某疑似針對中東地區的APT攻擊事件分析
前言
在疑似APT攻擊事件的跟蹤過程中,遇到過很多難題。多數情況是,這次,它不是你的顯在對手,我們不會獲得足夠多的線索,卻偏偏想要滿足好奇的慾望,經典的人生三問,用來描述你的對方再恰當不過。我在《阿善師的告白》中聽到一句話:凡走過必留下痕跡。這裡,我將整理一起疑似APT攻擊的事件的探討,期待真相一步步浮出水面。
北京時間2018年12月12日,我們看到野外出現一份名為<Terminals.xls>的樣本使用了最新披露的Adobe Flash Player漏洞:CVE-2018-15982,該漏洞影響Flash Player 32.0.0.101之前的多個版本。由於披露時間不到一週,所有一手樣本都值得引起警覺。
該樣本文件顯示的內容是一份海事衛星裝置(Inmarsat IsatPhone)清單。樣本觸發漏洞後,連線遠端伺服器獲取下發指令。
靜態分析
樣本內容列舉了多個模組、價格和數量資訊。海事衛星電話常用於船舶與船舶之間、船舶與陸地之間的通訊,包括語言通話、資料傳輸和檔案傳真。
樣本內嵌Flash檔案,Flash檔案中以明文的形式嵌入惡意指令。
<putty2.exe>後門程式將自己設定持久化之後立即連線C2接收下一階段指令執行。
整理樣本中存在的潛在資訊:
Path: C:\Users\User\AppData\Local\Temp\Excel8.0\ShockwaveFlashObjects.exd
Path: C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
Path: c:\CVE-2018-15982_PoC.swf
URL: http://190.2.145.149/putty2.exe
PE-Compiler-Stamp:Tue Dec 11 13:06:20 2018 (UTC+8)
XLS-Saved: 12/10/2018 5:13 PM (UTC+8)
溯源追蹤
1. 根據C2追溯
根據C2伺服器IP地址190.2.145.149,小編並未關聯到其它惡意樣本。在獲取到樣本的第一時間,該IP地址上還存在另一個可執行檔案:putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9),歸屬遠端登入工具。
根據whois資訊顯示,IP地址歸屬一家荷蘭的ISP服務提供商。
該ISP服務提供商WorldStream公司主頁顯示其提供可靠的託管服務。
從IP的歷史記錄中,小編找到一條非常重要的線索。teamkelvinsecteam於2018年11月25日在RaidForums論壇於 「Leaks」、「Databases」板塊公佈了該IP存在允許列目錄。該使用者截圖上傳了詳細的檔案列表並備註檔案包含:可疑的惡意軟體、Email備份和pst檔案等等。
IP在7月份搭建了Web整合環境,從9月開始存在壓縮檔案陸續上傳,直至11月22日,檔案彙總約逾百G。許多檔案直指阿聯酋國家石油公司(ENOC)的職員郵件備份。
在這份<Terminals.xls>漏洞文件公開之後,RaidForums論壇的teamkelvinsecteam很快刪除了< [Emails] Emirates National Oil Company>這篇帖子。在刪除前,小編翻閱了所有評論,大致的留言有:需要聯絡方式、索取解壓密碼、期望獲得郵件備份以及允許列目錄已失效等等。
從快取中小編截取了兩份評論,包含teamkelvinsecteam留下自己的聯絡郵箱:[email protected]。
2. 根據程式碼特徵追溯
從獲得<putty2.exe>樣本伊始,小編很快提取樣本關鍵特徵和歷史樣本進行比對。很遺憾的是,小編對歷史樣本進行比對,對新增樣本進行監控,以及多次使用Intezer進行分析,均未能匹配到關聯樣本。ps.圖中最下方,使用Intezer獲得與<putty2.exe>唯一的關聯樣本,經過小編確認,是某位安全研究人員上傳的<putty2.exe>的記憶體dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。
小編對<Terminals.xls>文件提取特徵比對歷史樣本,匹配到十多個疑似樣本,分析之後,沒有得到有效證據和此次事件所屬組織產生強關聯。
他們是誰
由於小編在訪問IP的時候,只能檢視到XAMPP的初始配置頁面。首先需要懷疑檔案列表的真實性。此處小編並不打算對「Leaks」和「Databases」主題做過多探討,但是從teamkelvinsecteam的行為記錄來看,這些郵件備份檔案是存在的。
1. 受害者資訊
從公開資訊確認其中一名疑似受害者Fardin Malahi的職務為阿聯酋國家石油公司人力資源部主管。
2. 攻擊者身份
老實說,到目前為止關於攻擊者身份或者隸屬組織小編並沒有指向性的結論。我們看看安全社群的討論:威脅情報分析師Drunk Binary認為<Terminals.xls>是APT34(也稱:OilRig)組織的釣魚文件。但是根據之後的討論,FireEye的研究人員Andrew認為暫不能定性。
根據德國Nextron Systems公司的APT檢測產品THOR檢測顯示<putty2.exe>後門程式歸屬APT34、APT33組織。從它的規則編寫時間來看,除非有內部未公開披露的詳實證據命中目標,否者小編認為可以參考,暫不可信。
安全報告呢?在近期ClearSky公司釋出的一份安全報告中,約存在2-3頁對該事件的詳盡描述。在報告中ClearSky認為存在跡象表明,Oilrig組織最有可能在9月或10月滲透進入ENOC網路並部署了橫向移動工具。
在其公開報告中,整個關於這一事件的描述都被塗抹覆蓋。
回到樣本本身,關於該組織為什麼要在深度滲透ENOC網路之後,還要重啟如此重要的網路基礎設施,利用最新的Flash漏洞疑似發起魚叉攻擊。是他們最想要的沒有得手還是更換攻擊目標?當然可以猜想的故事有很多。但是確定的是,本次利用<Terminals.xls>釣魚文件發起的攻擊時段很短,無論PE編譯時間還是文件最後儲存時間是否可信,它們都是在最近幾天得以準備,迅速發起攻擊,然後迅速失效。
尾聲
還有更多資料嗎?在小編思考等待這些日子中似乎就這麼多了。有的資料由於最開始沒有備份下來以至在此漏掉許多。至於新的樣本,近日野外出現一份和<Terminals.xls>具有相同內容相同特徵,但是僅僅利用漏洞彈出計算器的樣本<Terminals2.xls>(MD5:954CA41B7367191180A44C7221BB462A),小編對樣本分析之後決定不作過多參考,因為只需對<Terminals.xls> 修改幾個明文字元便能完成。
其實無論彈計算器的是誰,我們總會知道,在一個半月之後,原始樣本並沒有被忘記。根據對話和安全報告,大廠早已關注這次事件。
從內容顯示的相關行業和洩漏檔案直指目標,或多或少我們可以總結出攻擊組織的興趣點在於中東地區能源行業。其攻擊手法似乎包含網路滲透和魚叉釣魚,具備反追查意識,使用新款木馬後門,具有一定技術實力背景和多人員分工協作構成犯罪組織特徵。
從公開歷史網路攻擊拓撲圖看,中東地區事務牽涉眾多。唯願早日結束紛爭。
IOCs
MD5
A51A86A773B7134C2D43BAFC2931E6A4 94715ED2A09A88BE026E8B2BA7C0F9B0 24F7E3422B1DB69289D47F1025DB1598 954CA41B7367191180A44C7221BB462A 28145CE332718337AF59ACA2469784A9 94296CCDD83161D7FB87645591B3D3AF
IP
190.2.145.149
附錄
http://190.2.145.149/abdul.khaliq.rar
http://190.2.145.149/ahmed.salem.rar
http://190.2.145.149/[email protected]
http://190.2.145.149/[email protected]
http://190.2.145.149/anvar.helal.rar
http://190.2.145.149/anwar.hussain.rar
http://190.2.145.149/[email protected]
http://190.2.145.149/cstoradmin.rar
http://190.2.145.149/[email protected]
http://190.2.145.149/faiz.muhammad.rar
http://190.2.145.149/[email protected]
http://190.2.145.149/[email protected]
http://190.2.145.149/[email protected]
http://190.2.145.149/[email protected]
http://190.2.145.149/[email protected]
http://190.2.145.149/jeevananthan.rar
http://190.2.145.149/[email protected]
http://190.2.145.149/[email protected]
http://190.2.145.149/matthew.ranson.rar
http://190.2.145.149/sgaladari.pst
http://190.2.145.149/sum.chee.rar
http://190.2.145.149/[email protected]
*本文作者:小河西村安全研究所,轉載請註明來自FreeBuf.COM