綜述:
2016年8月8日���,卡巴斯基和賽門鐵克相繼披露出一個長期對中國�、俄羅斯等國進行APT攻擊的組織——ProjectSauron(也被稱作索倫之眼)��。ProjectSauron至少在2011年10月起就一直保持活躍����。此前,該團伙一直行事低調(diào)����,其目標主要為國家情報部門所關注的政府機構、民生企業(yè)和個人���。
該組織攻擊目標時使用了一種名為“Remsec”的高端惡意軟件�����。
Remsec工具是一款技術含量特別高的遠程控制軟件����,主要用來暗中監(jiān)視和控制目標。這種軟件能夠在受感染計算機上打開后門�����,記錄用戶點擊的按鍵����,并盜取相關文件。
我公司墨俠團隊基于鉆石分析模型���,對該攻擊事件進行相關的事件還原和攻擊者分析�。
受害者分析:
目前興華永恒團隊諦聽APT防御系統(tǒng)監(jiān)測到該組織對全球多個國家的多個行業(yè)發(fā)起攻擊��。
已知攻擊包括20多個針對俄羅斯的攻擊��,40余起針對中國的攻擊�����,針對比利時大使館的攻擊和瑞典某公司的攻擊����。同時包括伊朗、盧旺達以及幾個意大利語系國家����。
技術能力分析:
一.Remsec遠程控制技術分析
這里針對某一個遠程控制樣本進行分析。
樣本名:Backdoor.Remsec.server.exe
MD5 :234e22d3b7bba6c0891de0a19b79d7ea
Hash :9214239dea04dec5f33fd62602afde720b71d2d2
文件大?。?/span> 135168 字節(jié)
樣本通過 MSAOSSPC.DLL裝載硬盤文件,并執(zhí)行�。硬盤上的文件是一種特殊格式BLOB,并通過“0xBAADF00D”進行加解密�。
加載路徑c:\System Volume Information\_restore{ED650925-A32C-4E9C-8A738E6F0509309A}\RP0\A0000002.dll
獲取啟動參數(shù),這個啟動參數(shù)在該樣本中并沒有起到太大作用���,需要其他輔助增加參數(shù)完成具體攻擊行為�����。
參數(shù)識別���,并將獲取的參數(shù)存入重新分配的內(nèi)存中
判斷是不是pe結構,并開始查找pe的區(qū)塊����,找到bin區(qū)塊之后返回bin區(qū)塊的首地址
動態(tài)加載該程序��,初始階段有明顯的脫殼函數(shù)調(diào)用���。
這里動態(tài)解析pe,并修正導入表
調(diào)用rsaenh.dll交互的進行加密�����,rsaenh.dll是微軟Microsoft增強加密服務相關文件�����,用于128位加密
分配一段bin區(qū)塊大小的內(nèi)存存放加密過的shellcode
加載kernel32���,主要是為了獲取kernel32模塊的首地址
Shellcode中循環(huán)解密字符串�����,獲取api地址�����。
獲取api函數(shù)地址后保存
循環(huán)解密兩次之后有一個crc檢測���,當檢測到被調(diào)試或者下斷點便直接退出返回����。
在解密之后啟用遠程鏈接的命名管道同時創(chuàng)建線程來配合管道命名��,該命名管道可以實現(xiàn)對任意文件的讀寫刪除�,接受遠程命令等操作�����。
同時還有遠程加載pe文件行為��,實現(xiàn)無實體惡意代碼的運行��。
綜合各種分析發(fā)現(xiàn)���,remsec遠程控制軟件具備多種高級特性:
l Remsec的強大功能
Remsec適用于所有的x64和x86 Microsoft Windows操作系統(tǒng)���。由于Remsec采用獨特的插件系統(tǒng),插件用Lua語言編寫��,這種lua插件可自定義配置���,從特定機器中獲取特定數(shù)據(jù)文件��,能便捷的進行網(wǎng)絡操作����,完成各種網(wǎng)絡任務。同時該平臺具備數(shù)十種插件��,能支持從類似ls命令到keylog�����,hashdump的全系列工具插件�����。
l Remsec的偽裝術
“Remsec”遠程控制軟件自身只是一個平臺�����,不具備特殊功能����,所有的功能都通過內(nèi)存加載,減少了使用了自身的行為特征����。它還使用一種Lua模塊技術�,多種操作通過Lua語言是實現(xiàn)����。另外,我們還發(fā)現(xiàn)�,Remsec 惡意文件根據(jù)每臺機器安裝的軟件不同,偽裝成不同軟件的不同組成部分�����,如下圖所示:
remsec偽裝進程列表
Remsec 偽裝的文件多種多樣�����,包括像卡巴斯基�����、賽門鐵克這種殺毒軟件����,同時也有諸如微軟補丁文件����、VmWareTools更新文件���。有趣的是,Remsec偽裝的kavupdate.exe文件即是卡巴斯基殺毒軟件的進程文件�����,同時也是國產(chǎn)迅雷安全組件的必要文件�����。
偽裝迅雷/卡巴斯基升級文件
l 特殊的上線技術
Remsec遠程控制軟件使用特殊的技術上線��,在這里發(fā)現(xiàn)的有DNS方式上線和mail方式實現(xiàn)數(shù)據(jù)傳輸�。這兩種傳輸技術在遠程控制軟件中都不多見。
一個叫“DEXT”的插件顯示了DNS隧道數(shù)據(jù)傳輸����。
Remsc使用特殊的郵件方式進行數(shù)據(jù)傳輸
l 虛擬文件技術
Remsec木馬VFS具有兩個主要功能,一個是負責竊取數(shù)據(jù)保存在本地C:\System Volume Information\_restore{ED650925-A32C-4E9C-8A73-8E6
F0509309A}目錄下���,以bka*�、da����、~*.tmp等方式存儲�。
另一功能是連接外部通信����,將竊取的數(shù)據(jù)通過自己本地服務器發(fā)送出去,不過木馬在完成以上兩個功能后�,由于木馬本身的設計缺陷,木馬并沒有將緩存文件刪除干凈��。
綜上可以看到����,該遠程控制軟件具備很多特殊的高級特征和特殊功能,絕不是普通的黑客個人或小團體所能有能力開發(fā)使用的�。
二.內(nèi)網(wǎng)拓展能力分析
該組織使用了多種特殊的攻擊方式進行內(nèi)網(wǎng)拓展����。從木馬偽裝位置和功能上就可以看出,在內(nèi)網(wǎng)拓展中秘密收集各種用戶密碼和機密文件����。
該APT攻擊團隊,會通過網(wǎng)絡滲透控制目標內(nèi)網(wǎng)系統(tǒng)中的域服務器�����,以域服務器為重要攻擊目標。獲取相應權限之后�����,再通過被控制的服務器進行橫向移動��,攻擊內(nèi)網(wǎng)系統(tǒng)中的其他設備和終端���。獲取到想要的目標數(shù)據(jù)�。
三.0day使用能力
在所有的攻擊中�,各大廠商都未報道發(fā)現(xiàn)相關了0day攻擊漏洞,都只發(fā)現(xiàn)了被方式remsec控制型后門的攻擊結果�����,未能發(fā)現(xiàn)攻擊過程���。由此推測����,該組織一定具備較多的0day資源����,使用較多的0day工具�����、較好的攻擊技能和特殊的隱藏技術才能實現(xiàn)這種效果�����。
四.非聯(lián)網(wǎng)數(shù)據(jù)獲取能力
遠程控制軟件可以使木馬跳出隔離的網(wǎng)絡實現(xiàn)繼續(xù)控制�����。其原理在于USB磁盤分區(qū)有一塊預留空間�����,木馬利用這塊USB磁盤空間��,感染USB驅(qū)動�����,秘密寫入執(zhí)行指令,一旦目標網(wǎng)絡系統(tǒng)不能使用,攻擊者等待USB驅(qū)動器繼續(xù)控制被感染的機器�。
