雷鋒網(wǎng)消息，9月29日，雷鋒網(wǎng)從微步在線獲取了一份關于“白象”團伙借中印邊境問題再次發(fā)起攻擊的事件分析報告。該報告稱，自該團伙在 2016 年 7 月被Cymmetria、安天、Forcepoint、卡巴斯基、賽門鐵克等多家安全公司曝光后，該團伙的釣魚網(wǎng)站于 8 月 29 日再次上線，并以“中印邊境”為題誘導訪問者下載惡意程序植入后門，繼續(xù)對中國目標發(fā)起攻擊。

“白象”，又名Patchwork、Dropping Elephant，自2015年12月開始活躍，長期針對中國軍隊、政府等部門開展?jié)B透攻擊，該團伙主要通過釣魚郵件和仿冒網(wǎng)站傳播木馬，木馬載體通常為軍事、政治相關主題的Doc或PPS文檔，常用漏洞包括CVE-2012-0158、CVE-2014-4114、CVE-2014-6352等。

2017年5月，微步在線通過一份包含漏洞的 Word 文檔發(fā)現(xiàn)了“白象”團伙針對中國政府、軍事相關部門的攻擊活動，挖掘出其注冊的大量可疑域名和木馬樣本。有趣的是，就在印度軍隊于8月28日自洞朗撤軍，中印雙方結(jié)束了兩個多月的對峙后，該團伙的釣魚網(wǎng)站于 8 月 29 日再次上線，并以“中印邊境”為題誘導訪問者下載惡意程序植入后門，繼續(xù)對中國目標發(fā)起攻擊。

以下為微步在線提供給雷鋒網(wǎng)的關于此次攻擊的詳情分析：

• 釣魚網(wǎng)站于2017年8月29日上線，以“中印邊境”為話題構造了仿冒優(yōu)酷的釣魚頁面，誘導訪問者下載后門程序。

• 木馬使用C++編寫，執(zhí)行后會再調(diào)用一段加密后的.Net代碼，并偽裝成某公司的安全防護軟件，具備較強的隱蔽性和對抗性。

• 木馬啟動后能夠接受遠程控制服務器任意指令，完全控制受害主機，遠控服務器目前仍可正常通信，說明攻擊活動尚在進行中。

本次捕獲的釣魚頁面（www.qzonecn.com）于  2017 年 8 月 29 日上線，系仿冒優(yōu)酷網(wǎng)的一條新聞視頻，標題為“中國和阿三的邊界問題在洞朗”（未發(fā)現(xiàn)優(yōu)酷網(wǎng)上有類似名稱的視頻），視頻位置顯示“您還沒有安裝flash播放器，請點擊這里安裝”。點擊該鏈接后，會打開adobe公司官網(wǎng)，卻從另一惡意站點（www.bdarmy.news）下載名為“Adobeflashplayer26_install_ver9.6.0.exe”的可執(zhí)行程序，制造該程序來自Adobe官網(wǎng)的假象，具備較強迷惑性。如下圖所示:

查看網(wǎng)站源碼發(fā)現(xiàn)，釣魚鏈接會先打開Flash Player 官方下載頁面，再從www.bdarmy.news下載仿冒的“安裝包”程序，以混淆視聽。

查看該程序的屬性發(fā)現(xiàn)，其詳細信息包含“qiho”、“360”、“Defence”等干擾字符，而原始文件名為“RAT.exe”。

“RAT.exe”在微步在線分析平臺的檢測結(jié)果如下：

樣本分析

對“安裝包”程序分析發(fā)現(xiàn)，該樣本的主要執(zhí)行流程如下圖所示：

樣本的具體行為如下：

1.樣本執(zhí)行后會釋放另外兩個文件，分別為Microsoft.Win32.TaskScheduler.dll和360-services.exe。

2.Microsoft.Win32.TaskScheduler.dll會在Windows系統(tǒng)中添加一個名為Smart_scan的計劃任務，取“智能掃描”之義，意在混淆視聽。該任務用來每隔15分鐘執(zhí)行一次惡意樣本360-services.exe。

3.360-services.exe仿冒了某安全衛(wèi)士的相關進程，是真正執(zhí)行惡意行為的樣本。該樣本在分析平臺的檢測結(jié)果為：

4. 在釋放這兩個文件后，樣本將使用Windows自帶的命令行工具CMD運行如下命令，使用ping命令嘗試連接1.1.1.1，并刪除掉釋放樣本自身和Microsoft.Win32.TaskScheduler.dll文件。

接下來，真正的惡意樣本360-services.exe開始運行。

5.經(jīng)過分析發(fā)現(xiàn)，360-services.exe實際上是一個基于.NET平臺的PE文件的外殼，該外殼的名稱為.NET Reactor，版本號為4.5-4.7，此保護殼具有較強的反調(diào)試和混淆代碼等功能。

6. 在對360-services.exe進行脫殼后，我們得到了其中的.NET PE文件，其模塊名稱為“Client.exe”，且該可執(zhí)行文件的代碼已被高強度混淆。

7. 使用反混淆技術對該PE文件進行處理，成功還原出大部分代碼。

8. 樣本將通過FindResource函數(shù)檢查當前文件中是否存在“__”資源，若不存在，則說明當前.NET PE并不是由360-services.exe運行起來的，而是被人工剝離出來獨立運行的，因此樣本會將此情況視為自身正在被分析，則直接退出程序，不執(zhí)行任何惡意行為。

9. 加載PE文件中的第3個資源文件的字節(jié)碼，并使用硬編碼的方式建立其他若干數(shù)組。將這些數(shù)組進行一系列的轉(zhuǎn)換及計算，最終解密得到要運行的字節(jié)碼，并寫入內(nèi)存。

10. 最終開啟后門，連接C&C服務器，并等待服務器回復指令。其中C&C地址為：93.115.94.202，端口號為23558。

關聯(lián)分析

研究員對釣魚網(wǎng)站域名檢索發(fā)現(xiàn)，其目前指向的IP地址（94.185.82.157）上還存在militaryreviews.net、bdarmy.news、pla-report.net、clep-cn.org等其他包含“cn”、“pla”、“army”等明顯針對中國的可疑域名，且前文分析的惡意樣本就存放在www.bdarmy.news域名下，因此基本可以斷定相關基礎設施均為“白象”團伙所有。

安全研究人員分析認為，此次攻擊事件出現(xiàn)于印度自洞朗撤軍后，以中印邊境問題為誘餌，且涉及的樣本和域名含有針對中國的元素，符合“白象”團伙的攻擊特點和動機。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。