原文地址:http://drops.wooyun.org/papers/12184

2015年12月31日,微步在线对一起利用Flash零日漏洞的APT攻击做了分析和预警,并通过溯源分析确定了其幕后的黑客组织为“DarkHotel”。此后,通过我们的持续监控跟踪,发现DarkHotel的定向鱼叉式攻击依然在继续,主要目标为我国境内企业及其管理层人员,且有多起成功攻击案例。因此微步在线决定进一步披露攻击中所利用的手段和技术,并全面公开相应的威胁情报IOC(攻陷指标),与业界共同携手抵御来自境外势力的APT攻击。

0x00 攻击概况


微步在线的监测数据和分析显示,此次DarkHotel发起的定向攻击从2015年11月起一直持续到现在,被攻击的国家地区包括:

同时,我们注意到这个境外组织对中国存在异乎寻常的兴趣和关注,可以认为中国是它主要的攻击目标之一,除本次行动外:

0x01攻击渠道


此次攻击的渠道是通过鱼叉式钓鱼邮件定向发给被攻击对象。整体流程如下图:

邮件附件的word 文档中内嵌恶意的SWF 链接,该SWF exploit文件的metadata如下。根据其metadata推测,此攻击文件生成于2015年11月25日:

点击恶意的SWF链接将触发整数溢出漏洞,该漏洞正是12月28日被Adobe修复的CVE-2015-8651,利用成功后跳转到下面这段shellcode:

shellcode 被执行后将下载的恶意木马updata.exe保存在被感染系统的%temp%路径下, RC4解密后,再利用Windows自带的echo命令添加可执行文件的“MZ”头来构建有效的PE文件, 然后updata.exe通过调用mshta.exe 进一步下载并执行恶意代码,盗取系统的信息。

截止到1月13日,部分样本已经可以被少部分安全厂商查杀

0x02 updata.exe简析


updata.exe是一个PE文件,编译时间为 2014年4月24日 04:38:20,具有完整的文件属性,看上去是生成SSH密钥的一个工具:

通过逆向分析其汇编码,可以看到有许多编译留下的源文件路径:

我们初步判断,这是一个被恶意篡改的开源工具,篡改后程序仅提供一个参数:-genkeypair。无论是否传递此参数,updata.exe都会释放一个公钥在当前目录用于干扰判断。释放公钥后便进入了真正的恶意代码。此样本未进行代码混淆,但采用了多种反调试/反虚拟机技术及字段加密,动态解密部分我们后面的“在反逆向跟踪分析”一节详细描述。

0x03 C2C


updata.exe 是一个Trojan Downloader,利用执行mshta.exe 从以下C2C下载文件。遗憾的是我们没有获取到更多的payload数据。

通过VirusBook的威胁分析平台,我们可以看到攻击者使用的Manage-163-account.com域名注册于2015年9月30日, IP解析为82.221.129.16. 服务器位于冰岛。

域名威胁情报分析:

域名IP变化:

Whois信息变化:

可视化分析:

0x04 反逆向跟踪分析


updata.exe并没有进行代码混淆和加壳。木马对其所有的字段都进行了加密处理。目的是为了反检测,增加逆向分析的难度。同时它还采用了动态解密,对解密内存重置,目的也是为了起到反内存跟踪分析,增加逆向分析难度。

让我们来看一个具体实例:

m_CreateFileA的所有参数均为Decryption函数动态解密生成,而API函数CreateFileA的调用也是通过在一个加密函数表中查找并解密后调用。

gEncWinDlls与gEncApis两张表中的加密字符串被传递给Decryption函数进行解密,最后动态解密的字符串会通过DynMem_Erase函数重置,这样做起到了反内存dump截取的分析。

DynMem_Erase 用来重置解密后的内存

0x05 反沙箱及反检测技术


updata.exe也用到了很多反沙箱技术,通过检测各种系统环境来判断是否有沙箱存在,比如: 查找是否运行模块存在如下路径:

查找是否运行进程包括如下关键字:

查找是否当前进程导出表中所有模块存在以下函数:

查找是否当前系统用户名包含以下关键字:

查找是否系统中有如下进程关键字:

0x06 攻击组织的“黑客画像”


随着对此攻击事件的目标、工具、手法和过程更详细的分析,我们发现其特点和Darkhotel团伙惊人的一致。
Darkhotel APT攻击团伙的踪迹最早可以追溯到2007年,其从2010年开始更多的利用企业高管在商业旅行中访问酒店网络的时机,进行APT攻击来窃取信息。因此在2014年卡巴斯基发布针对此团队的研究报告时,将其命名为“Darkhotel”。此团伙攻击目标集中在亚太地区开展业务和投资的企业高管(如:CEO、SVP、高管及高级研发人员),攻击的行业包括大型电子制造和通信、投资、国防工业、汽车等。但从2014年开始,该组织更多的利用鱼叉式攻击。

此团队拥有充沛的资源,多次使用零日漏洞(特别是Flash类型)来进行攻击,并规避最新的防御措施,同时也会盗窃合法的数字证书为后门软件及监听工具进行签名。如果有一个目标已经被有效感染,往往就会从作案点删除他们的工具,进而隐藏自己的活动踪迹。从其行动特点看,具有极高的技术能力及充沛的资源。
我们对此次事件和暗黑客栈(Darkhotel)的特点进行了对比,认为有充足理由认定其就是始作俑者。

0x07 小结


综合微步在线掌握的情报线索及合作伙伴数据,我们可以肯定Darkhotel这个存在了至少9年的网络犯罪组织,具备丰富的技术、资金及人力资源(2010-2014年之间善于利用酒店网络进行攻击,但从2014年开始,更多的使用Flash 0day进行鱼叉式攻击),目标集中针对亚洲特别是中国的企业,手法灵活多变且注重反检测对抗,可以发起多种传统检测技术难以检测的攻击。因此需要国内企业及安全同行引起足够的重视。我们建议大家使用附录中功能提供的IOC数据,对其活动进行检测及历史追溯,以尽早消除风险、保护企业的关键业务和信息。

0x08 致谢


感谢VirusBook合作伙伴安天、百度杀毒、腾讯电脑管家、360杀毒、瑞星、金山、云堤、微软、趋势、卡巴斯基、小红伞、AVG、Dr.Web、火绒、IKARUS、Sophos、ClamAV、Avast!、Panda、Gdata、ESET等

附录:IOC

一、 利用CVE-2015-8651漏洞的SWF文件 (MD5):

二、 SWF下载的木马文件(MD5):

三、 C2C 域名: