APT组织PLATINUM使用的两种新后门

Change Web安全 2019年6月16日发布
Favorite收藏

导语:2018年6月,卡巴斯基实验室曾在南亚和东南亚的一些国家发现过一组不同寻常的恶意软件样本,以外交、政府和军事实体为攻击目标。此次行动被称为EasternRoppels,最早可追溯到2012年,其幕后推手可能与臭名昭著的PLATINUM APT组织有关。

2018年6月,卡巴斯基实验室曾在南亚和东南亚的一些国家发现过一组不同寻常的恶意软件样本,以外交、政府和军事实体为攻击目标。此次行动被称为EasternRoppels,最早可追溯到2012年,其幕后推手可能与臭名昭著的PLATINUM APT组织有关。恶意软件的特点是多阶段执行,以及用了一种前所未见的隐写技术来隐藏通信过程。

在感染的第一个阶段,攻击者通过WMI订阅功能来运行初始PowerShell下载器,以下载另一个小型的PowerShell后门。我们在收集了许多初始WMI PowerShell脚本后发现,它们的硬编码C2的IP地址、加密密钥、用于加密(以及用于初始加载器)的盐、每天活跃的时间往往都不甚相同。C2地址位于免费托管服务上,攻击者使用了大量Dropbox帐户来存储payload和泄露数据。PowerShell后门的目的是执行系统的初始指纹识别,支持的命令很有限:下载/上传文件,以及运行PowerShell脚本。

当时,我们正在调查另一个威胁,有一定的依据认为它是上述行动的第二阶段。该阶段有一个实现为DLL并作为WinSock NSP (Nameservice Provider)工作的后门,能在机器重启后驻留。该后门与上述的PowerShell后门有几个特征是相通的,例如具有硬编码的活动时间,以及使用免费域作为C2地址等。前者还有一些非常特殊的功能,比如它可以使用文本隐写术隐藏与C2服务器的所有通信。

经过深入分析,我们意识到这两种威胁是相关的,此外,两种攻击使用了相同的域来存储泄露数据。同时我们发现,有一些受害者会被两种类型的恶意软件感染。值得一提的是,在第二阶段,所有可执行文件都受到runtime加密器的保护,在打开后出现了另一个以前未发现的后门,而这个后门已知与PLATINUM有关。

本文仅将描述之前未被发现的两种后门。

隐写术后门

核心二进制后门装有一个dropper,当dropper运行时,会解密嵌入其“.arch”部分的文件:

1.png

接下来,它为后门操作创建目录,并将恶意软件相关文件保存在这些目录中,使用的路径通常是合法软件使用的。

接着,恶意软件会植入两个文件:后门本身及其配置文件。

在此之后,dropper运行后门,安装它以启用持久性机制并自行删除。配置文件都是.cfg或.dat的扩展名,使用AES-256 CBC加密并编码,并包含以下选项:

2.png

· pr  – 即“轮询重试”(Poll Retries),并指定恶意软件向C&C服务器发送执行新命令请求的时间间隔(以分钟为单位);

· ht  – 未使用;

· sl  – 指定恶意软件开始运行的日期和时间。当日期到来时,恶意软件会清除此选项。

· opt  – 代表“办公时间”,指定了恶意软件的活动的小时和分钟数;

· die  – 代表“存活日期”,即恶意软件在计算机内的存活天数;

· “p”部分列出了恶意软件C&C地址;

· “t”部分列出了用于确保互联网连接可用的合法URL。

持久性

核心后门实现为一个动态链接库(DLL),包含一个名为“NSPStartup”的函数。后门植入后,安装程序在WSCInstallNameSpace API函数的帮助下将后门注册为winsock2的命名空间提供程序,并通过调用WSCEnableNSProvider运行。

因此,在系统启动并初始化“svchost -k netsvcs”进程期间,已注册的命名空间提供程序将被加载到进程的地址空间中,并调用函数“NSPStartup”。

3.jpg

C&C交互

启动并运行后,后门会将当前时间与“存活日期”、激活日期和“办公时间”值进行比较,并在“凭据存储”和“受保护存储”中查找有效的代理凭据。

当满足所有规则时,后门连接到恶意软件服务器并下载HTML页面。

从表面上看,HTML显示C&C服务器已关闭:

4.png

实际上是用到了隐写技术。页面包含嵌入的加密命令,加密的密钥也嵌入在页面中。嵌入数据使用两种隐写技术进行编码,并放置在<——1234567890>标记中(见下面)。

5.png

在第31行,属性“align”,“bgcolor”,“colspan”和“rowspan”按字母顺序列出,而在第32行,相同的属性却是以不同顺序列出的。第一种隐写技术基于HTML不关心标签属性顺序的原则,我们可以通过遍历属性来编码消息。上例中的第31行包含四个标签,四个标签中的排列数为4!= 24,因此该行编码有log2(24)= 4位信息。后门会逐行解码并收集数据的加密密钥,该密钥也位于编码状态的HTML标签之中,但使用的是第二种隐写技术

6.png

上图显示,数据被编码为以制表符分隔的空间组。每个组包含0到7个空格,空格的数量表示后面的3位数据。例如,第944行上的第一个组包含6个空格,因此它将被解码为610 = 1102

接着使用解码后的AES-256 CBC密钥对解码后的数据进行解密。

7.jpg

最后结果是一个要执行的命令列表,保护方式与后门配置文件相同:

8.png

从HTML页面提取的原始命令数据

9.png

解密后从HTML页面提取的原始命令的解释 

命令

后门支持上传、下载和执行文件,它可以处理进程列表和目录列表的请求,升级和卸载自身以及修改其配置文件。每个命令都有自己的参数,例如它请求的C&C服务器名,或者是否需要在上传时分割文件。

配置管理员

在进一步调查的过程中,我们发现另一个工具原来是一个配置管理器,也是一个可执行文件,其目的是为后门创建配置和命令文件。该实用程序可以配置150多个选项。

例如,下面是执行showcfg命令的结果。

10.png

它支持的第二个命令是updatecfg,其作用是将操作人员指定的值放入配置文件中。

此外,配置管理器还支持上传、下载、执行、搜索、UpdateConfig、AddKeyword、ChangeKeywordFile、ChangeKey、升级和卸载命令。执行上述命令时,它会创建一个命令文件,其保护方式与配置文件相同,并将其存储在“CommandDir”目录中(路径在配置选项11中指定)。如“隐写后门”一节所述,此后门不处理命令文件,也不支持ChangeKeywordFile和ChangeKey等命令,因此我们认为还有另一个后门,它与我们找到的配置管理器配对。虽然看起来这样的实用程序应该在攻击者端运行,但我们在一个受害者中找到了相应的后门,并称之为P2P后门。

P2P后门

这个后门与前一个后门有许多相同的功能。例如,许多命令有相似的名称,两个后门的配置文件都有相同名称的选项,并且以相同的方式受到保护,后门文件的路径与合法文件相似。不过它们之间也有显著的差异:新的后门能使用配置中的更多选项,支持更多命令,与其他受感染的受害者交互并将他们连接到网络中(详细信息请参阅“命令”一节),并以不同的方式与C&C服务器一起工作。此外,这个后门还能使用日志记录——我们在某受害者的电脑上发现了一个可以追溯到2012年的日志文件。

C&C交互

这个后门具有嗅探网络流量的能力,运行后会启动一个嗅探器,检测每个网络接口是否有某一类数据包,该数据包结构特殊,用于发送到受害者配置中的ProbePort。当嗅探器找到类似的数据包时,会将其解释为建立连接的请求,并将TransferPort(在配置中指定)设置为侦听模式,请求者连接到受害者的TransferPort,双方执行额外的检查,交换加密密钥。然后请求者向受害者发送命令,受害者以交互方式处理这些命令。这种方法允许后门维持侦听模式而不将任何套接字保持在侦听模式——它只在知道某人正在尝试连接时才创建侦听套接字。

命令

此后门支持与隐写术后门相同的命令,并能实现另外一个命令——后门利用Windows索引服务,可以在文件中查找攻击者提供的关键字。此搜索行为既可以由攻击者请求,也可以计划发起,前提是计划搜索的关键字存储在专用文件中。

所有命令都通过命令文件提供给后门。 命令文件的保护方式与配置相同(见下文)。

11.png

它由命令id(id),命令日期(dt),命令名(t)和参数(cmd)组成。

恶意软件还有将受感染的受害者组合到P2P网络中的功能。例如,当两个受感染的受害者共享同一个本地网络,但只有其中一个可以访问互联网时,攻击者可以通过可访问的受害者向不可访问的受害者发送命令文件,控制其他主机的命令在可访问受害者的命令文件中,受感染主机列表用h1、h2、h3等选项表示,而命令文件传输到目标主机的顺序则用p1、p2来表达。

例如,如果p1选项为' 2->3->1 ',而p2选项为' 2->3->4 ',则命令文件将通过主机2和3传递给索引为1和4的主机。每个主机的描述如下:% host IP%:% host ProbePort%:% host TransferPort%。

结论

PLATINUM组织仍在努力改进他们的恶意软件,通过新技术使其踪迹变得更隐蔽。几年前我们就曾预测过,会有越来越多的APT组织和恶意软件开发者将隐写术融入到攻击手段中,而近日的发现也似乎证明了我们的观点,在这场攻击行动中,攻击者使用了两种隐写技术,而另一个有趣的细节是将实用程序作为一个庞大的集合来实现,这也让我们想起,当前这种基于框架的体系架构正在威胁团伙中变得越来越受欢迎。最后,基于攻击者使用的自定义加密,我们已经能够将此归因于臭名昭着的PLATINUM组织,这也意味着该组织仍处于活跃状态。

IoC

隐写术后门安装程序:

· 26a83effbe14b63683f0c3e0a3f657a9

· 4b4c3b57416c03ca7f57ff7241797456

· 58b10ac25df04a318a19260110d43894

之前的隐写后门启动器:

· d95d939337d789046bbda2083f88a4a0

· b22499568d51759cf13bf8c05322dba2

隐写术后门:

· 5591704fd870919930e8ae1bd0447706

· 9179a84643bd6d1c1b8e6fe0d2330dab

· c7fda2be17735eeaeb6c56d30fc86215

· d1936dc97566625b2bfcab3103c048cb

· d1a5801abb9f0dc0a44f19b2208e2b9a

P2P后门:

· 0668df90c701cd75db2aa43a0481718d

· e764a1ff12e68badb6d54f16886a128f

配置管理器:

· 8dfabe7db613bcfc6d9afef4941cd769

· 37c76973a55134925c733f4f50108555

本文翻译自:https://securelist.com/platinum-is-back/91135/如若转载,请注明原文地址: https://www.4hou.com/web/18480.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论