雷鋒網(wǎng)消息，9月29日，雷鋒網(wǎng)從微步在線獲取了一份關(guān)于“白象”團(tuán)伙借中印邊境問題再次發(fā)起攻擊的事件分析報(bào)告。該報(bào)告稱，自該團(tuán)伙在 2016 年 7 月被Cymmetria、安天、Forcepoint、卡巴斯基、賽門鐵克等多家安全公司曝光后，該團(tuán)伙的釣魚網(wǎng)站于 8 月 29 日再次上線，并以“中印邊境”為題誘導(dǎo)訪問者下載惡意程序植入后門，繼續(xù)對(duì)中國目標(biāo)發(fā)起攻擊。

“白象”，又名Patchwork、Dropping Elephant，自2015年12月開始活躍，長期針對(duì)中國軍隊(duì)、政府等部門開展?jié)B透攻擊，該團(tuán)伙主要通過釣魚郵件和仿冒網(wǎng)站傳播木馬，木馬載體通常為軍事、政治相關(guān)主題的Doc或PPS文檔，常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。

2017年5月，微步在線通過一份包含漏洞的 Word 文檔發(fā)現(xiàn)了“白象”團(tuán)伙針對(duì)中國政府、軍事相關(guān)部門的攻擊活動(dòng)，挖掘出其注冊的大量可疑域名和木馬樣本。有趣的是，就在印度軍隊(duì)于8月28日自洞朗撤軍，中印雙方結(jié)束了兩個(gè)多月的對(duì)峙后，該團(tuán)伙的釣魚網(wǎng)站于 8 月 29 日再次上線，并以“中印邊境”為題誘導(dǎo)訪問者下載惡意程序植入后門，繼續(xù)對(duì)中國目標(biāo)發(fā)起攻擊。

以下為微步在線提供給雷鋒網(wǎng)的關(guān)于此次攻擊的詳情分析：

• 釣魚網(wǎng)站于2017年8月29日上線，以“中印邊境”為話題構(gòu)造了仿冒優(yōu)酷的釣魚頁面，誘導(dǎo)訪問者下載后門程序。

• 木馬使用C++編寫，執(zhí)行后會(huì)再調(diào)用一段加密后的.Net代碼，并偽裝成某公司的安全防護(hù)軟件，具備較強(qiáng)的隱蔽性和對(duì)抗性。

• 木馬啟動(dòng)后能夠接受遠(yuǎn)程控制服務(wù)器任意指令，完全控制受害主機(jī)，遠(yuǎn)控服務(wù)器目前仍可正常通信，說明攻擊活動(dòng)尚在進(jìn)行中。

本次捕獲的釣魚頁面（www.qzonecn.com）于  2017 年 8 月 29 日上線，系仿冒優(yōu)酷網(wǎng)的一條新聞視頻，標(biāo)題為“中國和阿三的邊界問題在洞朗”（未發(fā)現(xiàn)優(yōu)酷網(wǎng)上有類似名稱的視頻），視頻位置顯示“您還沒有安裝flash播放器，請(qǐng)點(diǎn)擊這里安裝”。點(diǎn)擊該鏈接后，會(huì)打開adobe公司官網(wǎng)，卻從另一惡意站點(diǎn)（www.bdarmy.news）下載名為“Adobeflashplayer26_install_ver9.6.0.exe”的可執(zhí)行程序，制造該程序來自Adobe官網(wǎng)的假象，具備較強(qiáng)迷惑性。如下圖所示:

查看網(wǎng)站源碼發(fā)現(xiàn)，釣魚鏈接會(huì)先打開Flash Player 官方下載頁面，再從www.bdarmy.news下載仿冒的“安裝包”程序，以混淆視聽。

查看該程序的屬性發(fā)現(xiàn)，其詳細(xì)信息包含“qiho”、“360”、“Defence”等干擾字符，而原始文件名為“RAT.exe”。

“RAT.exe”在微步在線分析平臺(tái)的檢測結(jié)果如下：

樣本分析

對(duì)“安裝包”程序分析發(fā)現(xiàn)，該樣本的主要執(zhí)行流程如下圖所示：

樣本的具體行為如下：

1.樣本執(zhí)行后會(huì)釋放另外兩個(gè)文件，分別為Microsoft.Win32.TaskScheduler.dll和360-services.exe。

2.Microsoft.Win32.TaskScheduler.dll會(huì)在Windows系統(tǒng)中添加一個(gè)名為Smart_scan的計(jì)劃任務(wù)，取“智能掃描”之義，意在混淆視聽。該任務(wù)用來每隔15分鐘執(zhí)行一次惡意樣本360-services.exe。

3.360-services.exe仿冒了某安全衛(wèi)士的相關(guān)進(jìn)程，是真正執(zhí)行惡意行為的樣本。該樣本在分析平臺(tái)的檢測結(jié)果為：

4. 在釋放這兩個(gè)文件后，樣本將使用Windows自帶的命令行工具CMD運(yùn)行如下命令，使用ping命令嘗試連接1.1.1.1，并刪除掉釋放樣本自身和Microsoft.Win32.TaskScheduler.dll文件。

接下來，真正的惡意樣本360-services.exe開始運(yùn)行。

5.經(jīng)過分析發(fā)現(xiàn)，360-services.exe實(shí)際上是一個(gè)基于.NET平臺(tái)的PE文件的外殼，該外殼的名稱為.NET Reactor，版本號(hào)為4.5-4.7，此保護(hù)殼具有較強(qiáng)的反調(diào)試和混淆代碼等功能。

6. 在對(duì)360-services.exe進(jìn)行脫殼后，我們得到了其中的.NET PE文件，其模塊名稱為“Client.exe”，且該可執(zhí)行文件的代碼已被高強(qiáng)度混淆。

7. 使用反混淆技術(shù)對(duì)該P(yáng)E文件進(jìn)行處理，成功還原出大部分代碼。

8. 樣本將通過FindResource函數(shù)檢查當(dāng)前文件中是否存在“__”資源，若不存在，則說明當(dāng)前.NET PE并不是由360-services.exe運(yùn)行起來的，而是被人工剝離出來獨(dú)立運(yùn)行的，因此樣本會(huì)將此情況視為自身正在被分析，則直接退出程序，不執(zhí)行任何惡意行為。

9. 加載PE文件中的第3個(gè)資源文件的字節(jié)碼，并使用硬編碼的方式建立其他若干數(shù)組。將這些數(shù)組進(jìn)行一系列的轉(zhuǎn)換及計(jì)算，最終解密得到要運(yùn)行的字節(jié)碼，并寫入內(nèi)存。

10. 最終開啟后門，連接C&C服務(wù)器，并等待服務(wù)器回復(fù)指令。其中C&C地址為：93.115.94.202，端口號(hào)為23558。

關(guān)聯(lián)分析

研究員對(duì)釣魚網(wǎng)站域名檢索發(fā)現(xiàn)，其目前指向的IP地址（94.185.82.157）上還存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含“cn”、“pla”、“army”等明顯針對(duì)中國的可疑域名，且前文分析的惡意樣本就存放在www.bdarmy.news域名下，因此基本可以斷定相關(guān)基礎(chǔ)設(shè)施均為“白象”團(tuán)伙所有。

安全研究人員分析認(rèn)為，此次攻擊事件出現(xiàn)于印度自洞朗撤軍后，以中印邊境問題為誘餌，且涉及的樣本和域名含有針對(duì)中國的元素，符合“白象”團(tuán)伙的攻擊特點(diǎn)和動(dòng)機(jī)。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。