某疑似針對中東地區的APT攻擊事件分析

加密解密安全漏洞 · 發表 2019-02-14 08:01:45

摘要：前言在疑似APT攻擊事件的跟蹤過程中，遇到過很多難題。多數情況是，這次，它不是你的顯在對手，我們不會獲得足夠多的線索，卻偏偏想要滿足好奇的慾望，經典的人生三問，用來描述你的對方再恰當不過。我在《阿善師的告白》中聽到一句話：凡走過必留下痕跡。這裡，我將整理一起疑似APT攻擊的事件的探討，期...

前言

在疑似APT攻擊事件的跟蹤過程中，遇到過很多難題。多數情況是，這次，它不是你的顯在對手，我們不會獲得足夠多的線索，卻偏偏想要滿足好奇的慾望，經典的人生三問，用來描述你的對方再恰當不過。我在《阿善師的告白》中聽到一句話：凡走過必留下痕跡。這裡，我將整理一起疑似APT攻擊的事件的探討，期待真相一步步浮出水面。

北京時間2018年12月12日，我們看到野外出現一份名為<Terminals.xls>的樣本使用了最新披露的Adobe Flash Player漏洞：CVE-2018-15982，該漏洞影響Flash Player 32.0.0.101之前的多個版本。由於披露時間不到一週，所有一手樣本都值得引起警覺。

該樣本文件顯示的內容是一份海事衛星裝置(Inmarsat IsatPhone)清單。樣本觸發漏洞後，連線遠端伺服器獲取下發指令。

靜態分析

樣本內容列舉了多個模組、價格和數量資訊。海事衛星電話常用於船舶與船舶之間、船舶與陸地之間的通訊，包括語言通話、資料傳輸和檔案傳真。

樣本內嵌Flash檔案，Flash檔案中以明文的形式嵌入惡意指令。

<putty2.exe>後門程式將自己設定持久化之後立即連線C2接收下一階段指令執行。

整理樣本中存在的潛在資訊：

Path： C:\Users\User\AppData\Local\Temp\Excel8.0\ShockwaveFlashObjects.exd

Path： C:\Program Files\Microsoft Office\Office16\EXCEL.EXE

Path： c:\CVE-2018-15982_PoC.swf

URL： http://190.2.145.149/putty2.exe

PE-Compiler-Stamp：Tue Dec 11 13:06:20 2018 (UTC+8)

XLS-Saved： 12/10/2018 5:13 PM (UTC+8)

溯源追蹤

1. 根據C2追溯

根據C2伺服器IP地址190.2.145.149，小編並未關聯到其它惡意樣本。在獲取到樣本的第一時間，該IP地址上還存在另一個可執行檔案：putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9)，歸屬遠端登入工具。

根據whois資訊顯示，IP地址歸屬一家荷蘭的ISP服務提供商。

該ISP服務提供商WorldStream公司主頁顯示其提供可靠的託管服務。

從IP的歷史記錄中，小編找到一條非常重要的線索。teamkelvinsecteam於2018年11月25日在RaidForums論壇於「Leaks」、「Databases」板塊公佈了該IP存在允許列目錄。該使用者截圖上傳了詳細的檔案列表並備註檔案包含：可疑的惡意軟體、Email備份和pst檔案等等。

IP在7月份搭建了Web整合環境，從9月開始存在壓縮檔案陸續上傳，直至11月22日，檔案彙總約逾百G。許多檔案直指阿聯酋國家石油公司(ENOC)的職員郵件備份。

在這份<Terminals.xls>漏洞文件公開之後，RaidForums論壇的teamkelvinsecteam很快刪除了< [Emails] Emirates National Oil Company>這篇帖子。在刪除前，小編翻閱了所有評論，大致的留言有：需要聯絡方式、索取解壓密碼、期望獲得郵件備份以及允許列目錄已失效等等。

從快取中小編截取了兩份評論，包含teamkelvinsecteam留下自己的聯絡郵箱：[email protected]。

2. 根據程式碼特徵追溯

從獲得<putty2.exe>樣本伊始，小編很快提取樣本關鍵特徵和歷史樣本進行比對。很遺憾的是，小編對歷史樣本進行比對，對新增樣本進行監控，以及多次使用Intezer進行分析，均未能匹配到關聯樣本。ps.圖中最下方，使用Intezer獲得與<putty2.exe>唯一的關聯樣本，經過小編確認，是某位安全研究人員上傳的<putty2.exe>的記憶體dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。

小編對<Terminals.xls>文件提取特徵比對歷史樣本，匹配到十多個疑似樣本，分析之後，沒有得到有效證據和此次事件所屬組織產生強關聯。

他們是誰

由於小編在訪問IP的時候，只能檢視到XAMPP的初始配置頁面。首先需要懷疑檔案列表的真實性。此處小編並不打算對「Leaks」和「Databases」主題做過多探討，但是從teamkelvinsecteam的行為記錄來看，這些郵件備份檔案是存在的。

1. 受害者資訊

從公開資訊確認其中一名疑似受害者Fardin Malahi的職務為阿聯酋國家石油公司人力資源部主管。

2. 攻擊者身份

老實說，到目前為止關於攻擊者身份或者隸屬組織小編並沒有指向性的結論。我們看看安全社群的討論：威脅情報分析師Drunk Binary認為<Terminals.xls>是APT34(也稱：OilRig)組織的釣魚文件。但是根據之後的討論，FireEye的研究人員Andrew認為暫不能定性。

根據德國Nextron Systems公司的APT檢測產品THOR檢測顯示<putty2.exe>後門程式歸屬APT34、APT33組織。從它的規則編寫時間來看，除非有內部未公開披露的詳實證據命中目標，否者小編認為可以參考，暫不可信。

安全報告呢？在近期ClearSky公司釋出的一份安全報告中，約存在2-3頁對該事件的詳盡描述。在報告中ClearSky認為存在跡象表明，Oilrig組織最有可能在9月或10月滲透進入ENOC網路並部署了橫向移動工具。

在其公開報告中，整個關於這一事件的描述都被塗抹覆蓋。

回到樣本本身，關於該組織為什麼要在深度滲透ENOC網路之後，還要重啟如此重要的網路基礎設施，利用最新的Flash漏洞疑似發起魚叉攻擊。是他們最想要的沒有得手還是更換攻擊目標？當然可以猜想的故事有很多。但是確定的是，本次利用<Terminals.xls>釣魚文件發起的攻擊時段很短，無論PE編譯時間還是文件最後儲存時間是否可信，它們都是在最近幾天得以準備，迅速發起攻擊，然後迅速失效。

尾聲

還有更多資料嗎？在小編思考等待這些日子中似乎就這麼多了。有的資料由於最開始沒有備份下來以至在此漏掉許多。至於新的樣本，近日野外出現一份和<Terminals.xls>具有相同內容相同特徵，但是僅僅利用漏洞彈出計算器的樣本<Terminals2.xls>(MD5:954CA41B7367191180A44C7221BB462A)，小編對樣本分析之後決定不作過多參考，因為只需對<Terminals.xls> 修改幾個明文字元便能完成。

其實無論彈計算器的是誰，我們總會知道，在一個半月之後，原始樣本並沒有被忘記。根據對話和安全報告，大廠早已關注這次事件。

從內容顯示的相關行業和洩漏檔案直指目標，或多或少我們可以總結出攻擊組織的興趣點在於中東地區能源行業。其攻擊手法似乎包含網路滲透和魚叉釣魚，具備反追查意識，使用新款木馬後門，具有一定技術實力背景和多人員分工協作構成犯罪組織特徵。

從公開歷史網路攻擊拓撲圖看，中東地區事務牽涉眾多。唯願早日結束紛爭。

IOCs

MD5

A51A86A773B7134C2D43BAFC2931E6A4
94715ED2A09A88BE026E8B2BA7C0F9B0
24F7E3422B1DB69289D47F1025DB1598
954CA41B7367191180A44C7221BB462A
28145CE332718337AF59ACA2469784A9
94296CCDD83161D7FB87645591B3D3AF