duststorm和sandstorm_Stormwind
virustracker · 2016/03/03 10:17
www.cylance.com/hubfs/2015_…
Cylance SPEAR发现了一起针对日本、韩国、美国、欧洲以及其他几个东南亚国家的威胁行动,在上述国家中,有大量的行业部门都遭到了攻击。
0x00 多样的权利形式我们研究发现DustStorm最早从2010年开始活动,使用了大量不同的作战技术,包括钓鱼、水坑攻击和0-day漏洞。最初,有几家杀毒公司还能检测到他们使用的一些早期木马样本-被标记为Misdat,但是,经过多年的发展,现在已经很难再检测到他们的踪迹。
攻击数据表明,DustStorm小组不再像以前一样收集政府和国防情报,而是更加集中的寻找与日本关键基础设施和资源相关的组织机构信息。
近期,这个攻击小组大范围攻击了下面的这些行业:电力,石油和天然气,金融,运输和建筑。SPEAR研究发现,DustStorm小组当前的唯一关注点是日本企业和大型的日本外资机构。
0x01 前期:钓鱼与DustStorm相关的活动信息,最早是根据Misdat样本中可执行资源部分的编译时间确定的。所有的早期后门都是使用某个版本的Delphi编译的,这个版本的Delphi会把编译时间戳修改成June 19, 1992 22:22:17 UTC。利用可执行资源部分的时间戳,SPEAR准确的推测除了这些样本的真正编译时间,并跟踪了其中的一个样本”bc3b36474c24edca4f063161b25bfe0c90b378b9c19c”,直到2010年1月。
在2010年的时候,虽然DustStorm针对亚洲的攻击活动引起了一定的关注,但是,与这个威胁相关的公共信息仍然非常少。可能的解释是因为他们一开始大量使用了动态DNS域名来部署其CC服务器,以及使用了像Poison Ivy和Gh0st RAT这样的公共RAT作为第二阶段的植入木马。一直到,这些攻击者还在大量使用免费的动态DNS服务来部署其服务器,包括No-IP (www.noip.com),Oray (<http:/ www.oray.com/>) 和 3322 (www.pubyun.com/);SPEAR最早发现的一些后门就会与 “323332.3322.org” 和“1stone.zapto.org”通讯。
直到2011年,DustStorm开始利用未修复的IE 8漏洞(CVE-2011-1255)来入侵受害者的网络。在发动攻击时,攻击者会在钓鱼邮件中添加一个漏洞链接,这封邮件会装成来自某国的一名学生,向目标寻求建议或解答问题。
Symantec在报告中也提到了,攻击者使用的次级CC服务器是“honeywells.tk”;这个域名在2011年6月之前,会解析到“111.1.1.66”。这个地址也是第一个Misdat样本在同一时间范围内使用的一个地址。
在2011年4月的一次攻击活动中,攻击者在钓鱼邮件中添加了一个Word文档,而这个文档中内嵌了一个Flash 0-day漏洞(CVE-2011-0611)。其中使用的最终有效载荷经过证实就是Misdat样本,这个样本会连接“msejake.7766. org”,在攻击过程中,这个域名首先解析到了“125.46.42.221”,随后又解析到了“218.106.246.220”。
根据其他报告的描述,攻击者在入侵了目标机器后的几分钟内,就会开始手动枚举目标网络以及网络中的主机。
在2011年10月,DustStorm小组借助利比亚危机,开始钓鱼攻击在2011年10月20日报道了卡扎菲死亡消息的媒体。似乎除了美国国防目标,这次活动还攻击了一些维吾尔人。这次,DustStorm小组使用了一个经过定制的恶意Windows Help文件(.hlp),利用的漏洞是CVE- 2010-1885。这个hlp文件在打开时,会通过“mshta.exe”执行一些JavaScript代码,从而使用Windows脚本程序来启动第二部分Visual Basic Script。然后,VBS代码就会负责解码hlp文件中的有效载荷并执行。
在这些攻击中,使用的第一阶段有效载荷是Misdat变种,以Base64编码的方式储存在hlp文件中。SPEAR识别出的样本会与“msevpn.3322.org”通讯,当时这个域名使用的IP地址是“218.106.246.195”。通过调查这个IP地址,又发现了其他几个用作CC服务器的动态DNS域名,以及攻击者在2010年5月-2015年12月期间使用的几个标准域名。
图1-2011-2011年的域名注册
在2010-2011年期间,攻击者主要使用了”wkymyx (at) 126.com” 和 “duomanmvp (at) 126.com”这两个邮箱来注册域名。
这些攻击者要么使用了随机的4字符子域名,要么就是使用了一些常用词,比如image, blog, ssl, pic, mail, news等。有证据表明,在2011年7-8月,这个小组通过钓鱼域名尝试了收集Yahoo,Windows Live以及其他的用户凭证。
虽然SPEAR无法获取到最初的钓鱼页,但是这些钓鱼页的域名包括:“login.live.adobekr.com”,“login.live.wih365.com”和“yahoomail.adobeus.com”。每个域名使用的IP地址都是经常变化的,没有一个IP能用到一个月以上的时间。
0x02 身份危机:0-day攻击SPEAR发现了另一起在2012年6月实施的DustStorm行动,这次行动利用了先前曾经使用过的Flash 0-day CVE-2011-0611和一个IE 0-day CVE- 2012-1889。攻击者使用了域名“mail.glkjcorp.com”来投放这些漏洞,并且在当时,这个域名会解析到“114.108.150.38”。SPEAR无法确定这个漏洞网站具体属于哪一次的水坑攻击或钓鱼活动,但是,其他的一些XX-APT小组也在相同时间使用这两种技术利用了IE漏洞。漏洞域名 “glkjcorp.com”是在2012年5月25日的一起攻击活动之前创建的。在注册这个域名时,使用了两个不同的邮箱“effort09 (at) hotmail.com” 和“zaizhong16 (at) 126.com”。
这次攻击率先使用了文件“DeployJava. js”来获取受害者系统上已安装软件的指纹,然后,才会部署一个有效的漏洞。“DeployJava.js”会与漏洞页上内嵌的另一个脚本配合使用,如果是IE8或9,会投放Flash漏洞;如果是IE6或7,则投放IE 0-day。
图2-选择漏洞投放时的JS代码段
在2012和2013年,主要是其他APT小组在使用“DeployJava.js”脚本,Nitro小组在同年8月也使用过。
图3-其他利用了“DeployJava.js”的针对性攻击
另外还要注意的是,在这次攻击中:最终的有效载荷(hxxp:/mail.glkjcorp.com/pic/win.exe)使用了一个单字节对0x95个字节进行了异或,并且没有异或秘钥本身和0,这样做是为了避免暴露秘钥。在当时,这种混淆方法能够保证有效载荷通过大多数IDS/IPS系统。未经过编码的有效载荷是一个旧版Misdat后门和下一代后门-S型后门的结合体。这个后门首先会尝试使用旧版的Misdat网络协议与 “smtp. adobekr.com”通讯。如果失败,则会使用新型的基于HTTP的S型协议与“mail.glkcorp.com”通讯。
在2013年时,DustStorm完全放弃了旧版的Misdat后门作为第一阶段的植入木马,并转向主要使用S型后门。
0x03 未来预测:日本目标SPEAR注意到,DustStorm在2013年3月-2013年8月的活动数量出现了大幅下降。巧合的是(也许不是巧合),Mandiant在2013年2月19日公布了APT 1报告(www.fireeye.com/blog/threat…)。虽然DustStorm的活动并没有完全停止,但是在这段时间中,SPEAR能够收集到的木马数量也在大幅减少。
在这段时间中,注册了几个新的域名,这些域名可能是为了接下来几年的行动做准备。
图4-在2013年新注册的C2域名
有一些没有经过证实的证据表明,DustStorm利用了一个IchiTaro 0-day “CVE-2013- 5990”来攻击日本的受害者。这个0-day最早是在2013年11月12日公开报道 过。IchiTaro是由JustSystems开发的一个日文处理程序。
在整个2013年中,SPEAR发现所有的攻击活动中都部署的是S型后门。今年,攻击者还使用了两个位置来保证木马的持久性,这样是为了防止受害者的权限不够,无法执行某些特定的操作或无法访问特定的文件位置,比如写入注册表。在这段时间中,一些老技术,像使用“Startup”文件夹再次得到了启用。
2014年2月初开始,有确切的证据表明,DustStorm小组水坑攻击了一家常用软件销售商,旨在向目标投放IE 0-day CVE-2014-0322。这个漏洞本身托管在“hxxp:/krtzkj.bz.tao123.biz/error/pic.html”,当时,这个域名解析到了“126.85.184.190”。在同一时间,域名“js.amazonwikis.com”也指向了这个IP,并且利用了此前的一个web漏洞。有效载荷“Erido.jpg”是一个经过异或的可执行程序,与其他利用CVE-2014-0322的攻击类似,最终投放的还是S型后门。
DustStorm在2014年开始尝试通过其他方式来维持受害系统上的木马。SPEAR发现了几个第二阶段样本需要作为ServiceDLL安装才能保证正常的运行,有的也会安装为路由和路由访问服务的路由器管理器。只需要简单的搜索注册表键值“HKLM\System\CurrentControlSet\ Services\RemoteAccess\RouterManagers\IP\DllPath”就能找到大量其他的木马;但是,SPEAR只发现了一个样本利用了这种技术。攻击者还在2014年新注册了几个域名来支持行动扩张。
图5-在2014和2015年新注册的C2域名
0x04 现状:遭到入侵的企业DustStorm在2015年的活动更加有趣。SPEAR发现了大量的二阶段后门都使用了硬编码的代理地址和凭证。这些代理地址表明,攻击者入侵了大量的日本企业,涉及到能源业,石油与天然气,建筑,金融和交通业。
在2015年2月初的一个案例中,SPEAR恢复了一个S型后门变种投放的二阶段植入。
这个二阶段植入也是使用Microsoft Visual Studio 6编译的,似乎木马作者很喜欢这个版本的Visual Studio。尽管使用了旧版的Visual Studio,这个后门的设计仍然很出色,并且提供了攻击者需要的所有功能。
似乎没有任何杀毒厂商能够稳定的检测出SPEAR发现的这个变种。
更有趣的是,在2015年初,这个小组采用并最终定制了几个Android后门来实现他们的目的。到2015年3月,DustStorm迅速扩张了他们针对移动端的行动。最开始的几个后门都比较简单,并且能够将所有的SMS信息和通话信息发动给CC服务器。随后的一些版本变得更加复杂,并且新增了直接从受感染设备上枚举和传输文件的功能。
Android木马的所有攻击目标都来自日本或韩国。和先前的活动相比,用于支持Android端活动的基础设施具有更大的规模。目前为止,已经确定了有200个域名。
SPEAR发现了另外两拨攻击活动,分别开始于2015年7月和10月。有趣的是,其中的一个主要目标是一家韩国电力公司在日本设立的子公司。另外,SPEAR还发现攻击者单独入侵了一家日本石油天然气公司。我们并不清楚其目的,但是,如果和以前一样,可能是为了勘察和长期的间谍活动。
0x05
