APT-RAT(Poison ivy ) 攻击模拟及监测口令提取

本文作者：Cherishao（信安之路应急响应小组组长）

APT：高级持续性威胁，APT 攻击主要是指针对特定组织、特定领域或个人进行的蓄谋已久的攻击。如：针对一个国家的基础设施的破坏，针对国防、航空航天、医疗、军民融合等重大领域项目、针对工业系统的破坏、针对金融系统的犯罪、针对地缘政治的影响、针对特定个人的移动端攻击。

在传统的认知中，APT 活动应该是比较隐蔽的，通常不易被察觉。但在 2017 年，APT 组织及其活动，则与网络空间中的大国博弈之间呈现出很多微妙的显性联系。

这种联系主要表现在以下五个方面：

一、APT 行动与国家间的政治摩擦密切相关，如，双尾蝎、黄金鼠和摩诃草等组 织在 2017 年的攻击活动；

二、APT 行动对于地缘政治的影响日益显著， 如 APT28 对法国大选的干扰；

三、指责他国的 APT 活动已成重要外交 手段，如英美等国指责朝鲜制造了 WannaCry；

四、部分机构选择在敏感时期发布 APT 报告，如 APEC 前期有安全机构持续披露海莲花相关 信息；

五、APT 组织针对国家智库的攻击显著增多，如美国的 CSIS（战 略与国际问题研究中心）被入侵。

APT 基础介绍

窃取机构内的敏感数据，最长已持续 10 年，特别是微软 Office 和 WPS 等文档文件。

APT 的攻击方式

攻击者常常使用漏洞利用技术，意图达到未授权安装执行的目的，不仅如此，漏洞的使用还能保证二进制 PE 程序能躲避杀毒软件的检测。攻击组织一般都掌握着或多或少的 0day 漏洞，不过考虑到成本问题，他们更倾向使用 1day 和 Nday 漏洞展开攻击。 攻击组织一般通过公开的资源、窃取的数据、以及多组织之间的合作，逐步对被攻击目 标从了解到掌握。同时，被攻击目标的供应链涉及到多个环节，这些环节往往也成为被攻击的目标。鱼叉攻击和水坑攻击依然是 APT 组织最青睐的攻击方式，其中鱼叉攻击占主流，也存在通过硬件设备进行网络劫持的攻击。

APT 攻击频繁原因

网络军火民用化 ，2017 年泄露的网络武器库的最终源头主要有两个，一个是据称是 NSA 旗下的方程式组织，另一个据称是美国中情局（CIA）直属的网络情报中心。

监测原理剖析

相信经过以上对 APT 概念化的介绍，没有接触 APT 组的朋友，应该能更加理解这些 APT 组织对一个国家网络空间安全的危害有多大（更多关于近几年 APT 的事件及报告，笔者已将其进行了整理，详情见附件，感兴趣的朋友可通过文末链接下载），那怎么去追踪监测 APT 攻击事件呢?

首先，我们得弄明白这样一点，很多高级可持续攻击 （APT 攻击）活动，其功能以窃取信息和收集情报为主，并且均已隐蔽工作了数年。凡有通讯，必有痕迹（天下武功、唯快不破）我们可以针对重点的通讯数据分析、异常HTTP/HTTPS 通讯分析、木马心跳包分析、境外 DNS 检索、特征回查等方式来准确发现网络中的各种隐蔽、狡猾的高级网络攻击窃密行为。

(Poison ivy RAT) 攻击模拟

Poison IVY （以下简称 PIVY）是一款十分强大的窃密木马，PIVY 具有易於使用的功能，且这种方便取用的 RAT 可为攻击者者提供较高的匿名性。 相较於其他 RAT，PIVY 是非常容易操作的。其图形化使用者介面 (GUI) 可让使用者轻松建立新的服器及控制受感染的目标。攻击者只要动一动鼠标即可直接入侵到网络、进行资料窃取。

在 APT-C-01、APT-C-12 组织的攻击活动中，都有着 PIVY 的身影，接下来我们演示 PIVY 的远控过程，控制服务器的建立及被控肉鸡的上线及数据被窃取被监控过程。

演示环境

1) 主机

Win XP1 :192,168.30.128

Win XP2 : 192,168.30.129

2）分析工具

Wireshark、火绒剑。

服务端构建及木马程序生成

一、在本机新建一个监控代理服务器，并生成一个木马程序 Trojan.exe ( PIVY 支持 2 种模式一种 shellcode 模式、另一种就是 exe)

配置服务器 Connect 信息,这里密码我们使用（NuclearCrisis）

二、设置要生成得木马程序名“Trojan.exe”开启混淆

三、互斥体选择默认（)!VoqA.I4）、注入进程默认注入浏览器进程，也可以自行更改，启用键盘记录功能，这里生成得木马程序选择 PE,Shellcode(支持 Binary、C Array、Delphi Array、Python Array 五种模式 )

四、木马程序生成的时候，可设置程序图标（ICON）、可添加新一部分的执行 payload，也可加壳

五、Generate 在桌面生成 Trojan.exe

六、开启监听，用之前的密码（NuclearCrisis），监听 3460 端口，我们之前没有勾选 key file，所以这里不需要导入。

木马程序植入

在 XP2 中，运行我们生成的木马程序，用火绒监控发现:Trojan.exe 运行后，清除了桌面的 Trojan.exe 并转移到 C:\WINDWS\system32\ 下隐藏。同时修改了注册表，mekey 及 setval 的值。

当在 XP2 中运行了木马程序之后，在 XP1 中，我们立刻看到了木马上线的信息：

此时，我们就已经取得了 XP2 的 Administrator 权限，PIVY 具备了常规远控都具备的功能：屏幕监控，键盘记录，shell 上传，进程、服务管理等。

这里笔者就演示下键盘记录：

我们在 XP2 的 notepad++ 中键入：“Hello This is a test :).”在 XP1 中 key Logger 中刷新即可看到我们刚刚键入的内容：）

在这里也可以看到我们 Trojan.exe 注入的进程：

监测口令提取

在监测原理剖析部分，我们就已经对监测特征的提取原理做了简单的阐述，本次提取就是根据 PIVY 木马的心跳特征及常用的默认密码（密码这种东西是一个有点玄学的事情，你平常喜欢用什么密码，下次就会不假思索的再次使用相同的密码，大概是因为记起来麻烦吧！haha），所以对于 PIVY 的监测口令的提取，就在于更换不同的密码，模拟上线过程，抓取监测的通信特征。Let`s Go：）

一、 上线过程模拟，上面已经介绍过。

这里虚拟机回滚到上一个快照，重新上线（因为 PIVY, 含有互斥体，运行过一次的程序在同一环境，就不会再次触发）。

二、 利用 Wireshark 进行数据包抓取，并提取特征。

过滤表达式：tcp.port==3460 and ip.len==88

根据其心跳特征，从上面过滤的数据流我们可以发现，同一口令，其回连的数据中有 48byte 是一样的，提取其中的 12byte 作为元数据流作为监测即可。

故 NuclearCrisis 口令的监测通信特征为：b9 8c 62 c9 28 d4 6a 27 01 89 71 72（hex）

IOC

Domain:

kr.iphone.qpoe.com js001.3322.org apple.cmdnetview.com emailserl63.serveusers.com fevupdate.ocry.com hy-zhqopin.mynumber.org 163service.serveuser.com microsoftword.serveuser.com updateinfo.servegame.org uswebmaill63.sendsmtp.com winsysupdate.dynamic-dns.net wmiaprp.ezua.com zxcv201789.dynssl.com officepatch.dnset.com comehigh.mefound.com

IP：

131.213.66.10 146.0.32.168 165.227.220.223 188.166.67.36 45.76.228.61 45.76.9.206 45.77.171.209

Token：

Token 1 ：NuclearCrisis b9 8c 62 c9 28 d4 6a 27 01 89 71 72

Token 2: !@#3432!@#@! 39 6a 10 a5 35 2f 84 46 ac 4c 66 8f

Token 3: 1wd3wa$RFGHY^%$ ab ff ed 56 55 b8 07 ea d1 6f dc 98

Token 4: wyaaa8 b4 d3 ba 81 07 c9 e6 53 f7 ab 7b b5

Token 5: HK#mq6!Z+. 4d 55 7e 2a bf c6 e3 c4 fd a1 73 24

Token 6: ~@FA<9p2c* 4a 16 10 28 97 f4 48 94 9a 99 e8 57

Token 7: ppt.168@ f1 ec 53 94 ec 3d af 43 23 6c 96 da

Token 8: index#help f5 60 9b f0 1f ca 0d 71 4c b9 f0 91

Token 9: 0A@2q60#21 2a ec 66 87 c2 d1 59 5a f1 9f 40 53

Token 10: aZ!@2q6U0# c8 99 c2 9e 21 ac 8b c7 4c 23 5f c2

总结及附件

总结

笔者主要对 APT 进行了简单介绍，对 PIVY RAT 的木马上线过程进行了模拟，对其通信过程进行了简单的分析并提取了相关的监测特征，关于PIVY的逆向分析部分，感兴趣的朋友可以见下面的附件（Fire-Eye 的 Poison Ivy 样本分析报告）。

附件

附件主要为笔者整理的 APT 的相关报告、本次提取的口令的通信包以及 PIVY 样本，感兴趣的朋友，可以下载查阅或进行分析试验。“一入分析深似海，路漫漫其修远兮”可视化的东西看起来效果还是好些（一看就懂，一做就会），最后提供一个 PIVY 配置的视频链接：

https://www.bilibili.com/video/av22939021

附件下载链接：

https://pan.baidu.com/s/1Fp_kjhAgCdwaJDADRLUTuw 密码：0y5g