Hussarini:针对菲律宾的网络攻击
两周前,FortiGuard Labs发现了一个恶意文件,其包含与政治相关的文件名“Draft PH-US Dialogue on Cyber Security.doc”。该文档旨在利用此漏洞CVE-2017-11882。成功利用后,它会在受害者的%temp%目录中释放恶意软件。
对该恶意软件的分析表明,它属于Hussarini,也称为Sarhust,一个后门家族,自2014年以来一直积极参与针对东盟地区国家的APT攻击。
据报道,菲律宾是东盟最容易受到APT攻击的国家。在2016年数次大规模数据泄露之后,菲律宾开始加大对网络攻击防御的投入。然而,尽管进行了这些投入,菲律宾仍然是最容易被这些APT攻击作为目标的国家之一。
一、利用文档
我们的分析从名为“Draft PH-US Dialogue on Cyber Security.doc”的CVE-2017-11882漏洞利用文档开始。成功利用后,恶意文档会在%Temp%目录中释放两个文件。
· Outllib.dll
· OutExtra.exe
OutExtra.exe是Microsoft签名的合法应用程序,名为finder.exe。此文件是Microsoft Office套件的一部分,可用于在Outlook数据文件中查找关键字。但是,在此次攻击中,该文件通过DLL劫持加载Hussarini后门。
DLL劫持是一种APT恶意软件常用的技术,用于替换合法应用程序(.exe)加载的良性DLL,应用程序被欺骗加载包含恶意代码的DLL。使用此技术,恶意软件可以逃避监控可执行文件行为的安全程序的主机入侵防御系统(HIPS)。大多数HIPS工具将已签名或受信任的文件列入白名单,因而不对使用白名单文件进行DLL劫持加载的恶意软件进行行为监控。在此攻击的上下文中,OutExtra.exe是一个已签名的合法应用程序;然而,它被欺骗加载伪装成合法Outllib.dll文件的恶意软件文件。
二、诱饵文档
为了避免受害者的怀疑,该漏洞利用程序从合法的hxxp://157.52.167.71:29317/office/word/2003/ph2/philip.varilla下载一个诱饵文档。然而,在我们分析之时,诱饵文档的下载链接已经关闭。
然而,看一下URI,我们发现了一些线索,黑客可能希望用户相信文档的来源。首先是“ph2”,这可能意味着菲律宾的“ph”和作为其第二个诱饵文档目录的“2”。第二个是“philip.varilla”。通过Google快速搜索,看到菲律宾信息和通信技术部(DICT)的服务总监与该名字相同。DICT是负责菲律宾信息和通信技术(包括网络安全)规划,开发和推广的机构。
三、Hussarini
事实上,Outllib.dll文件实际上是Hussarini后门,其导出函数包含恶意代码。OutExtra.exe执行时,会调用其中一些函数,从而有效地执行其恶意代码。
图1. Hussarini导出函数
虽然原始的Outllib.dll也具有上面的一些功能,但请注意,这个后门具有比后门DLL更多的导出函数。
图2.原始Outllib.dll文件的导出函数
文件大小也有很大差异。原始的Outllib.dll的文件大小范围为4-8 MB,具体取决于版本,但假文件的大小仅为40-50 KB。文件大小差别很大的原因之一是后门DLL的导出函数中只有一个包含恶意代码。其他的只是RETN功能,什么都不做。
因此,我们将重点分析包含名为[email protected]的后门代码的函数。此函数首先用bot设置实例化一个类。然后创建两个并发线程,将创建的对象作为其参数。
图3. Hussarini主函数
第一个线程充当客户端线程,负责与命令和控制(C&C)服务器通信并监听命令。然后解析响应并将其传递给充当worker的第二个线程。worker线程执行命令并将结果报告给客户端线程。
在与命令和控制(C&C)通信之前,恶意软件使用随机生成的值将ServerID保存在注册表中。此ID标识僵尸网络中的此bot。
图4. Bot ServerID
四、C&C通信
有趣的是,代码中有一个私有IP地址10.1.0.105,可能被用作测试的C&C服务器。此IP地址在运行时将替换为真正的C&C ——publicdfaph.publicvm.com。
在与C&C进行通信时,Hussarini使用base64编码自定义协议,该协议通过HTTP发送。由于代码高度复杂和分析时间有限,我们无法识别协议的所有字段,但了解一些重要部分就足以了解通信的工作原理。
图5. Hussarini协议
它发送的初始数据包含生成的ServerID,size和消息的校验和。此数据使用base64编码,并作为HTTP GET请求的参数发送。
图6.命令和控制服务器的初始消息
来自C&C的响应附有标签<CHECK></CHECK>。其间的数据也是base64编码的。解码后,我们可以看到它遵循与初始消息相同的数据结构。
图7.来自命令和控制服务器的初始响应
检查后,恶意软件会获得以下系统信息,并通过HTTP POST请求发送给C&C:
· 用户名,计算机名,操作系统和CPU信息
图8.将机器信息发送到C&C
在接收来自C&C的命令之前花了一段时间,当我们这样做时突然失去了与C&C的连接,这可能意味着黑客手动控制C&C。连接中断可能是因为攻击者检测到机器人正在被分析并阻止我们的分析环境与C&C通信,或者只是机器对进行下一步攻击不感兴趣。接收的数据用标记<COMMAND></COMMAND>括起来,用base64编码,并在解码后仍然遵循协议的相同数据结构。这些命令非常明显,因为它的字符串在解码后的数据中没有加密。
图9.从C&C接收命令
第一个命令包含字符串“cache.txt”。使用此命令调用worker线程,在运行恶意软件的同一目录中创建以下文件。
· cache.txt
· cache.txt.cfg
第二个命令包含cmd.exe命令。
图10.从C&C接收下一个命令
然后,从C&C发送的以下cmd命令将传递给worker线程并写入cache.txt。
图11.写入cache.txt的命令
写在cache.txt中的命令的描述如下:
· systeminfo – 获取计算机的systeminfo
· arp –a – 查看IP地址到MAC地址的映射
· ipconfig /all – 显示所有当前的TCP/IP网络配置
· netstat -ano – 显示协议统计信息和当前TCP / IP网络连接
· tasklist -v – 所有正在运行的应用程序和服务及进程ID(PID)列表
· net start – 正在运行的服务
· net view – 显示网络上可见的其他计算机
· dir "c:\users" /o-d – 显示所有用户
发送这些cmd命令后,C&C停止响应。可能是黑客在看到这些命令的结果后决定阻止连接。
根据其代码,此恶意软件能够执行来自黑客的以下命令:
· 创建,读取,写文件
· 下载并执行文件/组件
· 使用cmd.exe启动远程shell
虽然其他APT后门具有很多功能,例如键盘记录,拍摄屏幕截图等,但Hussarini功能很少,仅包括下载和执行文件/组件的功能。但是,黑客可以扩展其功能。此外,由于此后门可以启动远程cmd shell,因此攻击者可以使用所有cmd命令,如图11所示。
Hussarini使用动态域名来保持匿名,并且还能够更改C&C服务器IP地址。但是,在进行此次分析时,我们只看到它解析为IP地址157.52.167.71,这与用于托管诱饵文档的IP相同。
图12. C&C域名解析
五、最后的想法
我们不确定该文件是如何分发的;然而,看看C&C域名publicdfaph.publicvm.com并考虑利用文档的文件名“Draft PH-US Dialogue on Cyber Security.doc”的和来自诱饵文档下载链接hxxp://157.52.167.71:29317/office/word/2003/ph2/philip.varilla的线索,有一种情况似乎最有意义。
所使用的名称可能使其看起来像来自信息和通信技术部(DICT)的文件,或者可能来自服务总监,这意味着外交部(DFA)的员工是目标。显然,在C&C域名中使用publicdfaph用于伪装流量并欺骗网络管理员认为该域名在DFA下,以免引起任何怀疑。
六、总结
Hussarini在2014年针对菲律宾和泰国的APT活动中首次出现。现在,这种恶意软件仍在积极用于攻击菲律宾。信息和通信技术部成立于2016年,并承认菲律宾的网络安全状况仍处于起步阶段。总的来说,这将使菲律宾继续成为网络犯罪/网络间谍或甚至是国家支持的攻击的目标。因此,我们预计针对该地区的攻击在数量和质量上将继续上升。与往常一样,FortiGuard Labs将继续监控事件,以寻找,捕获和阻止这些攻击。
IOCs:
SHA256:
154261a4aab73f1ceef28695d8837902cc1e8b5cca0b8fc81ddeda350564adc0 – MSOffice/CVE_2017_11882.A!tr
05dcc7856661244d082daa88a074d2f266c70623789a7bb5a919282b178d8f98 – W32/Sarhust.D!tr
CC:
hxxp://157.52.167.71:29317/office/word/2003/ph2/philip.varilla
hxxp://publicdfaph.publicvm.com:8080/