事件概述 近日，奇安信威胁情报中心注意到外国安全厂商humansecurity在外网揭露了一个名为BADBOX的事件，其报告称观察到至少74000 部基于 Android 的手机、平板电脑、和全球联网电视盒有遭遇BADBOX 感染的迹象；而来自趋势科技的说法是该后门据信被植入了2000万数量级别的设备。实际上，humansecurity在其分析报告中已经对该事件进行了比较详细的技术分析，各位如果有兴趣可以自行查看。本篇文章中，我们主要想基于奇安信自身情报视野做一些关联扩展分析，希望能从我们的视角出发提供更多的补充信息给到业界。 分析细节 基于奇安信威胁情报中心的历史流量记录，可以看到humansecurity提供的几个C2地址在国内的感染量并不算少，以cbphe.com为例，可以看到cbphe.com22年到23年5月份基本上是每日访问情况比较平稳，从23年开始逐步增长，到了23年5月之后，感染量突然暴增，并一直持续到现在。 另外，我们发现域名flyermobi.com下有多个关联的样本，首先选一个样本进行定性分析，这里随机挑选了一个e6027f962eaaf7dede8a271166409fe6。 样本信息： MD5：e6027f962eaaf7dede8a271166409fe6 包名：com.gavv.tissm 样本会解密原包中/a/b.data 文件，释放jar，通过dexclassloader的方式加载 原包文件： 移动设备中释放的jar和dex 然后动态加载jar文件： 样本会将释放的jar的版本号(v)、设备型号(tp)、Android系统版本(bdr)、软件版本(rv)、包名(pk)等数据上传到解密出来的url中，对比返回版本信息，如果版本有更新则下载新的jar，从而实现版本更新。url如下： hxxp://adc[.]flyermobi[.]com/update/update.conf?bdr=xx&rv=x&v=xxx&pk=xxx&tp=Generic+Android-x86_64 解密字符串的部分： 解密算法： public class De {public static void main(String[] args) {System.out.println(dec("d62kyun6d", "C4FF3D0FF6730B4AE7BFA387C88862560050076610A3517E03BA599535DEAA943134CA7E20F8138A7D0331"));}public static String dec(String key,String msg){String v7_3 = "";byte[] v7_2;int v0 = 0;if (msg.length()>=2){String v7_1 = msg.toLowerCase();int v2 = v7_1.length() / 2;byte[] v3 = new byte[v2];while(v0 < v2) {int v4 = v0 * 2;v3[v0] = (byte)Integer.parseInt(v7_1.substring(v4, v4 + 2), 16);++v0;}v7_2 = v3;byte[] v6 = a(v7_2, key);try {v7_3 = new String(v6, "UTF-8");} catch (UnsupportedEncodingException e) {throw new RuntimeException(e);}}return v7_3;}public static byte[] a(byte[] arg4, String arg5) {try {SecretKeySpec v5 = Sekey(arg5);Cipher v0 = Cipher.getInstance("AES/CFB/NoPadding");v0.init(2, v5, new IvParameterSpec(new byte[v0.getBlockSize()]));return v0.doFinal(arg4);}catch(Exception v4) {v4.printStackTrace();return null;}}private static SecretKeySpec Sekey(String arg2) {byte[] v2_1;if(arg2 == null) {arg2 = "";}StringBuilder v0 = new StringBuilder(0x20);while(true) {v0.append(arg2);if(v0.length() >= 0x20) {break;}arg2 = "0";}if(v0.length() > 0x20) {v0.setLength(0x20);}try {v2_1 = v0.toString().getBytes("UTF-8");}catch(UnsupportedEncodingException v2) {v2.printStackTrace();v2_1 = null;}return new SecretKeySpec(v2_1, "AES");}} 返回结果中包含下载地址，md5，版本号等内容： 释放的jar中，利用webview实现后台刷广告牟利的功能。广告地址通过访问url获取，利用MotionEvent实现自动点击广告。 访问url：http://adc.flyermobi.com/config/config.conf、http://adc.flyermobi.com/config/config.conf.default来获取广告相关url 利用webview请求广告： 通过MotionEvent实现广告点击： 分析到这里，可以确认这个样本行为与humansecurity提到的基本一致，该恶意程序是一个内置的后门，通过后门实际远程下载其他代码模块并加载的功能；目前看到的主要功能模块是用于后台点击广告来牟利。 接下来尝试对相关C2地址进行关联分析，首先将公开披露的这几个域名（cbphe.com 、cbpheback.com、ycxrl.com、dcylog.com、flyermobi.com;）输入到奇安信威胁情报中心的【威胁图谱分析】模块中，威胁图谱会自动将这几个域名的历史解析记录、whois、关联样本等等多种关联关系展示在画布上。 其中，我们注意到flyermobi.com这个域名有一个解析的IP 128.199.193.15，这个IP上还关联到了其他的域名，其中有一个apkcar.com的域名也解析到128.199.193.15这个IP上，并且其子域名ymex.apkcar.com、ymlog.apkcar.com的域名结构与前面的rnznd.ycxrl.com、z3rv.ycxrl.com（ycxrl.com的子域名）结构相似。 进一步下钻关联数据，可以看到ymsdk.apkcar.com曾经cname到adbsdk.flyermobi.com，并且扩展出来更多的子域名、URL和样本，如下图： 选择其中一个样本进行分析（MD5：f33401aaf64a2dd3ed14e6f441ac83ab），可以看到代码与前面分析的样本代码十分相似： 到这里，我们基本可以确定apkcar.com，是本次事件同一个团伙的域名，而这个域名在其他安全厂商的报告中都没有提到。我们通过奇安信威胁图谱关联的方式扩展出了一个之前没有被发现的新C2. 总结 经过上述分析，可以确认本次事件确有其事，攻击者通过在机顶盒内置后门的方式，利用后门远程下载并加载其他恶意代码模块；最后通过后台隐蔽点击广告来进行牟利。 IOC DOMAIN cbphe.com cbpheback.com ycxrl.com dcylog.com flyermobi.com apkcar.com URL hxxp://128[.]199.97.77/logs/log.active hxxp://adc[.]flyermobi.com/update/update.conf hxxp://ymsdk[.]apkcar.com/adbu MD5 e6027f962eaaf7dede8a271166409fe6 f33401aaf64a2dd3ed14e6f441ac83ab 参考链接 [1].https://humansecurity.com/hubfs/HUMAN_Report_BADBOX-and-PEACHPIT.pdf [2].https://arstechnica.com/security/2023/10/thousands-of-android-devices-come-with-unkillable-backdoor-preinstalled/ ...

勒索软件领域的演变已经从涉及Windows有效载荷的传统方法，转变为针对其他平台（最明显的是Linux）的方法。在这种转变中，勒索软件运营商正在缩短不同有效载荷发布之间的时间间隔，并在不同的平台上实现功能均等。 通过有策略地利用Conti、Babuk或Lockbit等知名勒索软件家族的代码，勒索软件运营商正在重用和修改代码库，以创建新的攻击技术。随着越来越多的此类事件曝光，安全团队在防御中保持警惕和适应性变得至关重要。 本文将重点介绍最近发现的几个勒索软件家族，它们都在运行后不久就释放了以Linux/ ESXi为重点的有效载荷。了解这些有效载荷的能力是衡量未来风险的重要一步，也是帮助安全团队有效应对的关键。 Linux勒索软件威胁的兴起 回顾四五年前，知名勒索软件运营商重点关注的还是运行Windows的设备。非windows版本的有效负载需要额外的技能和时间来开发和发布。现在的情况却并非如此，像Rust和Go这样的语言允许恶意软件开发人员快速进行多平台移植。 我们今天看到的威胁场景包括勒索软件运营商同时向多个平台释放有效载荷。在这种方法中，通常针对windows的有效负载与针对linux和/或ESXi的有效负载之间不再存在明显的时间间隔。此外，现在跨平台的有效载荷显示功能均等已成为标准。这些以Linux和ESXi为重点的locker包含了其Windows对应版本的所有必要功能。 现代勒索软件运营商也越来越多地重用构建器和代码，或者修改代码库以满足其需求，同时将主要代码作为模型进行维护。安全研究人员指出，这些漏洞的主要来源是Conti、Babuk和LockBit。这些变体能够针对Linux和VMWare ESXi环境，其目的是加密托管在ESXi服务器上的虚拟机（VM），这些虚拟机通常对业务操作和服务至关重要。 通常，攻击者会利用ESXi中的漏洞、弱凭据或其他安全漏洞来访问虚拟化环境。有效地瞄准和加密虚拟机的能力对勒索软件运营商非常有吸引力。通常在几分钟内，完全虚拟化的基础设施就会被正确且强大的有效负载加密和破坏。 MONTI Locker MONTI Locker的历史可以追溯到2022年中期，当时，它曾针对VMware ESXi 服务器发起了多次攻击。 最新版本的MONTI ESXI勒索软件支持各种命令行参数，其中许多是从Conti继承的，MONTI Locker借用了Conti的代码。然而，最近有迹象表明，MONTI Locker背后的运营商正朝着更加定制化的方向发展。 研究人员最近记录了一个样本，该样本似乎摆脱了旧时基于Conti的加密器以及一些命令行参数。这些较新的示例已删除size、log和vmlist参数。 MONTI Locker可用的命令行参数包括： 参数 函数 - path 通往文件/ volumes的路径 -whitelist 要跳过的虚拟机列表（可以接受.txt文件输入） -vmkill 切换虚拟机终止开关 -vmlist 接受虚拟机名称列表（.txt文件） -detach 从屏幕/终端中分离 -log 创建日志文件 -world-id = 针对VMWare内的特定World ID 【2023年8月MONTI Locker帮助屏幕】 同样值得注意的是，MONTI Locker能够在受影响的服务器上更新MOTD文件（每日消息）。例如，这个文件（/etc/motd）控制用户登录到vCenter时看到的内容。感染后，使用MONTI Locker加密的服务器将显示配置的赎金通知。 【MONTI Locker中的MOTD和Index.html引用】 MONTI Locker的总体攻击量低于本文中的其他一些威胁，因为它们的目标往往是有针对性的。而且，就其感染活动的整体生命周期而言，他们十分擅长玩长期游戏。 Akira勒索软件 Akira勒索软件家族的Linux变体自2023年6月以来就已被观察到，但更广泛的操作可追溯到4月份。Akira勒索软件的初始传播是通过利用易受攻击的公开可用的服务和应用程序来实现的。 传统上，Akira勒索软件的有效载荷也是从Conti继承的。Linux版本的Akira勒索软件使用crypto++库来处理设备上的加密。Akira提供了一个简短的命令集，其中不包括任何在加密之前关闭虚拟机的选项。但是，它们确实允许攻击者通过-n参数对加密速度和受害者实际恢复的可能性进行一些控制。该值越大，文件被加密的内容就越多，这意味着速度越慢，受害者在没有适当解密工具的情况下恢复的可能性也越低。 Akira可用的命令行参数包括： 参数 函数 - encryption_path，-p 通往文件/文件夹的路径 -encryption_percent，-n 部分加密，设置要加密文件的百分比 -share_file，-s 加密的共享驱动器路径 –fork 生成用于加密的子进程 【Akira带有加密和路径参数的最小输出】 【Akira命令行参数】 Trigona Linux Locker Trigona是一个于2022年6月首次发现的勒索软件家族。它是一个多重勒索组织，并且拥有一个公开的博客，上面有受害者信息及其被盗数据。他们的恶意软件有效负载已在Windows和Linux上观察到。 在本文讨论的所有家族中，Trigona的原始Windows有效载荷和linux版本的勒索软件之间的发布间隔最长。虽然Trigona的Windows和Linux版本之间的差距最大，但他们丝毫不落后于其他勒索软件家族。 Trigona专注于linux的有效负载是精简且高效的，它们拥有本榜单中最强大的日志记录和测试输出选项。 Trigona的/erase选项在Windows和Linux版本上都可用。这个选项经常被忽视，但安全团队应该意识到，这个选项允许勒索软件作为各种类型的擦除器。使用Trigona有效载荷，/erase选项将完全删除文件，使其基本上不可恢复。这种行为在一定程度上可以通过组合使用/full选项来调整。如果没有后者，则只能用NULL字节覆盖给定文件的前512KB。当与/full参数结合使用时，将覆盖文件的整个内容。受此影响的文件将被赋予. _deleted扩展名，而不是通常的. _locked扩展名。 Trigona可用的命令行参数包括： 参数 函数 /full 实现完全文件加密 /sleep 设置完全执行前等待的秒数 /fast 部分加密 /erase 覆盖数据 /is_testing 设置测试/调试标志 /test_cid 强制使用特定的计算机ID（用于测试和调试） /test_vid 强制使用特定的受害者ID（用于测试和调试） /allow_system 开启系统路径加密功能 /shdwn 加密完成后强制关闭系统 /path 必选-设置要加密的目标路径 /log 指定日志存放路径 【Trigona以/path参数启动】 【Trigona的final log】 【Trigona命令行参数】 Abyss Locker Abyss Locker勒索软件操作于2023年3月出现，并积极针对VMware ESXi环境。Abyss Locker有效负载的初始交付通过各种方式进行，包括网络钓鱼电子邮件或利用易受攻击的公开可用服务和应用程序。 用于Linux的Abyss Locker有效负载源自Babuk代码库，并且以非常相似的方式运行。此外，Abyss中的加密功能是基于HelloKitty勒索软件中的加密功能。目前还不清楚Abyss Locker、HelloKitty和Vice Society之间的正式合作是如何进行的。Abyss Locker包含特定于esxcli命令行工具的调用，该工具用于管理虚拟设备。 【Abyss Locker中的VMware ESXi命令】 Abyss Locker使用esxcli命令行工具，允许多种模式的虚拟机和进程终止。 esxcli vm process list esxcli vm process kill -t=force -w=%d esxcli vm process kill -t=hard -w=%d esxcli vm process kill -t=soft -w=%d 这些命令影响目标虚拟机关闭的“优雅”程度。根据VMware的文档，最省事的选项（soft option）通常是最受欢迎的。硬选项（hard option）执行立即关闭（假设有特权），而强制选项（force option）只能作为最后的手段使用。但如果需要，Abyss将使用任何和所有这些选项。 Abyss Locker可用的命令行参数包括： 参数 函数 -m 部分加密（5-10-20-25-33-50） - v verbose -d 切换到daemon Start <path> 开始加密的路径 -v创建一个详细的“work.log”文件，显示所选择的加密模式和围绕所遇到的每个文件的加密时间的基准。 【Abyss Locker的工作日志文件】 【Abyss Locker命令选项】 就设备加密的速度而言，Abyss Locker的有效载荷是快速且有效的。随着这个群体继续调整他们的有效载荷，我们预计会看到更多的此类威胁活动。 结语 本文研究了几个突出的Linux和VMWare esxi勒索软件家族，深入研究了特定有效负载的用法和命令行语法。通过在可能的情况下突出已理解的谱系，并关注可用的参数，安全团队可以对有效载荷进行实际操作，增强对威胁的检测能力。 使用Windows有效载荷的攻击与针对其他平台的攻击之间的差异表明，勒索软件的格局在不断演变。随着威胁行为者不断重复他们的策略来逃避检测，如何保持领先于这些趋势的能力将变得至关重要。 原文链接： https://www.sentinelone.com/blog/from-conti-to-akira-decoding-the-latest-linux-esxi-ransomware-families/ ...

2022年，卡巴斯基检测到1661743个针对移动用户的恶意软件或流氓软件安装程序，虽然这类安装程序最常见的传播方式是通过第三方网站和可疑的应用商店，但它们的开发者偶尔也会设法将其上传到Google Play等官方商店。 这些应用程序通常会受到严格监管，并且在发布前会经过预审核。然而，恶意和流氓软件开发者使用了各种技巧来绕过平台检查。例如，他们可能会上传一个良性的应用程序，然后用恶意或可疑的代码进行更新，以感染新用户和已经安装该应用程序的用户。这些恶意应用程序一被发现就会从Google Play中删除，但它们通常都是在下载多次之后才会被发现。 在收到用户投诉称“Google Play上出现许多恶意和流氓应用程序”之后，卡巴斯基研究人员决定调查一下这些恶意软件在暗网上的供求情况。分析这种威胁是如何产生的尤为重要，因为许多网络犯罪分子经常以团队合作的方式，买卖Google Play账户、恶意软件、广告服务等等。这是一个完整的地下产业链，有自己的规则、市场价格和声誉机构，卡巴斯基在一份报告中进行了概述。 重要发现 能够向Google Play交付恶意或流氓应用程序的加载程序价格通常在2000美元到20000美元之间。 为了尽可能保持匿名，很大一部分攻击者严格通过论坛和聊天工具（例如Telegram）上的私信进行谈判。 隐藏恶意和流氓软件最流行的应用程序类别包括加密货币跟踪器、金融应用程序、二维码扫描仪，甚至约会应用程序。 网络犯罪分子主要接受三种付款方式：一定比例的最终利润、订阅费或租金以及一次性支付。 网络犯罪分子推出谷歌广告，以吸引更多人下载恶意和流氓应用程序。广告的成本取决于目标国家，其中，针对美国和澳大利亚用户的广告费用最高。 暗网上提供的恶意服务类型 与合法的在线市场一样，暗网上也为不同需求和预算的客户提供各种优惠。例如，下面的优惠列表截图就介绍了针对Google Play用户可能需要的不同商品和服务的价格。 【一家暗网服务提供商称这些价格太高，并指出他们以更低的价格出售同样的服务】 攻击者购买的主要产品是开发人员的Google Play帐户，这些帐户可以被网络罪犯入侵或注册，以及帮助买家将其创作上传到Google Play各种工具的源代码中。此外，暗网上还提供VPS（售价300美元）或虚拟专用服务器等服务，攻击者可以使用这些服务来控制受感染的手机或重定向用户流量，以及基于网络的注入。网络注入是一种监控受害者活动的恶意功能，如果受害者打开了攻击者感兴趣的网页，注入器就会将其替换为恶意网页。这种功能的售价为25-80美元/个。 Google Play加载程序 攻击者出售最多的是Google Play加载程序，其目的是将恶意或流氓代码注入Google Play应用程序。然后，该应用程序会在Google Play上更新，受害者可能会将恶意更新下载到他们的手机上。根据注入到应用中的具体内容，用户可能会获得更新的最终有效载荷，或者收到通知，提示他们启用未知应用的安装，并从外部来源安装它。 在后一种情况下，除非用户同意安装额外的应用程序，否则通知不会消失。安装应用程序后，用户会被要求授权访问手机的关键数据，如辅助服务、摄像头、麦克风等权限。受害者可能无法使用原始的合法应用程序，直到他们授予执行恶意活动所需的权限。一旦所有请求的权限都被授予，用户最终能够使用应用程序的合法功能，但与此同时，他们的设备也会受到感染。 为了说服买家购买其开发的加载程序，网络犯罪分子有时会提供视频演示，并向潜在客户发送演示版本。在加载程序功能中，他们的开发者可能会强调用户友好的UI设计、简单易用的控制面板、目标国家过滤器以及对最新Android版本的支持等等。网络犯罪分子还可能在木马程序中添加检测调试器或沙箱环境的功能。如果检测到可疑环境，加载程序可能会停止操作，或通知开发者“它可能已被安全调查人员发现”。 【Google Play加载程序是暗网上最受欢迎的Google Play威胁产品】 加载程序的开发者通常会指定加载程序所用的合法应用程序的类型。恶意软件和流氓软件经常被注入加密货币跟踪器、金融应用程序、二维码扫描仪甚至约会应用程序。网络犯罪分子还会强调目标应用程序合法版本的下载量，这意味着有很多潜在受害者会通过使用恶意或流氓代码更新应用程序而受到感染。最常见的情况是，卖家承诺在下载量达到或超过5000次的应用程序中注入代码。 【网络犯罪分子出售将代码注入加密货币跟踪器的Google Play加载程序】 绑定服务 暗网上另一个常见的服务是绑定服务。从本质上讲，这些程序与Google Play加载程序所做的事情完全相同——在合法应用程序中隐藏恶意或流氓APK文件。然而，与加载程序不同的是，绑定服务会将恶意代码插入到不一定适合官方Android市场的应用程序中。通常情况下，使用绑定服务创建的恶意和流氓应用程序通过钓鱼短信、带有破解游戏和软件的可疑网站等方式传播。 由于绑定服务的成功安装率低于加载程序，因此两者在价格上有很大差异：加载程序的成本约为5000美元，而绑定服务的成本通常为每个文件50 - 100美元。 【卖家对绑定服务的描述】 卖家广告中列出的绑定服务的优势和功能通常与加载程序相似。不过，Binder（一种进程间通信机制）通常缺乏与Google Play相关的功能。 恶意软件混淆服务 恶意软件混淆的目的是通过使恶意代码复杂化来绕过安全系统。在这种情况下，买方要么为处理单个应用程序付费，要么为订阅付费，例如，每月付费一次。服务提供商甚至可能为购买套餐提供折扣。例如，其中一个供应商提供50个文件的混淆服务，售价为440美元。而同一提供商仅处理一个文件的成本约为30美元。 【Google Play威胁混淆服务售价为50美元一个文件】 安装 为了增加恶意应用程序的下载量，许多攻击者通过谷歌广告来增加销路。与其他暗网服务不同，这项服务是完全合法的，并被用于吸引尽可能多的应用程序下载——无论它是仍然合法的应用程序还是已被感染的应用程序。安装成本取决于目标国家。平均价格为0.5美元，具体报价从0.1美元到1美元不等。其中，针对美国和澳大利亚用户的广告成本最高，为0.8美元。 【卖方指定了每个国家的安装价格】 其他服务 暗网卖家还提供为买家发布恶意或流氓应用程序的服务。在这种情况下，买家不会直接与Google Play互动，但可以远程接收应用程序活动的成果，例如，被其窃取的所有受害者数据。 平均价格和常见销售规则 卡巴斯基研究人员分析了暗网广告中提供Google Play相关服务的价格，发现卖家可以接受不同的支付方式。这些服务可以按最终利润分成提供，也可以以一次性价格出租或出售。一些卖家还会举办商品拍卖：由于出售的商品数量有限，买家可能愿意为它们竞价。例如，在研究人员发现的一次拍卖中，Google Play加载程序的起拍价是1500美元，以200美元起增，最终以7000美元成交。 【卖家拍卖一个Google Play加载程序】 当然，7000美元的竞价并非最高记录。研究人员在暗网论坛上观察到的加载程序价格大多在2000美元到20000美元之间，具体取决于恶意软件的复杂性、新颖性和流行性，以及附加功能。加载程序的平均价格是6975美元。 【Google Play加载程序的平均报价示例】 然而，如果网络犯罪分子想要购买加载程序源代码，价格会立即飙升，达到价格范围的上限。 【开发者以20000美元的价格提供Google Play加载程序源代码】 与加载程序不同，Google Play开发者帐户（无论是被黑客入侵的还是由攻击者新创建的）都更为实惠，通常只需60-200美元，具体价格取决于帐户功能，如已发布的应用程序数量、下载数量等。 【用户想购买一个可以访问开发者电子邮件的Google Play帐户】 除此之外，研究人员还在暗网上发现了许多想要以特定价格购买特定产品或服务的信息。 【网络罪犯正在寻找新的Google Play加载程序】 交易过程 暗网上的卖家提供了全套不同的工具和服务。为了保持隐身，很大一部分攻击者会严格通过暗网论坛或社交网络和通讯工具（如Telegram）上的私信进行谈判。 服务提供商似乎可以轻易地欺骗买家，并从他们的应用程序中获利。通常情况也确实如此。然而，在暗网卖家中，维护自己的声誉、承诺担保或在协议条款履行后接受付款也很常见。为了降低交易风险，卖家经常求助于中介机构（如托管服务或中间商）。托管可能是一种特殊服务，由影子平台或对交易结果不感兴趣的第三方支持。然而，请注意，在暗网上，没有什么能100%消除被骗的风险。 结语和建议 从暗网上此类威胁的供求量来推断，未来威胁的数量只会增长，而且会变得更加复杂和先进。 防御建议： 不要启用未知应用程序的安装。如果某个应用程序催促你这样做，它很可能被感染了。如果可能，请卸载该应用程序，并使用防病毒软件扫描设备。 检查使用的应用程序权限，并在授予不需要的权限之前仔细考虑，特别是在涉及高风险权限时。例如，手电筒应用唯一需要的权限就是使用手电筒。 使用可靠的安全解决方案，有助于在恶意应用程序和广告软件在设备上出现不当行为之前发现它们。 只要更新可用，务必及时更新操作系统和重要的应用程序。要确保应用程序更新是良性的，请在安全解决方案中启用自动系统扫描，或在安装更新后立即扫描设备。 对于组织来说，有必要使用强密码和双因素身份验证来保护其开发人员帐户，并监控暗网以尽早检测和缓解凭据泄漏风险。 ...

2022年，卡巴斯基研究人员调查了一系列针对东欧工业组织的攻击活动。在这些活动中，攻击者的目标是建立一个永久的数据泄露渠道，包括存储在气隙（air-gapped）系统中的数据。 基于这些攻击活动与之前研究过的攻击活动（如ExCone、DexCone）存在诸多相似之处，包括使用的FourteenHi变体、特定的TTP和攻击范围，研究人员非常自信地认为，这些攻击活动背后是一个名为APT31（也被称为“Judgment Panda”和“Zirconium”）的威胁组织。 为了泄露数据并交付下一阶段的恶意软件，威胁行为者滥用基于云的数据存储（例如Dropbox或Yandex Disk）以及用于临时文件共享的服务。他们还使用部署在常规虚拟专用服务器（VPS）上的C2。此外，威胁行为者还会部署一系列植入程序，通过受感染的可移动驱动器从气隙网络收集数据。 对于大多数植入程序，威胁行为者使用了类似的DLL劫持实现（通常与Shadowpad恶意软件相关）和内存注入技术，以及使用RC4加密来隐藏有效载荷并逃避检测。libssl. dll或libcurl.dll被静态链接到植入程序以实现加密的C2通信。 研究人员总共发现了超过15个植入物及其变体。具体来说，攻击中使用的整个植入程序堆栈可以根据其作用分为三类： 用于持久远程访问和初始数据收集的第一阶段植入程序； 用于收集数据和文件的第二阶段植入程序； 第三阶段植入程序和上传数据到C2的工具。 用于远程访问的第一阶段植入程序  FourteenHi变体 FourteenHi是一个恶意软件家族，于2021年在一个名为ExCone的活动中被发现，自2021年3月中旬以来一直保持活跃状态，目标主要是政府实体。在2022年，研究人员发现了用于攻击工业组织的新变种。 各种各样的FourteenHi样本（包括x64和x86）在代码结构、i加载器和C2类型方面都有很大的不同。但是它们的核心特征（如C2通信协议和命令列表）几乎是相同的。 加载方案大体相同的所有变体，包括三个主要组成部分： 易受DLL劫持的合法应用程序。 通过DLL劫持加载的恶意DLL，用于从二进制数据文件中读取和解密FourteenHi有效载荷，并将其注入某些系统进程，如exe或msiexec.exe。 一个二进制数据文件，包含用RC4加密的FourteenHi二进制代码。 所有已知的FourteenHi变体都在其代码中嵌入了配置数据并使用RC4加密。配置定义了活动ID、C2地址和端口。fourenhi x64的配置还定义了它在不带参数执行时为持久化创建的Windows服务的名称和描述。 MeatBall后门 MeatBall后门是研究人员在分析攻击过程中发现的新植入程序。它具有广泛的远程访问功能，包括列出正在运行的进程、连接的设备和磁盘、执行文件操作、捕获屏幕截图、使用远程shell和自我更新。该植入存在于x86和x64的变体中。 该植入程序还使用基于DLL劫持技术的加载方案，但与许多其他植入程序不同的是，其有效载荷存储在恶意DLL加载程序本身中，而不是单独的文件中。 该植入程序与libssl.dll静态链接，以实现加密的C2通信。 植入程序使用Yandex Cloud作为C2 研究人员发现的另一个植入程序是使用Yandex Cloud数据存储作为C2。该植入程序使用基于DLL劫持的加载方案，恶意DLL将存储在单独文件中的植入程序主体解密，并将其注入合法进程的内存中。 该植入程序同样使用静态链接的libcurl.dll进行SSL加密通信，并在主机上收集以下数据： 计算机名； 用户名； IP地址； MAC地址； 操作系统版本； 通往%System%的路径 为了将收集到的数据上传到C2，该植入程序使用嵌入式API令牌发送一个请求，以创建一个目录，该目录的名称对受害主机来说是唯一的。 所有上传和下载的数据均采用RC4算法加密。 用于收集数据和文件的第二阶段植入程序 用于收集本地文件的专用植入程序 2022年5月，研究人员发现了一个用于收集本地文件的专用植入程序。该植入程序使用基于DLL劫持技术的加载方案，其中恶意DLL加载程序通过创建名为“WinSystemHost”的服务来确保持久性，解密并将作为二进制数据存储在单独文件中的有效负载注入到合法进程的内存中。 该植入程序启动“msiexec.exe”，然后从单独的文件读取和解密有效载荷，并将其注入“msiexec.exe”的内存中。 一旦负载开始在“msiexec.exe”的内存中执行，它就会进入由下述6个简单步骤组成的无限循环： 创建文件存储文件夹（如果不存在的话），并找到通往“exe”的路径； 解密字符串； 读取配置并开始搜索所有磁盘上的文件； 复制文件和写日志； 将复制的文件归档并清理； 等待10分钟。 为了渗漏收集到的数据，威胁行为者还使用了一系列植入程序将文档上传到Dropbox。 通过可移动驱动器从气隙网络中窃取数据的植入程序 2022年4月，研究人员发现了一款旨在通过感染可移动驱动器从气隙系统中窃取数据的恶意软件。 【植入程序与可移动介质相互作用的简化图】 第一个（主）模块负责处理可移动驱动器，包括如下操作： 收集驱动器信息； 将每个驱动器的文件系统结构克隆到本地临时文件夹中，并保持结构更新至最新状态； 从硬盘中收集被盗文件并在新连接的硬盘上植入第二步恶意软件； 捕获受感染计算机上的屏幕截图和窗口标题。 该主模块在“%TEMP%”中创建一个文件夹，它将在其中存储日志、连接驱动器的信息和驱动器的内容。 接下来，该植入程序对每个可移动驱动器都创建了一个子文件夹，其中子文件夹的名称与驱动器的序列号相同。 该植入程序还会检查这些文件夹中是否存在以下文件，这些文件可用于感染序列号与文件夹名称匹配的可移动驱动器： “exe”，一个合法的McAfee可执行文件，易受DLL劫持； “dll”，这是第二步有效载荷； “DOC”、“PDF”或“DIR”文件，其中定义了要使用的诱饵链接文件。 上述文件存在于分配给特定可移动驱动器的文件夹中，表明攻击者首先分析了可移动驱动器的内容一段时间，然后才将用于感染特定可移动驱动器的文件复制到指定的文件夹中。 要感染可移动驱动器，主模块只需复制两个文件——“mcods.exe”和第二步恶意软件“McVsoCfg.dll”——到驱动器的根目录，并为这两个文件设置“隐藏”属性。 此外，如果存在第四步恶意软件，它也会与第二步植入程序一起复制到可移动驱动器中。 然后，主模块在可移动驱动器的根目录中生成一个诱饵链接文件。 当用户打开诱饵“.lnk”文件时，操作系统将加载“mcods.exe”，该文件又将加载“McVsoCfg.dll”，并调用其函数“McVsoCfgGetObject”。 【通过受感染的可移动媒介染隔离网段中的计算机的简化图】 之后，该植入程序通过从自己的文件（“McVsoCfg.dll”）中提取第三步恶意软件可执行文件，并将其以“msgui.exe”的名称保存到被攻击主机上的“%APPDATA%”中。 第三步植入程序“msgui.exe”非常小且简单——它被设计成使用“cmd.exe”执行批处理脚本来收集数据，并将输出保存到驱动器的“$RECYCLE.BIN”文件夹中，以便恶意软件的主模块（当连接到最初受感染的主机时）可以收集数据。然后，它会查找要执行的任何第四步文件，然后将其删除（如果存在的话）。 第四步恶意软件由两个文件组成： 有效载荷的简单dropper（类似于第二步恶意软件所使用的）； 该有效载荷实际上是第一步模块的修改版本，也用于收集有关驱动器的信息，收集文件，捕获屏幕截图和按键（当连接到最初受感染的主机时），但没有负责感染可移动驱动器的例程。 两个模块（第一步和第四步）具有相似的配置和数据保存例程： 【通过受感染的可移动媒体在隔离的网段中收集数据的简化图】 为了收集所有被盗数据，威胁行为者使用远程shell来运行旨在上传数据的植入程序。 第三阶段植入程序和上传数据到C2的工具 第三阶段植入程序由威胁行为者通过第一阶段植入程序和第二阶段植入程序进行部署。 第三阶段植入程序与第一阶段植入程序有很多共同之处，包括使用基于云的数据存储（例如Dropbox、Yandex Disk），代码混淆以及实施DLL劫持技术。 用于上传文件到Dropbox的植入程序 一系列用于上传文件到Dropbox的植入程序，被设计成与第二阶段的文件收集植入程序协同工作。 该恶意软件堆栈由三个植入程序组成，形成一个直接的执行链（由三个步骤组成）。 第一步用于持久化，部署和启动第二步恶意软件模块，该模块负责通过调用第三步植入程序将收集到的文件上传到服务器。 在分析中，研究人员确定了在初始攻击几个月后部署的第三步植入程序的五个变体，以及第二步植入程序的两个变体。 执行链中第二步植入的第一个变体旨在解密第三步有效载荷并将其注入合法进程（例如“msiexec.exe”）。除了C2地址外，该链中第三步有效载荷的所有变体几乎相同。 第三步变体中的C2 IP地址引起了研究人员的注意，因为它是本地IP地址。这意味着威胁行为者在公司内部部署了一台C2，并将其用作代理，从无法直接访问互联网的主机上窃取数据。 后来，攻击者部署了第二步植入程序的新变种，其功能包括查找Outlook文件夹中的文件名（即电子邮件帐户名称），执行远程命令，并通过调用第三步植入程序将本地或远程“.rar”文件上传到Dropbox。 要上传本地文件，第二步植入程序要调用第三步植入程序，后者应该已经部署在机器上的静态定义路径“c:/users/public/”或与第二步植入相同的路径上。 所有第三步变体都旨在将从本地机器的“C:\ProgramData\NetWorks\ZZ”收集到的“.rar”文件上传到Dropbox。 手动数据渗漏工具 除了各种植入程序外，研究人员还发现了威胁行为者用于手动数据渗漏的两种工具。 一个名为“AuditSvc.exe”的工具被设计用于上传和下载任意文件到Yandex Disk。OAuth令牌、文件路径和其他一些参数可以作为命令行参数传递。或者，这些参数可以在一个名为“MyLog.ini”的配置文件中定义。 第二个被发现的工具名为“transfer.exe”，旨在从16个支持的临时文件共享服务中任意上传和下载任意文件。 通过Yandex电子邮件服务上传文件的植入程序 通过Yandex电子邮件服务发送文件的植入程序是从Yandex Disk下载的。它还与libcurl.dll进行了静态链接。 该植入程序旨在窃取位于静态路径“C:\Users\Public\Downloads\111.log”的单个文件（该文件已硬编码到植入程序中）。“.log”文件作为附件发送到电子邮件。 “111.log”文件很可能是由前一阶段的植入程序之一产生的，并且可能包含CMD命令的输出或通过上述工具上传到临时数据共享服务的文件的URL。 在一次发送电子邮件的尝试之后，该植入程序就会终止。这样的直接执行流和持久化功能的缺乏可能意味该植入程序更多地被用作一种工具，而非自给自足的服务。 结语 在这项报告中，研究人员分析了威胁行为者用于远程访问、收集数据和上传数据的大量植入程序。 威胁行为者通过将有效载荷以加密形式隐藏在单独的二进制数据文件中，以及通过DLL劫持和内存注入链将恶意代码隐藏在合法应用程序的内存中，使检测和分析威胁变得更加困难。 滥用云服务（例如，Dropbox、Yandex、Google等）的趋势并不新鲜，但它仍在继续扩大，因为当组织的业务流程依赖于这些服务时，想要限制/缓解这种趋势将变得异常艰难。 与此同时，滥用流行的基于云的数据存储，一旦第三方访问威胁行为者使用的存储，就有可能导致被盗数据的二次泄露。 原文链接： https://securelist.com/common-ttps-of-attacks-against-industrial-organizations/110319/ ...

一．摘要 获取网空测绘数据后，去分析数据和解读数据、让数据说话，这是 ZoomEye 团队常说的“赋予数据灵魂”，也是网空测绘的真正价值所在。网空测绘数据，不仅可以应用于网络空间领域，去感知网络空间层面的态势，也可以与其他行业领域的数据进行结合，通过分析挖掘去印证和感知现实实体空间的态势，进而发挥其更大价值。 印度和巴基斯坦是两个位于南亚的相邻国家。本文主要基于 ZoomEye 网络空间搜索引擎 [1] 的测绘数据，从多个维度进行两个国家的对比分析，并与其他行业领域的数据结合进行解读。 对比两个国家的人均 IPv4 地址拥有数量，印度略高于巴基斯坦，反映出印度的信息化水平略高于巴基斯坦；与南亚其他国家（例如不丹、斯里兰卡、尼泊尔、孟加拉）进行横向比较，这些国家的信息化水平处于同一层级别上；与信息化水平较高的国家（例如美国、韩国、英国、德国、日本）进行横向比较，差距比较大。 对比 2022 年两个国家在线IPv4地址（此处"在线IPv4地址"指的是对互联网开放某个端口提供某种协议服务的IPv4地址）占其IPv4地址总量的比例，印度高于巴基斯坦，说明印度在 IP 地址服务提供率上高于巴基斯坦，反映出印度的信息化水平高于巴基斯坦。 我们将近 4 年两个国家的 GDP 数值和在线 IPv4 数量的变化趋势结合起来观察，发现：两个国家的 GDP 数值和在线 IPv4 数量，在 2020 年均有明显下降，在 2021 年和 2022 年均为上升趋势。推测原因：受全球疫情影响，两个国家在 2020 年出现经济衰退，互联网应用服务相应较少，因此出现在线 IPv4 地址数量下降的现象；2021 年和 2022 年经济复苏，互联网应用服务也随之增加，因此在线 IPv4 地址数量呈现上升趋势。 对比两个国家使用了 SSL/TLS 协议的 IPv4 资产占总资产数量的比例，印度高于巴基斯坦；对比两个国家防火墙设备资产占总资产数量的比例，印度也高于巴基斯坦；这两个维度的数据对比，反映出印度的信息化建设安全水平高于巴基斯坦。 针对使用了 SSL/TLS 协议的 IPv4 资产，提取 SSL 证书中的关键词样例进行设备厂商的分析对比，我们可以发现：美国设备厂商在两个国家的市场覆盖率基本相当；相比较而言，中国设备厂商的市场覆盖率比较低。这些说明，在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 二．国家概况对比 2.1人口和经济 印度的人口数量（14.13 亿）是巴基斯坦的人口数量（2.35 亿）的 6 倍 [2] 。在 2022年，印度的 GDP（国内生产总值） [3] 是巴基斯坦 [4] 的 9 倍，印度的人均 GDP 是巴基斯坦的 1.43 倍，如表1所示。受限于全球疫情影响，印度和巴基斯坦在 2020 年均出现明显的经济衰退；而在 2021 年和 2022 年，两国经济均有所复苏。从数据可以看出，印度的国家经济实力要强于巴基斯坦。 表1： 印度和巴基斯坦GDP比较 2.2电信运营商 印度的 5 家主要运营商 [5] ，其企业大股东所属国家均为印度自身；而巴基斯坦的 4 家主要运营商 [6] ，只有 1 家企业大股东所属国家为巴基斯坦自身，另外 3 家分别属于荷兰、挪威和中国 ，如表2所示。从这个维度上进行对比，可以一定程度上反映出：印度的通信基础设施能力要高于巴基斯坦，并且主要由国家自身进行主导。 其中，位于巴基斯坦的 CMPak Limited 企业（中文名：中国移动辛姆巴科公司），是中国移动在海外的第一张通信网络，也是中国移动参与“一带一路”建设的重要实践[7] 。 表2 ：印度和巴基斯坦主要运营商 三．拥有 IP 数量对比 3.1 IPv4 拥有总量 我们比较两个国家拥有 IPv4 地址的数量，及其年度变化 [8] 。详细数据见下表3。可以看出，印度作为 IPv4 地址拥有数量全球排名第 13 位的国家，其绝对数量值远大于巴基斯坦IPv4 地址拥有数量（全球排名第 51 位）；年度变化方面，2021-2023 年，两个国家拥有 IPv4 地址的数量整体呈上升趋势，推测与疫情之后两国经济复苏相关。 表3 ：印度和巴基斯坦拥有 IPv4 地址的数量比较 3.2 IPv4 人均拥有数量 IPv4 地址拥有数量绝对值的对比，未必能够真实反映两国信息化水平现状，因此，接下来我们比较两个国家人均 IPv4 地址的数量。详细数据见下表4。可以看出，印度的人均 IPv4 地址数量略高于巴基斯坦，一定程度上反映出印度的信息化水平略高于巴基斯坦；与信息化水平较高的国家（例如美国、韩国、英国、德国、日本）进行横向比较，差距比较大；与南亚其他国家（例如不丹、斯里兰卡、尼泊尔、孟加拉）进行横向比较，这些国家的信息化水平处于同一层级别上。 表4：IPv4 地址拥有数量对比 四．在线 IP 数量对比 4.1 在线 IPv4 数量及占总量的比例 对比 2022 年两个国家的在线 IPv4 地址（此处"在线IPv4地址"指的是，对互联网开放某个端口提供某种协议服务的IPv4地址），印度的绝对数量高于巴基斯坦；对比 2022 年两个国家在线 IPv4 地址占 IPv4 地址总量的比例，印度为 13.84%，巴基斯坦为 8.28%，如表5所示，说明印度在 IP 地址服务提供率上高于巴基斯坦，反映出印度的信息化水平高于巴基斯坦。 表5：印度和巴基斯坦在线 IPv4 数量及占总量的比例比较 4.2 在线 IPv4 数量的变化趋势 接下来，我们查看近 4 年两个国家在线 IPv4 地址数量的变化情况，详细数据见下表 6。可以看出，两个国家在线 IPv4 地址数量，在 2020 年均有明显下降，然后在 2021 年和2022年均为上升趋势。 表6：近 4 年印度和巴基斯坦在线 IPv4 地址数量的变化情况我们将近 4 年两个国家的 GDP 数值和在线 IPv4 数量的变化趋势结合起来观察，发现：两个国家的 GDP 数值和在线 IPv4 数量，在 2020 年均有明显下降，在 2021 年和 2022 年均为上升趋势，如图1、图2所示。推测原因：受全球疫情影响，两个国家在 2020 年出现经济衰退，互联网应用服务相应较少，因此出现在线 IPv4 地址数量下降的现象；2021 年和 2022 年经济复苏，互联网应用服务也随之增加，因此在线 IPv4 地址数量呈现上升趋势。 图1：印度近4年GDP数值和在线IPv4数量的变化趋势 图2：巴基斯坦近4年GDP数值和在线IPv4数量的变化趋势 五．设备资产数据对比 本章节，我们挑选具体的 IP 设备资产数据进行对比分析。 5.1 SSL/TLS协议资产和防火墙设备资产 我们提取这两个国家使用了 SSL/TLS 协议的 IPv4 资产，并统计其占在线 IPv4 总资产数量的比例，印度的该占比值为 23.17%，而巴基斯坦的该占比值为 7.87%，如表 7 所示。 然后，我们提取这两个国家的防火墙设备资产，并统计其占总资产数量的比例，印度的该占比值为 0.69%，相当于平均使用 1 个防火墙保护 145 个 IP 资产；而巴基斯坦的该占比值为 0.25%，相当于平均使用 1 个防火墙保护 400 个 IP 资产。 这两个维度的数据对比，可以一定程度上反映出：印度的信息化建设安全水平高于巴基斯坦。 表7：SSL/TLS协议资产和防火墙设备资产比较 5.2 不同厂商设备资产 接下来，我们针对使用了 SSL/TLS 协议的 IPv4 资产，提取 SSL 证书中的关键词样例进行设备厂商的分析对比。此处的数据分析是基于 SSL 证书中的关键词，所以，我们统计设备厂商资产数量占比比例的时候，不是统计其占在线总资产数量的比例，而是统计其占使用SSL/TLS协议资产数量的比例。（注：此处从 SSL 证书中提取设备厂商关键词样例，不代表覆盖全部厂商，也不代表覆盖一个厂商的全部设备型号。） 通过表 8 的详细数据可以看出，在这两个国家，4 个美国设备厂商资产数量占比基本持平。 表8：印度和巴基斯坦不同厂商设备资产的比较这个维度的数据比对，可以反映出：**美国设备厂商在两个国家的市场覆盖率基本相当；相比较而言，中国设备厂商的市场覆盖率比较低。**这些说明，在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 六．结语 本文主要基于 ZoomEye 网络空间搜索引擎的测绘数据，从多个维度进行印度和巴基斯坦两国的对比分析，数据可以反映出印度的信息化水平要高于巴基斯坦。 网空测绘数据和国家GDP数据结合进行解读，可以反映出两个国家在2020年出现经济衰退，互联网应用服务相应较少，因此出现在线IPv4地址数量下降的现象；2021年和2022年经济复苏，互联网应用服务也随之增加，因此在线IPv4地址数量呈现上升趋势。 设备资产测绘数据的对比分析，可以发现美国设备厂商在这两个国家的市场覆盖率高于中国设备厂商；说明在“一带一路”倡议的大背景下，中国设备厂商在海外的市场存在广阔增长空间。 基于网络空间测绘数据，不仅可以感知网络空间层面的态势，还可以与其他行业领域的数据进行结合，通过分析挖掘去印证和感知现实实体空间的态势，这也是网空测绘数据的魅力所在。 七．参考链接 [1] ZoomEye 网络空间搜索引擎https://www.zoomeye.org [2] 国家人口数量https://zh.wikipedia.org/zh-hans/各国家和地区人口列表 [3] 印度的GDP数值https://en.wikipedia.org/wiki/Economy_of_India [4] 巴基斯坦的GDP数值https://en.wikipedia.org/wiki/Economy_of_Pakistan [5] 印度的电信运营商https://en.wikipedia.org/wiki/List_of_telecom_companies_in_India [6] 巴基斯坦的电信运营商https://en.wikipedia.org/wiki/List_of_telecommunication_companies_in_Pakistan [7] 中国移动筑就“一带一路”信息高速路http://ccnews.people.com.cn/n1/2019/0701/c141677-31204950.html [8] 国家拥有IPv4地址数量数据来源于埃文公司的IP地理位置库 作者：知道创宇404实验室English version: https://paper.seebug.org/2094/** ...

近期，火绒威胁情报系统监测到一款后门病毒正在快速传播，被激活后会释放多个恶意文件并执行，使黑客可以进行信息收集，远程控制等恶意操作。值得注意的是，该病毒不但使用多种免杀手段躲避查杀，其释放的子文件中还具有 Synares 蠕虫感染特征，可在受害者电脑的文件中进行传播。 用户点击病毒程序之后，该病毒就会释放并执行恶意文件，随后黑客可以远程控制用户电脑。除此之外，该黑客团伙在开发过程中疑似主机环境被Synares蠕虫病毒感染或有意捆绑，致使释放的子文件中存在着蠕虫的特征，增加了破坏性。执行流程如下图所示： 执行流程图 在免杀层面上，该病毒文件使用了包括：多层 PE 流调用、VMProtect 和 Safengine Shielden 加壳保护、DLL 内存加载、异常反调试、流程混淆等多种技术来进行对抗。在此，火绒工程师提醒大家警惕陌生文件，先查杀再使用。 一、样本分析： malware.exe： 在分析对抗层面上，病毒对运行逻辑进行了混淆处理，并利用了包括：函数指针动态获取、函数包装调用等手段来干扰静态分析： 函数指针动态获取 函数包装调用 在关键执行层面上，病毒文件先后释放 look2.exe 和 "HD_malware.exe" 文件并执行。其中 look2.exe 存放于用户的 TEMP 目录中，而 "HD_malware.exe" 则释放到桌面下，并赋予 "隐藏属性和系统保护属性" 隐藏自身。 执行流程图 文件示意图 Look2.exe： look2.exe 是一个支持持久化和配置更新的木马程序。该病毒在执行前会解密出互斥体名称： “kinh.xmcxmr.com:442:svchcst” ，通过该互斥体的成功创建与否来判断父进程 malware.exe 是否正在执行，以此决定后续操作。 父子进程交互 后续操作中，look2.exe 会尝试获取系统目录，然后释放一个以时间戳命名的 bat 文件，该文件实则为用于加载的 DLL 文件。根据父进程写入的执行标志位来决定是直接执行 DLL 内 MainThread 导出函数还是 Install 导出函数（这两个导出函数在后面解析），执行完后还尝试删除文件，但实际上由于文件被加载占用，所以无法被移除。 look2.exe 执行流程 另一种情况是 look2.exe 被用于执行配置更新操作，当命令行中包含 GUpdate 和要更新的注册表项时，程序会定位到指定的位置进行配置更新： 配置更新操作 释放的 DLL 文件实际上是 Gh0st 后门病毒的变种，该 dll 中包括 5 个导出函数，但都围绕着 MainThread 展开。导出函数名代表了真实意图，包括配置更新（DllUpdate）、创建服务（Install）、卸载服务（Uninstall）、服务启动函数（ServiceMain）。 导出函数列表 导出函数逻辑代码 MainThread 包含核心恶意功能，包括：终端数据收集，接收和执行控制命令、派发执行任意病毒模块等。火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》 文章中披露的后门病毒在执行流程和代码逻辑上，经对比与该函数没有太大改动，故不再重复分析。 注册表修改对比 信息收集对比图 HD_malware.exe： “HD__malware.exe” 是一个被 Synares 蠕虫病毒感染过的文件，当它执行时，会释放感染前的 ".cache_malware.exe" 源程序，并且执行蠕虫自身的感染操作，包括：更新自身配置、篡改注册表自启动项，感染指定位置 EXE 和 EXCEL 文件、远控，窃密等。执行流程如下所示： 执行流程图 Synares 蠕虫病毒是一个相对较老的病毒，虽然变种极多，但本次观察到的行为与以前版本并无太大变化，包括感染的三个指定位置为：%USERPROFILE%\Desktop、%USERPROFILE%\Documents、%USERPROFILE%\Downloads。包括键盘记录和 usb、目录文件信息记录，并通过邮件回传。包括基础远控功能：CMD 命令执行、屏幕截图、打印目录、下载文件、删除文件等，故不再重复分析。 代码逻辑图 ._cache_HD_malware.exe 释放出来的 ._cache_HD_malware.exe 是被感染前的原始程序，其套用 vmp 壳来试图隐藏自身逻辑： 套用 VMP 壳 在其内部嵌入了未加密的 EXE 文件，用于释放执行，并包含核心操作： 内嵌 EXE 文件 HD_.cache_HD_malware.exe 内嵌的 EXE 文件在释放时会再次以 “HD_” 做前缀，其同样被设置系统保护和隐藏属性，并且套用 SE 壳试图隐藏逻辑： 套用 SE 壳 当前文件示意图 该病毒文件执行时，会从 C2 服务器上下载 exploror.exe 写入到创建的 C:\windowss64 目录下 computer.exe 文件中并启动执行。 下载文件并执行 Computer.exe Computer.exe 是一个引导程序，用于引导内嵌的 DLL 加载执行。内嵌 DLL 是加密存储的，Computer.exe 在执行时会构造并利用异常来进行反调试，并且解密操作也在异常处理中定义。 解密 DLL 和异常反调试 在解密内嵌 DLL 后，会调用指定导出函数 fuckyou，剩下所有操作均由 DLL 内代码完成。 指定导出函数 该导出函数主体逻辑同样与火绒安全实验室在 2019 年发布的 《火绒5.0公测阶段就立功 有效防御某一类常见黑客攻击 》文章中提到的后门病毒，经对比并没有太大改动（DDOS 模块已移除），故不再重复分析。 代码对比 二：附录 HASH ...

2023年3月知道创宇404高级威胁情报团队全球率先捕获到一个全新APT组织的武器后门，我们称为“ORPCBackdoor”，并在2023年5月对外发布了该武器后门的详细分析：Bitter 组织新攻击武器分析报告 - ORPCBackdoor 武器分析 在该报告里我们把该武器后门定位为 BITTER（“蔓灵花”）使用的最新武器，然而我们留意到近日卡巴斯基发布报告称他们于第二季度发现了一个全新的APT组织，该组织的主要攻击目标为巴基斯坦，将其命名为“Mysterious Elephant（神秘象）”。此外还发布了两篇非公开报告，第一篇报告主要描述了该组织过去几年的主要技战术（TTPS），第二篇描述了该组织对巴基斯坦外交相关部门的攻击行动。 该组织主要特点是使用了一个全新的后门，该后门通过恶意RTF文档传递到受害者机器上。恶意RTF文档通过钓鱼邮件进行投递。这个全新的后门通过RPC与C2服务器进行通信，并有在受控机器上执行文件或者命令的能力，同时该后门也可以从C2服务器上接收文件和命令并执行。经过确认，卡巴斯基发现的后门与我们率先捕获的“ORPCBackdoor”是同一个后门程序。考虑到归因存在分歧差异，由此知道创宇404高级威胁情报团队把使用“ORPCBackdoor”的“新”组织启用全新编号：APT-K-47，中文名称“神秘象”。 本文我们也会从样本整体攻击链及同源关系分析等进一步扩线分析，且我们也通过知道创宇遥测大数据观察到该组织攻击的目标除了巴基斯坦外，还有攻击其他国家的痕迹。同时经过回溯分析，我们发现该组织最早攻击活动应当开始于2022年3月份左右。本文将公布该APT组织攻击细节及相关IOC。 1. 整体攻击链 图1在APT-K01的一次攻击活动中，攻击者通过钓鱼邮件向攻击目标发送CHM文件，CHM文件使用“俄中友好、和平与发展委员会”为诱饵，相关诱饵内容如下所示。 图2从钓鱼文件的内容可以看到，该组织的攻击目标不只是卡巴斯基描述的仅针对巴基斯坦，根据前期知道创宇遥测大数据显示，该组织攻击目标为多个国家。 CHM文件恶意部分为doc.html，该文件中存在一个OBJECT对象，该对象用于创建一个每隔15分钟运行一次的计划任务，任务用于下载并执行存放在二阶服务器中的二阶恶意程序，二阶程序为MSI文件。 图3二阶MSI文件中存放着一对白加黑文件，黑文件为卡巴斯基报告中提到的ORPCBackdoor，白文件为微软官方服务文件，用于启动黑文件（OLMAPI32.dll）。 图4 2. 同源性分析 ORPCBackdoor攻击链条与印度方向所使用的技战术相重叠，其中 BITTER 组织的技战术与代码结构尤为相像，相关对比分析如下： BITTER 组织在往期的攻击活动中使用的 CHM 文件结构如下： 图5本次捕获到的 ORPCBackdoor 初始阶段的 CHM 文件结构如下： 图6两者doc.htm文件对比，下图为 BITTER 的doc.htm文件： 图7下图为ORPC的CHM文件中的doc.htm文件： 图8CHM文件从代码逻辑、功能和规避技巧等方面来看几乎一致，后续下载的二阶文件均为msi文件。 ORPCBackdoor攻击链条与南亚方向所使用的技战术相重叠，分析发现该木马曾在confucious组织使用过的网络资产里面出现过，同时我们发现同类木马也在 BITTER 组织使用过的资产上出现过。南亚方向的APT组织一直以来都存在资产方向的交叉使用，我们甚至发现过confucious与Patchwork组织出现过部分特殊字符串的重用，很难完全将某一个组织彻底同其他组织分开，目前的主要区分依据还是整个木马攻击链条的区别以及部分网络资产的区别。综合我们对其他南亚组织Sidewinder、Patchwork、cnc、confucious、BITTER、APT-K-47的分析情况来看，这几个黑客组织可能是同一组织下的不同小组，存在攻击工具、攻击目标、网络资产方面不少重叠情况。 3. ORPCBackdoor描述 3.1 样本功能综述 ORPCBackdoor共计17个导出函数，相关导出函数名称如下所示： GetFileVersionInfoA GetFileVersionInfoByHandle GetFileVersionInfoExW GetFileVersionInfoSizeA GetFileVersionInfoSizeExW GetFileVersionInfoSizeW GetFileVersionInfoW VerFindFileA VerFindFileW VerInstallFileA VerInstallFileW VerLanguageNameA VerLanguageNameW VerQueryValueA VerQueryValueW GetFileVersionInfoByHandleEx(void) DllEntryPoint 从导出函数来看ORPCBackdoor使用了version.dll模版,version.dll是一个Windows操作系统的动态链接库文件，它主要用于管理可执行文件或者DLL文件的版本信息。故我们有理由猜测ORPCBackdoor使用DLL劫持技术，采用白加黑方式用于达到一定的免杀效果，本次发现的调用文件为MicrosoftServices，但由于调用该DLL的情况较多后续BITTER组织可能会使用其他款白文件进行调用。 ORPCBackdoor恶意入口有两处，第一处为GetFileVersionInfoBy- HandleEx(void)导出函数，第二处为DllEntryPoint。 ORPCBackdoor从设计思路来看可分为两个模块，两个模块分别为初始化模块以及交互模块，整体硬编码字符采用HEX字符串保存，例如“SYSTEM INFORMATION \n”字符在ORPCBackdoor中保存的字符为"53595354454D20494E464F524D4154494F4E205C6E"，该方式可略微达到阻碍反检测以及对抗分析等目的，根据ORPCBackdoor所支持的功能，我们可以推断出该后门所处感染链前端，用于为后续行动提供基础环境。 3.1.1 初始化模块描述 初始化模块内包含多个功能模块。多个模块配合完成在与服务端交互执行的前期工作，前期工作包括了字符解析、首次运行测验、持久化、本机信息收集、C2在线检测等方面，各部分内容详述如下： 字符初始化本文前面有提及ORPCBackdoor内置的关键字符均采用TOHEXStr的方式保存，在运行过程中ORPCBackdoor会将即将使用的字符经进行解码。根据后门中的上下文调用来看，加密的字符中还包含了服务端下发的命令。 持久化ORPCBackdoor通过判断文件是否存在，从而防止多次持久化创建，在进行持久化创建前，ORPCBackdoor会判断同路径下是否存在ts.dat文件，当且文件不存在ORPCBackdoor才会创建持久化，持久化创建方式采用COM调用TaskScheduler CLSID，计划任务名称为Microsoft Update，创建完成后创建ts.dat文件。 初始信息收集初始信息收集三个部分数据，分别是进程列表、系统信息、用户信息，相关信息收集非常详尽，除基本信息外还会收集OS Build Type、Registered Owner、Install Date等信息。 交互初始化交互初始化与持久化模块类似，同样通过判断文件是否存在，从而防止与服务端同时多进程与服务端交互，判断逻辑为判断ProgramData路径下是否存在$cache.dat文件，如果文件存在ORPCBackdoor将不会与服务端建立连接，否则初始RPC调用，ProtSeq采用ncacn_ip_tcp。如果在尝试RPC调用后服务端无数据返回则休眠5分钟后继续尝试，当服务端返回命令后进入交互模块。 3.1.2 交互模块描述 交互模块与常见的命令处理逻辑相似，通过多层if-else来解析服务端执行并完成指定功能，ORPCBackdoor所支持的功能并不算多，主要为Get- Shell，其余包含一些文件处理、上传下载执行等操作。 ORPCBackdoor相关执行及对应功能描述如下： IDID指令所对应的功能较为少见，其功能是将服务端下发的一段0xF大小的数据即15位数字（eg: 818040900140701），保存在本地%ProgramData%/$tmp.txt文件中，根据该指令及前面代码流程中未出现ClientID相关生成操作，故我们猜测此步操作用于赋予受害者ID用于区分不同受害者。 INFINF指令用于上传在初始化模块-初始信息收集子模块中所收集的详尽本机信息。 DWNDWN指令所对应的模块属于精心设计过的功能模块，功能为下载文件，根据对代码的分析来看DWN功能模块设计的较为健壮，其支持在向服务端反馈每一步操作是否成功或错误原因，从而完成既定目标流程，由于ORPCBackdoor属于感染链前部分故此模块的稳定性极为重要。 RUNRUN指令用于执行指定文件，使用WinExecAPI启动文件。 DLYDLY指令为休眠指令，休眠服务端指定时长后再次运行。 CMDCMD指令为ORPCBackdoor核心指令，功能为GetShell，其所使用的处理逻辑为，解析服务端所下发的Shell指令，获取到服务端下发的Shell指令后进行指令拼接，拼接格式为cmd.exe /c |服务端下发的指令|>> c:\Users\Public\cr.dat。后续通过WinExec()API执行该条执行，执行完成后将cr.dat的内容发送至服务端，后续删除cr.dat文件从而达到一次与服务端Shell交互效果。在分析过程中，我们捕获到服务端首先会下发systeminfo命令再次获取系统信息，紧接着第二条指令为whoami。通过对ORPCBackdoor整体分析我们可以得出以下结论：ORPCBackdoor后门是一款较为精简且设计较为成熟的后门程序。无论是对自身字符的处理，抛弃常用的Socket调用转而使用RPC调用，还是为规避终端检测所采用的version.dll劫持模板，域名、程序、描述等整体一致性，我们可以看出本次攻击活动可以算得上是一次经过精心设计策划的行动，同时为了防止自身暴露也使用了新型攻击武器从而变更了其惯用的TTP。 3.2 样本细节描述 从ORPCBackdoor相关原始信息中可以看到最早的样本创建时间是2022年2月份和3月份： 图9 图10 图11：正常version.dll 图12：ORPCBackdoor 图13：通过文件判断是否进行持久化流程图13：通过文件判断是否进行持久化流程 图14：主机当前运行的进程信息收集 图15——18：极为详尽的系统信息收集 图19：服务端指令初始化 图20：RPC初始化 图21：生成ClienID 图22：生成的ClienID 图23：上传前期收集的系统信息 图24：文件下载模块 图25：RUN指令-运行指定程序 图26：休眠模块 图27：核心模块-Shell模块 图28：服务端下发的命令一 图29：服务端下发的命令二 图30：通过NdrClientCall2API收发服务端消息 4.IOC ORPCBackdoor 8AEB7DD31C764B0CF08B38030A73AC1D22B29522FBCF512E0D24544B3D01D8B3 88ecbe38dbafde7f423eb2feb6dc4a74 f4cea74c8a7f850dadf1e5133ba5e396 C&C msdata.ddns.net outlook-services.ddns.net msoutllook.ddns[.]net outlook-updates.ddns[.]net outlook-services.ddns[.]net 108.62.118.125:443 msdocs.ddns.net 作者：K&NaN@知道创宇404高级威胁情报团队 ...