綜述:
2016年8月8日�,卡巴斯基和賽門鐵克相繼披露出一個長期對中國、俄羅斯等國進(jìn)行APT攻擊的組織——ProjectSauron(也被稱作索倫之眼)���。ProjectSauron至少在2011年10月起就一直保持活躍��。此前��,該團(tuán)伙一直行事低調(diào)����,其目標(biāo)主要為國家情報部門所關(guān)注的政府機(jī)構(gòu)、民生企業(yè)和個人�����。
該組織攻擊目標(biāo)時使用了一種名為“Remsec”的高端惡意軟件����。
Remsec工具是一款技術(shù)含量特別高的遠(yuǎn)程控制軟件��,主要用來暗中監(jiān)視和控制目標(biāo)�����。這種軟件能夠在受感染計算機(jī)上打開后門�,記錄用戶點擊的按鍵,并盜取相關(guān)文件����。
我公司墨俠團(tuán)隊基于鉆石分析模型,對該攻擊事件進(jìn)行相關(guān)的事件還原和攻擊者分析�����。
受害者分析:
目前興華永恒團(tuán)隊諦聽APT防御系統(tǒng)監(jiān)測到該組織對全球多個國家的多個行業(yè)發(fā)起攻擊���。
已知攻擊包括20多個針對俄羅斯的攻擊�,40余起針對中國的攻擊,針對比利時大使館的攻擊和瑞典某公司的攻擊���。同時包括伊朗��、盧旺達(dá)以及幾個意大利語系國家�����。
技術(shù)能力分析:
一.Remsec遠(yuǎn)程控制技術(shù)分析
這里針對某一個遠(yuǎn)程控制樣本進(jìn)行分析����。
樣本名:Backdoor.Remsec.server.exe
MD5 :234e22d3b7bba6c0891de0a19b79d7ea
Hash :9214239dea04dec5f33fd62602afde720b71d2d2
文件大?。?/span> 135168 字節(jié)
樣本通過 MSAOSSPC.DLL裝載硬盤文件,并執(zhí)行�����。硬盤上的文件是一種特殊格式BLOB����,并通過“0xBAADF00D”進(jìn)行加解密。
加載路徑c:\System Volume Information\_restore{ED650925-A32C-4E9C-8A738E6F0509309A}\RP0\A0000002.dll
獲取啟動參數(shù)�,這個啟動參數(shù)在該樣本中并沒有起到太大作用����,需要其他輔助增加參數(shù)完成具體攻擊行為�。
參數(shù)識別,并將獲取的參數(shù)存入重新分配的內(nèi)存中
判斷是不是pe結(jié)構(gòu)�,并開始查找pe的區(qū)塊,找到bin區(qū)塊之后返回bin區(qū)塊的首地址
動態(tài)加載該程序�,初始階段有明顯的脫殼函數(shù)調(diào)用����。
這里動態(tài)解析pe,并修正導(dǎo)入表
調(diào)用rsaenh.dll交互的進(jìn)行加密�����,rsaenh.dll是微軟Microsoft增強加密服務(wù)相關(guān)文件���,用于128位加密
分配一段bin區(qū)塊大小的內(nèi)存存放加密過的shellcode
加載kernel32����,主要是為了獲取kernel32模塊的首地址
Shellcode中循環(huán)解密字符串��,獲取api地址���。
獲取api函數(shù)地址后保存
循環(huán)解密兩次之后有一個crc檢測��,當(dāng)檢測到被調(diào)試或者下斷點便直接退出返回�����。
在解密之后啟用遠(yuǎn)程鏈接的命名管道同時創(chuàng)建線程來配合管道命名���,該命名管道可以實現(xiàn)對任意文件的讀寫刪除�,接受遠(yuǎn)程命令等操作��。
同時還有遠(yuǎn)程加載pe文件行為�����,實現(xiàn)無實體惡意代碼的運行���。
綜合各種分析發(fā)現(xiàn)��,remsec遠(yuǎn)程控制軟件具備多種高級特性:
l Remsec的強大功能
Remsec適用于所有的x64和x86 Microsoft Windows操作系統(tǒng)����。由于Remsec采用獨特的插件系統(tǒng)���,插件用Lua語言編寫��,這種lua插件可自定義配置��,從特定機(jī)器中獲取特定數(shù)據(jù)文件�����,能便捷的進(jìn)行網(wǎng)絡(luò)操作����,完成各種網(wǎng)絡(luò)任務(wù)�。同時該平臺具備數(shù)十種插件,能支持從類似ls命令到keylog���,hashdump的全系列工具插件����。
l Remsec的偽裝術(shù)
“Remsec”遠(yuǎn)程控制軟件自身只是一個平臺��,不具備特殊功能�����,所有的功能都通過內(nèi)存加載,減少了使用了自身的行為特征�。它還使用一種Lua模塊技術(shù),多種操作通過Lua語言是實現(xiàn)���。另外��,我們還發(fā)現(xiàn)��,Remsec 惡意文件根據(jù)每臺機(jī)器安裝的軟件不同����,偽裝成不同軟件的不同組成部分�,如下圖所示:
remsec偽裝進(jìn)程列表
Remsec 偽裝的文件多種多樣,包括像卡巴斯基�����、賽門鐵克這種殺毒軟件��,同時也有諸如微軟補丁文件���、VmWareTools更新文件�。有趣的是�����,Remsec偽裝的kavupdate.exe文件即是卡巴斯基殺毒軟件的進(jìn)程文件,同時也是國產(chǎn)迅雷安全組件的必要文件�。
偽裝迅雷/卡巴斯基升級文件
l 特殊的上線技術(shù)
Remsec遠(yuǎn)程控制軟件使用特殊的技術(shù)上線,在這里發(fā)現(xiàn)的有DNS方式上線和mail方式實現(xiàn)數(shù)據(jù)傳輸�。這兩種傳輸技術(shù)在遠(yuǎn)程控制軟件中都不多見。
一個叫“DEXT”的插件顯示了DNS隧道數(shù)據(jù)傳輸�����。
Remsc使用特殊的郵件方式進(jìn)行數(shù)據(jù)傳輸
l 虛擬文件技術(shù)
Remsec木馬VFS具有兩個主要功能�����,一個是負(fù)責(zé)竊取數(shù)據(jù)保存在本地C:\System Volume Information\_restore{ED650925-A32C-4E9C-8A73-8E6
F0509309A}目錄下�����,以bka*���、da、~*.tmp等方式存儲�����。
另一功能是連接外部通信,將竊取的數(shù)據(jù)通過自己本地服務(wù)器發(fā)送出去�����,不過木馬在完成以上兩個功能后�,由于木馬本身的設(shè)計缺陷,木馬并沒有將緩存文件刪除干凈�。
綜上可以看到,該遠(yuǎn)程控制軟件具備很多特殊的高級特征和特殊功能�����,絕不是普通的黑客個人或小團(tuán)體所能有能力開發(fā)使用的��。
二.內(nèi)網(wǎng)拓展能力分析
該組織使用了多種特殊的攻擊方式進(jìn)行內(nèi)網(wǎng)拓展�。從木馬偽裝位置和功能上就可以看出,在內(nèi)網(wǎng)拓展中秘密收集各種用戶密碼和機(jī)密文件�。
該APT攻擊團(tuán)隊,會通過網(wǎng)絡(luò)滲透控制目標(biāo)內(nèi)網(wǎng)系統(tǒng)中的域服務(wù)器����,以域服務(wù)器為重要攻擊目標(biāo)。獲取相應(yīng)權(quán)限之后�����,再通過被控制的服務(wù)器進(jìn)行橫向移動,攻擊內(nèi)網(wǎng)系統(tǒng)中的其他設(shè)備和終端����。獲取到想要的目標(biāo)數(shù)據(jù)。
三.0day使用能力
在所有的攻擊中���,各大廠商都未報道發(fā)現(xiàn)相關(guān)了0day攻擊漏洞�,都只發(fā)現(xiàn)了被方式remsec控制型后門的攻擊結(jié)果�,未能發(fā)現(xiàn)攻擊過程。由此推測�,該組織一定具備較多的0day資源,使用較多的0day工具�、較好的攻擊技能和特殊的隱藏技術(shù)才能實現(xiàn)這種效果。
四.非聯(lián)網(wǎng)數(shù)據(jù)獲取能力
遠(yuǎn)程控制軟件可以使木馬跳出隔離的網(wǎng)絡(luò)實現(xiàn)繼續(xù)控制����。其原理在于USB磁盤分區(qū)有一塊預(yù)留空間,木馬利用這塊USB磁盤空間�,感染USB驅(qū)動,秘密寫入執(zhí)行指令����,一旦目標(biāo)網(wǎng)絡(luò)系統(tǒng)不能使用,攻擊者等待USB驅(qū)動器繼續(xù)控制被感染的機(jī)器。
