網(wǎng)絡(luò)釣魚-魚叉攻擊

1366875557

三天前，Morphisec實驗室的研究人員發(fā)現(xiàn)一波針對多個國家的大范圍網(wǎng)絡(luò)攻擊活動。Morphisec的研究人員稱之為“Pied Piper”，主要的攻擊方式是通過向多個國家實施網(wǎng)絡(luò)釣魚來投送遠控木馬程序（RAT）。

此次攻擊活動中傳播的一個木馬程序版本為“FlawedAmmyy RAT”。 該木馬使攻擊者可以完全控制受害者的PC系統(tǒng)，可以竊取系統(tǒng)文件、登錄憑證，以及實現(xiàn)遠程截屏、控制攝像頭及麥克風。此外，它還為攻擊者開展橫向滲透攻擊打下了基礎(chǔ)，可以作為主要供應鏈攻擊的潛在入口點。

如下文所述，如果該攻擊活動順利實施的話，將對會Godiva Chocolates，Yogurtland和Pinkberry在內(nèi)的多家知名食品連鎖企業(yè)供應商產(chǎn)生潛在影響。 如果不禁用C＆C服務器的話，我們可以假設(shè)其他人很快也會受到此網(wǎng)絡(luò)攻擊活動的影響。

近幾個月來，F(xiàn)lawinAmmyy遠控木馬程序的使用量激增，上個月它已躋身Checkpoint全球威脅指數(shù)前十名。正如Proofpoint研究人員去年3月份所透露的那樣，此次攻擊活動所使用的FlawinAmmyy遠控木馬程序是基于已泄露的AmmyyAdmin遠控木馬程序的源代碼程序開發(fā)的變種程序。

隨著對該活動的深入調(diào)查掌握，基于元數(shù)據(jù)和其他指標，同一個攻擊活動參與者正在交付另一個版本的遠控木馬程序，該版本以遠程操控器（RMS）RAT作為有效載荷。RMS RAT是建立在一個隨時可用的非商業(yè)庫之上的，該庫有助于分析代碼中出現(xiàn)的異常。

此攻擊活動的所有版本都以網(wǎng)絡(luò)釣魚作為攻擊起點，欺騙受害者啟用宏功能。攻擊活動會分多個階段進行，最終將會提供一個完全簽名的可執(zhí)行RAT。

基于元數(shù)據(jù)分析，我們懷疑發(fā)起這次攻擊活動的幕后黑手為Proofpoint所描述的TA505。截至本文發(fā)表時，攻擊活動仍在繼續(xù)。Morphisec已向有關(guān)當局報告了這次攻擊活動的細節(jié)，以便對攻擊活動所使用的C&C服務器采取措施。

本文我們將重點介紹Ammyy RAT的攻擊鏈，并指出其與RMS RAT攻擊鏈的區(qū)別。

技術(shù)介紹網(wǎng)絡(luò)釣魚

此次的“Pied Piper”攻擊活動與之前的網(wǎng)絡(luò)釣魚攻擊活動相似， 之前的網(wǎng)絡(luò)釣魚所使用的遠控木馬程序為Ammyy Admin RAT。這些武器化的文檔采用了相同的彩色圖像，誘使受害者啟用宏功能來瀏覽Microsoft Office文檔。在此次攻擊活動中，攻擊者使用了weaponized .pub (Microsoft Publisher)文檔以及更標準的.doc文件。Morphisec研究人員檢查了多個不同文件名的文檔。有些文件名為invoice_<random number>.pub，更多的則為invoice_laspinasfoods.doc。根據(jù)文件的元數(shù)據(jù)來分析，這些文檔似乎是在最近幾天創(chuàng)建的，目前還在繼續(xù)創(chuàng)建其他類似文件。

此次的“Pied Piper”攻擊活動與之前的網(wǎng)絡(luò)釣魚攻擊活動相似， 之前的網(wǎng)絡(luò)釣魚所使用的遠控木馬程序為Ammyy Admin RAT。這些武器化的文檔采用了相同的彩色圖像，誘使受害者啟用宏功能來瀏覽Microsoft Office文檔。在此次攻擊活動中，攻擊者使用了weaponized .pub (Microsoft Publisher)文檔以及更標準的.doc文件。Morphisec研究人員檢查了多個不同文件名的文檔。有些文件名為invoice_<random number>.pub，更多的則為invoice_laspinasfoods.doc。根據(jù)文件的元數(shù)據(jù)來分析，這些文檔似乎是在最近幾天創(chuàng)建的，目前還在繼續(xù)創(chuàng)建其他類似文件。

圖為西班牙語的釣魚Word文檔

圖為德語的釣魚Word文檔

宏代碼分析

當宏代碼被執(zhí)行時，將會在Windows計劃任務中添加一項計劃任務，該任務將在下一個攻擊階段被執(zhí)行。這是惡意程序作者為規(guī)避殺軟系統(tǒng)而設(shè)計的，同時也是打破攻擊鏈的一種常見做法，而不是直接去執(zhí)行下一階段的Word程序進程。 在Ammyy RAT和RMS RAT兩種攻擊方式中，已添加的計劃任務會執(zhí)行PowerShell命令，該命令會對從一個指定域名下載的MSI程序進行相同的解密（所有域名都會在附錄中記載）。

在已分析出的大多數(shù)情況下，MSI的名稱是“WpnUserService”。在所有情況下，MSI都包含一個可執(zhí)行文件MYEXE，該文件會根據(jù)它傳遞的RAT類型而進行不同的簽名。這個可執(zhí)行文件只是用于下一個階段的下載者程序，而不是RAT本身。 在下面的圖示中，我們對與Ammyy RAT程序相關(guān)的MYEXE進行了逆向分析（這是最近編譯的一個變種程序）。

通過截圖，我們可以清楚地看到可執(zhí)行文件會檢測一些常見的病毒查殺系統(tǒng)，如果檢測到其中一個，它將會使用一個不同的路徑（通過Svchost.exe來執(zhí)行）。 如果沒有找到病毒查殺系統(tǒng)，它將從下一臺IP服務器（仍然不是C2服務器）下載一個臨時文件。此臨時文件是Ammyy RAT加密文件，將在后面的階段進行解密。 從下面的截圖可以看出，可執(zhí)行文件編寫了一個自定義的GetProcAddress函數(shù)，并根據(jù)在程序運行時計算的哈希值（SHIFT 7 + xor）加載內(nèi)存中的所有函數(shù)地址。

GetProcAddress自定義函數(shù)還會接收一個參數(shù)，該參數(shù)會告訴它將需要哪些模塊，并根據(jù)參數(shù)來計算出導出表查找的相關(guān)偏移量（一種非標準的實現(xiàn)方法）。

我們還可以看到針對kernel32模塊的標準查找，在迭代初始化順序模塊列表時只搜索后綴。

如上所述，臨時文件會被解密為成一個名為wsus.exe新的可執(zhí)行文件。該可執(zhí)行文件即是Ammyy RAT自身的程序。如果當前用戶不是Admin權(quán)限，則會立即執(zhí)行該過程，如下所示，該程序會添加稍后在登錄系統(tǒng)時執(zhí)行的一項計劃任務，從而獲得持久控制權(quán)限。

如果當前用戶是管理員權(quán)限，則會在系統(tǒng)中創(chuàng)建一個名為“foundation”的服務項。

證書

Ammyy RAT和下載者程序使用了相同的證書“AWAY PARTNERS LIMITED”進行簽名，而遠程控制器RAT則使用了名為“DIGITAL DR”的證書進行簽名。根據(jù)上面的證書和識別出的攻擊者相關(guān)信息，進而通過Yara搜索出了更多的樣本，發(fā)現(xiàn)攻擊者使用RMS RAT程序發(fā)動網(wǎng)絡(luò)攻擊活動已有近一個多月時間，而使用的其他的遠程木馬程序則已經(jīng)有數(shù)年了。

當執(zhí)行wsus.exe程序以后，RAT會將用戶相關(guān)的信息發(fā)送給C2服務器。發(fā)送的信息包括計算機的名稱、所在域、權(quán)限等（基本上屬于標準的Ammyy協(xié)議）。

RAT的指針與wsus.exe可執(zhí)行文件中的字符串匹配：

Morphisec實驗室截獲了來自同一攻擊方的另一起攻擊行為。在一天之內(nèi)，攻擊方通過修改MSI打包內(nèi)容的方式，改變了Ammyy攻擊鏈原來的方式。

&#8226; Document (.doc) – 3f8a1922c7dc7df83bf1e7c130d306ef2d2a39fa

&#8226; MSI – 60971C1C1BC046D082E413D5CC2F9B38177F494E

攻擊者還更改了下載服務的IP地址: 195.123.240[.]220 New Ammyy RAT: A3C4AADDBE4AC319ACD181A6C6790EE40836F4EF (wsus.exe) 新的域名當前已經(jīng)投入使用并指向相同的C&C服務器。

IOC

文檔哈希:

5740a465eea3b4c0d754bb22943b0d93ce95857d <.pub file>bb85526faa8de4941d8d884fc6818c898c1004ff <.pub file>d2a2557f35a34a21d8d7adf43eec8da2392595ec <.doc file>`

安裝程序 (WpnUserService):

078E4FAC0DADE6F7C8FBA11C5BE27CBF015E4E3108BF6E06811C7B43AF281C6C48E0A8197A24A252

MYEXE:

7BBDF72CFED063F3AB5D9EF3480FE3E5465A7006AA699F08DCD38A45C7509383B07A298B2D2F6C748B10CEBD3C24E80D62DBB06F989AF43CF732448CAmmy RAT (Wsus)4C4F2BBE3F49B17B04440C60F31293CB1431A8679B54BBB0730FD50789E13F1968043074EF30836C

域名:

hxxp://office365homedep[.]com/localdatahxxp://office365id[.]com/WpnUserServicehxxp://213.183.63[.]122/date1.dathxxp://185.68.93[.]117/date1.dat

C2服務器

185.99.133[.]83

RAT更多信息:

21347afa7af3b6c9cd0646ba4644c5b65ecaeb6c (.doc file)hxxp://idoffice365[.]com/camsvcB79D3D2410D75DFB0E58DE7C8EF9C38FCE33DDF3 (MSI)8B10CEBD3C24E80D62DBB06F989AF43CF732448C (MYEXE Downloader)651B8D1377910E4728E85DCD231E269313AB9E1D (RAT)89.144.25[.]164a026651e048174202501bc33cdb7d013517348d (09112018_281_29.doc - German)12e94fdb61f866e0f402c48f71a24d19bf2e8c32 (comprobante.doc - Spanish)