首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

蔓靈花APT組織最新的C#木馬組件揭秘

閱讀量：次

安恒安全研究院獵影威脅情報分析團(tuán)隊(duì)于今年4月份監(jiān)控并發(fā)現(xiàn)“蔓靈花”(BITTER)組織針對我國多個敏感部門進(jìn)行攻擊，安全研究團(tuán)隊(duì)對該次事件進(jìn)行深入了分析。通過持續(xù)監(jiān)控，近期又發(fā)現(xiàn)其開始了新的攻擊，并加入了新的組件。

APT組織介紹

“蔓靈花”又名“BITTER”，一個長期針對中國及巴基斯坦的政府、軍工、電力、核等部門發(fā)動網(wǎng)絡(luò)攻擊，竊取敏感資料，具有較強(qiáng)的政治背景。該組織最早在2016由美國安全公司Forcepoint進(jìn)行了披露，他們發(fā)現(xiàn)攻擊者使用的遠(yuǎn)程訪問工具（RAT）變體使用的網(wǎng)絡(luò)通信頭包含 “BITTER”，所以該這次攻擊命名為“BITTER”，同年國內(nèi)安全廠商也跟進(jìn)發(fā)布了分析報告，命名為“蔓靈花”。

攻擊樣本分析

本次攻擊(2019年9月份發(fā)現(xiàn))使用了多個攻擊樣本，如捕獲到一個命名為“mypictures.chm”的樣本，該樣本格式是chm，文件被打開后展示一些圖片：

通過查看代碼發(fā)現(xiàn)它會在后臺通過msiexec命令去遠(yuǎn)程服務(wù)器下載msi文件

觀察進(jìn)程樹也能發(fā)現(xiàn)該行為：

通過安恒文件威脅分析平臺檢索域名gongzuosousuo[.]net,又發(fā)現(xiàn)多個樣本，其中2個樣本引起我們注意：

這兩個文件都是捆綁的主樣本，它們偽裝成office圖標(biāo)的exe文件

其中“中國新的對外安全政策.docx”打開后，是關(guān)于我國外交策略的文檔，

另一個文檔顯示亂碼：

這兩個文件除了顯示假文檔還會釋放都“audiodq.exe”，且回連還是相同域名：gongzuosousuo[.]net。

另外，通過該域名還可以關(guān)聯(lián)到另一個msi樣本wupd.msi。

該樣本會釋放運(yùn)行wupdte.exe，wupdte.exe包含pdb信息為：

C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb

wupdte.exe的主要功能為獲取基礎(chǔ)信息和遠(yuǎn)程下載新樣本并執(zhí)行，

該樣本會搜集計算機(jī)名、用戶名、操作系統(tǒng)版本、操作系統(tǒng)序列號等信息，發(fā)送到mil.openendhostservice[.]org遠(yuǎn)程地址，并拷貝自身文件到

C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe

并且還可以下載遠(yuǎn)程數(shù)據(jù)解密出樣本并執(zhí)行。

接下來，分析chm文件下載的ausetup.msi文件，它運(yùn)行后也會釋放叫“audiodq.exe”,其回連地址是：“l(fā)mhostsvc[.]net”，繼續(xù)使用平臺檢索該域名，發(fā)現(xiàn)叫做engineblock-2.jpg.exe程序

其運(yùn)行后會打開圖片和釋放并運(yùn)行audiodq.exe。

audiodq.exe和之前發(fā)現(xiàn)的樣本功能一致，只是域名有所變化，如本次攻擊所使用的其中一個域名為lmhostsvc[.]net

并且通過安恒文件威脅分析平臺分析關(guān)聯(lián)到另一個域名zhulidailiren4winnt[.]net也是主模塊回連域名。

深入追蹤發(fā)現(xiàn)BITTER組織對其組件進(jìn)行了一些更新，其中最主要的變化是加入了兩款.net的遠(yuǎn)控程序。

從樣本時間來看最新更新的組件時間為10月15日。

由于篇幅有限，之前的分析一筆帶過。之前組件的功能匯總?cè)缦卤硭荆?/p>

樣本名稱	Md5	功能
audiodq.exe	6bb5614223a21db411b1cb3ed29465f5	主程序:發(fā)送基礎(chǔ)信息，可接受黑客指令下載各個組件
regdl	be171b4df9b7db48c67f31c678421bfd	組件:設(shè)置主程序audiodq的注冊表自啟動模塊
spoolvs	fc516905e3237f1aa03a38a0dde84b52	組件:遠(yuǎn)控模塊，具備完善的文件竊密功能，使用加密傳輸，密鑰是”m50e!sq&n67$t”，傳輸?shù)刂肥牵簄eth****pport.ddns.net
igfxsrvk	efec7464f07633415cbc36a97b900587	組件:鍵盤記錄模塊
dashost	d884f6d37c0202935db1a54c7f0a79ed	組件:功能同spoolvs，文件hash不同而已。
lsap	44e936f5f02fa3fdf5925ba9fbd486e5	組件:搜集信息（收集的文件列表）和并將文件涉及的文件上傳到：Sysi****vice.ddns.net
upmp	450005b247add0b1aa03cee00c90bc3b	組件:功能同lsap一樣，文件hash不同而已。
misis	11864ec73e6226f52a1e6e4074b33e89	組件:功能和lsap類似，當(dāng)文件上傳時采取的加密傳輸(參數(shù)base64+間隔符切割)，地址也是：Sysi****vice.ddns.net
putty	b3e0ed34b7ee16b12b80a4dc5f8dddae	正常文件.ssh登入工具putty.exe

我們將更新后的組件和之前的組件進(jìn)行了對比分析，

其中sleep、kill、regdl和之前的regdl一致為給audiodq程序設(shè)置自啟動，
lsap*系列和之前的lsap功能大致上是一致的都是搜集信息和文件并上傳，
igfxsrvk和之前的也是一致的主要為鍵盤記錄功能，
winsvc和spoolvs功能一致為遠(yuǎn)控模塊。

這些模塊功能大致相同，樣本中的回連地址會做一些變化。

下面主要分析新加入的.net程序模塊MSAServices、MSAServicet、onedriveManager、sessionmanagers。

MSAServices模塊分析

MSAServices為遠(yuǎn)程控制程序，主要功能為回連遠(yuǎn)程服務(wù)器進(jìn)行命令控制和數(shù)據(jù)傳輸。

樣本先回進(jìn)行一個冒泡排序，將結(jié)果寫入到

C:\Users\Public\array.txt文件中，具體內(nèi)容似乎并無什么意義。

然后進(jìn)行了刪除，猜測這么做的目的是為了判斷系統(tǒng)是否是win7及以上的系統(tǒng)，在WIN XP下無法發(fā)現(xiàn)C:\Users\Public路徑。

接著進(jìn)行網(wǎng)絡(luò)連接操作并設(shè)置心跳狀態(tài)定時回調(diào)函數(shù)。

可以觀察到網(wǎng)絡(luò)連接的C2域名為mswinhostsvc[.]net，端口為 43821，被用于數(shù)據(jù)傳輸加解密的NetworkKey為745930。

其加密算法如下：

然后接受和發(fā)送數(shù)據(jù)信息，發(fā)送的基本信息，包括系統(tǒng)版本、系統(tǒng)用戶、系統(tǒng)目錄、mac地址等等信息

還包括獲取Win序列號信息等

然后該程序會進(jìn)行Processor調(diào)用初始化。

包含了該程序可以執(zhí)行的主要功能。

接收命令并進(jìn)行執(zhí)行并返回執(zhí)行信息，功能如下所示：

包類型	完成功能
Delete File	刪除文件
Get Processes	獲取進(jìn)程信息
Kill Processes	Kill進(jìn)程
Suspend Processes	掛起進(jìn)程
Resume Processes	恢復(fù)進(jìn)程
Get Process DLLs	獲取進(jìn)程中使用的dll信息
Get Process threads	獲取進(jìn)程中的線程信息
Mod Thread	改變線程狀態(tài)
Start Process	開始進(jìn)程
FileMgr get drives	獲取可用邏輯驅(qū)動器
FileMgr get Folders	獲取目錄下的文件信息
FileMgr Create File	創(chuàng)建文件
FileMgr Copy File	拷貝文件
FileTransfer Begin	傳輸文件
FileTransfer Data	傳輸數(shù)據(jù)
FileTransfer Complete	數(shù)據(jù)傳輸完成
FileTransfer for downloading start	傳輸文件
Get Command	獲取指令
Start Command Prompt	開始命令并監(jiān)控
Stop Command Prompt	結(jié)束命令
Connection Status	連接狀態(tài)

MSAServicet和MSAServices功能一致。

Sessionmanagers模塊分析

Sessionmanagers也為遠(yuǎn)程控制程序，主要功能為回連遠(yuǎn)程服務(wù)器進(jìn)行命令控制和數(shù)據(jù)傳輸。

通過安恒文件威脅分析平臺分析發(fā)現(xiàn)該樣本的編譯時間故意被篡改。

該程序會連接遠(yuǎn)程服務(wù)器進(jìn)行命令和控制。

解密出遠(yuǎn)程服務(wù)器地址為winqrcservice[.]net，端口為28564。

接著程序進(jìn)行等待命令并處理命令階段。

命令包括獲取信息包括基本的信息和殺毒軟件信息等，

主要命令如下列表：

命令	功能
tskmgr	啟動任務(wù)管理器
getinfo-	獲取各類信息
prockill	Kill進(jìn)程
proclist	列舉進(jìn)程
startcmd	開啟cmd
stopcmd	停止cmd
cmd§	執(zhí)行各類cmd指令
fdrive	獲取邏輯驅(qū)動器信息
fdir§	獲取目錄下的文件信息
f1§	f1 +?drive name
fpaste§	移動或拷貝文件或文件夾
fexec§	執(zhí)行程序
fhide§	設(shè)置文件屬性為隱藏
fshow§	設(shè)置文件屬性為可見
fdel§	刪除文件
frename§	重命名文件或文件夾名
ffile§	新建文件
fndir§	新建文件夾
getfile§	備份文件
putfile§	寫入文件
fup	上傳文件
fdl§	下載文件
fconfirm	命令確認(rèn)
dc	循環(huán)接收指令

onedriveManager和sessionmanagers功能一致。

總結(jié)

通過該次分析，可以看出該組織疑似有新的C#開發(fā)成員加入或轉(zhuǎn)向了C#研發(fā)，新的組件代碼仍在持續(xù)開發(fā)階段，部分功能并沒有調(diào)用或只是測試使用，通過回連域名發(fā)現(xiàn)攻擊者了解中文，回連域名中包含中文拼音(如zhulidailiren4winnt、tongbanzhichi、gongzuosousuo)。

另外，其核心木馬下載功能也做了更新，安恒安全研究院獵影威脅情報分析團(tuán)隊(duì)將持續(xù)監(jiān)控該組織動態(tài)。由于篇幅關(guān)系內(nèi)容有所精簡，需詳細(xì)報告請聯(lián)系郵箱ti@dbappsecurity.com.cn

IOC

域名：

hxxp://lmhostsvc[.]net

hxxp://zhulidailiren4winnt[.]net

hxxp://mswinhostsvc[.]net

hxxp://winqrcservice[.]net

hxxp://winlocsec.ddns[.]net

hxxp://tongbanzhichi[.]net

hxxp://mscnsservice.ddns[.]net

hxxp://gongzuosousuo[.]net

hxxp://mil.openendhostservice[.]org

文件MD5：

c87641a13843682ae16a5da18ffee654

46ef2c0db107b794516dc2b2622e44ad

4b0e5c5c4e0e22f2dfeef0531e021072

b5c66d01d0e96b04702030ed23add415

c831af87ab876bd774784eb8f3338b4b

ae02f2f8100de5f9f155f4b8ce3e494e

8831eac19d1a1c30697057fa501d063f

d8c76c736a3285378bc82ea9cd3c972d

4bfff2480fb6eaa0ef82abb0092c2586

a24d5a8f6a916fe976face1f145cf297

79a1e1d2ea5c629f60ef00a96ec4d0fe

be171b4df9b7db48c67f31c678421bfd

e421808b24c1ebd4cf0a078c6e66ded8

fc572eec5ae8b38428259c5d8fc5a05f

關(guān)閉

AI智能體專區(qū)

AI智能體專區(qū)

告警研判和降噪智能體

安全運(yùn)營咨詢服務(wù)智能體

惡意郵件研判智能體

數(shù)據(jù)分類分級智能體

API安全智能體

自動化滲透測試智能體

終端數(shù)據(jù)防泄漏智能體

惡意軟件檢測智能體

數(shù)據(jù)安全咨詢服務(wù)智能體

核心安全產(chǎn)品

場景解決方案

Saas產(chǎn)品訂閱專區(qū)

熱門產(chǎn)品推薦

安恒數(shù)盾數(shù)據(jù)安全管控平臺最熱

數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)推薦

明御防火墻最熱

AI時代網(wǎng)絡(luò)安全產(chǎn)業(yè)人才發(fā)展報告

AI安服數(shù)字員工

AI安服數(shù)字員工

AI滲透測試

AI應(yīng)急響應(yīng)

AI安全咨詢

AI代碼審計

AI數(shù)字安全教師

AI+安全服務(wù)

AI+ 安全服務(wù)

一切產(chǎn)品皆資源，一切資源皆服務(wù)

行業(yè)解決方案>

技術(shù)解決方案>

安全意識教育解決方案>

蔓靈花APT組織最新的C#木馬組件揭秘

相關(guān)推薦

告警研判和
降噪智能體

安全運(yùn)營咨詢
服務(wù)智能體

惡意郵件研判
智能體

數(shù)據(jù)分類
分級智能體

API安全
智能體

自動化滲透
測試智能體

終端數(shù)據(jù)防
泄漏智能體

惡意軟件檢
測智能體

數(shù)據(jù)安全咨詢
服務(wù)智能體

AI數(shù)字
安全教師

一切產(chǎn)品皆資源，一切資源皆服務(wù)