對malwarebytes披露越南被攻擊事件的延展分析
事件背景:
Malwarebytes公司于8月28日發(fā)表安全簡報稱�����,2016年8月初越南多家航空公司遭到黑客攻擊��,并且攔截到了針對越南航空公司的間諜軟件工具集的一部分樣本����,該工具是PlugX惡意軟件家族的一個變種Korplug RAT (aka PlugX)。據(jù)我團隊分析����,本次披露的事件可能與7月末發(fā)生的越南多家機場網(wǎng)絡被攻擊事件相關聯(lián)。具體分析過程如下��。
受害者信息:
報告中稱����,此次被攻擊的目標為越南航空公司,并且造成40萬游客信息泄露���,但在后續(xù)的關聯(lián)分析中發(fā)現(xiàn)造成的損失遠不止這些���。
攻擊手法介紹:
此次攻擊使用了PlugX遠控家族的一個變種�����。工具集大體分為四個部分并且全部偽裝成為殺毒軟件McAfee的組件。涉及到的樣本信息如下:
884d46c01c762ad6ddd2759fd921bf71 – McAfee.exe (harmless: reference)
c52464e9df8b3d08fc612a0f11fe53b2 – McUtil.dll(shellcode loader)
28f151ae7f673c0cf369150e0d44e415 – McUtil.dll.mc–shellcode
21a2f0abe47977d5c8663bd7a7c7d28 – unpacked payload (DLL)
執(zhí)行流程如下:
McAfee.exe -> McUtil.dll -> McUtil.dll.mc -> payload (DLL)
工具集總覽:
總體分為四個模塊�,并且整體上嘗試偽裝成為MacAfee殺毒軟件
其中MacAfee.exe是正常的軟件但是它捆綁的dll文件是未署名不安全的,這也正是攻擊者用來實施攻擊的一個突破點���。但是攻擊中使用的程序是MacAfee非常老的一個版本(2008年發(fā)行)�����,現(xiàn)在使用的MacAfee版本則不再支持此類利用方式����。
行為分析:
在部署安裝了之后�����,程序保持靜默執(zhí)行���。我們可以看到主要的執(zhí)行主體svchost.exe�����,稍后會自行結束自身進程�,這就意味著惡意代碼已經(jīng)注入到了svchost.exe中,并且繼續(xù)執(zhí)行�����,通過查看當前目錄可以發(fā)現(xiàn)它已經(jīng)繼承了惡意軟件的默認目錄����。
病毒開始從LAN口掃描局域網(wǎng)內(nèi)的所有主機。
并且嘗試鏈接C2服務器air.dscvn.org��。但是在檢測時間此域名已經(jīng)失效����。
此惡意軟件在達成目的之前有幾層殼要查,執(zhí)行文件和dll文件都是安全合法的�����,所有的惡意軟件都會存在殼����,就是一段模糊的shellcode�,在這些shellcode中隱藏了另一個dll文件�����,就是真正的惡意代碼��。
溯源分析:
在樣本中發(fā)現(xiàn)C2服務器的解析域名為air.dscvn.org���,經(jīng)多處查詢未發(fā)現(xiàn)與此有關的信息。
在2013年trendmicro公司報道過一起跟本次攻擊使用工具極其相似的攻擊事件����,樣本同樣是利用偽裝成為MacAfee的plugx遠控家族。部分原文如下:
BKDR_PLUGX.AQT
· uses Mc.exe which is a legitimate McAfee file
· loads McUtil.dll, which then loads McUtil.dll.url
· both files are also detected as BKDR_PLUGX.AQT
· connects to the fake anti-malware site vip.{BLOCKED}ate.com
可以看到執(zhí)行程序和調(diào)用的dll文件以及執(zhí)行流程��,跟本次事件使用的樣本基本一致�����,不排除是同一變體的可能�,并且此樣本早在2013年就已經(jīng)投入使用,上線域名vip.ate.com信息如下:
但是由于時效性�����,暫不能把兩起事件歸類為同一組織或個人所為。
從網(wǎng)絡資源方面的分析暫時無法取得較大突破����,那么反過來看事件本身,此次的攻擊目標為越南航空公司��,恰好在今年8月初越南航空公司遭到黑客攻擊�,此次攻擊造成超過20家航空公司系統(tǒng)故障,以及大量客戶數(shù)據(jù)流出���,如此大規(guī)模的行動能由個人完成的可能較小��。將此兩起報道事件比較來看就會發(fā)現(xiàn)很多共同點���。
1.都造成40W客戶數(shù)據(jù)流出
2.相近的時間線
3.相同的攻擊目標
4.相同的泄露數(shù)據(jù)流量
攻擊是在7月29日,malwarebytes發(fā)布報告的時間是8月25日�����。從時間線上來看�����,從暴露攻擊到發(fā)出報告所經(jīng)歷的時間也符合披露一次活動的調(diào)查分析周期。至此我們有理由將此事件和越南機場遭受的攻擊合并為一起事件�。
在Malwarebytes報告中所提及的攻擊就是本次發(fā)生在越南機場的攻擊事件。在越南攻擊事件中有打著國內(nèi)某組織的旗號聲稱對其負責���,而且真正的該組織發(fā)表聲明對此說法并不認同���。直到7月31日該組織領頭人在微博上更新了一條很有深意的微博。
從中可以看出該團隊的官網(wǎng)貌似遭到了報復性的DDOS攻擊�����。攻擊來源多來自東南亞����。而博主的語氣仿佛也也料到了會有這樣的情況發(fā)生���。
至此�����,可以認定Malwarebytes報告中披露的行動�����,就是國內(nèi)媒體之前公布的越南機場事件�,目前還沒有有關攻擊者的有力證據(jù)。但此次攻擊只是為了民族情結還是某次APT攻擊行動在收尾時恰好遇到“南海仲裁”事件而“發(fā)揮余熱”���,亦或是其它什么情況����。還有待分析��。
另附2014年黑帽大會專對plugX工具集的詳細分析�。
https://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdf
