0x00 事件介绍
近日,360诺亚实验室通过360安全大脑监测发现了一起针对印度政府和军事人员的特定网络谍报活动,样本中反复出现BeautyBeast,Bella(美女野兽中的贝儿)字符串,对手伪造了DSOP政军官员公积金表格文档,并作出定向投递通过对样本的分析和对手意图定位,本次活动似乎与PAN Unit42团队披露的Operation Transparent Tribe重叠,研究人员进一步通过历史活动和新捕获活动的TTP提取对比,怀疑是Operation Transparent采用了新手段和新资产。
Transparent Tribe又称ProjectM、C-Major,是一个来自巴基斯坦的APT攻击组织,一直以来通过鱼叉活动和水坑攻击对印度政府和军方进行特定攻击,该组织的相关活动最早于2016年3月被proofpoint披露,通过研究,其相关活动从2012年即开始。
TTPs提取
Item | Comment |
攻击目标 | 印度政府、军事目标等 |
投递方式 | 鱼叉攻击 |
诱饵类型 | 带有VBA宏的doc、xls文档等。并且把相关的内容和恶意文件以整形的数据形式存放在窗体控件中。 |
诱饵内容 | 以攻击目标感兴趣的新闻和通知等内容 |
特马家族 | CrimsonRAT、.net loader、.net droper、PeppyRAT |
攻击目的 | 窃取相关资料文件 |
样本执行流程图
0x01攻击活动分析
诱饵文档
文件hash | b95e2ec3d72c65dd9495b633a1dbc906 |
文件名 | DSOP_Advance.xls |
文件类型 | MS Excel Spreadsheet |
文档作者 | tripleh |
创建时间 | 2020-01-27 11:18:08 |
表格内容是关于对印度政府和军队官员DSOP公积金撤销申请表的内容,其中主体IAFA(Indian Air Force Academy)为印度空军学院,是一所位于Dundigal的空军学院,印度所有空军军官均需在此培训后进入IAF,攻击者通过对特定目标的诱导投递,进行鱼叉邮件攻击。
此外,研究人员还捕获到该攻击诱饵的测试诱饵:
文件hash | 0a2b1f2201a99ee5726c7d5e4a1844f2 |
文件名 | 662c3b181467a9d2f40a7b632a4b5fe5ddd201a528ba408badbf7b2375ee3553.xls |
文件类型 | MS Excel Spreadsheet |
文档作者 | tripleh |
最后修改时间 | 2020-01-27 11:18:08 |
诱饵表现内容完全一致。
文档宏分析
通过OLETOOLS提取还原后,macro部分代码如下:
宏代码启动后,都会将窗体控件内容进行解密后释放到相关的文件夹中,并调用执行相关恶意文件。
有趣的是在做文件释放命名和目录命名时,混淆字符串中总带有标记beautybeast,并用!进行分割。
切割获取目录后,会在C:ProgramDatasystemidleperf下释放关键文件 windprocx.scr systemidleperf.vbs Realtime.cs。
systemidleperf.vbs unPack部分
释放执行的systemidleperf.vbs主要作为文件解包功能,解压systemidleperf.zip文件到当前目录:
systemidleperf.zip释放出来四个文件,两个dll均为微软的正常DLL,两个scr为开源程序SilentCMD,SilentCMD无需打开命令提示符窗口即可执行批处理文件。
windprocx.scr 二次调用/自杀免杀部分
该部分主要用于二次调用可执行文件,并调用免杀和宿主自杀:
其中SilentCMD部分无需打开命令提示符窗口即可执行批处理文件:
Realtime.cs Downloader部分
宏动态编译Realtime.cs并作为downloader执行:
从http[:]//www.awsyscloud[.]com/x64i.scr下载后续片段至c:programdatasystemidleperfdi.scr后调用执行。
x64i.scr RAT部分
x64i.scr为python打包的PE文件,导出打包文件后分析其主要功能为释放二进制文件:SppExtComTel.scr。
释放SppExtComTel.scr细节分析
其中的loader模块主要对系统基本信息进行收集并二次OOB传递,然后下载并加载RAT的部分功能m1ssh0upUuchCukXanevPozlu.dll,并继续内嵌p2ehtHero0paSth3end.dll 作为上述部分功能的组成模块, p2ehtHero0paSth3end.dll用于文件管理、进程管理、启动项添加。
获取系统基础信息
获取基础信息并渗出到远程地址
http[:]//awsyscloud[.]com/E@t!aBbU0le8hiInks/cred!tors.php ,从而获取远程RAT的对应目录。
获得RAT dll的远程目录http[:]//awsyscloud[.]com/E@t!aBbU0le8hiInks/D/3500/
第二次传递数据到http[:]//awsyscloud[.]com/E@t!aBbU0le8hiInks/ballenotapey.php获取下载的对应dll文件名。
字段进行分割后解析可知:
通过str2+text4拼接远程链接,下载对应数据保存到系统临时目录重命名为meloy.post.dll;通过str+text3拼接远程链接,下载对应数据保存到系统临时目录重命名为winpotter.dll并反射加载;
winpotter.dll 核心模块分析
该模块加载后会向http[:]//awsyscloud[.]com/H!pT0pNSc3nd/eNn!T5eals/Pon0N.php发送确认请求并等待回复:relay=y 返回RSA值,通过函数解密出下发的RSA的key 和 IV
然后继续向http[:]//awsyscloud[.]com/H!pT0pNSc3nd/eNn!T5eals/Pon0N.php发起二次请求并等待回复
其中
dorf= 解密出的RSA的key huss= 解密出的RSA的IV
将返回值用函数解密后与 “6f6e6c79706172616e6f696473757276697665” 做对比, 相同则验证与C2连接成功
验证成功后持续循环以下步骤:
1. 向http[:]//awsyscloud[.]com/H!pT0pNSc3nd/eNn!T5eals/Cor2PoRJSet!On.php 发送以下数据,并等待回复
其中
data由 usercomp=xxx&pcomp=xxx 用下发的rsa密钥加密后得到usercomp通过函数isfile获取,在C:\Users\xxx\AppData\Local\Microsoft\Windows\INetCookies\目录下的*.usercomp文件的文件名, 若不存在则随机生成,如username-usjmacczuj-DESKTOP-0FFRP75-19788
pcomp则通过函数ispaap获取,在C:\Users\xxx\AppData\Local\Microsoft\Windows\INetCookies\目录下的*.pcomp文件的文件名, 若不存在则生成16位随机数通过加密函数加密,获得的数作为文件名
收到的数据解密后若不为 senddevices,则继续执行该步骤,若等于senddevices,则执行以下2-5步骤
2. 将以下数据用“&”隔开,并通过Encrypt函数加密后向http[:]//awsyscloud[.]com/H!pT0pNSc3nd/eNn!T5eals/f3dlPr00f.php发送以下数据:
– 步骤1中的数据
– Name=用户名
– OS=系统版本
– Intranet=本机ip,若存在多个则用&隔开
– type=Desktop/Labtop,是否为台式机
– Ver=1.0.0.0 (版本信息)
3. 将以下数据用“&”隔开,并通过Encrypt函数加密后
向http[:]//awsyscloud[.]com/H!pT0pNSc3nd/eNn!T5eals/pR0T5o-Niums.php发送一下数据:
– 正在运行的进程列表, 格式如下:Paging#=ProcessName;Id;MainWindowTitle;PrivateMemorySize64;SessionId; Responding;
例:Paging0=svchost;3876;;8630272;0;True&Paging1=svchost;3012;;2535424;0;True&
– 1步骤中加密的数据
4. 向http[:]//awsyscloud[.]com/H!pT0pNSc3nd/eNn!T5eals/Dev3l2Nmpo7nt.php 发送以下数据,并等待回复步骤1的加密数据,回复的数据应为start
5. 向http[:]//awsyscloud[.]com/H!pT0pNSc3nd/eNn!T5eals/xwunThedic@t6.php继续发送步骤1的加密数据并等待
6. 继续向相关url发送数据,等待接收返回,最终将下载木马并植入
以上流程循环访问C2,然后根据返回的内容进行上传下载文件,卸载,设置注册表自启等操作,但最终分析过程中C2断开失效,导致无法下载木马,但根据我们的储备积累,以上访问流程为Transparent Tribe常规使用的RAT武器PeppyRAT。
0x02 归因关系
通过样本分析,我们提取出相关网络行为地址
(DNS解析情报支撑感谢360NetLab团队)
本次活动中,对手除RAT采用历史武器PeppyRat外,均采用了新资产,针对特定事件的新诱饵,和新的特征标记。
从TTPs提炼中看,本次活动的攻击目标吻合Transparent Tribe的一贯意图,以印度政府、军事目标为攻击对象,诱饵均采用VBA宏的doc/xls,且均习惯将恶意内容以整形数据放入窗体控件,诱饵内容为目标相关的政策、新闻等,最终目的意图也是采用以python打包的PeppyRat进行盗取数据。
0x03 样本ATT&CK矩阵分布
(矩阵分布绘制感谢360核心安全团队)
0x04总结
印巴冲突一直以来都是国际争端焦点,从2019年2月,印度空军飞越克什米尔印巴实际控制线,被巴基斯坦军方击落并俘获一名印度空军飞行员开始,标志着印度首次袭击巴基斯坦,双方关系极度紧张,双方的军事冲突愈演愈烈时,网络战场摩擦也愈演愈烈,本次活动是2020年开年来巴基斯坦再次向印度空军发起的定向攻击,也印证着随着地缘政治冲突升级,网络战势必成为冲突的延伸。
360诺亚实验室
诺亚实验室取自圣经中洪水大灾难诺亚建造方舟大船,意在应对暗流涌动的网络战时,为政企提供有效防御庇护的诺亚方舟。团队成员聚焦安全对抗领域,曾追溯过多个网络恶意活动和APT团伙并形成可靠研究,致力于通过情报体系和攻击者视角侦测追溯安全事件背后的意图。
Go to "Discover" > "Top Stories" > "Wow"