第一次攻击行动集中在2014年10月到2015年7月,该期间攻击组织主要使用开源远控njRAT和Downloader进行攻击,攻击载荷并不复杂,使用的C&C主要为bbbb4.noip.me和31.9.48.183。但是2015年7月,该组织使用的C&C(31.9.48.183)被叙利亚哈马市新闻媒体在Facebook曝光。
第二次攻击行动集中在2015年7月到2016年11月,在这期间攻击者使用了多种不同类型的攻击载荷。在2015年8月攻击者开始使用Delphi编写的DarkKomet远控,此外,在2015年11月针对Android操作系统的攻击开始出现,并使用了AndroRAT恶意程序,期间使用的C&C主要是31.9.48.183,但是到了2016年1月,该组织开始使用新的域名basharalassad1sea.noip.me作为C&C服务器。另外,本次攻击行动具有代表性的就是2016年10月开始使用Facebook进行水坑攻击,并使用全新的VBS后门作为攻击载荷。
第三次攻击行动集中在2016年12月到至今,该期间攻击组织表现尤为活跃,使用的攻击载荷变得更加丰富。在2017年4月使用了telgram.strangled.net钓鱼页面进行水坑攻击,并且根据telegram升级程序的步骤制作RAT进行攻击,攻击平台包括PC与Android,C&C服务器也改变成82.137.255.56。此外,在2017年5月,首次出现了JS后门,并结合前期的VBS后门、RAT同时攻击。在这次攻击中需要引起重视的是,在2017年9月,攻击者开始使用域名chatsecurelite.us.to替代原有域名telgram.strangled.net进行水坑攻击,并着重针对Android平台进行攻击,开发了一系列不同伪装形式的RAT,最近两个月,攻击者基本上都只对Android平台进行攻击。
表2PC端RAT程序下载链接和链接对应文件MD5
Android端间谍软件主要伪装成“SystemPackageUpdate”、“TelegramUpdate”、“ChatSecureUltimate2017”、“MsOfficeUpdate2017”、“WordActivation”、“__”等软件,这些软件普遍为一些聊天软件更新程序,并通过挂载在具有迷惑性的下载网址上引诱目标下载安装。
图2为攻击者钓鱼页面(chatsecurelite.us.to/-/)。
图2攻击者钓鱼页面
点击上图中的应用会跳转至真正后台进行应用下载,如图3所示:
图3攻击者后台页面
目前该链接为正常状态,表3是某Android端RAT程序具体下载链接和链接对应的APK文件MD5。
表3Android端RAT程序下载链接和链接对应的APK文件MD5
通过分析我们发现telgram.strangled.net这个域名从2017年9月份停止使用,9月份之后,开始使用chatsecurelite.us.to这个域名。此外,通过链接下载的APK文件或EXE程序图标都会被修改成正常的软件更新程序欺骗用户,从而导致用户中招。
除了上述诱导用户到指定链接下载恶意程序外,攻击者还利用社交网络Facebook传播恶意程序,甚至将带有水坑链接的这些消息置顶,以更好的达到欺骗效果。图4、图5、图6都是攻击者在Facebook上诱导用户点击水坑链接的截图,用户点击该链接实际上会下载恶意载荷。
图4Facebook传播恶意载荷1
图5Facebook传播恶意载荷2
图6Facebook传播恶意载荷3
表4某VBS载荷下载链接和链接对应的VBS文件MD5
攻击组织在这次行动中主要使用以下几种诱导方式。
文档诱导主要是指攻击者通过正常PDF、DOC文档,提醒用户到恶意URL处更新最新程序或诱导用户安装APK文件,从而导致用户中招。
图7为其中某诱饵文档,该文档指出用户所用版本为旧版本,提醒用户及时更新,但是实际上文档中URL为恶意URL,下载的程序为RAT。
图7诱饵文档1
下图为诱导用户安装APK的PDF文件,如用户按照此方式进行安装,APK会隐藏图标,在后台静默执行恶意程序。
图8诱饵文档2
PC与Android端特洛伊木马通过图标进行伪装,涉及的图标主要包括聊天工具、WORD文档、人物头像等图标,其中Android平台涉及的伪装图标主要是聊天工具和Word图标,如图9所示。
图9Android端欺骗性软件图标
PC平台上涉及的伪装图标主要有人物头像、聊天工具升级图标等,如图10所示。
图10PC端欺骗性软件图标
攻击者使用的部分载荷采用scr后缀的文件名,scr文件格式是Windows系统中屏幕保护程序,为exe的衍生类型。此外,攻击者在使用这种文件格式时,通常会对文件命名一个诱饵名字,如“.scr”(炮击霍姆斯),霍姆斯是叙利亚的一个城市,并且被大规模武装袭击过。攻击者利用此类文件名及文件格式容易引起用户好奇心,从而点击文件中招。
攻击者不仅对恶意程序文件名、图标进行伪装,而且还会针对某些恶意更新程序(如telegram.exe,telegram是叙利亚一个比较流行的通讯软件)伪装其正常更新页面。当点击该恶意程序时,弹出正常的软件更新页面以迷惑用户,从而隐藏其层层释放恶意RAT的行为,普通用户很难辨别出此类软件恶意行为。图11为某一恶意程序运行的截图。
图11软件更新伪装界面
1)Android平台的样本,伪装成“ChatSecure”、“WordActivation”、“whatsappupdate_2017”、“__”等常用聊天办公软件,本质是一个RAT。
图12“WordActivation”运行界面
2)Android设备管理器是Google提供的一套API,允许用户以system权限管理设备,一个APP激活设备管理器后,不能被轻易卸载(必须先取消激活)。这些RAT程序动后诱导用户激活设备管理器,然后隐藏图标在后台运行。
图13激活设备管理器代码
图14诱导用户激活设备管理器
3)启动RAT监控模块。RAT模块默认与31.9.48.183这个C&C建立连接,接收命令和参数。
图15启动RAT监控模块
4)依据云端指令盗取用户手机中WhatsApp、Viber等软件的数据。
图16盗取用户WhatsApp、Viber的数据
5)样本具有录音、拍照、GPS定位、上传联系人/通话记录/短信/文件、执行云端命令等能力,除伪装的APP名字不一样,功能基本相同。
图17样本核心代码的结构
6)样本主要以xml格式向云端发送数据和接收指令。
图18发送的数据和接收的指令
7)样本接收的指令如表5所示。经分析,这些指令都可以执行。
表5Android端RAT样本指令与功能对应关系
此类间谍软件伪装成聊天工具telegram的升级程序进行传播,为使用户中招和更好的隐藏自身,该恶意程序在多方面进行了伪装,不但使用具有诱惑性的名字和图标,而且还做了可以以假乱真的安装界面来迷惑用户。该恶意程序运行后会有一个伪装的telegram升级界面,在用户一步步点击进行升级的过程中,恶意程序通过层层释放,最终会将一个RAT程序释放到用户电脑并运行。下图是某恶意程序执行流程图。
图19执行流程图
该RAT程序使用.net框架编写,通过接受控制端命令对用户计算机进行控制,如文件修改执行,杀进程等操作。通过对比发现该RAT与Android平台的RAT样本的命令除个别外其余编号对应的功能基本一致。对应关系如表6所示。
表6PC端RAT样本指令与功能对应关系
该组织除了自己开发Multi-stageDropper程序外,也使用近年来最为活跃的木马家族之一的远控njRAT。在使用njRAT时并不是直接使用,而是对在njRAT的基础上进行了二次封装,使用C#为njRAT加了一层壳,并对壳的代码进行了大量的混淆。该壳的作用是在内存中加载njRAT运行,防止njRAT被杀毒软件检测。
njRAT又称Bladabindi,是通过.net框架编写的RAT程序,通过控制端可以操作受控端的注册表,进程,文件等,还可以对被控端的键盘进行记录。同时njRAT采用了插件机制,可以通过不同的插件来扩展njRAT的功能。
图20配置信息
__
图21键盘记录
在进行关联分析中还发现该组织也使用Downloader进行二次下次,该Downloader使用具有诱惑力的名字,后缀也使用scr来诱导用户点击,如.scr,.scr(炮击霍姆斯)。
Downloader主要是从pastebin.com去下载文件执行,在通过下载的文件执行核心功能,如backdoor,RAT等。
图22下载功能1
图23下载功能2
该组织在进行攻击时使用大量的VBS脚本,并且该脚本经过大量混淆,下图为其中一个VBS脚本的部分代码。除此之外,使用的VBS脚本不再是简单的下载文件,而且完整的一个后门程序。
图24部分VBS代码
将代码去混淆后,得到主要代码。
图25主要功能代码
该VBS主要功能是与C&C(31.9.48.183:1984)进行通信,表7是主要指令对用的功能。
表7VBS样本指令与功能对应关系
在此次行动中攻击者还使用了JavaScript脚本,脚本为完整后门程序。部分代码如图26所示。
图26JS脚本部分功能代码
该样本功能是与82.137.255.56:1933进行通信,主要指令如表8所示。
表8JS样本指令与功能对应关系
综上所述,可以看出攻击者在攻击过程中使用了大量不同类型的攻击载荷。另外,需要特别说明的是,除上述攻击载荷外,该组织在攻击过程中还使用了Delphi开发的远控程序DarkKomet和XtremeRAT,使用C&C为31.9.48.183,但该类型远控占比较低且为公开远控,所以这里不再单独进行分析。
从上表中可以看出该组织攻击行动使用的C&C并不多,2014年第一次攻击行动使用的域名为bbbb4.noip.me,在2015到2016年期间,使用的主要C&C是basharalassad1sea.noip.me和31.9.48.183。不过2017年开始,以前使用的C&C基本都不再用了,而是使用telgram.strangled.net、chatsecurelite.us.to、82.137.255.56这三个C&C,通过分析发现2017年9月份之前攻击者水坑攻击使用的是telgram.strangled.net,9月份之后,开始使用chatsecurelite.us.to这个域名,而攻击载荷主要使用82.137.255.56这个C&C。
攻击者使用的C&C服务器虽说较少,但是不同攻击载荷使用了不同的端口,下图为C&C服务器端口分布。
图27C&C服务器端口分布
从上图C&C服务器端口分布来看,攻击者偏向于使用1177、1740、5552端口,其占比居前三位,分别为33.9%、19.4%、8.1%。其中1177和5552端口主要用于njRAT远控,1740端口多用于移动端RAT样本。紧随其后的有1940、1933端口,其占比分别为6.5%、4.8%,此二类端口多用于VBS后门中。另外其他类别主要包括3000、1990、1610、1984、4010、1920等端口。
图28C&C、IP及部分样本对应关系
通过图28中的C&C、IP及部分样本对应关系,很明确说明了PC端样本与Android平台样本存在强关联。此外IP82.137.255.56与31.9.48.183都是攻击者所持有,后面第八章会重点分析两IP之间的关系。通过分析所有样本,发现早期PC端样本主要使用31.9.48.183作为C&C服务器,而后期PC与Android端则主要使用C&C服务器为82.137.255.56。
本章主要就该攻击组织使用的恶意代码、文件名、C&C服务器等层面进行关联分析。
表10PC样本基本信息
图29PC样本代码截图(C&C地址)
表11Android样本基本信息
图30Android样本代码截图(C&C地址)
从掌握的样本信息发现,近期Android与PC端样本使用C&C都是82.137.255.56,只是端口不一样。
表12PC样本基本信息
图31PC样本代码截图(远控指令)
表13Android样本基本信息
图32Android样本代码截图(远控指令)
从上述对比信息知道,PC与Android端的RAT远端指令20、21、22都一致,分别是下载文件、删除文件、复制文件。实际攻击在PC与Android端RAT样本使用的是同一套远控指令,都从数字17开始,这间接说明了攻击方都是同一伙人。
表14PC样本基本信息
表15Android样本基本信息
通过表14和表15我们知道PC与Android端使用的水坑链接目录结构一致。实际上telgram.strangled.net、chatsecurelite.us.to这两个域名都是攻击者持有,且对应的IP都是82.137.255.56,只是攻击者从2017年9月开始使用chatsecurelite.us.to这个域名,并在11月将对应IP改为82.137.255.57。
攻击行动中PC与Android平台上的间谍软件使用的文件名大多是一些聊天软件名,如telegram.exe。
表16样本文件名
从上表可以看出该组织针对这两种平台都喜欢使用聊天软件名。
攻击行动中PC与Android平台间谍软件代码中都包含“HAMZA_DELIMITER_STOP”等字符串,此字符串是xml格式数据的结尾标志。此外发现PC与Android端样本代码中都使用了大量阿拉伯语,如“、“”等字符串。
表17样本中涉及的字符串
通过上述所有的关联分析,可以明确知道PC与Android端样本来自同一组织开发,并且该组织熟悉阿拉伯语。
PDB路径有一定地域特征。
表18PC样本PDB路径
表19PC样本PDB路径
上表是部分攻击样本的文件名,其中文件名“1”是关于ManafTlass的信息,而ManafTlass是叙利亚前国防部长之子马纳夫塔拉斯。文件名“”直译是“炮击霍姆斯”,而霍姆斯是叙利亚的一个城市,通过上述文件名可以侧面看出攻击者针对地区为叙利亚。文件名“7515”是关于囚犯交换的。因此从这些文件名可以看出,攻击者在诱饵文档命名时也颇为讲究,此类文件名容易诱惑用户点击。
图331.docx存放位置
查看1.docx的属性发现该文件有作者信息Raddex。
图341.docx属性
进一步关联分析发现,发现PC端样本SystemUI.exe(bdaaf37d1982a7221733c4cae17eccf8)也使用Raddex字符命名类,此样本C&C为31.9.48.183。这与叙利亚哈马市新闻网发布的攻击者IP信息一致。