导语:trendmicro安全人员分析了Confucius的新工作方式以及与patchwork的关联。
早在二月份,我们就注意到了Patchwork和Confucius组织之间的相似之处,并发现除了恶意代码中的相似之外,这两个组织都主要针对南亚的目标。在追踪Confucius的这几个月里,我们发现其仍然瞄准位于巴基斯坦的目标。
在之前的行动中,我们发现Confucius使用假浪漫网站诱骗受害者安装恶意Android应用程序。这一次,攻击者有了一种新的工作方式,建立了两个新的网站和新的有效载荷,以此来攻击目标。
假安卓色情app和Windows聊天应用程序作为诱饵
第一个网站通过名为Fuddi Duniya的Android应用程序将成人内容用作诱饵,该应用程序链接到一个每天显示裸体照片的网站。该应用的APK直接从网站主页链接,并声明Google Play不允许在其商店中出现色情内容。
图1:带有链接的虚假网站,下载Fuddi Duniya应用程序
该应用程序的功能类似于以前的恶意Android应用程序,例如具有录制音频和窃取特定目录中的SMS、帐户、联系人和某些文件类型的功能。此外,该应用程序现在检索最后一个已知位置,并使用开发平台Google Firebase上传被盗内容。
图2:Fuddi Duniya Android应用程序的窃取信息函数
第二个虚假网站又与聊天相关,后台提示它可以帮助用户找到合作伙伴。最初,存在一个与Google Play上托管的恶意Android应用程序的链接,该应用程序与上述应用程序共享相同的功能。但是当我们在进行研究时与Google联系后,该应用程序被从商店中删除,链接从假网站上移除。
图3.第二个假网站的屏幕截图
与我们之前的研究中详细描述的假Tweety聊天应用程序相同,Windows应用程序提供基于开源聊天应用程序RocketChat的真实聊天功能。同样,这个应用程序也捆绑了恶意的.NET代码。
虽然体积小且相对简单,但我们发现这个恶意应用程序很有趣,因为它揭示了威胁发起者所针对的国家。该应用程序是一个简单的下载程序,它发送使用3DES加密的一些基本信息(用户名、防病毒软件、IP地址和操作系统版本)。
图4.app代码示例
恶意软件定期尝试联系命令和控制(C&C)服务器,并将用户名编码到参数中。根据获取的信息,运营者可以决定指示恶意软件下载第二阶段的有效载荷。该功能与我们在之前的blog和whitepaper中分析的各种后门程序(如sctrls和sip_telephone)类似。
下载器有一个有趣的功能:它使用在线服务来检索受害者的IP地址和国家,并将其与允许的国家列表进行比较。如果受害者来自不同的国家,该程序将自行删除并退出。该列表包含:
· 大部分南亚和东南亚国家(包括蒙古)
· 大多数中东国家
· 大多数非洲国家
· 欧洲只有乌克兰
· 美洲只有特立尼达和多巴哥
· 没有来自大洋洲的国家
图5.有效国家列表的摘录
我们注意到它同时在客户端和服务器端执行IP过滤,表明攻击者已经改进了其基础架构。在去年年底,来自同一威胁行为者的C&C不仅可以从任何IP地址访问,而且可以在不进行身份验证的情况下浏览服务器目录树。
在模仿一个假兴趣受害者后,我们获得了第二阶段有效载荷(检测为TROJ_DELF.XXWZ),这是一个基于Delphi编程语言的文件编辑器,类似于我们之前的博客中描述的svctrls恶意软件。这个称为sysctrls,它查找具有以下扩展名的文件:
然后通过POST HTTP请求将它们发送到windefendr[.]com/description.php。
对这个档案编辑器的进一步分析揭示了与其他威胁组织的有趣联系。
Delphi链接
我们在之前的博客已经提到,Confucius在有可能与其他组织有联系,其中提到了Patchwork和Confucius之间的代码共享。两个组织都使用了一个具有相同配置文件结构和命令的后门。
我们发现这两个威胁行为者的恶意软件之间共享更多的代码。Patchwork最近使用了一些类似于我们之前描述的Delphi恶意软件的多个Delphi恶意软件。
我们最初发现了所使用的恶意软件之间一些视觉上的相似性。尽管在恶意软件运行时没有显示任何表单,但我们可以在Delphi反编译器中看到它的TForm对象。TForm对象通常有两个TTimer对象,但有时我们看到了一个或者甚至三个这样的对象,通常都使用随机名。有时候,还会添加带加密字符串的列表框。
图6:Confucius样本的反编译表单结构
图7:Patchwork样本的反编译表单结构
在查看任意一个TTimers的OnTimer方法时,我们经常发现某种结构:指向存储在EDX寄存器中的加密字符串的指针,然后是对解密函数的调用。
图8:调用解密函数
这鼓励我们全面彻底分析字符串加密程序。
我们的分析了其中的三个。第一个涉及一个非常简单的例程,用于翻转字符串的每一位。第二种算法包含一个硬编码密钥,该密钥通过取每个字符的低五位进行变换,然后用作XOR密钥。在某些情况下,密钥在二进制文件中被分割成两部分,因此在使用之前它首先被重新合并。最后,我们的第三个算法使用一个94个字符的替换表。安全研究人员在Confucius相关的博客中曾经讨论过该算法。
对于这些算法中的每一个,我们都发现最近的一个样本会回溯到属于Patchwork基础架构的域名。
第三个算法的替换表是在构建时随机生成的,而攻击者似乎设置了第二种算法中使用的密钥。我们在后一类中发现了六个不同的密钥,这对于拼Patchwork和Confucius来说是不同的。
图9.左边是Confucius的代码,右边是Patchwork的代码
有趣的是,其中一个密钥“xldbszcd”在Confucius使用的文件窃取程序中找到(472ea4929c5e0fb4e29597311ed90a14c57bc67fbf26f81a3aac042aa3dccb55,检测为TSPY_CONFSTEAL.A),同样存在于另外两个文件窃取程序中。
第一个文件窃取程序(cca74bb322ad7833a21209b1418c9837e30983daec30d199a839f46075ee72f2,检测为TSPY_DELF.SUW)于2013年由安全研究人员发布并与域名myflatnet[.]com相关联,归属于Hangover组织。
另一个文件窃取程序(1f0dabd61947b6df8a392b77a0eae33777be3caad13698aecc223b54ab4b859a,检测为TROJ_DELF.XXWZ)与2016年9月报告的域名相关。该报告还提到了InPage软件和Delphi后门程序。
图10.左:Confucius组织,中间:Hangover组织,右:未命名的组织
经过一番研究,我们发现有多个Delphi后门使用了三种解密程序中的一种。后门还链接到旧的Hangover域名以及与2016年9月博客帖子中的域名相匹配的基础设施。其中一些样本已有好几年的历史,并且保留了“EnDecrypt”这个按位取反解密算法的原始名称。该算法与以下代码匹配。
Patchwork的持续运动
除了Delphi恶意软件,Patchwork仍然活跃。最近,他们一直在利用CVE-2017-8570发送多个RTF文件。投放的有效载荷是可以追踪到域名sastind-cn [.] org和tautiaos [.] com的远程管理工具QuasarRAT的修改版本。
图11.成功感染后的进程树
攻击者有时会将武器文件设计成目标感兴趣的合法文件。有的文件非常大,通常超过10兆字节。
图12.左侧是武器化文档,右边是CSBA的合法文件
该组织仍然使用Badnews恶意软件,这是一种具有信息窃取和文件执行功能的后门,虽然在2017年末加密程序略有修改。当时他们在我们之前patchwork博文描述的自定义加密算法之上添加了Blowfish算法。
防御Confucius和Patchwork
像Confucius和Patchwork这样的组织以其大量的工具和不断发展的技术而闻名,这些技术使传统的安全解决方案无效。为了帮助抵御这些威胁,企业需要采取更加主动和专注的安全态势,以保证安全性。一些可以实施的特定安全措施:
· 识别社会工程。恶意移动app是网络犯罪分子常见的感染媒介,因为它们可以吸引特定的目标受众。在本文的案例中,Confucius就用了常见的“sex sells”。
· 主动监控企业的网络。攻击者因创造可绕过简单网络监控的隐形恶意软件而臭名昭著。包括正确应用防火墙、入侵检测和预防系统在内的更主动的措施可以帮助减轻攻击的影响。
· 实施网络分段。即使采用最好的安全技术,仍然有可能发生攻击。将网络分成若干段,并限制只有那些真正需要它的人才可以访问,在遭受攻击时减少损失。
· 定期更新系统。应该修补和更新从终端到网络软件到物联网设备的所有内容,以防止或最大限度地减少攻击者利用漏洞的机会。
在理想情况下,企业的内部安全团队实施所有这些以及其他安全措施。现实情况是,小型到大型组织的IT部门没有能力处理像Confucius这样的组织在攻击中使用的更高级的威胁。由于这些团队也负责企业的日常IT需求,因此可能并不容易采取更加积极主动的态度。在这种情况下,企业可以寻求专业的第三方安全提供商,这样可以更好地应对高级威胁。