前言
在疑似APT攻击事件的跟踪过程中,遇到过很多难题。多数情况是,这次,它不是你的显在对手,我们不会获得足够多的线索,却偏偏想要满足好奇的欲望,经典的人生三问,用来描述你的对方再恰当不过。我在《阿善师的告白》中听到一句话:凡走过必留下痕迹。这里,我将整理一起疑似APT攻击的事件的探讨,期待真相一步步浮出水面。
北京时间2018年12月12日,我们看到野外出现一份名为的样本使用了最新披露的Adobe Flash Player漏洞:CVE-2018-15982,该漏洞影响Flash Player 32.0.0.101之前的多个版本。由于披露时间不到一周,所有一手样本都值得引起警觉。
该样本文档显示的内容是一份海事卫星设备(Inmarsat IsatPhone)清单。样本触发漏洞后,连接远程服务器获取下发指令。
静态分析
样本内容列举了多个模块、价格和数量信息。海事卫星电话常用于船舶与船舶之间、船舶与陆地之间的通信,包括语言通话、数据传输和文件传真。
样本内嵌Flash文件,Flash文件中以明文的形式嵌入恶意指令。
后门程序将自己设置持久化之后立即连接C2接收下一阶段指令执行。
整理样本中存在的潜在信息:
代码语言:javascript复制Path: C:UsersUserAppDataLocalTempExcel8.0ShockwaveFlashObjects.exdPath: C:Program FilesMicrosoft OfficeOffice16EXCEL.EXEPath: c:CVE-2018-15982_PoC.swfURL: http://190.2.145.149/putty2.exePE-Compiler-Stamp:Tue Dec 11 13:06:20 2018 (UTC 8)XLS-Saved: 12/10/2018 5:13 PM (UTC 8)
溯源追踪
1. 根据C2追溯
根据C2服务器IP地址190.2.145.149,小编并未关联到其它恶意样本。在获取到样本的第一时间,该IP地址上还存在另一个可执行文件:putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9),归属远程登录工具。
根据whois信息显示,IP地址归属一家荷兰的ISP服务提供商。
该ISP服务提供商WorldStream公司主页显示其提供可靠的托管服务。
从IP的历史记录中,小编找到一条非常重要的线索。teamkelvinsecteam于2018年11月25日在RaidForums论坛于 「Leaks」、「Databases」板块公布了该IP存在允许列目录。该用户截图上传了详细的文件列表并备注文件包含:可疑的恶意软件、Email备份和pst文件等等。
IP在7月份搭建了Web集成环境,从9月开始存在压缩文件陆续上传,直至11月22日,文件汇总约逾百G。许多文件直指阿联酋国家石油公司(ENOC)的职员邮件备份。
在这份漏洞文档公开之后,RaidForums论坛的teamkelvinsecteam很快删除了< [Emails] Emirates National Oil Company>这篇帖子。在删除前,小编翻阅了所有评论,大致的留言有:需要联系方式、索取解压密码、期望获得邮件备份以及允许列目录已失效等等。
从缓存中小编截取了两份评论,包含teamkelvinsecteam留下自己的联系邮箱:vipsuscriptionkelvinsecurityv1@protonmail.com。
2. 根据代码特征追溯
从获得样本伊始,小编很快提取样本关键特征和历史样本进行比对。很遗憾的是,小编对历史样本进行比对,对新增样本进行监控,以及多次使用Intezer进行分析,均未能匹配到关联样本。ps.图中最下方,使用Intezer获得与唯一的关联样本,经过小编确认,是某位安全研究人员上传的的内存dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。
小编对文档提取特征比对历史样本,匹配到十多个疑似样本,分析之后,没有得到有效证据和此次事件所属组织产生强关联。
他们是谁
由于小编在访问IP的时候,只能查看到XAMPP的初始配置页面。首先需要怀疑文件列表的真实性。此处小编并不打算对「Leaks」和「Databases」主题做过多探讨,但是从teamkelvinsecteam的行为记录来看,这些邮件备份文件是存在的。
1. 受害者信息
从公开信息确认其中一名疑似受害者Fardin Malahi的职务为阿联酋国家石油公司人力资源部主管。
2. 攻击者身份
老实说,到目前为止关于攻击者身份或者隶属组织小编并没有指向性的结论。我们看看安全社区的讨论:威胁情报分析师Drunk Binary认为是APT34(也称:OilRig)组织的钓鱼文档。但是根据之后的讨论,FireEye的研究人员Andrew认为暂不能定性。
根据德国Nextron Systems公司的APT检测产品THOR检测显示后门程序归属APT34、APT33组织。从它的规则编写时间来看,除非有内部未公开披露的详实证据命中目标,否者小编认为可以参考,暂不可信。
安全报告呢?在近期ClearSky公司发布的一份安全报告中,约存在2-3页对该事件的详尽描述。在报告中ClearSky认为存在迹象表明,Oilrig组织最有可能在9月或10月渗透进入ENOC网络并部署了横向移动工具。
在其公开报告中,整个关于这一事件的描述都被涂抹覆盖。
回到样本本身,关于该组织为什么要在深度渗透ENOC网络之后,还要重启如此重要的网络基础设施,利用最新的Flash漏洞疑似发起鱼叉攻击。是他们最想要的没有得手还是更换攻击目标?当然可以猜想的故事有很多。但是确定的是,本次利用钓鱼文档发起的攻击时段很短,无论PE编译时间还是文档最后保存时间是否可信,它们都是在最近几天得以准备,迅速发起攻击,然后迅速失效。
尾声
还有更多资料吗?在小编思考等待这些日子中似乎就这么多了。有的资料由于最开始没有备份下来以至在此漏掉许多。至于新的样本,近日野外出现一份和具有相同内容相同特征,但是仅仅利用漏洞弹出计算器的样本(MD5:954CA41B7367191180A44C7221BB462A),小编对样本分析之后决定不作过多参考,因为只需对 修改几个明文字符便能完成。
其实无论弹计算器的是谁,我们总会知道,在一个半月之后,原始样本并没有被忘记。根据对话和安全报告,大厂早已关注这次事件。
从内容显示的相关行业和泄漏文件直指目标,或多或少我们可以总结出攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼,具备反追查意识,使用新款木马后门,具有一定技术实力背景和多人员分工协作构成犯罪组织特征。
从公开历史网络攻击拓扑图看,中东地区事务牵涉众多。唯愿早日结束纷争。
IOCs
MD5
A51A86A773B7134C2D43BAFC2931E6A4 94715ED2A09A88BE026E8B2BA7C0F9B0 24F7E3422B1DB69289D47F1025DB1598 954CA41B7367191180A44C7221BB462A 28145CE332718337AF59ACA2469784A9 94296CCDD83161D7FB87645591B3D3AF
IP
190.2.145.149
附录
http://190.2.145.149/abdul.khaliq.rar http://190.2.145.149/ahmed.salem.rar http://190.2.145.149/ammary@enoc.com.pst http://190.2.145.149/anishkam@enoc.com.pst http://190.2.145.149/anvar.helal.rar http://190.2.145.149/anwar.hussain.rar http://190.2.145.149/badir@enoc.com.pst http://190.2.145.149/cstoradmin.rar http://190.2.145.149/deebu@enoc.com.pst.zip http://190.2.145.149/faiz.muhammad.rar http://190.2.145.149/fardin.malahi@enoc.com.pst http://190.2.145.149/fqahtani@enoc.com.zip http://190.2.145.149/frederik@enoc.com.pst.zip http://190.2.145.149/frits@enoc.com.pst.zip http://190.2.145.149/husamal@enoc.com.pst http://190.2.145.149/jeevananthan.rar http://190.2.145.149/mark.burling@eppcouae.com.rar http://190.2.145.149/marwan.mohd@enoc.com.pst http://190.2.145.149/matthew.ranson.rar http://190.2.145.149/sgaladari.pst http://190.2.145.149/sum.chee.rar http://190.2.145.149/T.rar http://190.2.145.149/taleb@enoc.com.pst
*本文作者:小河西村安全研究所,转载请注明来自FreeBuf.COM