APT

APT(Advanced Persistent Threat):高级持续性威胁。主要是某一个黑客组织针对特定目标进行长年累月的黑客活动,都是有组织有预谋的,一般是国家级的行动。
火眼不愧是美国公司,报道的APT组织大部分是中国的,其他的都是俄罗斯、朝鲜、伊朗等国家,对于自己国家的APT活动是不会谈及的。其实中国的安全企业也是一样,基本只披露别国的APT组织。毕竟APT组织是很敏感的话题。不过,卡巴斯基似乎并没有这样,对于俄罗斯的APT组织同样披露。
火眼公司给这些APT组织进行了编号。先来了解一下APT1和APT10,更详细的信息,待我读完火眼关于这两个组织的报告再进行总结和细谈。

另外关于APT的介绍可以参考APT攻击检测与防御详解

APT1

总参三部二局61398部队

攻击目标:信息技术,航空航天,公共管理,卫星和电信,科学研究和咨询,能源,运输,建筑和制造,工程服务,高科技电子,国际组织,法律服务媒体,广告和娱乐,导航,化学,金融服务 ,食品和农业,医疗保健,金属和采矿,教育

概括:APT1系统性地从至少141个组织窃取了数百TB的数据,并且已经证明了同时从数十个组织窃取的能力和意图。 该组织的攻击重点是在英语母语国家的各个行业。 APT1基础设施的规模至少数十个,该组织有数百个成员。

相关恶意软件:TROJAN.ECLTYS, BACKDOOR.BARKIOFORK, BACKDOOR.WAKEMINAP, TROJAN.DOWNBOT, BACKDOOR.DALBOT, BACKDOOR.REVIRD, TROJAN.BADNAME, BACKDOOR.WUALESS

攻击向量:最常见的初始攻击方法是鱼叉式网络钓鱼。 鱼叉网络钓鱼电子邮件包含恶意附件或恶意文件的超链接。 电子邮件正文中的主题行和文本通常与收件人相关。 APT1还使用真实姓名创建网络邮件帐户。 虽然APT1入侵者偶尔会使用Poison Ivy和Gh0st RAT这样的公共后门,但绝大多数时候他们使用的似乎是他们自己的定制后门。 在整个网络停留期间(可能是几年),APT1通常会安装新的后门,因为他们认为环境中有更多系统。 然后,如果被发现并删除了一个后门,他们仍然可以使用其他后门。 当APT1存在超过几周时,我们通常会检测分散在受害者网络周围的多个APT1后门系列。

相关链接

APT10

Menupass Team,嫌疑:中国
攻击目标:建筑和工程,航空航天和电信公司,以及美国,欧洲和日本的政府

概括: APT10是火眼自2009年以来一直追踪的中国网络间谍组织。他们历来以美国,欧洲和日本的建筑和工程,航空航天和电信公司以及政府为目标。火眼认为,APT10通过获取有价值的军事和情报信息以及窃取机密商业数据来支持中国公司的发展。

相关恶意软件: HAYMAKER, SNUGRIDE, BUGJUICE, QUASARRAT,UPPERCUT

攻击向量:最近的APT10活动包括传统的鱼叉式网络钓鱼和通过托管服务提供商连接受害者网络。 (有关通过服务提供商感染的更多信息,请参阅2016年M-Trends)。 APT10鱼叉式网络钓鱼相对简单,利用档案中的.lnk文件,具有双重扩展名的文件(例如[Redacted] _Group_Meeting_Document_20170222_doc_.exe),在某些情况下,在同一档案中简单地命名为诱饵文件和恶意启动器。除了鱼叉钓鱼之外,火眼 ISIGHT Intelligence还观察到APT10通过全球服务提供商连接受害者。

PwCBAE2017年4月3日的报道

相关链接

BAE的报道

相关链接

火眼2017年4月6日的报道

APT10的复出

2016年6月,火眼iSIGHT情报部门首次报道APT10扩大了业务范围。 该组最初被发现以日本大学为目标,随后在日本发现了更广泛的目标。 火眼即服务(FaaS),Mandiant和火眼iSIGHT情报部门之间的进一步合作揭示了全球范围内的其他网络攻击受害者和APT10的一套新工具和新技术。

用新工具进行全球范围锁定

凭借其全球足迹,火眼在2016年和2017年检测到六大洲的APT10活动。APT10攻击了印度和日本以及北欧的制造公司、南美的一家矿业公司和全球多个IT服务提供商。
APT10在2016/2017活动中推出了新工具。 除了继续使用SOGU之外,目前的入侵活动中还涉及APT10独有的新工具。 HAYMAKER和SNUGRIDE已被用作第一阶段后门,而BUGJUICE和定制版本的开源QUASARRAT已被用作第二阶段后门。 这些新的恶意软件表明,APT10正在投入资源进行恶意软件的开发和创新。
HAYMAKER是一个后门程序,可以以模块的形式下载和执行其他有效攻击载荷。 它还执行基本的被入侵者的分析活动,收集计算机名称,运行进程ID,%TEMP%目录路径和IE浏览器的版本。 它使用系统默认User-Agent字符串将编码的系统信息传递给单个硬编码的C2服务器。
BUGJUICE是一个后门程序,它通过启动一个非恶意文件来劫持搜索顺序,从而加载恶意dll并执行。 该恶意dll从二进制文件加载加密的shellcode,该二进制文件被解密并运行最终的BUGJUICE有效攻击载荷。 BUGJUICE默认使用自定义二进制协议与C2通信,但如果由C2指示,也可以使用HTTP和HTTPS。 它具有查找文件,枚举驱动器,泄露数据,截取屏幕截图和提供反向shell的功能。
SNUGRIDE是一个后门程序,通过HTTP请求与其C2服务器通信。 使用带有静态密钥的AES加密消息。 恶意软件的功能包括进行系统检测,访问文件系统,执行命令和反向shell。 通过Run注册表项维护持久性。
QUASARRAT是一个开源RAT,可在此处获得。 APT10(1.3.4.0,2.0.0.0和2.0.0.1)使用的版本无法通过公共GitHub页面获得,表明APT10已进一步定制了开源版本。 2.0版本需要一个文件投放器来解密并启动AES加密的QUASARRAT有效攻击载荷。 QUASARRAT是一个功能齐全的.NET后门程序,过去曾被多个网络间谍组织使用过。

传统方法和新方法

最近的APT10活动包括传统的鱼叉式网络钓鱼和通过服务提供商访问受害者网络。(有关通过服务提供商感染的更多信息,请参阅M-Trends 2016)。 APT10鱼叉式钓鱼相对简单,利用档案中的.lnk文件——具有双重扩展名的文件(例如“[Redacted] _Group_Meeting_Document_20170222_doc_.exe”)。在某些情况下,在同一档案中简单地命名为诱饵文件和恶意启动器。
除了鱼叉钓鱼之外,火眼ISIGHT情报部门还注意到APT10通过全球服务提供商访问受害者。服务提供商可以充分访问客户网络,成功攻击了服务提供商之后,攻击者能够进入到服务提供商的客户网络中。 此外,服务提供商的客户和服务提供商之间的网络流量很可能被客户的网络防火墙视为非恶意的,这使得攻击者能够隐秘地窃取数据。火眼还观察到的一个值得注意的例子是SOGU后门设置成通过被攻击成功的服务商的服务器与C2服务器通信。
APT10向存在于被攻陷主机的SOGU后门发出以下命令:

1
2
3
4
5
6
sc create CorWrTool binPath= "\"C:\Windows\vss\vixDiskMountServer.exe\"" start= auto displayname= "Corel Writing Tools Utility" type= own
sc description CorWrTool "Corel Graphics Corporation Applications."
ping -a [Redacted]
psexec.exe <orghost> d.exe
net view /domain:[Redacted]
proxyconnect - "port": 3389, "server": "[IP Address Redacted]"

这些命令含有在受害者系统上设置持久性的功能。 然后,攻击实施者测试了与受害者服务提供商IP的连接。 一旦验证了与服务提供商IP的连接,攻击者就建立了服务提供商IP作为受害者SOGU后门的代理。 这有效地通过受害服务提供商来传输SOGU恶意软件流量,这种方法可以隐藏恶意流量。

相关链接

火眼2018年8月13日的报道

最近活动

2018年7月,火眼公司检测到并且封锁了APT10对日本媒体界的攻击。早在2009年,火眼就监测到了APT10的网络间谍活动,他们有过攻击日本单位的历史。这次活动中,APT10发送了鱼叉钓鱼邮件,其中包含了能够安装UPPERCUT后门的恶意文档。这个后门是以ANEL为名在网络安全社区出名的。

恶意文档攻击技术详解

钓鱼邮件附件是包含恶意VBA宏的加密word文档,一旦输入密码后,文档会请求用户启用宏。当用户同意启用宏之后,会释放三个PEM文件(.txt文件格式)到temp文件夹里,然后在从该文件夹复制到alluserprofile文件夹里。然后,宏会用Windows系统内置的管理证书的命令行程序certutil.exe)解码被释放的文件。宏使用Windows系统内置的可扩展存储引擎实用程序esentutl.exe创建之前被释放出来的三个文件(GUP.exelibcurl.dll、3F2E3AB9(shellcode))的可执行的副本。宏启用了合法的GUP.exe,GUP.exe旁路加载libcurl.dll,libcurl.dll解密并运行3F2E3AB9,3F2E3AB9解码(在解码前,使用了基于ntdll_NtSetInformationThread(可以让线程从调试器脱离)的反调试技术)并解压另一个DLL文件即UPPERCUT后门,UPPERCUT后门加载进内存,调用随机命名的导出函数。然后用esentutl.exe删除最初释放的三个.txt文件,并将文本改为嵌入消息

UPPERCUT的演化

与之前的版本不同,最近的版本导出函数名是随机化的。
如果恶意软件无法从C2端服务器接收HTTP响应,则会在Cookie头填写错误代码(是GetLastError函数的返回值,在下一个数据包中发送)。
老版本在与C2通信时使用了硬编码字符串,新版本中,密钥对每个C2地址都是唯一的硬编码,并使用C2计算出来的MD5来确定使用哪个密钥。
后门通过POST发送消息给C2服务器。
后门使用与以前相同的RGPH对命令字符串进行哈希处理。
老版本支持从C2服务端下载认证文件、上传文件到C2服务端、加载PE文件、下载认证执行文件并将输出结果发送给C2端、通过cmd.exe执行命令并将输出结果发送给C2端,新版本在老版本的基础上增加了两个功能:截图屏幕并以png的格式发送给服务端格式化当前时间戳

总结

与C2端通信加密密钥的更新导致分析恶意流量很难,这说明APT10具备更新恶意软件的强大能力。为了减轻这样的攻击,建议关闭Microsoft Office的宏并且不要轻易打开未知来源的文档。火眼的Multi-Vector Execution (MVX) engine能够识别和拦截APT10的攻击,检测名称为APT.Backdoor.Win.UPPERCUT和FE_APT_Backdoor_Win32_UPPERCUT。
相关链接