

投放器木马于3月20日编译,也就是在攻击发生的几个小时之前编译的。我们认为,攻击者在3月20日之前就能够访问目标环境。大量用户(30,000多位)都在3月20日这一天遭受鱼叉式网络钓鱼攻击是不太可能的。

攻击者可能首先攻陷了组织内部的某个目标。然后,利用初始受害者的被感染系统进入其他系统并广泛地传播恶意软件。初始感染可能是鱼叉式网络钓鱼攻击。该后门程序于1月下旬编译。攻击者可能自2月份以来就隐蔽于目标网络中了。鉴于攻击者声称在擦除MBR之前就窃取了大量的信息,这个时间推测是合理的。

通过进一步分析,我们发现了其他的组件:

•       远程访问木马被感染了一些目标环境,特别是用于向数千台计算机发布更新的内部服务器。该木马变种于1月26日编译,被安全人员在3月25日检测到。迈克菲将这种威胁命名为RDN/GenericPWS.y!io。该木马用Microsoft VisualC ++版本2.9编译器创建,文件大小是47 KB。

MBR擦除工具

目前为止,我们已经发现了若干擦除工具;它们都是在1月31日编译的。擦除工具本身相对较小(24 KB),通过一个418 KB且于攻击当天编译的投放器木马进入目标系统。

当执行恶意软件后,主要投放器(9263e40d9823aecf9388b64de34eae54)创建文件AgentBase.exe,即MBR擦除组件。该文件被放置在被感染用户的应用程序数据文件夹中,执行,并立即开始倒计时擦除系统,使其无法启动。此文件大约是在攻击发生的2个月前编译的。

主要投放器组件在攻击当天(首尔时间3月20日早上4点7分)编译。投放器安装擦除工具,而擦除工具就在下午2点左右破坏MBR。一旦投放器执行,就会在几分钟之内擦除系统。因此,这些组件是在攻击者决定破坏这些机器时才传播的。

远程访问木马

很多人并不知道攻击者使用远程访问木马来感染内部服务器。攻击者利用这个内部服务器将擦除组件传播至成千上万的计算机。远程访问木马大小为46 KB,于1月26日编译,也就是MBR擦除工具被编译的5天前。

正如之前所说,我们已经确定了攻击者在擦除系统之前就能够访问目标环境。远程访问木马可能是通过鱼叉式网络钓鱼攻击感染内部计算机的。通过这个被感染的系统,攻击者就能够访问其他内部资源了。该木马旨在运行于Internet Explorer;它启动InternetExplorer的一个隐藏实例,并自我注入到正在运行的进程中。

4.png
图1:进程监视器显示远程访问木马启动了一个InternetExplorer实例

木马立即修改注册表中的属性,以允许远程连接到系统。

追溯攻击者

将恶意软件追溯到开发者并不总是很容易。大多数攻击者非常谨慎,以确保它们无法被追踪。这在诸如网络间谍的活动中尤其重要,其目的就是不被发现。

在分析中,我们发现了攻击组件的大量独特属性;这些标识使得我们能够将具体样本与特定攻击组织联系起来。

虽然两个组织都声称对攻击负责,但是我们发现擦除组件的变种来自NewRomanic网军组织。

虽然Whois黑客组织声称攻击了LG+U的网站,但我们只能将其与一个擦除工具样本联系起来,而且该擦除工具的运行方式也不同于其他擦除工具。Whois擦除工具大小为236 KB,于3月19日编译;而其他的擦除组件只有24 KB。Whois擦除工具也包含更多的函数。因此,我们可以明确地将NewRomanic与韩国金融机构网络的MBR擦除工具样本联系起来。NewRomanic将继续是攻击的主要嫌疑人。

确认了NewRomanic和已知擦除工具样本之间的联系之后,我们发现了大量样本包含字符串“hastati”或“principes”。

表2:与NewRomanic网军组织有关的擦除工具样本
样本MD5
编译日期
检测名称
  
db4bbdc36a78a8807ad9b15a562515c4
  
  
2013年1月31日
  
  
KillMBR-FBIA
  
  
5fcd6e1dace6b0599429d913850f0364
  
  
2013年1月31日
  
  
KillMBR-FBIA
  
f0e045210e3258dad91d7b6b4d64e7f3
2013年1月31日
KillMBR-FBIA



不仅大多数擦除工具样本与NewRomanic有关,远程访问木马也与该组织有关。该木马的创建路径中提到了Troy,这与该组织的古罗马语引用一致。

5.png
图2:名为Troy的远程访问木马,这将攻击与NewRomanic网军组织联系了起来。

代码分析

两个组织声称对攻击负责,这种情况极不寻常。虽然没有进一步的信息来表明他们的身份或动机,但是我们有理由怀疑他们其实是同一个组织。代码分析显示这两个组织的样本非常类似。

Whois黑客组织的样品与当地时间3月19日下午1点57分编译,而NewRomanic投放器则于当地时间3月20日早上4点7分编译。针对韩国银行、媒体和LG+U的攻击大约发生在当地时间3月20日下午2点。

迈克菲实验室从代码层面上调查了两组样本的异同。尽管NewRomanic擦除工具的大小为24 KB,Whois擦除工具的大小为236 KB,但是我们确实发现了代码的相似性。Whois样本是一个组件的投放器,该组件类似于NewRomanic网军组织所使用的组件。我们发现了大量的相同子程序和代码段,它们只有轻微的差别。这些相似性表明:有效负载的代码基于相同的初始代码,被嵌入到不同的投放器中。

表3:子例程区别的分析
Whois样本
NewRomanic样本
不同函数的数量
  
_alloca_probe
  
  
_alloca_probe
  
  
完全匹配
  
  
sub_4078C0
  
  
loc_40291F
  
  
15
  
  
sub_4030A0
  
  
loc_302f40
  
  
17
  
  
loc_404f54
  
  
loc_403169
  
  
1
  
  
loc_4033a1
  
  
loc_4084ee
  
  
完全匹配
  
  
loc_4065f4
  
  
loc_403694
  
  
完全匹配
  
  
start
  
  
sub_401870
  
  
131
  
  
sub_402D02
  
  
sub_407BC9
  
  
0
  
  
sub_407c7a
  
  
sub_402DB3
  
  
10
  
  
sub_4083F5
  
  
sub_40327D
  
  
4
  
sub_403770
sub_409980
完全匹配


揭开“Troy行动”的神秘面纱针对韩国的持续性间谍活动:2009-2013

各种报道介绍了发生于2013年3月20日的所谓的Dark Seoul事件,但是只提及了MBR擦除工具组件。分析人员调查了该事件的许多细节,多数分析人员认为这是一次孤立但明确协调的攻击。但是,迈克菲实验室发现还有很多信息没有被报道出来。我们的分析揭示了一个秘密的间谍活动。

通常,这样的APT(高级持续性威胁)活动会针对多个国家的各个部门,但是Troy行动(现在这样称呼此次攻击事件)仅仅针对韩国。

    通过分析恶意软件样本的独特属性,我们发现“Troy”木马家族的初始代码是在2010年创建的,木马HTTP Troy投放的另一个组件也是在2010年创建的。这些攻击使用的恶意软件专门针对韩国编译,而且在二进制文件中使用韩语资源。恶意软件与合法的韩国域名相关,这些域名运行一个公告板并向PHP页面发送特定的命令来创建IRC(互联网中继聊天)通道并接收命令。

6.png
图3:针对性攻击Dark Seoul在2013年3月达到顶峰,但其历史可以追溯到至少2009年,即木马源代码初次编译时。恶意软件的后续变种也参与了此次攻击。

迈克菲实验室已经确定,间谍活动发生于3月20日的攻击之前,最有可能是为了获得目标的情报或在其他一些方面使攻击者受益。这种间谍活动一直是隐蔽的,通过研究和协作才得以发现。我们也怀疑,在擦除系统之前,攻击者就了解了其中运行的安全软件,这是因为攻击使用的一些变种伪装为反恶意软件更新文件。

在此次攻击之前,攻击者已经利用各种自定义工具隐蔽了若干年。对Dark Seoul的调查显示,至少自2009年开始针对韩国的间谍活动就开始了。这次攻击行动基于相同的代码,试图渗透特定的韩国目标。因为“Troy”一词不断地出现于恶意软件的编译路径字符串中,我们将其称为Troy行动。此次攻击事件的主要嫌疑人是NewRomanic网军组织,该组织经常在其代码中使用罗马和古典术语。在分析攻击事件之前的恶意软件组件时,我们发现了相似和相同的属性,这使得我们将其与3月20日攻击所使用的3Rat远程管理工具客户端和追溯到2010年的样本联系起来。另外,我们发现攻击者事前访问受害者的网络,上传MBR擦除组件并加以传播。被称为“10 Daysof Rain”的活动可能就是Troy行动的副产品;分析表明,恶意软件Concealment Troy用于这些攻击中。

工具和战术NSTAR2010-2011

NSTAR似乎是Troy家族的第一个产品版本。该木马基于2009年初次出现的军事间谍活动的恶意软件创建,Troy家族的后续变种以与NSTAR相同的方式使用组件。它包括一个共享的DLL(bs.dll),该DLL出现于2010年和2011年的变种中。后续变种使用修改后的版本HTTPSecurityProvider.dll,它所使用的文件映射函数几乎与bs.dll相同。大多数变种都是从”Work”目录编译的,所有版本都是这样。DLL使用微软Visual C++版本6编译。这些迭代发现于2010-2011年。

NSTAR bs.dll的调用图与HTTP Troy的完全一样。它们的编译时间相隔至少一年。

7.png
4NSTAR变种的bs.dll的调用图
8.png
5HTTP Troy变种的bs.dll的调用图
该DLL被编译于2011年3月3日,包括在2010年年底编译的OCX组件。OCX使用了一个非常不同的编译路径,但后门bs.dll与后续版本的基本相同。

“Work”目录的路径如下所示,该目录也用于编译于2013年的Troy变种Concealment Troy和3Rat Client。
E:\Work\BackUp\2011\nstar_1103\BackDoor\BsDll-up\Release\BsDll.pdb

       在该变种中,我们还发现了一个文件映射函数,该函数与大多数较新版本的一致。开头的独特字符串“FFFFFFF”是相同的,之后的变种也是如此。

9.png
6NSTAR的文件映射功能

该恶意软件创建了一个IRC通道来接收实时命令,这与军事间谍恶意软件的做法一致。

10.png
7NSTARHTTP作为主通道与其控制服务器通信

ChangEagleXP2010

2010年的另一个变种EagleXP与NSTAR和HTTP Troy紧密相关,使用和它们同样的组件。EagleXP使用下述编译路径:

D:\VMware\eaglexp(Backup)\eaglexp\vmshare\Work\BsDll-up\Release\BsDll.pdb

在2010年后的其他恶意软件中,我们也发现了“Work”目录,编译于2010年5月27日的一个变种也包含了非常相似的编译路径。我们能够从控制服务器获得一些流量。

D:\\Chang\\vmshare\\Work\\BsDll-up\\Release\\BsDll.pdb

5月27日的变种称为Chang,与其他Troy变种的运行方式相同,而且使用相同的bs.dll。一家韩国制造网站既托管控制服务器,也托管着IRC服务器。

11.png
8:被感染系统的出站流量

12.png
9:恶意软件通过IRC与控制服务器建立通道

Chang和EagleXP基于与NSTAR和后续变种相同的代码。这些相似之处说明攻击者针对韩国目标已经超过3年了。

IRC僵尸网络的结构

13.png
10:恶意软件家族及其控制服务器

在调查中,我们分析了攻击者的控制僵尸网络,该僵尸网络一直使用到2013年。基础设施依赖于托管IRC服务器的受感染的韩国网站。反过来,受感染的客户端使用RSA加密YuIRCS服务器通信,并且使用从微软加密API库导入的函数。
14.png
11:从微软加密API库导入的某些函数

攻击者硬编码bs.dll中的控制域,并将其置于最终编译的木马代码中。每一代木马的每个变种都包含与控制服务器有关的不同的硬编码字符串。这表明,攻击者首先感染未来的IRC服务器站点,然后编译组件并将其传播到受感染的目标中。
15.png
图 12:bs.dll中的硬编码地址

Bot的昵称可以通过出站流量和写入Windows注册表的信息来确定。2010年6月的一个变种使用的昵称是BS^000C2918AB11,密码是wodehaopeng。恶意软件加入IRC通道#god,并向可能的控制服务器发送一些私人信息以便接收命令。

PRIVMSG X^111112352643[1] :
A5TbaKuqCO641tirNl51rFLdNHeUhMbUiJ93sO5rip9X7AZG0Y8rlZVmItEEfDrmNL19OpJrv2khO5WbflTqxs7FVgzUNfdvtnjbObWeNNVPlF/yXPQIEDj/4YnidGDAqp7m8lFpnC2Pyz2+6OOooEUMqG6rKImyFQLM/V7K69E=

4IRC bot的昵称(按照变种)
变种                            Bot 昵称
Http Dr0pper                 YN^000E0C3CB868
HTTP Troy                     B9^E02E29C4
TDrop                         TE02E29C
NSTAR                         H^E02E29C4
Tong                           CO^000E0C2892FA

EagleXP                       B3^000C2918AB11

HTTP Troy2011

2011年,攻击者创建了木马HTTPTroy(根据其编译路径字符串命名);这是Troy木马家族的第一个变种。到目前为止,我们只发现了HTTP Troy的一个样本。执行时,该恶意软件会启动一个残缺的GUI(图形用户界面),允许受害者安装一个显示政治敏感图片的屏幕保护程序。我们不知道为什么开发者冒着木马可见的风险。屏幕保护程序组件(chonanship.scr)并不是恶意的,编译于2010年12月12日。它包含了与韩国军舰Cheonan沉没有关的图片。4 HTTP Troy编译于2011年3月20日,包含编译路径Z:\source\1\HttpTroy\BsDll-up\Release\BsDll.pdb。正如所见,HTTP Troy使用与NSTAR、Chang和EagleXP变种相同的DLL。该路径包含于用来创建与攻击者控制服务器通信的隐蔽IRC通道的DLL组件中。这种远程访问木马的主要投放器文件伪装成AhnLab的智能更新程序。原始文件名是SUpdate.exe。

执行后,远程访问木马与控制服务器sujewha.com连接。
16.png
13HTTP Troy通过IRC与其控制服务器通信
HTTP Dr0pper2012

我们发现了一个第二代的木马HTTP Dr0pper,该木马基于HTTP Troy编译,其编译路径是Z:\1Mission\Team_Project\[2012.6~]\HTTPTroy\HttpDr0pper\Win32\Release。该木马是在2012年从HTTP Troy目录编译的,表明它是原始HTTP Troy的更新版本。

从此时开始,所有变种都重复使用特定的DLL。这个DLL在一些情况下被命名为HTTPSecurityProvider.dll并使用微软加密API来保护通信。我们可以通过文件映射函数来跟踪该DLL的使用。

17.png
14Http Dr0pper使用相同的文件映射函数和DLL

我们可以确定另一个变种Tong(基于其被编译的目录)也重新使用该DLL,并且包含相同的函数。

18.png
图 15:Tong使用相同的文件映射函数和DLL

此外,一旦解码,编译于2013年的变种(如Concealment Troy)也包含同样的函数。而且,Concealment Troy的支撑DLL也重新使用了一些基础代码。

19.png
16Concealment Troy使用相同的函数(如图所示的编码函数)

执行后,木马使用特定的参数(包括IRC昵称)与控制服务器建立连接。这种通信模式与Troy的其他变种是一致的。

20.png
17:与控制服务器通信

Tong2012

       Tong变种包含编译路径E:\Tong\Work\Op\1Mission\Team_Project\[2012.6~]\HTTPTrojan 2.0\HttpDr0pper\Win32\Release。它还使用相同的方法通信。该木马被编译于2012828日。

21.png
18Tong与其控制服务器通信

表 5:Tong投放的组件
编译日期                  编译路径
2012年7月4日          Z:\1Mission\Team_Project\[2012.6~]\HTTP Troy\HttpDr0pper\Win32\Release\3HttpDropper.pdb
2012年7月7日          Z:\1Mission\Team_Project\[2012.6~]\HTTPTroy\HttpDr0pper\Win32\Release\HttpSecurityProvider.pdb
2012年8月28日         Z:\1Mission\Team_Project\[2012.6~]\HTTPTroy\HttpDr0pper\Win32\Release\HttpSecurityProvider.pdb
2012年8月29日         Z:\1Mission\Team_Project\[2012.6~]\HTTPTroy\HttpDr0pper\Release\HttpSecurityProvider.pdb

TDROP2013

TDROP是HTTP Troy的第三代变种。TDROP使用两个DLL文件(payload32.dll和payload64.dll)的其中之一,并根据操作系统将其中之一注入svchost.exe。以前的版本使用bs.dll,其中包含与IRC僵尸网络通信的代码。TDROP拥有HTTP Troy所不具备的功能,能够在64位机器中运行,而且能够规避自动分析系统和模拟技术。

规避例程检查是否存在附加于父进程的调试器和追踪器。如果发现试图钩挂和监控API调用的仿真或沙箱系统,就会立即有效地终止父进程。


22.png
19payload32.dll的反调试功能

此外,TDROP使用一个DLL在Windows 7非特权帐户下运行。该变种编译于2013年1月15日,包含编译路径D:\Work\Op\Mission\TeamProject\[2012.11~12]\TDrop\Dropper32\Release\Dropper.pdb。主要的可执行文件(提取其他组件)通过路径Z:\Work\v3zip\misc.cand Z:\Work\v3unzip.c编译。这可能是一个将文件提取到桌面的压缩工具。

与HTTP Dr0ppe一样,TDROP使用伪装的投放器组件AhnlabUpdate.exe。唯一码几乎与Http Dr0pper所用的相同,只有最后两个字符不同。

23.png
20TDROP重新使用http Dr0pper的代码

当主木马文件执行时,它会启动本身非恶意的RunCmd.exe。之后,RunCmd.exe根据相关RunCmd.ini文件中指定的文件名启动AhnlabUpdate.exe。这些文件在目录114719_507_AhnlabUpdateKit中创建,该目录位于桌面上的一个临时目录中。很明显,攻击者了解目标环境使用的安全产品,试图使该恶意软件尽可能地伪装为合法程序。AhnlabUpdate投放另一个可执行文件并加以运行,该文件是RAT有效载荷,能够与控制服务器建立连接。
24.png
21TDROP伪装为安全产品

Concealment Troy2013

另一个第三代Troy家族木马是Concealment Troy。该版本是从3Rat客户端的同一目录编译。Concealment Troy的某些组件表明其源代码最初编写于2010年,后来被编译并用于此次攻击事件。在受害者系统中安装后门的64位组件包含一个有趣的编译路径,该路径于2012年11月28日首次创建。

C:\test\BD_Installer_2010\x64\Release\BD_Installer_2010.pdb

32位版本于2013年1月23日编译,并包含以下编译路径:

Z:\\Work\\Make  Troy\\Concealment  Troy\\Exe_Concealment_Troy(Winlogon_Shell)\\SetKey_WinlogOn_Shell_Modify\\BD_Installer\\Release\\BD_Installer.pdb

6Concealment Troy的编译时间线
25.png

与之前的版本不同,Concealment Troy不使用实时IRC控制(Concealment Troy是一个典型的HTTP僵尸网络)。

26.png
22Concealment Troy不使用IRC实时控制,而是使用HTTP作为其主要的通道。

军事间谍恶意软件:2009-2013

迈克菲实验室发现了一个自2009年就开始运作的针对韩国的高级军事间谍网络。我们的分析表明,该网络与DarkSeoul事件有关联。此外,我们还确定了一个组织是自2009年10月以来一系列针对韩国的攻击活动的幕后黑手。攻击者设计了一个复杂的加密网络,旨在收集军事网络的情报。我们已经证实攻击者在2009年、2010年、2011年和2013年利用木马攻击军事网络。该网络利用RSA 128位加密的微软加密API来伪装受感染系统和控制服务器之间的所有通信。一旦恶意软件发现有趣的信息,就会加以提取并通过加密网络传输。特别有意思的是,在获取文件之前,攻击者利用自动侦察工具来确定内部系统包含哪些特定的军事信息。
27.png
23:加密的数据泄露网络
这些攻击会发生在4个阶段:

•       初始的“水坑攻击”,这将导致内部系统的漏洞利用(2009年的案例,攻击者讲一个零日漏洞放置于军事社交网站)。之后的案例很可能利用鱼叉式网络钓鱼攻击,以便更快地获取正确的目标。
•       恶意软件在目标系统中自动执行侦察,以便寻找感兴趣的文档。恶意软件也可以获取密码、注册信息,以及有趣的文件目录列表。
•       根据发现的有趣文件的数量,攻击者可以从受感染系统请求目录下的内容。可以根据需要有选择地获取特定文件。
•       被窃取的文件通过HTTP加密通道发送到攻击者的服务器。

加密网络

攻击者的加密网络使用微软加密API库1.0版,以便加密HTTP和IRC的通信通道。加密使用128位的RSA密钥,使用的是以下代码。
28.png
24:调用加密API库的函数
29.png
25:用于伪装通信的RSA加密密钥

该网络将HTTP和IRC作为辅助通道进行实时操作。IRC网络基于开源库libircclient5,任何通过该IRC通道发送的内容都用API加密。

30.png
26:建立一个IRC通道会话

以下命令由IRC支持,以便实时控制受感染的系统。这个功能使得攻击者能够按需发送和接收文件并执行远程命令。客户端和服务器之间发送的消息采用base64编码,然后用API加密;因此消息必须被解码和解密之后才可见。这种高度复杂的方法为安全的加密通道(不是SSL)提供了很大的灵活性。

•       获取bot版本和正常运行时间
•       获取目录中的文件清单(所有驱动器或特定路径的文件)
•       在一定时间内停止活动
•       下载文件
•       发送本地文件到服务器
•       执行shell命令
•       连接到IRC服务器
•       更改昵称(IRC)
•       加入通道(IRC)
•       断开IRC连接
•       从系统中删除bot
31.png
27IRC命令的函数
HTTP部分被设计来获取IRC僵尸网络使用的配置数据,并将窃取的文件发送给控制服务器。

32.png
28HTTP GET命令以及参数

33.png

29HTTP GET命令(续)

34.png
30HTTP Get命令(续)

加密网络扫描受感染的系统,并将包含有趣文件的系统进行分类。恶意软件不会提取每个通过驱动扫描发现的匹配文件;而是按照被感染系统包含的内容分配唯一的签名。攻击者不太可能从不那么有趣的系统中提取文件。目录内容被上传到攻击者的服务器,使得攻击者能够按照意愿获取文件,并保持较低的网络流量。

数据泄露

僵尸网络的主要目的是窃取机密信息,而且是通过磁盘扫描实现的。

磁盘扫描定位目标系统中的机密信息,并使得攻击者大致了解这些军事网络包含什么信息。恶意软件搜索根磁盘、计数有趣文件的数量,并确定系统对攻击者的重要性。搜索标准主要是文件标题中的特定文件扩展名和关键字。关键字是军事专用的,有些指的是韩国的特定军队和军事项目。此函数只能确定系统中包含的有趣文件的数量;而另一个函数则负责提取匹配这些搜索标准的文件的列表。

35.png
31:磁盘扫描函数

除了搜索英语关键字,该函数还搜索代表军事术语的韩语ASCII字符。大多数涉及韩国军事行动的关键字都是英文的,还有一组缩写。

36.jpg
32ASCII字符的谷歌翻译

发送给攻击者服务器的文件使用开源Zip Utils6进行压缩。组件使用密码“dkwero38oerA^t@#”。在追溯到2009年额恶意软件中,我们一直都能发现这个密码。它主要是用来压缩从受感染系统窃取的文件。

37.png
33:压缩被窃取文件的函数

DLL的关系

在所有威胁中,我们发现攻击者一贯使用bs.dll,这是ip6ld.dll的精简版本,而ip6ld.dll也用于这次军事间谍活动中。与2009年和2010年的军事间谍事件相比,2011年至今的军事案件不仅使用类似的bs.dll函数,而且也使用类似的压缩加密密钥。
ip6ld.dll与另一个文件~81923.dll相同;两者以相同的方式运行。Bs.dll似乎主要用于IRC僵尸网络的通信。

组件bs.dll出现于很多Troy恶意软件样本中,包括Chang,EagleXP,NSTAR,Mail Attack,HTTP Troy,Tong,HTTP Dr0pper等。文件Ip6ld.dll包含了这些攻击的很多逻辑,与 bs.dll共享了许多常用函数,包括压缩加密密码。此外,两个文件的IRC和加密函数是相同的,这说明它们由同一个人或组织所创建的。这两个函数很可能是不同版本的相同源代码。它们之间的主要区别是,bs.dll不能搜索特定扩展名和术语,而Ip6ld.dll和~81923.dll则有此功能。这表明bs.dll需要另一个模块,即编译于2011年2月的Mail Attack变种,该变种包含bs.dll和payload.dll,而payload.dll则含有军事特定的搜索和提取函数。

38.png
34bs.dll函数根据指定扩展名扫描所有磁盘

bs.dll的下述函数列出了指定目录中的内容,并用密码压缩这些内容。该函数不具有任何的标准,在某些情况下(例如HTTP Troy)可能被禁用, HTTP Troy通过下载有效载荷模块来搜索数据。

39.png
35:列出并发送目录内容的bs.dll函数
40.png
36:向远程服务发送目录内容的bs.dll函数


Payload.dll似乎将磁盘搜索和目录列表整合到一个函数中。只通过一个操作就能够将目录内容整合到单独的文件中,并准备将其发送到远程服务器。

41.png
图 37:payload.dll的磁盘搜索函数
42.png
图 38:压缩内容的函数
http Dr0pper的关系

我们已经确定Http Dr0pper的某些变种能够执行payload32.dll,payload32.dll基本与TDROP中发现的DLL相同。该组件包含军事关键字。HttpDr0pper的一个编译于2012年8月23日的变种利用payload32.dll。TDrop版本则编译于2013年1月13日。这种一致性进一步证实,针对韩国的行动主要侧重军事情报收集,并且从2009年就开始了。

破坏目标

间谍恶意软件能够破坏系统,其方式与2013320日的韩国系统攻击一样。如果对手获取情报后擦除军事网络的内容,那么这种能力可能是灾难性的。这显然与320DarkSeoul事件(MBR擦除之前3Rat木马首先访问目标系统)相同。但是这至少有一个限制:我们发现20112月的恶意软件只有在被安全产品调试或分析时才会擦除目标。

43.jpg
图 39:恶意软件的擦除MBR的函数

活动

通过研究,我们发现了Troy行动的很多子行动,这些行动针对韩国军队,旨在提取机密信息。这些行动发生于2009年至2013年。最近发现的证据表明,这些行动在Dark Seoul事件之前仍在继续。通过各种技术手段,我们可以将Dark Seoul的攻击者与这些特殊的间谍活动联系起来。

•       Troy时代的恶意软件基于相同的源代码,以创建这些特殊的版本(多年来共享的组件)。
•       几乎所有情况下都发现了压缩加密密码,Concealment Troy除外。
•       恶意软件编译路径中的相同术语(例如,Troy,Work等)。
•       所有变种都使用相同的IRC僵尸网络通道和加密方法。
•       2009-2013年的组件中发现了同样的军事关键字,这证实了对手的意图。

2009-2010年和2012-2013年的行动中使用了相同的字符串混淆技术。

44.png
图 40:共享的加密密码

结论

迈克菲实验室认为Dark Seoul和其他政府攻击与一个长期的秘密行动有关,这揭示了Dark Seoul攻击者的真实意图:试图刺探和破坏韩国军方和政府的活动。Troy时代的恶意软件基于同样的源代码,用于创建各个变种,而且有许多共同点,如bs.dll和payload.dll,整个家族的所有变种都是如此。自2009年以来,攻击者试图安装MBR擦除工具,以便破坏目标。通过分析,我们发现Troy行动从一开始的主要目标就是收集韩国军事目标的情报。我们还发现这些年针对韩国的一些其他攻击也与Troy行动有关,这表明幕后黑手是同一个组织。

作者简介

Ryan Sherstobitoff是迈克菲实验室威胁研究员。在此之前,他是熊猫安全公司的首席安全战略员,负责响应新兴威胁。Sherstobitoff被业界认为是一位安全和云计算专家。

Itai Liba是迈克菲实验室的高级安全研究员,是僵尸网络研究小组的成员。Itai参与过移动漏洞研究和大型逆向工程项目,以及显示驱动程序的开发工作。他拥有超过10年的逆向工程经验。

James Walter是全球威胁情报运营总监,为首席情报官办公室管理着MTIS(迈克菲威胁情报服务)。他专注于新威胁的研究,记录漏洞并开发相应的对策。Walter在迈克菲任职已经超过14年,领导着全球威胁分析团队,该团队发布安全公告、对策/检测反馈、全球威胁情报应用程序等。他经常在行业活动和会议上发言,并共同主持“AudioParasitics--迈克菲实验室的官方播客”。

关于迈克菲实验室

迈克菲实验室是迈克菲的全球研究团队。其研究涵盖所有的威胁向量:恶意软件、Web、电子邮件、网络和漏洞等。迈克菲实验室从数以百万计的传感器和基于云的服务McAfeeGlobal Threat Intelligence™收集情报。迈克菲实验室在全球30个国家拥有500位跨学科研究人员,能够实时追踪各种威胁、识别应用程序漏洞、分析和关联风险,并采用即时补救措施来保护企业和公众。http://www.mcafee.com/labs

关于迈克菲

迈克菲是英特尔公司(NASDAQ:INTC)的全资子公司,旨在帮助企业、公共部门和家庭用户安全地体验互联网带来的好处。该公司为世界各地的系统、网络和移动设备提供主动和成熟的安全解决方案和服务。凭借其远见卓识的安全互联战略、创新的硬件安全增强方法,以及独特的全球威胁情报网络,迈克菲始终专注于保护客户的安全。http://www.mcafee.com

英文原文报告下载: Dissecting Operation Troy - Cyberespionage in South Korea.pdf (2.05 MB, 下载次数: 66)
安天公益翻译(非官方中文译文)下载: 剖析针对韩国的网络间谍活动Operation Troy[非官方中文译文•安天技术公益翻译.pdf (2.34 MB, 下载次数: 84)
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-23 20:46

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表