趋势科技在2017年7月发现了ChessMaster，这是我们监控保护客户的一部分。当时，我们发现ChessMaster针对日本的学术界、媒体和政府机构。威胁组织使用各种攻击工具和技术来窥探其目标。

当时，我们注意到ChessMaster的复杂性，这意味着该行动可能会发生变化。果然在几个月之后，行动中使用的工具和策略发生了变化。尽管初始行动非常全面，并且使用了远程特洛伊木马（RAT），如ChChes和RedLeaves，但新攻击中使用了一种新的后门程序（趋势科技检测为BKDR_ANEL.ZKEI），该程序利用CVE-2017-8759漏洞进行网络间谍活动。

在本文中，我们分析了目前ChessMaster的状态，包括其武器库中更新的工具，特别关注了ANEL的演变以及如何在行动中使用。

一、技术分析

（一）、突破

图1. 目前ChessMaster感染链

目前，ChessMaster的流程从熟悉的钓鱼攻击开始，这些攻击涉及使用带有doc、docx、rtf、csv和msg格式附件恶意文件的电子邮件。电子邮件标题和附件名是用日语编写的，包含一般商业、政治和经济主题的短语，如

· 世界経済(World economy)

· 経済政策(economic policy)

· 予算概算要求(budget estimation request)

· 日米対話(Japan-US dialogue)

· 安倍再任(re-appointment of Prime Minister Abe)

· 連絡網(contact network)

· 職員採用案(staff recruitment plan)

· 会議(meeting)

但是，利用文档有所变化。当我们在11月份追踪ChessMaster时，注意到它利用了Microsoft .NET框架内的SOAP WSDL解析器漏洞CVE-2017-8759（2017年9月修补）来下载其他恶意软件。尽管ChessMaster仍然使用以前的漏洞，但它还为其武器添加了更多方法：其一是利用另一个漏洞CVE-2017-11882（2017年11月修补），该漏洞也被利用来传播非法版本的Loki infostealer。

图2. 利用CVE-2017-11882

它也滥用了三个合法的MS Office功能：

图3. 利用DDEAUTO

图4. 利用Microsoft Word’s “Frames/Frameset”

图5. 利用Link自动更新

ChessMaster可以利用这些方法中的任何一种下载感染链中的下一个恶意软件，即之前的攻击中使用过的开源利用工具Koadic。该工具负责窃取目标系统的信息——特别是环境信息。

（二）、Koadic

Koadic执行以下命令：

%comspec% /q /c <cmd> 1> <Output> 2>&1

Koadic的命令和输出将根据攻击中使用的ANEL版本而改变。下表列出了ANEL版本5.1.1 rc和5.1.2 rc1的命令和输出示例。请注意，如果下载了ANEL 5.1.2 rc1，攻击者将使用HTTPS，避免抓取明文形式的下载数据。

图6. 使用ANEL 5.1.1 rc 时，Koadic命令和输出

图7. 使用ANEL 5.1.2 rc时，Koadic命令和输出

下表列出了Koadic的所有功能：

图8. 当Koadic RAT下载时加载的命令(使用{Variable}.shell.exec command)

如果Koadic发现该系统符合攻击者的利益，它会从命令与控制（C＆C）服务器下载一个base64加密版本的ANEL恶意软件并执行。加密的ANEL使用certutil -decode命令进行解密。当ANEL执行时，在内存中释放名为lena_http_dll.dll的解密DLL文件。该文件包含一个导出函数—— crt_main或lena_main。

图9. Koadic下载Base64 编码的ANEL

(三)、ANEL

ANEL将环境信息发送给C＆C服务器。发送信息时，ANEL使用基于blowfish，XOR和Base64的加密方法对数据进行加密。ANEL用于发送数据的格式与ChChes相似，但ANEL的加密方法更易于使用。

图10. blowfish使用的加密密钥

我们最初在2017年11月发现了ANEL恶意软件。当时，ChessMaster使用ANEL作为目标系统的后门，之后将代码注入svchost.exe，最后解密并激活嵌入式后门。ANEL的初始版本有一个标有5.0.0 beta1的硬编码版本，其中包含不完整的代码。我们注意到这可能意味着未来版本的发布。

我们发现了ANEL的四种不同版本，而不仅仅是一个新的版本：

· 5.0.0 beta1

· 5.1.1 rc

· 5.1.2 rc1

· 5.2.0 rev1

不同的版本的更改包括ANEL加载程序和主ANEL DLL。下图显示了每个版本之间的变化：

图11. 各个版本的ANEL之间的变化

后门命令的差异：

上表中显示存在的差异很微小。例如，最早的ANEL版本5.0.0 beta1与其他版本相比使用了不同的C＆C服务器。一旦ANEL演变为5.1.1 rc，它将文件类型更改为可执行文件，同时也更改C＆C服务器。我们发现的第三个版本（5.1.2 rc1）恢复为DLL文件类型，但保留了C＆C服务器。ANEL的第四个版本（5.2.0 rev1）更改了主ANEL DLL中的导出函数并使用不同的C＆C服务器。总的来说，我们可以看到微小的变化，这表明ANEL背后的威胁攻击者正在对恶意软件逐步改进以完善它。

图12. ANEL 5.0.0 beta1 / 5.1.1 rc / 5.1.2 rc1（左）和ANEL 5.2.0 rev1（右）之间的后门功能差异

一旦ANEL进入用户系统，它将下载各种可用于恶意目的的工具，包括密码窃取工具以及恶意邮件服务和辅助工具，以便收集相关系统的信息。这其中就包括Getpass.exe和Mail.exe，它们是密码和信息窃取者。

它还下载以下工具：

· Accevent.exe< – >Microsoft Accessible Event Watcher 7.2.0.0

· event.dll< – > ssssss.ddd的加载程序，（检测为TROJ_ANELLDR）

· ssssss.ddd（lena_http.bin）< – >加密的BKDR_ANEL（检测为BKDR_ANELENC）

这三个文件使用了常见的DLL Side-Loading或DLL劫持技术。在此情况下，accevent.exe是主要的可执行文件，通常是合法的。执行accevent.exe后，加载event.dll，它将被放置在同一文件夹中（因此需要加载优先级），之后event.dll将解密并加载加密的后门程序ssssss.ddd，即BKDR_ANEL。当我们分析ANEL 5.1.1 RC时，加密的ANEL 5.1.2 RC1被下载并执行。

二、短期缓解措施

当用户打开文档DDEAUTO或链接自动更新时，Office将显示一条消息。如果用户点击“否”按钮，恶意行为将不会启动。

图13: DDEAUTO弹框

图14. Link自动更新弹框

Koadic以纯文本形式发送自己的JavaScript代码。我们能够在流量中检测到可疑通信。

图15. Koadic通信流量

三、中长期缓解措施

乍一看，ChessMaster在过去几个月的改进只涉及微妙的变化。然而，功能和攻击媒介的不断添加和变化表明，背后的攻击者不可能停下来，他们在持续改进工具和战术。

组织可以实施各种技术和最佳实践来抵御有针对性的攻击，例如定期打补丁以防止漏洞利用，并使用提供跨不同网络级别保护的工具。具备行为监控、应用程序控制、电子邮件网关监控和入侵/检测系统的解决方案可以为此提供帮助。

鉴于网络犯罪工具、策略和程序不断改进，组织将不得不超越其典型的日常安全需求，并找到一种先于攻击的方法。因此，迫切需要通过主动事件响应策略来检测和解决威胁。从本质上讲，这涉及到创建有效对付威胁的补救计划，并使用全天候入侵检测和威胁分析来防止攻击进入系统。主动策略对于有针对性的攻击可能更有效，因为这类攻击通常被设计为难以检测，因此需要将它们排除在外。涉及主动事件响应的全面安全策略需要决策者和技术人员的投入，因为他们需要在同一层面上才能有效。

四、IoC

下载器Hash :

· 76b1f75ee15273d1226392db3d8f1b2aed467c2875e11d9c14fd18120afc223a

· 4edcff56f586bd69585e0c9d1d7ff4bfb1a2dac6e2a9588f155015ececbe1275

· 1b5a1751960b2c08631601b07e3294e4c84dfd71896453b65a45e4396a6377cc

部分BKDR_ANEL家族Hashes：

5.0.0 beta1

· af1b2cd8580650d826f48ad824deef3749a7db6fde1c7e1dc115c6b0a7dfa0dd

5.1.1 rc

· 2371f5b63b1e44ca52ce8140840f3a8b01b7e3002f0a7f0d61aecf539566e6a1

5.1.2 rc1

· 05dd407018bd316090adaea0855bd7f7c72d9ce4380dd4bc0feadc6566a36170

5.2.0 rev1

· 00030ec8cce1f21120ebf5b90ec408b59166bbc3fba17ebae0fc23b3ca27bf4f

lena_http.bin

· 303f9c00edb4c6082542e456a30a2446a259b8bb9fb6b0f76ff318d5905e429c

工具:

Getpass.exe

· 52a8557c8cdd5d925453383934cb10a85b117522b95c6d28ca097632ac8bc10d

event.dll

· 6c3224dbf6bbabe058b0ab46233c9d35c970aa83e8c4bdffb85d78e31159d489

mail.exe

· 2f76c9242d5ad2b1f941fb47c94c80c1ce647df4d2d37ca2351864286b0bb3d8

URLs及IP :

· www[.]nasnnones[.]com

· trems[.]rvenee[.]com

· contacts[.]rvenee[.]com

· 91[.]207[.]7[.]91

· 89[.]18[.]27[.]159

· 89[.]37[.]226[.]108

· 185[.]25[.]51[.]116

· 185[.]81[.]113[.]95

· 185[.]144[.]83[.]82

· 185[.]153[.]198[.]58

· 185[.]159[.]129[.]226