4 月 1 日，雷鋒網(wǎng)從微步在線了解到，境外黑客組織“白象”在蟄伏了一段時(shí)間后，于今年 3 月上旬對(duì)國(guó)內(nèi)發(fā)起攻擊。

2017年12月下旬，國(guó)外網(wǎng)絡(luò)安全公司趨勢(shì)科技對(duì)其攻擊活動(dòng)曝光后，該團(tuán)伙迅速停用了所有域名、IP等基礎(chǔ)設(shè)施，進(jìn)入“蟄伏期”。然而在今年 3 月上旬至 3 月中旬，“白象”團(tuán)伙再次發(fā)起針對(duì)我國(guó)的網(wǎng)絡(luò)攻擊，使用的誘餌文檔均為某特定期間的新聞話(huà)題，涉及軍事、社會(huì)、法律等多個(gè)方面。

此次，白象利用誘餌文檔，通過(guò) Office 漏洞向受害主機(jī)植入木馬后門(mén)，相關(guān)程序與該團(tuán)伙此前使用的木馬結(jié)構(gòu)功能基本一致，可根據(jù)遠(yuǎn)程控制服務(wù)器發(fā)送的指令完全控制受害主機(jī)。此次攻擊活動(dòng)系通過(guò)釣魚(yú)郵件對(duì)特定單位和個(gè)人發(fā)起，且攻擊活動(dòng)仍在繼續(xù)。

據(jù)微步在線捕獲的樣本文檔顯示，“白象”使用的多個(gè)誘餌文檔，分別存放在 fprii.net、ifenngnews.com和chinapolicyanalysis.org 等該團(tuán)伙注冊(cè)的仿冒網(wǎng)站上，文檔內(nèi)容涉及“2018最新部隊(duì)工資調(diào)整政策” （3月6日出現(xiàn)）、 “民政部公布一批非法社會(huì)組織” （3月14日生成）、“中華人民共和國(guó)監(jiān)察法（草案）”（3月15日生成）、以及日本防衛(wèi)研究所發(fā)布的2018年版《中國(guó)安全戰(zhàn)略報(bào)告》（3月13日出現(xiàn)）等某特定期間的熱點(diǎn)話(huà)題，具備較強(qiáng)的迷惑性和針對(duì)性。

雷鋒網(wǎng)了解到，這批誘餌文檔均利用了微軟Office較新漏洞CVE-2017-8570，未及時(shí)安裝補(bǔ)丁的用戶(hù)一旦打開(kāi)文檔就會(huì)觸發(fā)惡意代碼，并被植入后門(mén)程序。

樣本分析

以下為微步在線出具的樣本分析：

我們以名為“Chinas_Arctic_Dream.doc”的樣本（21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d）為例對(duì)此次攻擊涉及的木馬程序分析如下：

1.樣本流程概要

與2017年12月捕獲的樣本不同的是，此次樣本較早期樣本解密流程更加簡(jiǎn)潔，木馬后門(mén)不在內(nèi)存解密執(zhí)行，而是落地后直接運(yùn)行。流程對(duì)比圖如下：

??2017年12月份樣本

??2018年3月份樣本

??

微步云沙箱檢測(cè)結(jié)果

2. Droper分析(qrat.exe)

a. Word文檔被打開(kāi)后，會(huì)通過(guò)觸發(fā)漏洞釋放并運(yùn)行qrat.exe，樣本為C#開(kāi)發(fā)，并做了混淆以防止被分析。

 b. 該Droper樣本和以往捕獲的“白象”樣本功能相似，主要是進(jìn)行木馬后門(mén)的安裝。樣本運(yùn)行后會(huì)通過(guò)資源先后釋放Microsoft.Win32.TaskScheduler.dll和microsoft_network.exe。這兩個(gè)文件都被存放在qrat.exe的資源中，該段資源包含兩個(gè)PE文件，最開(kāi)始的MZ頭是后門(mén)程序，而第二個(gè)MZ頭是添加計(jì)劃任務(wù)的dll。通過(guò)PE工具可以查看明顯的PE文件特征。

??

為了驗(yàn)證猜想，可通過(guò)PE工具和16進(jìn)制編輯器對(duì)這段資源進(jìn)行提取和分離然后分別得到后門(mén)microsoft_network.exe和動(dòng)態(tài)鏈接庫(kù)文件Microsoft.Win32.TaskScheduler.dll。

 c. 釋放后門(mén)到路徑%APPDATA%\Microsoft Network\microsoft_network\1.0.0.0目錄，并注冊(cè)開(kāi)機(jī)啟動(dòng)，通過(guò)調(diào)用Microsoft.Win32.TaskScheduler.dll添加計(jì)劃任務(wù)，每5分鐘執(zhí)行一次。

?

qrat.exe的編譯時(shí)間為2018年2月2日

3. 后門(mén)分析(microsoft_network.exe)

a. 樣本從編譯時(shí)間來(lái)看是2018年1月23日，同樣采用C#編寫(xiě)，也同樣做了混淆，去掉混淆后發(fā)現(xiàn)該樣本為遠(yuǎn)控木馬。木馬采用開(kāi)源遠(yuǎn)控xRAT的源碼編譯，一直被“白象”團(tuán)伙所使用。此次木馬在功能能上相比去年12月份的樣本，并沒(méi)有什么功能性的變化，但是對(duì)配置文件選項(xiàng)進(jìn)行了AES加密，并進(jìn)行了Base64編碼。如下圖所示：

?

該款木馬的內(nèi)部版本號(hào)為2.0.0.0 RELEASE3，上線域名tautiaos.com（當(dāng)前解析43.249.37.199，已無(wú)法連接），上線端口號(hào)23558，連接密碼g00gle@209.58.185.36，互斥體為eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM，配置信息解密密鑰為Kkbnev10lq5zOdKl51Aq。與之前捕獲的樣本相比，此次樣本的配置信息均進(jìn)行了修改，但端口號(hào)仍然使用23588。 

b. 樣本運(yùn)行后獲取操作系統(tǒng)基本信息，通過(guò)“ freegeoip.net”獲取受害者的地理位置，然后創(chuàng)建互斥體等。遠(yuǎn)控基本功能包括：

a) 基礎(chǔ)功能：遠(yuǎn)程 Shell，進(jìn)程管理，屏幕管理，文件操作，獲取主機(jī)信息，查看開(kāi)機(jī)啟動(dòng)項(xiàng)，遠(yuǎn)程關(guān)機(jī)、重啟等；

b) 殺軟對(duì)抗，防火墻檢測(cè)；

c) 自動(dòng)更新功能，dll 注入；

d) 獲取同一個(gè)域下的其它設(shè)備的信息。

關(guān)聯(lián)分析

對(duì)此次涉及的惡意域名ifenngnews.com、chinapolicyanalysis.org關(guān)聯(lián)發(fā)現(xiàn)，除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我們此前已經(jīng)掌握該團(tuán)伙資產(chǎn)外，我們還發(fā)現(xiàn)了包括wipikedia.xyz、armynews.today等多個(gè)于2018年1月19日最新注冊(cè)的可疑域名，從域名注冊(cè)商、服務(wù)器信息等特點(diǎn)研判認(rèn)為，這些域名仍為“白象”團(tuán)伙所有，如下圖所示：

??

此外，有情報(bào)顯示，“白象”團(tuán)伙此次攻擊主要利用釣魚(yú)郵件向特定單位和個(gè)人傳播惡意文檔的下載鏈接，截至 2018 年 3 月 21 日，大多數(shù)惡意鏈接仍可訪問(wèn)下載（如hxxp://fprii[.]net/The_Four_Traps_for_China.doc），證明攻擊活動(dòng)仍在繼續(xù)。雷鋒網(wǎng)了解到，用戶(hù)還可以下載放入監(jiān)控或者在自己的日志中查看，近期這個(gè)團(tuán)伙是否關(guān)注了相關(guān)單位。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。