在对由WildFire公司收集获得的新型未知威胁情报进行研究时，我们发现某个网络间谍组织在其于2013年6月被公开披露之后又开始故伎重施。此次发现的工具与入侵手段虽然与此前的DarkSeoul活动并无关联，但二者却在功能、结构与工具方面表现出惊人的相似性。在今天的文章中，我们将对2013年发生的Dark Seoul APT活动进行概述，同时探讨新旧两次事件在战术以及恶意软件使用方面的相似性与差异性，并尝试找出隐藏在新近恶意行为背后的深层原因。

2013年3月，韩国经历了一次相当严重的网络攻击侵袭，来自金融与媒体行业的数万套计算机系统遭受影响。此次攻击被称为“Darkhotel APT”；攻击者采用了社会工程学的攻击方式，共使用了76个定制的恶意软件，包括9个破坏性恶意软件，其余用于进行渗透和监控。另外，攻击者通过一家防病毒供应商管理服务器进行传播，利用合法的更新机制将恶意软件更快地部署到了端点。除了这些手段外，攻击者还对许多个人计算机和Linux服务器进行定制攻击，通过从受感染客户端获取服务器登录凭证以发起远程攻击……攻击者还在受影响系统当中清除磁盘驱动器并从中获取军方情报等等。

此次攻击最初曾被认为由朝鲜方面所发起，而且在攻击过程当中发现了一个参与其中的天朝IP，不过除此之外没有任何其它有力证据能够证明该事件与朝鲜有关。2013年6月，McAfee公司公布了一份详尽的报告，旨在对Darkhotel APT事件的在不同年份事件间的联系与标准参数间的偏离情况进行分析，同时将此事件重新定名为“特洛伊行动（‘Operation Troy’）”。该报告分析了攻击活动的整个流程，指出相关组织自2009年开始使用名为“Troy”的成套的黑客工具。McAfee方面还进一步将事件组织者缩小到两个团队身上：NewRomanic网军团队与Whois黑客团队；这两个组织据信皆接受对应政府当局的赞助。自从这份报告被公开发布以来，这两个组织乃至曾在上述活动中使用的工具就再未被检测到或者公开进行共享。

宁静一直持续，直到现在。

利用Palo Alto Networks公司的AutoFocus威胁情报平台，我们发现了多种出现在2015年6月且行为方式与特洛伊行动极为相似的恶意代码样本，而这时距离 韩国遭遇初次攻击已经过去了两年多时间。相关会话数据显示，此次实时攻击指向的是欧洲地区的运输与物流部门。其初步攻击活动可能采取钓鱼邮件形式，即利用某款合法软件的含木马版本安装在由某家企业托管的工业控制系统当中。这个经过篡改的可执行文件仍然会正常安装合法的视频播放器软件，但其同时也会对系统进行感染。基于对该木马行为、二进制代码以及此前同类攻击活动报告的深度分析，我们已经得出结论，即这些样本与黑暗汉城/特洛伊行动当中所使用的原始工具完全一致。这意味着今年的这一恶意行为很可能是同样的组织所完成，不过目前尚没有足够的数据来证实这一结论。

此次被发现的恶意代码通过以下两个可执行文件名进行交付，且二者被共同打包在同一个zip归档文件当中：

• [redacted]Player_full.exe

• [redacted]Player_light.exe

  
  

合法安装程序由工业控制系统组织负责提供，旨在为安全摄像头解决方案提供视频播放软件。而当以上示例被执行时，该恶意软件会首先感染目标系统，而后执行其伪装对象的应有功能——安装视频播放器。

此次曝光的新型恶意软件衍生版本被我们命名为TDrop2，其能够选定system32文件夹当中的某个合法微软Windows可执行文件并加以运行，而后利用该合法进程作为容器注入恶意代码，我们通常将这种入侵手段称为“镂空工艺（process hollowing）”。一旦上述流程成功完成，相关进程就会开始实施第二阶段任务。

第二阶段的指令会尝试混淆自身运行方式以掩盖其对有效负荷进行检索的事实——具体来讲，其表面上看似乎属于图像文件，但进一步检查才会发现其实际上属于可执行文件。

C2服务器会将正常情况下的起首两个字节“MZ”替换成“DW”，这意味着C2的活动将能够逃避基础性网络安全解决方案，从而提高其信息检索的成功率。

一旦下载完成，起首两个字节将被恢复原状并加以执行。此二阶段有效负荷将再次利用“镂空工艺”在system32文件夹中随机选定一个Windows可执行文件。该恶意软件的整个执行流程如下图所示：

最终有效负荷会向攻击者提供以下能力：

这些命令在通过网络进行传输时会经过加密/编码处理，如我们在下图中所见：

该恶意软件利用一款未授权加密程序实现加密。除此之外，以下自定义字符可用于对经过加密后的数据进行base64编码：

3bcd1fghijklmABCDEFGH-J+LMnopq4stuvwxyzNOPQ7STUVWXYZ0e2ar56R89K/

一旦解码与解密完成，我们就能够看到以下命令内容：

tick 7880 systeminfo & net view & netstat -naop tcp & tasklist & dir /a “%userprofile%\AppData\Local\Microsoft\Outlook” & dir /a “%temp%\*.exe” & dir “%ProgramFiles%” & dir “%ProgramFiles%\Microsoft Office” 1018; 60

起首的“tick”字符串为硬编码生成，且必须存在以确保恶意软件能够接收到后续命令。在这种情况下，初始几条命令会被用于在受感染主机之上执行基本侦察任务，并将结果返回至攻击者。在此之后，进行休眠周期为60秒的初始化操作。

我们将在后续博文当中公布更多与这款TDrop2恶意软件衍生版本相关的细节信息。

在对该恶意代码进行分析之后，我们发现其在行为与功能方面与当初的黑暗汉城/特洛伊行动工具集存在明显的相似之处。

对定制化base64字符的使用方式可见于以下12个在特洛伊行动白皮书内被注明的示例当中：
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这些示例大部分拥有参考自“TDrop”恶意软件家族的调试字符串，这很可能代表着此次恶意活动正是两年多之前韩国攻击事件的延续，同时也是“TDrop2”这一名称的由来。

此次曝光的新变种同样采用一个明确的字符串解密程序，而这样的情况在多个特洛伊行动相关示例当中亦有体现。

另外，我们在特洛伊行动当中的64位示例内也看到了同样的字符串解密程序。以下示例正是当初在恶意代码当中所发现的解密程序内容：

486141d174acec27a4139c4593362bd5c51a88f49dfde46d134a987b34896dc2
9d84e173796657162790377be2303b59d3cf680edec73627e209ca975fabe41c
a15aafcc79cc66ce7b45113ceff892261874fad9cf140af5b9fa401a1f06c4a4
bc724f66807e2f9c9cab946a3e97da51ad7a34f692e93d6e2b2db8cf39ae01db

在2013年6月的一篇韩国博文（其可能属于对黑暗汉城攻击活动分析工作的一部分）当中，我们发现其网络通信分析部分出现了相同的描述。该受分析恶意代码会通过引用对某个来自.gif以及.jpgURL的PE文件进行解码。除此之外，另有一条特殊的POST分隔符字符串（6e8fad908fe13c）被技术人员所发现，而其与当下出现的TDrop2示例当中出现的恶意软件有效负荷相吻合。

.在最近的攻击活动当中，命令与控制（简称C2）服务器由位于韩国及欧洲地区且遭到侵入的网站负责充当。目前尚不清楚这四台Web服务器为何会遭到突破（具体服务器将在后文的IOC章节中列出），不过它们似乎都采用了共享式托管供应商并运行有已经过期的软件，而其中可能包含安全漏洞以及/或者配置错误。

就目前而言，我们还不清楚此次攻击是否由McAfee公司在2013年报告当中提到的两个黑客组织所发起。尽管所使用的恶意软件以及其它战术手段皆极为相似，但两次事件之间仍然存在着一定差别。举例来说，此次攻击活动的目标设定就与两年前完全不同，其并没有选择韩国境内的军事、政府或者金融机构作为攻击对象。另外，由Unit 42进行的样本分析工作并没有发现此次恶意活动造成了任何破坏性后果——不过该恶意软件有能力下载额外组件，因此也许尚有部分较为隐蔽的后果未被确切观察到。

不过必须承认，两次事件在战术层面的相似之处要远高于差异，而且极有可能是同一组进行了原黑暗汉城/特洛伊行动攻击活动的人员组织了这一次有着全新攻击对象与目标的恶意活动。

恶意活动人士在一段时间之内处于休眠状态的情况并不少见，特别是考虑到此前黑暗汉城/特洛伊行为被大范围曝光这一背景之下。我们目前能够确定的是，对基础设施与工具集进行变更将带来巨大挑战，而且各特定恶意组织彼此之间共享针对性工具的作法已经开始变得愈发普遍。

不过当下尚没有足够的数据能够确切说明黑暗汉城/特洛伊行动为何会在这个时候再度出现，不过Unit 42将继续密切关注事态的进一步发展。

我们已经创建了AutoFocus TDrop2标签，旨在对该新型变种恶意软件进行识别，同时将已知C2域与散列值添加到了Threat Prevention产品组合当中。就目前而言，WildFire公司已经能够正确识别出与此次事件中的恶意软件相关的代码样本。

SHA256 Hashes

52939b9ec4bc451172fa1c5810185194af7f5f6fa09c3c20b242229f56162b0f
1dee9b9d2e390f217cf19e63cdc3e53cc5d590eb2b9b21599e2da23a7a636184
52d465e368d2cb7dbf7d478ebadb367b3daa073e15d86f0cbd1a6265abfbd2fb
a02e1cb1efbe8f3551cc3a4b452c2b7f93565860cde44d26496aabd0d3296444
43eb1b6bf1707e55a39e87985eda455fb322afae3d2a57339c5e29054fb52042

Domains

www.junfac[.]com
www.htomega[.]com
mcm-yachtmanagement[.]com
www.combra[.]eu

URLs

www.junfac[.]com/tires/skin/tires.php
www.htomega[.]com/rgboard/image/rgboard.gif
mcm-yachtmanagement[.]com/installx/install_ok.php
www.combra[.]eu/includes/images/logo.jpg

欢迎大家访问E安全门户站点www.easyaq.com

请关注 E安全 微信公众号

点击“查看原文”获取本文的相关链接