close
APT-C-08
蔓靈花

蔓靈花(APT-C-08)是一個擁有南亞地區政府背景的APT組織,近幾年來持續對南亞周邊國家進行APT攻擊,攻擊目標涉及政府、軍工、高校和駐外機構等企事業單位組織,是目前較活躍的針對我國境內目標進行攻擊的境外APT組織之一。

近年長期通過攻擊組件下發的方式來完成對目標設備的控制行為,大致的攻擊流程如下,以惡意文檔文件(如公式編輯器漏洞文檔、chm文檔、宏文件等)作為攻擊入口,引誘用戶打開執行,從而創建計劃任務周期性調用如msiexec.exe\curl.exe等軟件下載後續攻擊組件。
通過長期對蔓靈花APT組織的基礎設施行為進行監控,我們本次捕獲了該組織最新的遠程控制組件。


詳細分析報告

近兩年蔓靈花的攻擊流程上並未有較大的變化,依舊以投遞惡意文檔文件(如公式編輯器漏洞文檔、chm文檔、宏文件等)作為主要的攻擊入口,而此類型的樣本也被多次分析,此處就不再多做贅述。

通過對蔓靈花的基礎設施進行分析,我們捕獲到多個由蔓靈花APT組織服務器下發的多個msi文件。在這些msi文件中,存在部分msi中包含vbs文件。vbs文件的功能多為重命名並執行一同被釋放的組件程序。值得注意的,蔓靈花在vbs文件中會通過「Explorer.exe」代理運行程序,並且在捕獲的多個vbs文件的下方均存在字符串「asdasdasdad」。

vbs文件截圖1
vbs文件截圖2
vbs文件截圖3

在這些msi文件包含的組件程序中,以」.Net」的遠控程序占比最高,此外還有蔓靈花APT組織開發的全新遠控程序,根據其釋放的路徑名「wmservice.exe」我們將其命名為「wmRAT」。

wmRAT

在wmRAT啟動後,會通過多次調用Sleep函數使程序進入休眠,以試圖規避沙箱檢測。

休眠代碼

程序中對使用到的字符串數據進行了混淆,解混淆代碼如下:

調用 WSAStartup() 函數進行初始化,若初始化失敗,則重啟自身程序。

在成功連接之後,會將設備信息上傳到服務器。隨後創建兩個線程用於與服務器交互。

線程1每隔120秒會發送字符『X』到服務器。我們推測該線程應當是被用於通訊中的心跳檢測。

線程2從服務器接收指令,根據指令執行對應的功能。
指令會分為兩部分進行接收,第一部分會從服務器接收4字節的數據,如下表的指令1部分,根據指令1獲取後續的指令2,並執行對應的功能。
指令對應功能如下表:

指令1

指令2

功能

0

F@ngS

打開一個文件流

lstcts

上傳設備信息

DXXXDXXX

發送本地磁盤信息到服務器

DEXDXXL

刪除指定路徑文件

Search

搜索文件,將文件信息發送至服務器

remoteControl

無功能

restart

重新啟動自身進程

2、3、4、7、9、10、13、14

無功能

1

向服務器提供遠程shell

5

關閉指令「F@ngS」中打開的文件流

6

接收文件數據,寫入指令「「F@ngS」打開的文件路徑中。

8

打開文件,並向服務器上傳數據,單次上傳字節0x2000

11

上傳文件數據(單次上傳0x2000字節及以下)

12

搜索指定路徑的文件/文件夾,將文件信息發送至服務器

15

搜索指定路徑的文件/文件夾,將文件名發送到服務器

總結

對於蔓靈花的全新遠控程序"wmRAT",由於目前在通訊中存在較多無功能的指令,我們認為該遠控程序還處於研發階段。當前已有的功能以文件搜索和上傳下載等功能為主,這一點與蔓靈花竊取數據信息的任務目的相契合。同時在捕獲到的樣本中,我們發現蔓靈花在下發的部分樣本中存在重複使用的行為,其重複使用的時間跨度可長達一到兩個月,甚至是更長。據此我們推測在蔓靈花的目標範圍中還存在相當一部分設備不具備防禦這些遠控程序的安全防護功能,或是安全意識較為薄弱的人群。
APT攻擊(Advanced Persistent Threat)又名高級可持續威脅攻擊,是一種持續地針對定向目標的攻擊活動。與APT攻擊的對抗是一個長期的過程,因此也更加注重於個人的安全意識和日常安全防護措施。360高級威脅研究院建議在日常工作中,在對未知發件郵箱、超鏈接、郵件附件、設備自啟動項以及設備中頻繁出現的一些異常行為保持警惕,開啟設備安全防護功能,並且周期性對設備進行安全掃描。

附錄 IOC

MD5:

17d71606e6706c2b1e7130b64abedb89

42a41d16ff581152bd8d8a31e22f0ba9

cded64837038eb2fd13ca0e385fa082f

fd37560c80f934919f8f4592708045f3

1b73b3249ea689c17f9f798c48a9ce0c

d18002da03d005fbb51170a540945077

88bc0e6bf5526ad83470f637f5a166da

a1777bafc411797c86394a9f05cfd077

36a6a6c2bb1feb1a0f632b4e48dda0e3

42a41d16ff581152bd8d8a31e22f0ba9

06e9a301a7f5457a5794c425ff5cab61

71e1cfb5e5a515cea2c3537b78325abf

89df83297ed7eb8caca9a6ffd8b47dcd

1a220a49ef5add9bf65d8b1aee44b792


C&C:

comnmsgwrapsvc.net

correntrollpanel.net

wizbizkidshow.biz

nymedsvcsystems.com

nesiallservice.net

kryoblockbind.net

lltdifslogsvc.net

Plprasvchost.net:59600

185.117.73.195:59600




360高級威脅研究院

360高級威脅研究院是360政企安全集團的核心能力支持部門,由360資深安全專家組成,專注於高級威脅的發現、防禦、處置和研究,曾在全球範圍內率先捕獲雙殺、雙星、噩夢公式等多起業界知名的0day在野攻擊,獨家披露多個國家級APT組織的高級行動,贏得業內外的廣泛認可,為360保障國家網絡安全提供有力支撐
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 鑽石舞台 的頭像
    鑽石舞台

    鑽石舞台

    鑽石舞台 發表在 痞客邦 留言(0) 人氣()