本文作者:Cherishao(信安之路应急响应小组组长)
APT:高级持续性威胁,APT 攻击主要是指针对特定组织、特定领域或个人进行的蓄谋已久的攻击。如:针对一个国家的基础设施的破坏,针对国防、航空航天、医疗、军民融合等重大领域项目、针对工业系统的破坏、针对金融系统的犯罪、针对地缘政治的影响、针对特定个人的移动端攻击。
在传统的认知中,APT 活动应该是比较隐蔽的,通常不易被察觉。但在 2017 年,APT 组织及其活动,则与网络空间中的大国博弈之间呈现出很多微妙的显性联系。
这种联系主要表现在以下五个方面:
一、APT 行动与国家间的政治摩擦密切相关,如,双尾蝎、黄金鼠和摩诃草等组 织在 2017 年的攻击活动;
二、APT 行动对于地缘政治的影响日益显著, 如 APT28 对法国大选的干扰;
三、指责他国的 APT 活动已成重要外交 手段,如英美等国指责朝鲜制造了 WannaCry;
四、部分机构选择在敏感时期发布 APT 报告,如 APEC 前期有安全机构持续披露海莲花相关 信息;
五、APT 组织针对国家智库的攻击显著增多,如美国的 CSIS(战 略与国际问题研究中心)被入侵。
窃取机构内的敏感数据,最长已持续 10 年,特别是微软 Office 和 WPS 等文档文件。
攻击者常常使用漏洞利用技术,意图达到未授权安装执行的目的,不仅如此,漏洞的使用还能保证二进制 PE 程序能躲避杀毒软件的检测。攻击组织一般都掌握着或多或少的 0day 漏洞,不过考虑到成本问题,他们更倾向使用 1day 和 Nday 漏洞展开攻击。 攻击组织一般通过公开的资源、窃取的数据、以及多组织之间的合作,逐步对被攻击目 标从了解到掌握。同时,被攻击目标的供应链涉及到多个环节,这些环节往往也成为被攻击的目标。鱼叉攻击和水坑攻击依然是 APT 组织最青睐的攻击方式,其中鱼叉攻击占主流,也存在通过硬件设备进行网络劫持的攻击。
网络军火民用化 ,2017 年泄露的网络武器库的最终源头主要有两个,一个是据称是 NSA 旗下的方程式组织,另一个据称是美国中情局(CIA)直属的网络情报中心。
相信经过以上对 APT 概念化的介绍,没有接触 APT 组的朋友,应该能更加理解这些 APT 组织对一个国家网络空间安全的危害有多大(更多关于近几年 APT 的事件及报告,笔者已将其进行了整理,详情见附件,感兴趣的朋友可通过文末链接下载),那怎么去追踪监测 APT 攻击事件呢?
首先,我们得弄明白这样一点,很多高级可持续攻击 (APT 攻击)活动,其功能以窃取信息和收集情报为主,并且均已隐蔽工作了数年。凡有通讯,必有痕迹(天下武功、唯快不破)我们可以针对重点的通讯数据分析、异常HTTP/HTTPS 通讯分析、木马心跳包分析、境外 DNS 检索、特征回查等方式来准确发现网络中的各种隐蔽、狡猾的高级网络攻击窃密行为。
Poison IVY (以下简称 PIVY)是一款十分强大的窃密木马,PIVY 具有易於使用的功能,且这种方便取用的 RAT 可为攻击者者提供较高的匿名性。 相较於其他 RAT,PIVY 是非常容易操作的。其图形化使用者介面 (GUI) 可让使用者轻松建立新的服器及控制受感染的目标。攻击者只要动一动鼠标即可直接入侵到网络、进行资料窃取。
在 APT-C-01、APT-C-12 组织的攻击活动中,都有着 PIVY 的身影,接下来我们演示 PIVY 的远控过程,控制服务器的建立及被控肉鸡的上线及数据被窃取被监控过程。
Win XP1 :192,168.30.128
Win XP2 : 192,168.30.129
Wireshark、火绒剑。
一、在本机新建一个监控代理服务器,并生成一个木马程序 Trojan.exe ( PIVY 支持 2 种模式一种 shellcode 模式、另一种就是 exe)
配置服务器 Connect 信息,这里密码我们使用(NuclearCrisis)
二、设置要生成得木马程序名“Trojan.exe”开启混淆
三、互斥体选择默认()!VoqA.I4)、注入进程默认注入浏览器进程,也可以自行更改,启用键盘记录功能,这里生成得木马程序选择 PE,Shellcode(支持 Binary、C Array、Delphi Array、Python Array 五种模式 )
四、木马程序生成的时候,可设置程序图标(ICON)、可添加新一部分的执行 payload,也可加壳
五、Generate 在桌面生成 Trojan.exe
六、开启监听,用之前的密码(NuclearCrisis),监听 3460 端口,我们之前没有勾选 key file,所以这里不需要导入。
在 XP2 中,运行我们生成的木马程序,用火绒监控发现:Trojan.exe 运行后,清除了桌面的 Trojan.exe 并转移到 C:\WINDWS\system32\
下隐藏。同时修改了注册表,mekey 及 setval 的值。
当在 XP2 中运行了木马程序之后,在 XP1 中,我们立刻看到了木马上线的信息:
此时,我们就已经取得了 XP2 的 Administrator 权限,PIVY 具备了常规远控都具备的功能:屏幕监控,键盘记录,shell 上传,进程、服务管理等。
这里笔者就演示下键盘记录:
我们在 XP2 的 notepad++ 中键入:“Hello This is a test :).”在 XP1 中 key Logger 中刷新即可看到我们刚刚键入的内容:)
在这里也可以看到我们 Trojan.exe 注入的进程:
在监测原理剖析部分,我们就已经对监测特征的提取原理做了简单的阐述,本次提取就是根据 PIVY 木马的心跳特征及常用的默认密码(密码这种东西是一个有点玄学的事情,你平常喜欢用什么密码,下次就会不假思索的再次使用相同的密码,大概是因为记起来麻烦吧!haha),所以对于 PIVY 的监测口令的提取,就在于更换不同的密码,模拟上线过程,抓取监测的通信特征。Let`s Go:)
一、 上线过程模拟,上面已经介绍过。
这里虚拟机回滚到上一个快照,重新上线(因为 PIVY, 含有互斥体,运行过一次的程序在同一环境,就不会再次触发)。
二、 利用 Wireshark 进行数据包抓取,并提取特征。
过滤表达式:tcp.port==3460 and ip.len==88
根据其心跳特征,从上面过滤的数据流我们可以发现,同一口令,其回连的数据中有 48byte 是一样的,提取其中的 12byte 作为元数据流作为监测即可。
故 NuclearCrisis 口令的监测通信特征为:b9 8c 62 c9 28 d4 6a 27 01 89 71 72(hex)
kr.iphone.qpoe.com js001.3322.org apple.cmdnetview.com emailserl63.serveusers.com fevupdate.ocry.com hy-zhqopin.mynumber.org 163service.serveuser.com microsoftword.serveuser.com updateinfo.servegame.org uswebmaill63.sendsmtp.com winsysupdate.dynamic-dns.net wmiaprp.ezua.com zxcv201789.dynssl.com officepatch.dnset.com comehigh.mefound.com
131.213.66.10 146.0.32.168 165.227.220.223 188.166.67.36 45.76.228.61 45.76.9.206 45.77.171.209
Token 1 :NuclearCrisis b9 8c 62 c9 28 d4 6a 27 01 89 71 72
Token 2: !@#3432!@#@! 39 6a 10 a5 35 2f 84 46 ac 4c 66 8f
Token 3: 1wd3wa$RFGHY^%$ ab ff ed 56 55 b8 07 ea d1 6f dc 98
Token 4: wyaaa8 b4 d3 ba 81 07 c9 e6 53 f7 ab 7b b5
Token 5: HK#mq6!Z+. 4d 55 7e 2a bf c6 e3 c4 fd a1 73 24
Token 6: ~@FA<9p2c* 4a 16 10 28 97 f4 48 94 9a 99 e8 57
Token 7: ppt.168@ f1 ec 53 94 ec 3d af 43 23 6c 96 da
Token 8: index#help f5 60 9b f0 1f ca 0d 71 4c b9 f0 91
Token 9: 0A@2q60#21 2a ec 66 87 c2 d1 59 5a f1 9f 40 53
Token 10: aZ!@2q6U0# c8 99 c2 9e 21 ac 8b c7 4c 23 5f c2
笔者主要对 APT 进行了简单介绍,对 PIVY RAT 的木马上线过程进行了模拟,对其通信过程进行了简单的分析并提取了相关的监测特征,关于PIVY的逆向分析部分,感兴趣的朋友可以见下面的附件(Fire-Eye 的 Poison Ivy 样本分析报告)。
附件主要为笔者整理的 APT 的相关报告、本次提取的口令的通信包以及 PIVY 样本,感兴趣的朋友,可以下载查阅或进行分析试验。“一入分析深似海,路漫漫其修远兮”可视化的东西看起来效果还是好些(一看就懂,一做就会),最后提供一个 PIVY 配置的视频链接:
https://www.bilibili.com/video/av22939021
附件下载链接:
https://pan.baidu.com/s/1Fp_kjhAgCdwaJDADRLUTuw 密码:0y5g