详解APT34 Jason项目

本次分析的是Lab Dookhtegan2019年6月3日泄露的APT34 Jason – Exchange Mail BF 项目，这也是APT 34的工具集。

原始的泄露记录

背景

根据FireEye的分析，APT 34从2014年开始活跃，也称为OilRig或Helix Kitten，攻击的主要目标是区域性公司和行业。Telegram上名为Lab Dookhtegan的用户多次泄露了关于APT 34的信息，其中包括Jason project和一些暴露的组织名称和活动。

APT34以伊朗的名义进行网络间谍活动。伊朗试图削弱其他地区大国的能力以创造影响力并更好地建立自己。这一战略对其认为对沙特阿拉伯和阿拉伯联合酋长国等地区强国构成威胁的国家尤其重要。

项目分析

Jason是一款执行Microsoft exchange账户暴力破解的图形化工具来获取最可能的邮箱和账户信息。因为通过zip容器分发，所以接口非常直观：要提供Microsoft exchange地址和版本。并且可以选择3种暴力破解分发：EWS (Exchange Web Service), OAB (Offline Address Book)和前两种结合。用户名和密码列表也可以在zip文件中选择，需要提供线程数来优化攻击平衡。

Jason Project GUI

解压zip文件一共得到3个文件，分别是Jason.exe、Microsoft.Exchange.WebService.dll和PassSample。Jason.exe表示图形化用户接口和主要可视化工具。 Microsoft.Exchange.WebService.dll包含Jason.exe使用的真实函数，是微软开发的库函数。PassSample含有一些可能密码（[User@first]@@[user@first]123）的模型和含有猜测密码块的文件夹PasswordPatters。比如，其中包含一个名为Year.txt的文件，该txt文件中包含从1990到2020之间的数字，文件numspecial.txt含有特殊数字模式和特殊字符模式，num4.txt文件含有从0到999、从0002到9998之间的数字， num4special.txt 文件中含有1234,7890,0707这样的特殊数字模式。

泄露的zip内容

进一步分析研究人员发现Jason.exe和Microsoft.Exchange.WebService.dll这两个文件都是用.net框架编写的。.dll为开发使用EWS的.NET客户端应用提供管理接口。通过使用EWS Managed API，开发者可以访问保存在Office 365, Exchange Online, Exchange Server邮箱中的几乎所有信息。攻击者使用的 Microsoft.Exchange.WebService.dll版本为15.0.0.0，微软官方文档显示该版本为2012年的版本。

WebService.dll assemply version

最新的Microsoft.Exchange.WebService.dll版本为2015年版本，如下图所示，这可能能为Jason项目的周期提供一些线索。

最新的Microsoft Exchange WebServices dll version 2015

通过分析逆向的字节代码，研究人员注意到了“exception securities”。其中开发者使用了许多项检查，包括变量检查、空字节避免、对象索引和对象key检查以减少非管理的软件异常情况发生的可能性。异常保护（exception protections）主要应用于2个主要场景：

终端用户并非科技达人，所以列出了可能会产生一些异常的情况

攻击者是专业开发人员，受过专业训练来写关于产品相关的代码。下图是开发者保护代码防止产生异常情况的代码段：

基本的exception预防1

基本的exception预防2

与APT 34之前的代码风格进行对比，研究人员发现了类似的代码保护。即使代码语言不同，基本的异常预防还是很类似的。另一个相似的地方是日志风格，Jason和Glimpse项目的文件日志函数都含有使用特殊的操作符的字符串连接。

研究人员认为这些相似性的可信度都不高，而且除了Lab Dookhtegan这个可信源外，目前没有其他有力的证据来证明Jason与APT 34有关。另一方面，Jason项目和之前的APT 34分析并没有共享主要的源代码语言，也没有DNS技巧和DNS使用的证明，在不包含可以区分的模式和语言错误，并且在2019年1月重新编译过。但同时它与Glimpse和WebMask代码分格类似。