译:小P
火眼实验室近日发现了针对中国政权活动的APT攻击,并作出了警告。攻击的目标是那些参与中国政权运动的社会团体成员。恶意的邮件是在北京举办第十二届全国人民代表大会和第十二届政治协商会议期间被注意到的,这两次会议的主要目的是选举中国政府新一届的领导人并制定新的五年计划。
邮件包含一个针对Office的EXP套件(CVE-2012-0158)用来释放一个良性的Payload以及一个诱饵wendan。其中包括我们熟知的PlugX木马,它是通过一系列良性文件来生成一个恶意的可执行程序。还包括微软的OinfoP11.exe文件,该文件与“Office Data Provider for WBEM”有关,合法存在于美国国家标准和技术研究所的国家软件参考库(NIST)中,是Microsoft Office 2003套件中的一个组件。为了通过完整性校验的保护措施,这个文件会被认为是合法的,无害的。一般情况下,在Windows 7及以上的发行版中,当UAC启用时,svchost.exe会通过弹出一个UAC对话框来与用户交互进而获得权限。而在这次攻击中不需要用户交互授权。主要的问题是这个文件是通过DLL加载的。在之前的一些案例中,PlugX利用类似DLL加载的方式利用例如McAfee的mcvsmap.exe,英特尔的hkcmd.exe以及NVIDIA的NvSmart.exe来加载自身。在这个案例中,OinfoP11.exe加载一个名为Oinfo11.ocx的DLL(这是一个被Payload污染的ActiveX DLL)并解压,解密出一个Payload文件Oinfo11.ISO。
下面的图片展示了这个攻击套件中文件之间的调用关系和各自的行为:
图片 1: 攻击示例图
渗透:
在图2中,攻击中发送的邮件的内容是宣传一个妇女投票权运动的研讨会。图片3是位于Google上的申请表格,也包含与邮件类似的内容。图片4中,诱饵文档包含Google表格链接中有关这次研讨会的详细内容。
图片 2: 原始邮件
下图是图片2邮件内容的英文翻译:
图片 3: Google 表格
诱饵文档:
图片 4: 诱饵文档
下图是上面文档内容的翻译:
攻击分析:
XLS文件(md5:1146fdd6b579ac7144ff575d4d4fa28d)利用CVE-2012-1058的Office exp来释放“ews.exe" payload程序和图片4中的诱饵文档。这个Payload会提取出微软的文件OINFOP11.exe,良性的DLL Oinfo11.ocx和一个在Oinfo11.ISO文件中的经过编码和压缩后的shellcode区段。Oinfop11.exe会加载一个Oinfo11.ocx的DLL文件,一旦加载之后会通过RTLDecompressBuffer进行解压缩并解密出Oinfo11.ISO让其运行在内存中。恶意的可执行程序永远不会驻留在文件系统中也因此不会被针对文件系统的反病毒软件察觉到。图片5展示出了被释放的各文件中的层次关系。
图片 5: Payload 关系
释放文件的总结表格:
利用细节:
恶意软件使用CVE-2012-0158来从图片6中的区段中释放Payload。
图片 6: Exp payload区段
Shellcode可以在这个区段的头几个字节中找到。图片7展示图片6中从偏移量0x1de0b开始的汇编代码。
图片 7: Payload Shellcode
活动特征:
OinfoP11.exe是一个来自微软的有效文件,见图片8
图片 8: 签名示例
当Oinfop11.exe通过下面的命令参数调用时,他会加载Oinfo11.ocx文件。
C:\Documents and Settings\All Users\SxS\OINFOP11.EXE” 200 0
图片 10: Loader 入口
箭头所指的地方就是ISO文件解压并解密后其中shellcode的入口点所在。
图片 11: Shellcode 例子
这是一段良性DLL Oinfo11.ocx加载后的内存空间。Oinfo11.ocx的核心功能是一个加载器,将恶意的payload代码释放到内存空间中。
图片 12: 解密后的ISO文件
这是是在整个过程中使用的解密循环。在这个样本中是用来解密内存中的ISO shellcode。
图片 13: 内存中DLL的位置
这是内存中恶意DLL的完整地址空间。
自身防御:
需要留意的地方:
注入:
DLL使用VirtualAlloc向svchost中注入代码,然后使用WriteProcessMemory写入svchost.exe的内存空间。然后线程会重新运行注入的代码。这个注入进程对svchost.exe和msiexec.exe会进行同样的操作。当svchost.exe产生msiexec.exe之后,它会调用CreateEnvironmentBlock和CreateProcessesUser让svchost服务启动一个新的用户会话。
键盘记录行为:
恶意程序会在%ALLUSERS PROFILE%\SXS\目录下创建一个NvSmart.hlp的键盘记录文件。下面是该文件的一个例子。
建立代理:
这个样本可以通过ICMP,UDP,HTTP和TCP来进行通信。在这种情况下样本使用:[ TCP], Host: [202.69.69.41:90], Proxy: [0::0::]的方式来建立一个代理用于C&C通信。
图片 14: 通信选项
该样本支持的一些操作模块在下面的表格中展示出来了。
图片15 15: 功能性样本
C&C的通信细节:
在图片16中,样本链接了202.69.69.41的90端口。这个案例中C&C节点已经挂掉了,但通信方式是一种非http的动态通信。图片17展示了一个回调内容的样本。这个样本也会尝试连接同一网络中的其他实例。
图片 17: Callback Traffic
图片 18: UDP Beacon
Whois Information on the IP 202.69.69.41 inetnum: 202.69.68.0 – 202.69.71.255 netname: NEWTT-AS-AP descr: Wharf T&T Limited descr: 11/F, Telecom Tower, descr: Wharf T&T Square, 123 Hoi Bun Road descr: Kwun Tong, Kowloon country: HK admin-c: EN62-AP tech-c: BW128-AP mnt-by: APNIC-HM mnt-lower: MAINT-HK-NEWTT mnt-routes: MAINT-HK-NEWTT mnt-irt: IRT-NEWTT-HK status: ALLOCATED PORTABLE remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ remarks: This object can only be updated by APNIC hostmasters. remarks: To update this object, please contact APNIC remarks: hostmasters and include your organisation’s account remarks: name in the subject line. remarks: -+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+ changed: [email protected] 20120725 source: APNIC person: Eric Ng nic-hdl: EN62-AP remarks: please report spam or abuse to [email protected] e-mail: [email protected] e-mail: [email protected] address: 11/F Telecom Tower, Wharf T&T Square address: 123 Hoi Bun Road, Kwun Tong,’ phone: +852-2112-2653 fax-no: +852-2112-7883 country: HK changed: [email protected] 20070716 mnt-by: MAINT-NEW source: APNIC person: Benson Wong nic-hdl: BW128-AP e-mail: [email protected] address: 5/F, Harbour City, Kowloon, address: Hong Kong phone: +852-21122651 fax-no: +852-21127883 country: HK changed: [email protected] 20070420 mnt-by: MAINT-HK-NEWTT source: APNIC
参考:
[1] http://rmqlxk.blogspot.com/2013/03/blog-post_15.html
[2] http://www.circl.lu/files/tr-12/tr-12-circl-plugx-analysis-v1.pdf
[3] http://lastline.com/an-analysis-of-plugx.php
[4] http://blog.trendmicro.com/trendlabs-security-intelligence/unplugging-plugx-capabilities/
via[Fire blog]