前言
《权力的游戏》资源被盗已经不是什么新鲜事,除了背后的黑客能用它来赚取赎金外,最高兴的莫过于追剧的粉丝了。粉丝的逻辑通常是这样的:资源泄漏>资源出现>下载种子>疯狂追剧。所以,对看片一族来说,种子是个神奇的东西。
对于爱看片的同胞来说,能够找到种子无疑是件幸福无比的事情。但是在欣喜之余,你的种子也有可能被黑客盯上,趁机对用户发起攻击,比如有APT攻击者开始利用虚假的《权利的游戏》泄漏资源发起攻击。
钓鱼攻击
Proofpoint最近观察到一个有针对性的钓鱼电子邮件,标题为《想提前看看权力的游戏剧情吗?》,该邮件的附件包含有Word文档以及《权力的游戏》的高清截图来吸引用户下载,一旦你下载了这个附件,攻击者就会在你电脑上安装“9002”远程控制木马。回顾“9002”远程控制木马的攻击,可以发现:
1.它与Google 2016年1月发现的Aurora攻击事件有关,这次攻击以Google和其它大约20家公司为目标,是一种高级的持续性威胁,它是由一个有组织的网络犯罪团体精心策划的,目的是长时间地渗入这些企业的网络并窃取数据。
2.2014年,FireEye发现有黑客组织利用新的IE10 0day漏洞 (CVE-2014-0322) ,对美国军方目标人员发起代号“雪人”(SnowMan)的“酒吧攻击”,目标是窃取军事情报。
3.2016年,Palo Alto发现有组织利用“9002”远程控制木马对亚洲某些国家发起攻击
一旦安装,9002 RAT就能为攻击者提供强大的数据查看功能。
8月10号,Proofpoint检测到标题为《想提前看看权力的游戏剧情吗?》的恶意电子邮件,声称包含未发布的《权力的游戏》的内容。今年7月末,黑客从HBO盗走了1.5TB的数据,其中包括《权力的游戏》主创人员的个人信息、一些还未播放的剧集和脚本。
图1:具有包含.docx附件的的电子邮件
上图所示的电子邮件包含一个名为“game of thrones preview.docx”的Word附件(下图所示),与电子邮件类似,该文件的内容都是关于一些未播放的内容。实际上,未播放的内容是一个嵌入式的.LNK(一个OLE包装器shell对象),如果运行,则就会执行恶意PowerShell脚本,导致“9002”RAT的安装。
图2:包含恶意的.LNK打包程序对象的.docx文档附件
有效载荷分析
当嵌入的.LNK对象由潜在的受害者执行时,它使用修改的Invoke-Shellcode PowerShell脚本运行PowerShell命令,以下载使用XOR和base64混淆的两个文件。第一个下载的文件包含9002 RAT shellcode,它被注入到合法的Windows Mail二进制wabmig.exe中。(如图3所示)。另一个下载的文件是一个.LNK文件,用于在受感染的计算机上维护攻击的持久性。检索编码有效载荷的HTTP请求是相当基础的,不需要伪装成合法的浏览器请求(图4)。有趣的是,如果使用任何类型的用户代理请求相同的URI,则会返回合法的JPG(图5)。持久性.LNK作为UpdateCheck.lnk存储在启动目录中,并包含与.LNK下载器几乎相同的PowerShell脚本。然而,它不是下载shellcode,而是将已经下载的shellcode打开,解码并注入到新创建的wabmig.exe进程中。
图3:从LNK包中找到的PowerShell脚本的摘要
图4:HTTP请求下载编码的有效载荷
图5:用户代理接收合法JPG而不是有效载荷的HTTP请求
9002的这种变体能够通过HTTP和似乎很假的SSL进行通信。假的SSL组件至少包含两个硬编码数据包:一个用于Client_Hello,另一个用于Client_Key_Exchange。大多数硬编码的值,如会话ID(图6,7),保持不变。但是,随机字段是动态生成的(GMT Unix时间和随机字节)。最后,Client_Hello尝试通过在SNI字段中发送该域来模拟SSL流量到 login.live[.]com(图8)。
图6:9002中Client_Hello硬编码的会话ID
图7:Client_Hello硬编码的会话ID出现在网络流量中
图8:SNI字段中的合法 login.live[.]com域发送到C&C
在这种9002变体中使用的HTTP流量和编码有几个不同的特征。发送到HTTP POST的客户端中的命令和控制(C&C)的数据使用自定义算法(后跟基于base64的编码)以编码状态传输(图9)。
图9:HTTP POST请求发送到9002 C&C
几个标题是硬编码的,包括Accept和用户代理标头:
Accept:text/html,application/xhtml+xml,application/xml,*/* 用户代理:Mozilla / 5.0(兼容; MSIE 9.0; Windows NT 6.1; WOW64; Trident / 5.0)
另外还有两个不同的硬编码URI(图10):
/?FORM=Desktop&setmkt=en-us&setlang=en-us /config/signin
动态生成的URI也可以使用以下格式:“/%x.htm?”。
图10:HTTP Post请求发送到9002显示另一个硬编码的URI
该9002版本中使用的编码算法是FireEye分析的“4个字节的XOR版本9002”的迭代。代替在旧版本中使用的标准动态4字节XOR运算,动态4字节XOR密钥与“x3Ax42x46x41x53x41x39x41x46x2Dx44x38x37x32x6DxF1x51x4AxC0x2Dx3Ax43x31x30x2Dx30x30x43x30x35x4Ax4Dx39xF3xD3x38x2Bx7D”的静态38字节种子一起使用,生成最终的256字节XOR密钥。为了产生最终的密钥,首先使用38字节的种子进行迭代加法以产生一个256字节的值(图11)。
图11:使用迭代加法和静态38字节种子值的256字节种子初始化
接下来,编码数据的前4个字节与256字节值进行XOR运算,以产生最终的256字节XOR(图12)。然后,该密钥与其余的编码数据进行XOR运算(图13)。
图12:生成最终256字节的XOR密钥
图13:使用最终256字节XOR密钥进行XOR运算
类似于以前9002的版本,类似于日期(“ x17 x05 x15 x20”)的值在恶意软件中被硬编码,并且可以在发送到其C&C的信标中的偏移量0x1C处找到(图14)。
图14:发送到其C&C的9002流量被解码,并显示硬编码值
该值可能代表的是2015年5月17日的日期,但是我不知道这个日期是否有意义。另外一个值201707在这个变体中是硬编码的,可能是指2017年7月(图15)。
图15:9002变式中的硬编码201707
这是最有可能的解释,因为这是恶意LNK PowerShell下载工具最早使用过的(SHA256 9e49d214e2325597b6d648780cf8980f4cc16811b21f586308e3e9866f40d1cd),我已经确定它是一个压缩文件(SHA256 bdd695363117ba9fb23a7cbcd484d79e7a469c11ab9a6e2ad9a50c678097f100),并与2017年7月6日上传到一个恶意文件扫描服务。该ZIP包包含在《权利的游戏》攻击中使用的LNK的四个相同副本中,以及似乎是一张库存图片的合法JPG “party”。我还在名为“need help.docx”的DOCX文档附件中确定了使用相同LNK的第三个可能的运行(图16)。在这种情况下,攻击者会诱惑用户双击用LNK伪装成的视频。
图16:使用相同的LNK的恶意文件,如ZIP和Game of Thrones文件
在搜索其他可能相关的攻击活动时,我发现至少早在2014年4月就发生了类似的攻击。包含类似LNK下载工具(图17)的几个ZIP压缩文件被上传到恶意文件扫描服务。
图17:2014年观察到的恶意LNK PowerShell下载工具
这五个 档案文件都包含了一个类似的库存图片,以及多个副本的恶意LNK,以聚会图片为主题的名称。 LNK PowerShell下载程序使用与最近攻击类似的路径以及相同的“/ x /”URI。而不是使用代码注入,但打包的可执行文件(PE)嵌入在PowerShell脚本中,保存为x.exe,用于执行保存为y.exe的下载的有效内容。另一个相似之处在于,2014年发现的LNK与最近的攻击(0xCC9CE694)共享与LNK相同的卷序列号。卷序列号是LNK文件中的元数据,由于卷序列号匹配,我知道它们更有可能在设备上创建或使用相同的构建器。
不过,我并不知道在mn1[.]org上托管了什么有效载荷。然而,两个ZIP存档包含一个名为PhotoShow.jar的Java有效载荷,最终执行一个无磁盘的9002变体,并带有mx[.]i26[.]org的C&C。此变体具有硬编码的标识符 “x28x02x13x20”(图18)。
图18:9002硬编码标识符
总结
在此,作为经常追剧小编,我的建议是,碰到喜欢的影片,我们最好还是看正版或通过正规渠道观看。
