“綠斑”行動——持續多年的攻擊

摘要： 1、概述 在過去的數年時間裡，安天始終警惕地監測、分析、跟蹤著各種針對中國的APT攻擊活動，並謹慎地披露了“海蓮花”(APT-TOCS)、“白象”（White Elephant）、“方程式”（Equation）等攻擊組織的活動或攻擊裝備分析，同時也對更多的攻擊組織和行動形成了持續監測分析成...

1、概述

在過去的數年時間裡，安天始終警惕地監測、分析、跟蹤著各種針對中國的APT攻擊活動，並謹慎地披露了“海蓮花”(APT-TOCS)、“白象”（White Elephant）、“方程式”（Equation）等攻擊組織的活動或攻擊裝備分析，同時也對更多的攻擊組織和行動形成了持續監測分析成果。本報告主要分析了某地緣性攻擊組織在2015年前的攻擊活動，安天以與該地區有一定關聯的海洋生物作為了該攻擊組織的名字——“綠斑”（GreenSpot）。為提升中國使用者的安全意識，推動網路安全與資訊化建設，安天公佈這份報告。

綜合來看，“綠斑”組織的攻擊以網際網路暴露目標和資產為攻擊入口，採用社工郵件結合漏洞進行攻擊，其活躍週期可能長達十年以上。

1.1 疑似的早期（2007年）攻擊活動

在2007年，安天對來自該地區的網路入侵活動進行了應急響應，表1-1是在相關被攻擊的伺服器系統上所提取到的相關攻擊載荷的主要行為和功能列表。

表 1-1 早期“綠斑”組織攻擊活動相關載荷及功能列表

這些工具多數為開源或免費工具，從而形成了攻擊方鮮明的DIY式的作業風格。由於這些工具多數不是專門為惡意意圖所編寫的惡意程式碼，有的還是常見的網管工具，因此反而起到了一定的“免殺”效果。但同時，這種DIY作業，並無Rootkit技術的掩護，給系統環境帶來的變化較為明顯，作業粒度也較為粗糙。同時只能用於控制可以被攻擊跳板直接連結的節點，而無法反向連結。和其他一些APT攻擊中出現的自研木馬、商用木馬相比，是一種相對低成本、更多依靠作業者技巧的攻擊方式。

圖 1-1 早期“綠斑”組織攻擊活動相關載荷呼叫關係圖

這些工具可以在被入侵環境中形成一個作業閉環。攻擊者使用網路滲透手段進入目標主機後，向目標主機上傳表1-1中的多種攻擊載荷，利用持久化工具達成開機啟動效果，實現長期駐留；通過NC開啟遠端Shell實現對目標主機遠端命令控制；呼叫Mt1.exe獲取系統基本資訊和進一步的管理；同時攻擊者可以通過Spooler.exe形成磁碟檔案列表並記錄、通過keylog.exe收集鍵盤輸入並記錄、通過Rar.exe收集指定的檔案並打包、通過HTTP.exe開啟HTTP服務，即可遠端獲取全盤檔案列表，獲取使用者擊鍵記錄，回傳要收集的檔案和日誌。

我們傾向認為，2007年前後，相關攻擊組織總體上自研能力有限，對開源和免費工具比較依賴，喜好行命令作業。同時，作業風格受到類似Coolfire式的早期網路滲透攻擊教程的影響較大。目前我們無法確認這一攻擊事件與我們後面命名的“綠斑”組織是同一個組織，但可以確定其來自同一個來源方向。

1.2 2011-2015年攻擊活動

從時間上來看，自2010年以後，該地區組織攻擊能力已經有所提升，善於改良1day和陳舊漏洞進行利用，能夠對公開的網路攻擊程式進行定製修改，也出現了自研的網路攻擊裝備。2010年以後相關活動明顯增多、攻擊能力提升較快。

“綠斑”組織主要針對中國政府部門和航空、軍事相關的科研機構進行攻擊。該組織通過魚叉式釣魚郵件附加漏洞文件或捆綁可執行檔案進行傳播，主要投放RAT（Remote Administration Tool，遠端管理工具）程式對目標主機進行控制和資訊竊取，其典型攻擊手法和流程是以郵件為載體進行傳播，郵件附件中包含惡意文件，文件以MHT格式居多（MHT是MIME HTML的縮寫，是一種用來儲存HTML檔案的格式），該文件開啟後會釋放並執行可執行載荷。作為迷惑使用者的一種方法，嵌入在MHT中的一份起到欺騙作用的正常的文件檔案也會被開啟顯示，攻擊過程圖1-2所示：

圖 1-2 “綠斑”組織活動攻擊流程

通過人工分析結合安天追影威脅分析系統及安天分析平臺進行關聯分析，我們對其攻擊目標、攻擊者採用的IP和常見的手法進行了梳理。該組織利用漏洞的檔案是不常見的附件檔案格式，相關攻擊技術和手法也是經過長期準備和試驗的。安天基於原始線索對該組織進行了全面跟蹤、關聯、分析，最終獲得了近百條IoC（信標）資料。通過對事件和樣本的整體分析，我們梳理了該組織在2011-2014年的部分活動時間軸。

圖 1-3 “綠斑”組織2011-2014攻擊活動時間軸

1.3 近期的部分攻擊活動（2017年）

“綠斑”組織在2015年後繼續活躍，我們在2017年監測到該組織建立了一個新的傳播源，該次活動的載荷都儲存在同一個WEB伺服器上，每一個攻擊流程內的載荷都按照目錄存放，其攻擊流程是首先傳播含有漏洞的Office文件，通過漏洞文件下載執行惡意載荷（EXE），隨後通過C2對目標主機進行遠端控制，具體攻擊流程參見圖1-4。

圖 1-4 最新活動攻擊流程

該WEB伺服器上存放了多個不同配置的惡意指令碼和可執行檔案，一個目錄下是一組攻擊樣本，最終執行的Poison Ivy ShellCode（Poison Ivy是一個遠端管理工具）都會連線一個單獨C2地址，圖1-5中紅色的域名（pps.*.com）是與2011-2015年活動相關聯的C2域名。

圖 1-5 傳播源伺服器樣本部署及C&C關係圖

2、攻擊手法分析：通過定向社工郵件傳送攻擊載荷

2.1 典型案例

針對“綠斑”組織2011-2015年間的攻擊活動中，安天通過監測發現和關聯分析，梳理出了數十起事件和載荷的關聯關係。通過對典型案例的基本資訊和誘餌檔案等進行分析，我們可以看出“綠斑”組織多采用通過定向社工郵件傳送攻擊載荷，攻擊載荷有兩種：一種是捆綁型PE惡意程式碼，在被攻擊者開啟執行後，其會開啟嵌入在PE中的欺騙收件人的“正常”文件檔案；另一種是格式攻擊文件，利用漏洞CVE-2012-0158來釋放並執行可執行檔案，同時開啟欺騙收件人的“正常”文件檔案。但在兩種攻擊方式中，所釋放的可執行檔案路徑和名稱相同，除部分案例採用%TEMP%路徑外，其他均為C:\Documents and Settings\All Users\「開始」選單\程式\啟動\update.exe，來達成開機執行的持久化效果，從釋放路徑、檔名稱可以看出這些樣本是具有關聯性的（具體分析參見4.4節）。從時間上來看，使用捆綁型PE惡意程式碼的攻擊晚於漏洞文件，這有可能是在利用漏洞文件攻擊無效後，才使用了這種雖然簡單粗暴但可能最有效的方式。

2.1.1 案例1

2.1.2 案例2

2.1.3 案例3

另外值得注意的地方是圖2-3中相關文字內容為從“全國人民代表大會網站”（文件內容出處：“ ofollow,noindex">http://www.npc.gov.cn/npc/xinwen/node_12435.htm ”2013年的網頁內容，目前網頁內容已更新。）頁面直接複製貼上的內容。

2.1.4 案例4

2.1.5 案例5

2.1.6 案例6

2.1.7 案例7

2.1.8 案例8

2.1.9 案例9

2.2 社工技巧分析

“綠斑”攻擊組織主要針對被攻擊者的職業、崗位、身份等定製文件內容，偽裝成中國政府的公告、學會組織的年會檔案、相關單位的通知、以及被攻擊者可能感興趣的政治、經濟、軍事、科研、地緣安全等內容，其所使用的欺騙性文件多數下載自中國相關部委機構、學會的網站。

3、攻擊載荷分析：漏洞、後門及可執行檔案

3.1 CVE-2012-0158漏洞利用

CVE-2012-0158是一個文件格式溢位漏洞，格式溢位漏洞的利用方式是在正常的文件中插入精心構造的惡意程式碼，從表面上看其是一個正常的文件，很難引起使用者的懷疑，因此經常被用於APT攻擊。CVE-2012-0158漏洞是各種APT攻擊中迄今為止使用頻度最高的。利用該漏洞的載體通常是RTF格式的檔案，其內部資料以十六進位制字串形式儲存。

3.1.1 由RTF到MHT的高階對抗

傳統的CVE-2012-0158漏洞利用格式主要以RTF為主，而該組織則使用了MHT格式，這種格式同樣可以觸發漏洞，而且在當時一段時間內可以躲避多種防毒軟體的查殺。

圖 3-1 RTF與MHT檔案格式對比

如果使用RTF檔案格式構造可觸發漏洞的檔案，在解碼後會在檔案中出現CLSID（CLSID是指Windows系統對於不同的應用程式、檔案型別、OLE物件、特殊資料夾以及各種系統元件分配一個唯一表示它的ID程式碼），而新的利用方式使用MHT檔案格式，CLSID會出現在MHT檔案中，由於之前的RTF溢位格式巢狀DOC文件（如圖3-2，紅框中是DOC文件檔案頭），CLSID存放於巢狀的DOC文件裡（如圖3-3，紅框中是CLSID，部分採用了網路位元組序，部分採用了主機位元組序）。

圖 3-2 以RTF為載體的溢位檔案

圖 3-3 以RTF為載體的溢位檔案

MHT檔案格式的CLSID不會存放在巢狀的DOC裡，而是直接在MHT檔案中（如圖3-4，紅框中所示），這樣可以逃避大部分安全軟體的檢測，而且在MHT中編碼格式也發生了變化，因此如果使用以前根據RTF檔案編寫的CVE-2012-0158檢測程式則會失效。

圖 3-4 案例6涉及的MHT檔案

MHT檔案的主要功能是將一個離線網頁的所有檔案儲存在一個檔案中，方便瀏覽。將檔案字尾修改為.doc後，Microsoft Word是可以正常開啟的。

該檔案可以分為三個部分：第一部分是一個網頁；第二部分是一個base64編碼的資料檔案，名為“ocxstg001.mso”，該檔案解碼後為一個複合式文件即DOC文件；第三部分的資料是二進位制檔案。

在第一部分我們發現了一段這樣的程式碼，該程式碼描述了第一部分和第二部分的關係也是導致漏洞觸發的關鍵：

這段程式碼大致表示當網頁載入的時候同時載入一個COM控制元件去解釋第二部分的資料。該控制元件的CLSID是{**********-11D1-B16A-00C0F0283628}，經過查詢該控制元件便是MSCOMCTL.OCX.。當時已知的與該控制元件有關的最新漏洞是CVE-2012-0158，因此可以確定這三個案例是通過精心構造MHT檔案，利用漏洞CVE-2012-0158來執行，從而實現可執行檔案的釋放和執行。

3.1.2 值得關注漏洞載荷免殺技巧的利用

“綠斑”組織高頻使用MHT漏洞格式文件的傳播利用時間主要在2013年5月之前，這是一個高度值得關注的資訊。我們基於對某個著名的第三方威脅情報源利用CVE-2012-0158漏洞並採用MHT檔案格式的惡意程式碼資料進行了相關統計。

圖 3-5 安天捕獲部分“綠斑”免殺樣本（紅色）與MHT漏洞格式文件（黃色）大量出現時間的對比

從圖3-5中我們可以看到，2013年3月前，MHT檔案格式的CVE-2012-0158漏洞相關檔案並未出現在該威脅情報源當中，但已經被“綠斑”組織使用。我們尚不能認為“綠斑”組織是這種免殺方式的發明者，但至少其是這種方式的早期使用者。而對於一個2012年1月的陳舊漏洞，“綠斑”組織則較早使用了可以延續其攻擊視窗的方法。並不是所有APT攻擊都會使用0day漏洞，這取決於攻擊者的資源儲備和突破被攻擊方的防禦的必要性等因素，部分APT攻擊組織並沒有能力去挖掘0day漏洞，但其同樣試圖採購獲得商業的0day漏洞，針對1day漏洞快速跟進，並嘗試使用免殺方式來使陳舊漏洞形成新的攻擊能力。這些問題和0day漏洞檢測防禦一樣值得關注。

3.2 CVE-2014-4114漏洞利用

我們有一定的分析證據表明，“綠斑”組織在2014年10月前曾使用CVE-2014-4114漏洞。這可能表示該組織與地下漏洞交易有相應的渠道聯絡。

3.3 CVE-2017-8759漏洞利用

安天2017年針對“綠斑”組織的一個新的前導攻擊文件進行了分析，該文件利用最新的CVE-2017-8759漏洞下載惡意程式碼到目標主機執行。樣本採用RTF格式而非之前的巨集程式碼方式，在無須使用者互動的情況下就可以直接下載並執行遠端檔案，攻擊效果更好。

CVE-2017-8759漏洞是由一個換行符引發的漏洞，該漏洞影響所有主流的.NET Framework版本。在. NET庫中的SOAP WSDL解析模組IsValidUrl函式沒有正確處理包含回車換行符的情況，導致呼叫者函式PrintClientProxy存在程式碼注入執行漏洞，目前該漏洞主要被用於Office文件高階威脅攻擊。

圖 3-6 通過objautlink和objupdate控制欄位自動更新連結

圖 3-7 嵌入的連結實際上是一個WSDL檔案（見下一節TXT檔案）

3.3.1 漏洞觸發檔案：TXT檔案

該類檔案是WSDL檔案，是導致漏洞觸發的檔案。觸發漏洞會導致執行其中的程式碼即利用msHTA.exe執行指定的HTA檔案，使用HTA檔案得到解析和執行。以樣本jin2.txt為例分析，關鍵程式碼如下：

圖 3-8 WSDL檔案呼叫msHTA執行HTA檔案

每個txt檔案的不同之處在於包含的HTA檔案連結不同，具體請看錶3-1：

表 3-1 txt呼叫hta列表

3.3.2 下載指定EXE檔案：HTA檔案

HTA檔案是html頁面檔案，嵌入了VBScript指令碼，該指令碼的主要功能是利用PowerShell下載指定的EXE檔案，儲存為officeupdate.exe並執行該程式。圖3-9為樣本jin2.HTA的內容：

圖 3-9 HTA檔案呼叫powershell下載執行檔案

每個HTA檔案的不同之處是下載地址不相同，攻擊者利用漏洞觸發HTA下載並執行最終的可執行檔案載荷，具體對應關係請看錶3-2：

表 3-2 HTA對應EXE下載地址

3.4 相關載荷分析

3.4.1 Poison Ivy RAT後門

我們經過分析，發現案例1、案例2、案例3、案例9中所釋放的update.exe，均為Poison Ivy RAT後門程式，Poison Ivy是一款已經公開的、著名的RAT程式，功能強大，生成的載荷小巧易於加密和對抗檢測。正因Poison Ivy有這些優點，因此也被其他攻擊組織使用在其他攻擊事件中。以下為部分Poison Ivy後門的功能：

·可以獲取系統基本資訊；

· 可以進行全盤檔案管理，包括檢視所有檔案，下載檔案，上傳檔案等；

· 獲取系統程序資訊，結束程序，掛起程序等；

· 獲取系統服務程式資訊；

· 檢視系統安裝的軟體，可進行解除安裝；

· 獲取系統開啟的埠號；

· 可執行遠端shell，執行任意命令；

· 可獲取密碼Hash值；

· 可進行鍵盤記錄；

· 可獲取螢幕截圖；

· 可開啟攝像頭進行監控；

圖3-10、3-11為這四個案例涉及的樣本（update.exe）檔案中互斥量和域名相關的資訊：

圖 3-10 多案例樣本互斥量對比

圖 3-11 多案例樣本連線域名對比

同時，我們將四個案例涉及樣本的版本資訊、時間戳、連線域名等相關資訊整理如表3-3：

表 3-3 Poison Ivy RAT後門版本資訊對比

通過上面的資訊，我們可以看出，在這四個案例中，雖然均為Poison Ivy RAT的後門，但是還可以分為三類：

第一類是案例1和案例2，它們之間除域名外，其它資訊均相同，通過對案例1和案例2中update.exe二進位制的對比，發現它們之間90%的二進位制是相同的，不同之處是加密的二進位制程式碼，它們的不同是由於加密金鑰的不同。

圖 3-12 案例1、2涉及樣本的解密演算法

第二類是案例3，第三類是案例9，這兩類樣本的加密演算法與第一類不同，但解密後的程式碼，除了相關配置不同，其功能部分幾乎完全相同。

圖 3-13 案例3涉及樣本的解密演算法

圖 3-14 案例9涉及樣本的解密演算法

根據案例3中update.exe的時間戳，我們可以判斷該樣本出現於2013年2月6日，雖然時間戳是可以被修改的，但是結合案例3釋放的欺騙文件的內容（請參見第2章，doc中內容的時間），我們相信它具有一定的參考價值。

3.4.2 Gh0st後門

通過我們對於案例4中update.exe的分析，得到該樣本所使用的互斥量為“chinaheikee__inderjns”，該互斥量與我們分析過的gh0st樣本的互斥量一致，是預設配置，而且上線資料包與gh0st 3.75版本非常一致，因此我們可以判定該update.exe為gh0st後門。

圖 3-15 Gh0st RAT後門介面

3.4.3 HttpBots後門

通過我們對於案例5中svchost.exe的分析，可以確定該樣本實際是一個BOT後門程式。svchost.exe通過Web端來控制安裝有該後門程式的機器，圖3-16為具體指令資訊截圖。

圖 3-16 httpbots後門控制指令

表 3-4 指令說明

3.4.4 ZXSHELL後門（針對性）

經過安天分析，案例6、7、8中釋放的PE檔案確定為ZXShell後門家族（分別為3個不同版本），是使用ZXShell原始碼修改後編譯的，具有ZXShell後門常規功能：系統資訊獲取、檔案管理、程序檢視等。

很特別的一點是作者將版本修改為V3.6（ZXShell最後更新版本為3.0），並新增了竊密功能：樣本收集*.doc*、*.xls*、*.ppt*等文件檔案（案例6只收集網路磁碟、U盤、CDROM中的檔案，案例7-8則收集全盤檔案），且為保證收集的文件具有價值，只收集半年內修改過的文件檔案並使用RAR打包，以日期加磁碟卷序列號命名（案例6以磁碟卷序列號命名），字尾名和壓縮包密碼各不相同。

圖 3-17 案例6只收集U盤、CD、網路磁碟中的檔案

圖 3-18 打包收集到的文件

根據已有樣本分析配置後，我們統計出樣本蒐集文件的型別：*.doc*、*.xls*、*.ppt*、*.wps*、*.pdf。

經分析，我們發現了樣本新增的功能：

1. 獲取IE自動儲存的郵箱賬戶密碼和對應網址，對IE6和IE6以上的版本採取不同的方法。

2. 收集網路資訊、主機資訊、程序資訊，記錄在如下目錄中：

%Application Data%\Microsoft\Windows\Profiles.log

3. 樣本根據各自的配置，收集全盤包含指定關鍵字的檔案路徑、C盤Program Files目錄下的EXE檔案路徑，將收集到的檔案路徑資訊同樣記錄在

%Application Data\Microsoft\Windows\Profiles.log

圖 3-19 收集指定關鍵檔案列表

根據目前已捕獲樣本，我們發現每個樣本都硬編碼了三個關鍵字，根據關鍵字對攻擊目標進行敏感資料收集，去重後的具體關鍵字為十二個，包括“戰”、“軍”、“航”等，通過這些關鍵字我們可以清晰的瞭解“綠斑”組織的作業意圖：

4. 樣本存在一個額外域名，自動回傳Profiles.log檔案和RAR打包檔案。

5. 後門發包：***_IP-計算機名^^//@@&&***（“***”部分各個樣本不同）

6. 監聽迴應：kwo（口令）

7. 後門發包：IP-計算機名-2014010106.tmpp19769（年月日小時.tmpp檔案大小）

8. 監聽迴應：任意（支援以指定偏移讀取檔案）

9. 後門發包：Profiles.log檔案內容（參見圖3-20）

圖 3-20 Profiles.log檔案內容

10. 案例6樣本中，指令的幫助提示為正常中文，而案例8樣本是亂碼，經過分析，發現新樣本其實對這部分中文是其他編碼，而在編譯程式時候卻將這部分轉換為GB2312編碼，導致顯示亂碼。

圖 3-21 案例6樣本指令提示

圖 3-22 案例8樣本指令提示

11. 案例7樣本對中國安全廠商產品的相關程序的判斷，根據安裝不同的殺軟，採取退出、正常執行、新增特殊啟動項等不同的行為，可以看出這是針對中國使用者專門設計的惡意程式。

表3-5是該組織使用的樣本與ZXShell原版功能的對比，可以發現這批樣本只保留了必要的遠控功能，並添加了ZXShell原本沒有的竊密相關功能，具體功能對比如表3-5所示：

表 3-5 案例6、7、8樣本與 ZXShell RAT原版後門對比

3.4.5 攻擊期間部分樣本的檢出情況

事件中的後門樣本均是網際網路公開的RAT程式，一般而言安全廠商對這些程式都會重點關注，基本主流安全廠商都可以檢測和查殺，但是該組織對這些公開的RAT程式進行修改和加密使用，使這些樣本在其行動的一段時間內的整體檢出率不到8%，一些個別樣本甚至只有1-2家安全廠商檢出，可見這批樣本是針對殺軟做了針對性的免殺處理的，可以在目標主機持續化駐留。

圖 3-23 部分樣本檢出率

3.4.6 近期捕獲樣本分析

3.4.6.1 EXE檔案

EXE檔案是3.3.2章節中提到的由HTA檔案下載並執行的最終載荷，該類檔案主要功能是從指定網址下載ShellCode，解密之後，建立執行緒執行此ShellCode。以jin2.exe為例分析，樣本關鍵程式碼如下：

圖 3-24 連線指定網址下載ShellCode

圖 3-25 解密shellcode函式

從指定網址下載完ShellCode後，樣本對ShellCode進行解密，然後分配記憶體將解密後的ShellCode複製過去。隨後建立一個執行緒，將ShellCode的首地址作為引數傳給執行緒函式從而執行ShellCode。

圖 3-26 分配記憶體，建立執行緒執行ShellCode

每個EXE檔案功能程式碼基本相同，只有下載ShellCode的地址不同的，各個地址如下表所示：

表 3-6 EXE檔案下載shellcode對應列表

3.4.6.2 ShellCode（Poison Ivy）

我們對解密後的ShellCode進行分析，發現其ShellCode為Poison Ivy程式生成，與3.4.1章節的樣本來自同一遠控程式。在傳播源放置的不同ShellCode中所連線的IP地址如表3-7所示：

表 3-7 shellcode連線c2對應列表

我們通過本地劫持的方式，將C2地址重定向到本地計算機，通過配置好的Poison Ivy客戶端可以與樣本建立連線，確定攻擊者使用的Poison Ivy版本為2.3.1，具體資訊如圖3-27所示：

圖 3-27 重定向C2成功連線分析的樣本

4、樣本關聯性分析

4.1 多案例橫向關聯

安天CERT對典型案例中的前6個案例的相關資訊進行了關聯分析，主要涉及檔名、互斥量、檔案版本資訊等，通過橫向關聯（參見圖4-1）以及之前提到的doc檔案內容、漏洞利用方式、可執行檔案的相關資訊，我們初步判定這些事件之間是存在關聯的。

圖 4-1 多案例橫向關聯

4.1.1 ShellCode部分（CVE-2012-0158）對比

表 4-1 ShellCode部分（CVE-2012-0158）對比

4.1.2 釋放的PE檔案對比

表 4-2 釋放的PE檔案對比

4.2 域名關聯

通過提取和整理十幾個有關聯樣本中的域名資訊（參見圖4-2），我們可以很清晰地看出，所有域名均為動態域名，且服務提供商均處於境外，同時大部分域名都是通過changeip.com和no-ip.com註冊的，我們認為這些域名並非單一散亂註冊的，而是屬於同一來源的、有組織的進行註冊。

圖 4-2 行動涉及域名資訊

4.3 IP地址關聯

通過提取和整理十幾個有關聯樣本中域名的曾跳轉IP和現跳轉IP，我們可以很清晰地看出，在所有的IP地址中，絕大多數的IP地址都屬於同一地區，並且這些IP多數來自兩個網際網路地址分派機構AS3462、和AS18182，每個網際網路地址分派機構管理現實中的一個區域，這也同時說明了這是一組有相同來源的攻擊事件。

4.4 惡意程式碼之間關聯性

為了方便呈現和理解，我們對典型案例中所有的樣本、C2的關聯性進行了關係梳理（參見圖4-3）。

圖 4-3 惡意程式碼之間關聯圖（2011-2015年活動）

通過研究發現，雖然“綠斑”組織使用了多種不同的後門程式，但是它們之間共用了C2伺服器，這很有可能是為了方便管理與控制，這一點從表4-3的後門ID與上線密碼也可以發現不同後門型別之間的對應關係。

圖 4-4 不同事件/惡意載荷（PE）共用基礎設施C2

通過對Poison Ivy RAT相關樣本分析，我們得出其上線ID和密碼。我們可以看到其中有不同的樣本均採用了同樣的ID和密碼。

表 4-3 Poison Ivy RAT上線ID和密碼

通過對已捕獲的ZXShell RAT相關樣本進行分析，我們統計出樣本的上線密碼和壓縮包加密密碼。可以看出ZXShell樣本中也有很多采用了相同的密碼，同時這些密碼與表4-3（Poison Ivy RAT上線ID和密碼）中的密碼也有一些相同或者相似，再通過域名、IP等其他資訊可以認為這些樣本為同一攻擊組織所為。

表 4-4 ZXShell RAT上線密碼和壓縮配置

5、組織關聯性分析

除以上樣本分析中所呈現的較為直接的多起事件的關聯性外，安天CERT還進行了對比分析，從程式碼相似性、域名使用偏好、C2的IP地址關聯性及地理位置特性等方面得出了這些載荷均來自“綠斑”攻擊組織的結論。

5.1 程式碼相似性

在2011-2015的行動中，攻擊組織使用了4類遠端控制程式，其中主要使用ZXShell和Poison Ivy。在對於Poison Ivy的使用中，攻擊組織首先生成Poison Ivy 的ShellCode，然後對ShellCode異或加密硬編碼到Loader中，在Loader投放到目標主機後解密執行ShellCode。這種手法與2017年所發現行動中的樣本完全相同，且都是採用三次異或加密，樣本解密演算法程式碼對比參見圖5-1。

圖 5-1 左圖為2011-2015年行動中樣本解密演算法，右圖為2017年行動樣本解密演算法

5.2 域名使用偏好

在2017年發現的行動中全部使用了動態域名商（共計14個），而在2011-2015年的行動中則使用了35個動態域名商。可以發現兩起行動的攻擊者都偏好使用動態域名，同時本次行動中有7個動態域名商與歷史行動涉及的域名商相同。

另外，在此次事件中的一個域名“geiwoaaa.xxx.com”與2013年事件中的域名“givemea.xxx.com”釋義相似度較高，我們猜測很可能是同一組織註冊。

5.3 C2的IP地址關聯性

通過對兩次行動中C2的IP地址進行關聯分析，我們發現在2017年行動中的樣本的C2（uswebmail163.xxx.com和l63service.xxx.com）解析到同一個IP：45.77.xxx.xxx，而在2011-2015年行動中涉及的pps.xxx.com這個域名也曾指向這個IP。

圖 5-2 關聯到2013年行動中的C2域名

5.4 地理位置特性

在2017年行動中的一個域名“geiwoaaa.xxx.com”與2011-2015年行動可能存在某種關聯，因為該域名解析的IP（114.42.XXX.XXX）地理位置與早期活動涉及的地理位置相同（其他IP地址多為美國），這可能是攻擊者早期測試遺留的，而這個IP與2013年行動都屬於亞洲某地區電信的114.42段，在我們的監控中發現2013年行動中C2地址多為這個IP段內，這表示兩起行動的攻擊組織可能存在密切聯絡。同時該地區電信相關網站資料顯示：“114.32.XXX.XXX – 114.47.XXX.XXX非固定浮動IP”，這說明該段內IP地址為動態分配IP，一定區域內在此電信運營商辦理網路業務的使用者都可能被分配到該IP地址，這表示可能兩次行動的攻擊者所在位置相近或者採用的跳板位置相近。

圖 5-3 指向2011-2015年行動的C2域名

6、小結

“綠斑”攻擊組織主要針對中國政府部門和航空、軍事、科研等相關的機構和人員進行網路攻擊，試圖竊取機密檔案或資料。這是一組時間跨度非常漫長的攻擊行動，目前可以確定該攻擊組織的活躍時間超過7年，甚至可能達到11年以上。該攻擊組織主要採用的手法是魚叉式網路釣魚攻擊，即以郵件作為攻擊前導，郵件附件使用有社工技巧的格式溢位文件或偽裝過EXE可執行檔案，進行定向投放，該組織對開源後門程式進行了大量改造，使其符合作業需要，並繞過主機防護軟體。在該組織的攻擊中，罕有使用0day攻擊的情況，而反覆使用陳舊漏洞，但其對漏洞免殺技巧的應用是熟練的，甚至是搶先的。在侵入主機後，通過加密和動態載入等技術手段，試圖達成進入目標並在目標機器內長期潛伏而不被發現的效果。這些攻擊手段看起來並無華麗複雜的攻擊裝備組合，但其反覆地重複使用，恰恰說明這種攻擊是可能達成目的的。我們在此前反覆強調，APT攻擊組織使用相關漏洞的攻擊視窗期，如果與可能被攻擊目標的未進行對應漏洞修復的攻擊視窗期重疊，就不是簡單的漏洞修復問題，而是深入的排查和量損、止損問題。

網路入侵相對與傳統空間的各種資訊竊取破壞行為，無疑是一種成本更低，隱蔽性更強、更難以追蹤溯源的方式。儘管“綠斑”組織不代表APT攻擊的最高水準，但其威脅依然值得高度警惕。APT的核心從來不是A（高階），而是P（持續），因為P體現的是攻擊方的意圖和意志。面對擁有堅定的攻擊意志、對高昂攻擊成本的承受力、團隊體系化作業的攻擊組織來說，不會有“一招鮮、吃遍天”的防禦祕訣，而必須建立扎實的系統安全能力。以“綠斑”攻擊組織常用的攻擊入口郵件為例，不僅要做好身份認證、通訊加密等工作，附件動態檢測分析，郵件收發者所使用終端的安全加固和主動防禦等工作也需要深入到位。對於重要的政府、軍隊、科研人員，更需要在公私郵件使用上、收發公私郵件的不同場景環境安全方面都有明確的規定與要求。郵件只是眾多的動機入口之一，所有信息交換的入口，所有開放服務的暴露面，都有可能成為APT攻擊者在漫長窺視和守候過程中，首發命中的機會。

面對具有中高能力水平且組織嚴密的網空威脅行為體，重要資訊系統、關鍵資訊基礎設施運營者應根據網路與資訊系統的國家安全、社會安全和業務安全屬性，客觀判斷必須能夠有效對抗哪些層級的網路空間威脅，並據此驅動網路空間安全防禦需求。 

當前，網路安全對抗已經是大國博弈和地緣安全中的常態化對抗，網路安全工作者必須“樹立正確網路安全觀”，直面真實的敵情想定，建立動態綜合的網路安全防禦體系。並以“關口前移”對網路安全防護方法的重要要求為指引，落實安全能力的重要控制點，有效解決安全能力“結合面”和“覆蓋面”的問題，將網路安全防禦能力深度結合資訊系統“物理和環境、網路和通訊、裝置和計算、應用和資料”等邏輯層次，並全面覆蓋資訊系統的各個組成實體和全生命週期，包括桌面終端、伺服器系統、通訊鏈路、網路裝置、安全裝置以及供應鏈、物流鏈、資訊出入乃至人員等，避免由於存在區域性的安全盲區或者安全短板而導致整個網路安全防禦體系的失效。重要的是，在網路安全體系建設實施的過程中，必須在投資預算和資源配備等方面予以充分保障，以確保將“關口前移”要求落到實處，在此基礎上進一步建設實現有效的態勢感知體系。

在未來工作中，安天將繼續根據總書記的工作要求，努力實現“全天候全方位感知”、“有效防護”和“關口前移”，在實踐中，不斷提升網路安全能力與資訊科技的“結合面”和“覆蓋面”問題。更多深入參與使用者的資訊系統規劃建設，將安全管理與防護措施落實前移至規劃與建設等系統生命週期的早期階段，將態勢感知驅動的實時防護機制融入系統執行維護過程，協助客戶實現常態化的威脅發現與響應處置工作，逐步實現“防患於未然”。安天將直面敵情，不斷完善能力體系，協助使用者應對高階網空威脅行為體的挑戰。