蛇从暗黑中袭来——响尾蛇(SideWinder) APT组织2020年上半年活动总结报告
代码语言:javascript复制注意事项:
1.本报告由追影小组原创,未经许可禁止转载
2.本文一共3245字,36张图,预计阅读时间8分钟
3.本文涉及的敏感内容皆以打码,并且不公开C2和hash.所造成的恶劣影响与本公众号和本团队无关
0x00.前言:
响尾蛇(又称SideWinder,T-APT-04)是一个背景可能来源于印度的 APT 组织,该组织此前已对巴基斯坦和东南亚各国发起过多次攻击, 该组织以窃取政府, 能源, 军事, 矿产等领域的机密信息为主要目的。
在今年年初的时候,Gcow安全团队的追影小组发布了关于SiderWinder
APT组织的报告——《游荡于中巴两国的魅影——响尾蛇(SideWinder) APT组织针对巴基斯坦最近的活动以及2019年该组织的活动总结》。本小组也一直对该小组的活动加以跟踪。
在2020上半年的活动中该组织的主要目标依然是巴基斯坦,中国,孟加拉国以及其他的东南亚国家,其主要是集中在政府,军事领域。不过值得注意的是在本次活动也出现了体育比赛方面的话题。同时该组织在针对某重点单位的时候采取的使用钓鱼网站的方式窃取相关人员的凭据,目前所发现这种方式主要针对的是与军事有关的部门。其实该组织也同样利用关于COVID-19的信息作为诱饵对中巴的教育机构以及政府机构进行攻击活动。
从样本攻击流程来看,该组织的技术并没有太多的革新。主要的样本形式有两类,第一类为带有CVE-2017-11882漏洞的RTF(富文本)文件;另一类为使用mshta.exe执行远程hta脚本的LNK文件。不过该组织在针对我国某所大学的攻击活动中所采取的载荷较为不同,其采用了CVE-2017-0199
漏洞结合CVE-2020-0674
漏洞的方式进行攻击,在后续的内容中我们会详细的介绍该组织使用的新手法。具体的流程会在后文中以流程图的形式展现出来。
Gcow
安全团队追影小组初步统计了关于2020年上半年国内外各大厂商以及安全团队所发布的披露SideWinder APT组织的相关报告信息,并把相关报告链接放在了文末的相关链接上(若有不全欢迎私信补充)
图片1-2020上半年各大厂商发布关于SideWinder APT组织的报告
根据不完全统计,Gcow
安全团队追影小组还绘制了该组织2020年上半年的攻击活动脉络图。
图片2-SideWinder APT组织2020上半年的活动时间轴
0x01.样本分析:
该组织主要投放的样本类型以LNK文件为主,RTF文件为辅。基本在针对每个目标的攻击活动中,我们都发现其使用两种载荷交替攻击的情况。
一.针对巴基斯坦的活动:
下图为该组织针对巴基斯坦活动所投放的LNK文件:
图片3-2020上半年SideWinder APT组织针对巴基斯坦所投放LNK样本
其主要通过将lnk文件放到压缩包中,以达到绕过邮件网关的目的。
其释放的诱饵文件如下:
图片4-向退役军人发放csd回扣卡
图片5-巴基斯坦军方抗击疫情相关战略
图片6-巴基斯坦空军大学疫情期间网络课程政策
其中这些LNK文件的参数为%windir%system32cftmo.exe {HTA URL}
这里的cftmo.exe
是伪装的mshta.exe
.该组织通过修改sIDList结构以迷惑受害者。
图片7-lnk载荷的参数
所请求的远程hta文件,该组织以自写的解密算法取代了之前的硬编码,不过核心与上一篇文章我们所描述的一样,在内存加载.Net的dll文件LinkZip.dll
图片8-第一阶段hta脚本
LinkZip.dll
被传入四个参数
参数1-下一段hta文件的URL地址
参数2-上传杀软信息的URL地址
参数3-base64和Gzip加密后的诱饵文档数据
参数4-诱饵文档名称
该LinkZip.dll
先解密参数3,再将诱饵文档写入临时文件夹,最后运行。就会出现我们提到的那些诱饵的文档,以迷惑受害者。
图片9-解密诱饵文档数据并运行
将参数1的第二阶段hta文件下载下来,存在%temp%
目录下,利用mshta.exe
将其运行起来,若运行不成功将会向参数2反馈在第一阶段hta脚本中收集的杀软信息以及其他异常情况。
图片10-执行第二段hta脚本并反馈异常信息
第二阶段hta脚本同样是解密后内存加载.Net
文件StInstaller.dll
图片11-第二阶段hta脚本
StInstaller.dll
被传入了三个参数
参数1-加密的duser.dll数据
参数2-加密的{随机名}.tmp数据
参数3-编码的回链C2地址
其先从%windir%system32
或者%windir%syswow64
拷贝rekeywiz.exe
到该木马的指定文件夹下,解密Duser.dll
与{随机名}.tmp
,并将其写入木马指定的文件夹下,以组成rekeywiz.exe与Duser.dll白加黑组合进行攻击,并且通过写注册表启动项的方式将rekeywiz.exe设为自启动达到权限维持的效果。
图片12-StInstaller.dll
Duser.dll
以rekeywiz.exe
的侧加载执行起来,并且其主要功能是读取同目录下的.tmp
文件,并且选取其前32个字节为异或的秘钥,解密后面的内容再内存加载。
图片13-Duser.dll
其解密出了最后的Net文件SystemApp.dll
由于最后的远控与上篇文章没有什么区别,这里不再赘述。
图片14-SystemApp.dll
远控指令:
图片15-远控指令
为了方便各位看官的理解本团队特意画了一张流程图,方便各位更加直观地了解这个组织的手法。
图片16-响尾蛇(SideWinder)APT组织lnk载荷的运行流程
二.针对孟加拉国的攻击活动:
本小组发现该组织针对孟加拉国的活动主要模仿了孟加拉国代购商协会对相关单位以及人员进行攻击活动。
图片17-模仿孟加拉国代购商协会进行攻击
该属于RTF类型的样本,主要是利用嵌入的ole对象释放1.a
文件
图片18-1.a文件
1.a
文件类似于上文介绍Lnk载荷中提到的第二阶段hta文件,其在内存中解密StInstaller.dll
并释放白加黑组合,后续的白加黑组合也和上文类似,这里不再赘述。
图片19-响尾蛇(SideWinder)APT组织RTF载荷的运行流程
三.针对中国的攻击活动:
在本次活动之中,本小组捕获了针对中国某某重点大学的网络攻击活动,如下是其使用的文件诱饵,话题关于2020年春季的疫情防控工作的优秀教师推荐名单。
图片20-针对某某重点大学的诱饵
其利用内置一个frameset组件,ID是rId912
.该组件会指向一个远程的RTF文件,以此完成远程远程模板注入技术,加载远程模板,这是一种绕过杀软静态查杀的好方法。
图片21-远程模板注入技术
远程模板为RTF文档,其内嵌了OLE对象,并且使用了漏洞CVE-2017-0199加载其内置会自动更新的超链接域。
图片22-远程模板内置的自动更新超链接域
该超链接更新域指向一个hta文件,hta文件的解密算法与上文提到的类似。
不过值得注意的是,该hta文件的异或解密秘钥是从网站上获取的。
若攻击者需要及时停止攻击活动只需要撤走相关的秘钥即可。
图片23-hta文件自解密部分
其解密的文件如下所示,经过调试发现其崩溃点偏移量与双星漏洞所公开的POC完全相同,均位于jscript 0x1cfbb偏移处.以此确定为双星0day之一的CVE-2020-0674漏洞的利用,属于浏览器nday漏洞利用范畴。
图片24-CVE-2020-0674利用
图片25-与公开POC崩溃点偏移完全一致
shellcode主要利用异或算法自解密再从C2上下载第二段shellcode解密执行后释放白加黑组合和随机名称的tmp文件以及兼容.net环境的配置文件。修改注册表将白名单的exe程序列为开机自启动。后续的内容就与上文相同,这里不再赘述。
图片26-Shellcode自解密后下载第二段shellcode解密内存执行
为方便大家理解,笔者绘制了一张流程图来展示这个组织利用浏览器nday进行攻击的流程。
图片27-SideWinder 组织利用浏览器nday对中国某重点大学发起攻击的活动
除此之外,该组织还针对我国的政府,军工,外交行业投递相应的载荷,其主要载荷以lnk文件与rtf文件。其执行流程与上文相符。
图片28-与军事有关的攻击活动1
图片29-与军事有关的攻击活动2
图片30-与政策有关的攻击活动
图片31-与科技有关的攻击活动
四.针对未确定地区的攻击活动:
在对该组织的跟踪过程中,我们还观察了该组织利用关于体育比赛的话题进行攻击的活动。
该组织利用AFC(Asian Football Confederation)
**`的话题进行攻击 其为lnk载荷,具体lnk载荷的运行方式我们已经在上文介绍过了,这里不再赘述。
图片32-利用AFC为诱饵
AFC(Asian Football Confederation)指的是亚洲足球联合会可见该组织的攻击目标集中在亚洲范围内,比较偏向于南亚,东亚,东南亚地区。
图片33-AFC简介
同时我们还监测到了关于其使用亚太科学中心协会ASPAC(Asia Pacific Network of Science and Technology Centres)
的名称为话题诱饵的的攻击活动。
图片34-以ASPAC,BMAC为话题诱饵
其所使用的手法与上文类似,这里不再赘述。
0x02.样本关联与演进:
从一月份的样本来看,该组织依旧沿用了rekeywiz.exe与Duser.dll这个白加黑的组合方式,并且使用了读取同目录下的带有随机名的tmp文件的前32个字节当做秘钥的手法,以解密后面加密的部分。其lnk文件的伪装欺骗以及释放相关诱饵的流程也与去年年末的活动有相似之处。
不过有所不同的是,其在去年的hta文件中主要使用的编码方式是base64编码但在今年的活动中,其使用了自己所自定义编码方式对文本进行解码与异或解密。这给杀软的静态查杀造成了一定程度的困难。
图片35-hta文件自编码方式的改变
同时该组织也有一定的漏洞利用能力,比如其利用CVE-2019-2215
以及CVE-2020-0674
的漏洞,二者在其利用的时候皆属于nday漏洞范畴。并且从其相关的利用代码来看,存在了该组织可能依托于网络军火商的现象。
比如CVE-2020-0674
的漏洞,依据国内安全厂商360以及日本cert所发布的报告来看,二者的前面所使用的变量声明以及具体参数是一致的,该一致性也同样适用于目前泄露的该漏洞的POC中。从此看出第一种可能是SideWinder APT组织截取了Darkhotel APT组织所使用的漏洞利用代码,并以此进行二次的开发。还有一种情况为两者都依托于某个网络武器的供应商.本小组认为后者的可能性大于前者。
图片36-本次活动使用nday与日本cert报告中的所使用的利用代码的相似之处
不过以上仅仅为追影小组的一些猜测,如果看官有更多相关的证据,欢迎在评论区指出。
0x03.处置建议与结语
处置建议
删除C:ProgramData下可能存在的疑似的文件夹中,存在rekeywiz.exe,Duser.dll,rekeywiz.exe.config,{随机名}.tmp
或者通过进程遍历查找rekeywiz.exe打开其路径是否于%windir%System32
或者%windir%syswow64
下,如果不存在观察是否存在同目录下的随机名tmp
文件,如果存在需要将其清空。
同时找到注册表启动项 删除目标路径为rekeywiz.exe的注册表键值。
另外需要注意的是CVE-2020-0674漏洞在win7上很难打上补丁,由于win7已经停服,请广大win7用户务必检查自己的jscript.dll文件版本是否小于5.8.9600.19626这个版本,如果是,则处在该漏洞影响的风险中,这里建议最稳妥的方式就是升级系统.
结语
印度的响尾蛇APT组织是比较活跃的APT组织之一,随着手法的进步,以及相关的nday漏洞利用,该组织的攻击水平会越来越高。对我国的政治、经济、军事等方面会造成一定影响。同时加强员工的安全意识,进行安全意识培训,勤打补丁,可以对这种“鱼叉”攻击起到一定的防范作用。
0x04.IOCs
MD5
FEF12D62A3B2FBF1D3BE1F0C71AE393E
69A173DC32E084E7F1E1633526F80CA2
DBB09FD0DA004742CAC805150DBC01CA
2C798C915568B3FD8EE7909C45A43168
865E7C8013537414B97749E7A160A94E
3AD91B31956CE49FE3736C0E7344228D
D7187130CF52199FAE92D7611DC41DAC
B6932A288649B3CEB9A454F808D6EB35
7E461F6366681C5AE24920A31C3CFEC6
C2
nrots[.]net
www.d01fa[.]net
www.fdn-en[.]net
ap-ms[.]net
r0dps[.]net
www-afc[.]chrom3[.]net
cloud-apt[.]net
www.link-cdnl[.]net
kat0x[.]net
www[.]au-edu[.]km01s[.]net
0x05.相关链接:
•https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/•https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ•https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw•https://mp.weixin.qq.com/s/Kb_woHp1miaCgDZyHLHNgA•https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg•https://bbs.pediy.com/thread-259500.htm•https://blogs.360.cn/post/apt-c-06_0day.html•https://blogs.jpcert.or.jp/en/2020/04/ie-firefox-0day.html