揭秘Patchwork APT攻擊 ：一個與中國南海和東南亞問題相關的網絡攻擊組織

雷鋒網按：本文根據Cymmetria 報告原文編譯：Cymmetria - Unveiling_Patchwork，譯者clouds。

最近，一個與東南亞和中國南海問題相關的APT攻擊被發現，該APT攻擊以包括美國在內的各國政府和公司為目標 。

 

經安全專家分析，該APT攻擊所使用的全部工具代碼都是通過復制-粘貼互聯網公開代碼組合而成，相對于其它APT特有的攻擊工具而言，比較獨特。

Cymmetria發現并發布了此APT攻擊的分析報告，由于其代碼來源于多個網絡論壇和網站，如Github、暗網和隱秘的犯罪論壇等，故把其命名為Patchwork APT 攻擊（Patchwork：拼湊物）。

一、報告綜述

Patchwork APT自2015年12月被監測到之后，目前已經感染了大約2500臺電腦，雖有跡象表明其最早活動可追溯至2014年，但Cymmetria并未第一時間發現。

Patchwork APT針對的目標是軍事和政治機構，特別是那些與東南亞和南海問題相關的工作機構雇員，目標多是政府或與政府有間接聯系的機構。

在存活的受害者系統上，Patchwork APT通過搜索文檔并上傳至其C&C服務器，如果目標主機非常有價值，Patchwork APT還會進一步安裝第二階段滲透工具。

以下為PatchworkAPT 的攻擊時間范圍：

二、調查

1 、概述

該APT攻擊于今年5月在針對歐洲政府部門的一起釣魚活動中被發現，攻擊目標為一個中國政策研究機構的工作人員，其以PPT文檔為誘餌發起網絡攻擊，文檔內容為中國在南海的一系列活動。

當PPT文檔被打開后，嵌入執行CVE-2014-4114漏洞代碼，這個漏洞存在于未打補丁的 Office PowerPoint 2003 和2007中，漏洞利用代碼曾被發起了名為 Sandworm的APT 攻擊。 

一旦漏洞代碼開始執行，第一階段為部署攻擊載體：一個利用AutoIt工具編譯的腳本。這個腳本使用某網絡論壇出現的名為UACME方法和代碼來繞過系統UAC。 

獲得更高權限之后，以Meterpreter方式執行powersploit 腳本，（Meterpreter是著名的metasploit框架遠控工具）

下一階段，開始對文檔和目標主機價值進行篩選判斷，如果目標足夠有價值，攻擊者再次部署第二階段攻擊模塊，涉及到的攻擊工具也大多來源于知名論壇或網絡資源。以下為其攻擊感染流程：

2、 以蜜罐方式發現攻擊者

為了捕獲攻擊者發起的第二階段攻擊程序，觀察其在內網中的滲透活動，我們創建了一個真實網絡環境，這個環境讓攻擊者覺得他們已經成功獲取了主機權限。

零星的誘餌數據可以讓攻擊者向另一主機轉移，這些數據可以是存儲憑據，共享文件夾、瀏覽器cookies，VPN配置等其它信息。最終我們利用了Cymmetria's MazeRunner 系統成功捕獲了攻擊者的活動。

3、 開始

如前所述，為了保證攻擊者的攻擊持續處于活動狀態，我們虛構了對攻擊者來說非常感興趣的目標：一位處理安全問題的政府智庫人員。

創建欺騙網絡

? 首先，創建SMB共享，映射到目標電腦并顯示網絡備份；

? 其次，把一個運行云端服務的RDP憑據存放于電腦中，同時在遠程云端系統中部署欺騙數據，形成蜜罐系統，同時造成正常服務的假象。

蜜罐文件系統

用 RDP憑據引向蜜罐系統 

4 、一連串的事件

（1） 當一個 PowerPoint PPS文件被打開之后，釋放有效攻擊載荷。即CVE-2014-4114漏洞利用代碼（曾用作SandWorm沙蟲攻擊）。

釋放的Driver.inf 文件內容

（2）  主機被以下可執行文件感染：

• sysvolinfo.exe   -- 執行編譯腳本.

• PowerShell 以 HTTPS Meterpreter方式執行攻擊腳本 ,同時保持與C2控制服務器連接，發起以下網絡請求：

（3）  目標電腦上的文件被攻擊者以加密通道方式上傳至遠程控制服務器，由于Meterpreter的“sstagerverifysslcert”功能 開啟，所以我們沒有檢測到相應的SSL通道；

（4） 攻擊者釋放第二階段惡意軟件7zip.exe，利用此程序掃描硬盤并連接遠程IP地址  212.83.191.156。

（5）7zip.exe復制自身在C:\Windows\SysWOW64\目錄下生成netvmon.exe文件，并添加進程序自啟動路徑，實現長期控制目的。

（6）在最初感染的前三天，攻擊者開始對SMB共享文件夾發起訪問；

（7）惡意軟件開始訪問映射共享，并掃描所有固定磁盤驅動器上的文件；

（8）在MazeRunner 系統的第一個警報產生之后，由于誘餌系統的IP地址被內置在RDP憑據文件里，所以，我們看到了攻擊者試圖利用RDP憑據連接誘餌系統的數據。警報提示攻擊發起于 IP 212.129.7.146，整個攻擊持續了12分鐘；

（9）從我們收到Mazerunner的警報綜合受害主機內的RDP連接文件表明，攻擊者登錄失敗了幾次，但讓我們感興趣的是，攻擊者并沒有使用系統密碼獲取工具Mimikatz。

（10）我們相信以上兩起攻擊連接發起于同一個攻擊源，因為：

• 攻擊者用來連接我們蜜罐系統的兩個IP地址都屬于rev.poneytelecom.euf 域名；

•  內部警報表明，兩起攻擊連接事件發生在同一天。

攻擊發起的網絡規劃圖

5 、從攻擊者C&C控制服務器中獲得的信息

 我們通過另一個合作伙伴，成功地接手并控制了攻擊者的一個C&C服務器，服務器中包含了大量文件：

•  種類多樣的PPS文件–用作釣魚攻擊的惡意文件 

•  大量的惡意代碼包

而且這些釣魚文件內容都與中國主題或色情性質相關，以下是一些樣本文件：

在C&C服務器中，我們還提取到了PPS文件的修改日期，這些日期從2015年12月持續到2016年1月。從日期上可以清晰看出攻擊者準備和實施攻擊的時間線。 

三、技術分析

工具部署

攻擊載體：

攻擊載體是一個以PPS為附件的網絡釣魚郵件，嵌入漏洞 CVE-2014-4114  的利用代碼。漏洞利用代碼執行之后釋放可執行文件和Windows驅動程序描述文件INF。

攻擊者把以下兩個文件嵌入OLE實體中并釋放到受害者主機：

DROPPER木馬程序——

sysvolinfo.exe程序是攻擊者第一階段的有效載荷（另一個程序是uplv1032 .exe），其目的是為了提升權限、篩選數據，從網絡下載執行powersploit發起的程序和命令。通過安裝Meterpreter，攻擊者可以在受感染主機內發起遠程控制命令。

sysvolinfo.exe代碼本身是利用編譯工具AutoIt編譯的，其代碼的一個重要部分抄襲于黑客論壇“ indetectables ”。

C&C通信——

當黑客工具開始運行之后，第一步就是與C&C服務器進行確認連接，靜待命令，以下就是對C&C連接協議的分析：

發起遠程連接請求：

用以下變量作為發送參數：

 返回變量和結果：

可用命令解釋：

當受害主機狀態命令發送到控制服務器后，黑客程序繼續以“TotalSecurity”字符串目標掃描整個“Program Files”目錄，這是“360 Total Security”安全軟件的安裝目錄。(360 Total Security 是360的國際版）

黑客軟件以"Baidu Software Update"為文件夾偽裝自身進入系統啟動目錄（HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run）。然后，它又向控制服務器發送另一個命令，之后，開始掃描計算機中的所有固定驅動器磁盤，以尋找以下后綴名文件：

 之后上傳所有文件至服務器：

在對黑客工具進行反編譯后，發現了其功能調用中包含了一個有趣的PDB文件：

提權操作——

經過前階段描述可知，攻擊載體使用了WINDOWS7系統中尚未打補丁的UAC繞過漏洞（被稱為UACME ），這可以讓攻擊者以管理員身份執行操作。

shellcode執行:

當AutoIt 腳本惡意軟件從 $sdata 中接收到“2”號命令的心跳后（這似乎是最常見的情況），便以base64加密方式執行命令：

我們觀察到base64加密的payload是powershell腳本方式的shellcode，通過Meterpreter 進行https反向遠程連接。

 反向HTTPS Meterpreter 連接：

AutoIt腳本提權并執行一個PowerShell的反向Meterpreter 連接腳本，而且這個腳本看起來是通過一個在線博客復制而來的。

Meterpreter用以下參數進行連接：

第二階段的攻擊載體： 

該階段的攻擊工具只有在攻擊者執行Meterpreter連接，并確定目標主機具有價值之后，才會運行部署。我們發現這個攻擊載體為7zip.exe，但它有時候也為ndcrypt.exe和nd.exe。

7zip.exe 16 進制代碼

這個程序的很多代碼都來源于GitHub的一個公開代碼庫 。

脫殼之后，程序模塊執行以下動作：

（1）為了在電腦關機或重啟之后能繼續保持入侵狀態，攻擊載體程序在系統目錄下復制自身并重命名為netmon.exe，并以自啟動服務 Net Monitor 運行。

 C:\Windows\SysWOW64\netmon.exe     -- 以 7zip.exe/netmon.exe 運行的64位程序；

（2）執行一個固定磁盤的掃描線程和文件篩選程序（但不會搜索網絡驅動器和USB設備）

另一個線程執行文件上傳功能：         

  ? 另一個線程下載可執行文件：

四、其它屬性

1、 PPS文件時間編輯分析：

 經過對PPS文件的提取分析發現，這些PPS文件在一天當中的不同時段都被經過修改：

2、C&C 遠程控制服務器活動時間：

C&C服務器的活動不僅在于單獨的幾個小時之間，還在于每周的每天，通過對每天的時間區間進行描述之后，我們可以發現不同的模式，例如，每周的周日活動較多，周六較少。另外，攻擊活動不早于凌晨2點，不晚于上午11點，除了某個周日之外。“攻擊工作時間”圖如下：

3 、域名注冊時間：

攻擊活動使用的惡意域名注冊時間只在每周的特定幾天，而且注冊時間都介于凌晨3點到下午15點之間：

五、總結

Patchwork APT 是一個非常成功的有針對性的網絡攻擊，令人驚訝的是自去年12月之前，它一直未被發現。

其高度復雜的操作與其具有的低技術含量形成鮮明的矛盾對比，避免昂貴的開發工具而選擇開源低廉的代碼作為滲透工具，這也許是一種攻擊趨勢，也是一種避免被發現的手段；

根據我們所掌握的信息，攻擊者有可能是親印度或印度人。但就像我們的CEO Gadi Gadi Evron在內部討論時所說的：“也有另一種可能性，有可能是其他偽裝成印度人的攻擊者，因為在網絡世界里，好像根本就沒有任何確切的證據來支撐說明，這只是我們自己的觀點。”

不像其它國家發起的APT攻擊，印度的網絡間諜活動一直都處于平靜狀態，如果攻擊者確實是親印度或印度人，那么這是非常值得注意的情況。

卡巴斯基實驗室中文報告

卡巴斯基實驗室英文報告 

后記：在Cymmetria發布分析報告的同時，卡巴斯基實驗室也發布了名為《Dropping Elephant網絡犯罪組織肆意攻擊多國政府和外交機構》的報告，報告中命名的Dropping Elephant APT 與Cymmetria發現的 Patchwork APT 高度相似。

雷鋒網注：本文譯者clouds，由FreeBuf黑客與極客（FreeBuf.COM）投稿雷鋒網發布，轉載請保留此信息。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。