蔓灵花APT组织最新的C#木马组件揭秘
作者:星期六, 十月 26, 20190

安恒安全研究院猎影威胁情报分析团队于今年4月份监控并发现“蔓灵花”(BITTER)组织针对我国多个敏感部门进行攻击,安全研究团队对该次事件进行深入了分析。通过持续监控,近期又发现其开始了新的攻击,并加入了新的组件。

APT组织介绍

“蔓灵花”又名“BITTER”,一个长期针对中国及巴基斯坦的政府、军工、电力、核等部门发动网络攻击,窃取敏感资料,具有较强的政治背景。该组织最早在2016由美国安全公司Forcepoint进行了披露,他们发现攻击者使用的远程访问工具(RAT)变体使用的网络通信头包含 “BITTER”,所以该这次攻击命名为“BITTER”,同年国内安全厂商也跟进发布了分析报告,命名为“蔓灵花”。

攻击样本分析

本次攻击(2019年9月份发现)使用了多个攻击样本,如捕获到一个命名为“mypictures.chm”的样本,该样本格式是chm,文件被打开后展示一些图片:

通过查看代码发现它会在后台通过msiexec命令去远程服务器下载msi文件

观察进程树也能发现该行为:

通过安恒文件威胁分析平台检索域名gongzuosousuo[.]net,又发现多个样本,其中2个样本引起我们注意:

这两个文件都是捆绑的主样本,它们伪装成office图标的exe文件

其中“中国新的对外安全政策.docx”打开后,是关于我国外交策略的文档,

另一个文档显示乱码:

这两个文件除了显示假文档还会释放都“audiodq.exe”,且回连还是相同域名:gongzuosousuo[.]net。

另外,通过该域名还可以关联到另一个msi样本wupd.msi。

该样本会释放运行wupdte.exe,wupdte.exe包含pdb信息为:

  • C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb

wupdte.exe的主要功能为获取基础信息和远程下载新样本并执行,

该样本会搜集计算机名、用户名、操作系统版本、操作系统序列号等信息,发送到mil.openendhostservice[.]org远程地址,并拷贝自身文件到

C:\Users\用户名\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe

并且还可以下载远程数据解密出样本并执行。

接下来,分析chm文件下载的ausetup.msi文件,它运行后也会释放叫“audiodq.exe”,其回连地址是:“lmhostsvc[.]net”,继续使用平台检索该域名,发现叫做engineblock-2.jpg.exe程序

其运行后会打开图片和释放并运行audiodq.exe。

audiodq.exe和之前发现的样本功能一致,只是域名有所变化,如本次攻击所使用的其中一个域名为lmhostsvc[.]net

并且通过安恒文件威胁分析平台分析关联到另一个域名zhulidailiren4winnt[.]net也是主模块回连域名。

深入追踪发现BITTER组织对其组件进行了一些更新,其中最主要的变化是加入了两款.net的远控程序。

从样本时间来看最新更新的组件时间为10月15日。

由于篇幅有限,之前的分析一笔带过。之前组件的功能汇总如下表所示:

我们将更新后的组件和之前的组件进行了对比分析,

  • 其中sleep、kill、regdl和之前的regdl一致为给audiodq程序设置自启动,
  • lsap*系列和之前的lsap功能大致上是一致的都是搜集信息和文件并上传,
  • igfxsrvk和之前的也是一致的主要为键盘记录功能,
  • winsvc和spoolvs功能一致为远控模块。这些模块功能大致相同,样本中的回连地址会做一些变化。

下面主要分析新加入的.net程序模块MSAServices、MSAServicet、onedriveManager、sessionmanagers。MSAServices模块分析

MSAServices为远程控制程序,主要功能为回连远程服务器进行命令控制和数据传输。

样本先回进行一个冒泡排序,将结果写入到

C:\Users\Public\array.txt文件中,具体内容似乎并无什么意义。

然后进行了删除,猜测这么做的目的是为了判断系统是否是win7及以上的系统,在WIN XP下无法发现C:\Users\Public路径。

接着进行网络连接操作并设置心跳状态定时回调函数。

可以观察到网络连接的C2域名为mswinhostsvc[.]net,端口为 43821,被用于数据传输加解密的NetworkKey为745930。

其加密算法如下:

然后接受和发送数据信息,发送的基本信息,包括系统版本、系统用户、系统目录、mac地址等等信息

还包括获取Win序列号信息等

然后该程序会进行Processor调用初始化。

包含了该程序可以执行的主要功能。

接收命令并进行执行并返回执行信息,功能如下所示:

MSAServicet和MSAServices功能一致。

Sessionmanagers模块分析

Sessionmanagers也为远程控制程序,主要功能为回连远程服务器进行命令控制和数据传输。

通过安恒文件威胁分析平台分析发现该样本的编译时间故意被篡改。

该程序会连接远程服务器进行命令和控制。

解密出远程服务器地址为winqrcservice[.]net,端口为28564。

接着程序进行等待命令并处理命令阶段。

命令包括获取信息包括基本的信息和杀毒软件信息等,

主要命令如下列表:

onedriveManager和sessionmanagers功能一致。

总结

通过该次分析,可以看出该组织疑似有新的C#开发成员加入或转向了C#研发,新的组件代码仍在持续开发阶段,部分功能并没有调用或只是测试使用,通过回连域名发现攻击者了解中文,回连域名中包含中文拼音(如zhulidailiren4winnt、tongbanzhichi、gongzuosousuo)。

另外,其核心木马下载功能也做了更新,安恒安全研究院猎影威胁情报分析团队将持续监控该组织动态。由于篇幅关系内容有所精简,需详细报告请联系邮箱ti@dbappsecurity.com.cn

IOC

域名:

hxxp://lmhostsvc[.]net

hxxp://zhulidailiren4winnt[.]net

hxxp://mswinhostsvc[.]net

hxxp://winqrcservice[.]net

hxxp://winlocsec.ddns[.]net

hxxp://tongbanzhichi[.]net

hxxp://mscnsservice.ddns[.]net

hxxp://gongzuosousuo[.]net

hxxp://mil.openendhostservice[.]org

文件MD5:

c87641a13843682ae16a5da18ffee654

46ef2c0db107b794516dc2b2622e44ad

4b0e5c5c4e0e22f2dfeef0531e021072

b5c66d01d0e96b04702030ed23add415

b5c66d01d0e96b04702030ed23add415

c831af87ab876bd774784eb8f3338b4b

ae02f2f8100de5f9f155f4b8ce3e494e

8831eac19d1a1c30697057fa501d063f

d8c76c736a3285378bc82ea9cd3c972d

4bfff2480fb6eaa0ef82abb0092c2586

a24d5a8f6a916fe976face1f145cf297

79a1e1d2ea5c629f60ef00a96ec4d0fe

be171b4df9b7db48c67f31c678421bfd

e421808b24c1ebd4cf0a078c6e66ded8

fc572eec5ae8b38428259c5d8fc5a05f

 

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章