APT 15新工具——MirageFox技术分析

导语:国外安全研究机构分析,APT 15是隶属中国政府的组织,而MirageFox是APT 15使用的最新工具,本文对MirageFox进行了分析。

APT 15背景

在调查美国海军承包商被黑和潜艇战争高度敏感数据被窃取事件的过程中,研究人员偶然发现该活动与APT 15有关。据称APT 15是隶属中国政府的APT组织,主要对不同国家的石油行业、政府承包商和军事相关单元进行网络监控相关活动。研究人员发现该组织最近使用的恶意软件MirageFox是2012年开始使用的RAT Mirage的升级版。APT 15攻击活动的另一个特点是使用计算机上已经安装的攻击和软件来运营,一旦进入目标网络,就会根据目标将恶意软件进行有针对性的修改。该组织的其他名称有Vixen Panda, Ke3chang, Royal APT, Playful Dragon等。

APT 15代码重用

研究人员在VirusTotal中发现了RAT的新版本,根据签名发现与中国政府隶属的组织有关。然后研究人员分析了是否存在代码重用的情况。

analyze_1_mirage-1024x474.png

研究人员发现,MirageFox与Mirage和Reaver都存在代码重用。

 

virustotal_28d6a9a709b9ead84aece250889a1687c07e19f6993325ba5295410a478da30a.png

在VirusTotal中,可以看到对该二进制文件的检测成功率为10/66,另一个版本(SHA256: 97813e76564aa829a359c2d12c9c6b824c532de0fc15f43765cf6b106a32b9a5)的检测率为11/60,第三个版本(SHA256: b7c1ae10f3037b7645541acb9f7421312fb1e164be964ee7acd6eb1299d6acb2)的检测率为9/64。

下面是研究人员发现的Mirage家族新旧二进制文件的代码重用相似率的例子。

远程shell

cmd_cnc_compare-968x1024.png

Mirage家族的许多二进制文件都含有上面的函数,当命令从C2发送后,上面的函数就会执行。该函数负责在cmd.exe中执行命令。

配置解密

miragefox_mirage_config_decrypt.png

另外一个函数是负责解密含有C&C配置的数据。C&C配置数据包括C&C服务器的IP、域名,端口,二进制文件名,休眠计时器和campaign identifier。

技术细节

目前,还不能获取原始的感染单元和其他APT组织用于攻击目标的信息。但仍可以得出一些结论。

首先,命名为MirageFox而不是Mirage的原因是模块的Export目录name域为MirageFox_Server.dat。

miragefox_export.png

从图中我们可以看出这是一个输出函数。MirageFox二进制文件会输出一个函数dll_wWinMain,该函数是McAfee模块vsodscpl.dll中的输出。最可能的方式是一些DLL劫持通过传播含有MirageFox的合法的McAfee二进制文件来加载DLL到看起来合法的进程。而且DLL劫持技术也是APT 15组织惯用的技术之一。这里的一个问题是一旦输出函数第一次被调用,该模块就会将自己重命名为sqlsrver.dll,而且没有关于该模块长期驻留的证据。通过重命名该DLL,RAT未来的执行将可以不通过McAfee二进制文件,未来的驻留可以通过恶意软件的其他组件和从C&C服务器受到的命令来建立。

最有意思的其实是解密的C&C配置信息,如下图所示:

decrypted_config.png

解密的配置:

C&C IP: 192.168.0.107
Port: 80
Sleep Timer: 30000
Campaign Identifier: Mirage

从解密的配置中,可以看到C&C服务器使用的IP是一个内网地址。NCC组织发布的RoyalAPT报告中就提到APT 15在窃取了VPN私钥后再次入侵了网站,所以,可以判断出该版本应该是针对那些已经入侵过的组织进行修改过配置版本。

network_diagram.png

MirageFox剩余的部分与APT 15创建的恶意软件是类似的。首先收集计算机信息,包括用户名、CPU信息、架构等等。然后将收集的信息发送给C&C,打开后门,等待从C&C发送的命令。 

结论

根据以上分析,我们可以得出结论,MirageFox是APT 15使用的恶意软件,与APT 15之前使用的恶意软件有代码重用。与APT 15之前的活动类似,在入侵了目标后,会进行一些侦查活动,并向C&C服务器发送收集的信息,随后接收来自C&C的指令来对恶意软件部件进行修改来更好地适应环境。

IOCs

MirageFox

28d6a9a709b9ead84aece250889a1687c07e19f6993325ba5295410a478da30a

97813e76564aa829a359c2d12c9c6b824c532de0fc15f43765cf6b106a32b9a5

b7c1ae10f3037b7645541acb9f7421312fb1e164be964ee7acd6eb1299d6acb2

RoyalAPT

016948ec7743b09e41b6968b42dfade5480774df3baf915e4c8753f5f90d1734

RoyalAPT C&C

buy.healthcare-internet[.]com

Mirage (w/ Same C&C Config Decryption)

5787eff4b4d6ee5b4c5457c9af5e2f2e3c75204b5989606b1faa9b944dc49a30 

b6bd5d8f5a824db05c37dde459b60a5571df87966e00390f2df56628da49b856 

b9403fb1e3743617bcdf8c1e5dd332c325c1e1f2e79bef166261fec0091880cf 

ffaddb93042243926a964864e21a28365807ac5be843f5e690f9916cddbbd55b 

b0a2923e817ac982c89510e4bd8eab68892ee51e5fa625bd806508a4b701aa78 

da4dbc738d069fbcc9b96ab4af2bd3f7a87c7b69a4b47071e099e36b481dfa01 

f633df1fb42666f62eb23fd70dac4e3c0c4908af123f9335f3b58e6ea205df8a 

e67e58bc736bd54e6915cb43af5f3c332da3592839a5a4884ba141b089310815 

1534432fafb21c0479343bc2d9f3991e56c75baa41c54b3470d41055bb578f8f 

27a0ce9761363f6a1eafc719b96bbe1f9a426e50e8b5abf84db963efddb89a8d 

d22c2ef1453d5575e05a673777931e07c44734fe467a77969bebe86e26aacf98 

f85023ae81917a7fae0d987134a968ffad346d5c3b35d3a98e237419dd334696 

24b3c3527a2431d1c1dd27fe6566ddcaa8e4b92e31e468bb733e827350830a14 

57550ab2d20a757b24137ab764a2e9bf644fd8e1f4313bca22e04db7fa608cc2 

4d45ddc35abf77cded21bafe5483d345585c1d84f52a101a65ebfda88be5ad7d

421f4c83898ff3ae9b2a94621140ef770888a8a0914b163cdae4690433173899

c27fb5fd362fdaec2e344564f76197d01e1dc463ee3552b16452fc41e67f2709 

cec9c4e48fad6e4c2b7cf4bc34d357893ef878e8be076c9f680f297e06184c20

源链接

Hacking more

...