綜述:
2016年8月8日,卡巴斯基和賽門鐵克相繼披露出一個長期對中國、俄羅斯等國進行APT攻擊的組織——ProjectSauron(也被稱作索倫之眼)。ProjectSauron至少在2011年10月起就一直保持活躍。此前,該團伙一直行事低調,其目標主要為國家情報部門所關注的政府機構、民生企業和個人。
該組織攻擊目標時使用了一種名為“Remsec”的高端惡意軟件。
Remsec工具是一款技術含量特別高的遠程控制軟件,主要用來暗中監視和控制目標。這種軟件能夠在受感染計算機上打開后門,記錄用戶點擊的按鍵,并盜取相關文件。
我公司墨俠團隊基于鉆石分析模型,對該攻擊事件進行相關的事件還原和攻擊者分析。
受害者分析:
目前興華永恒團隊諦聽APT防御系統監測到該組織對全球多個國家的多個行業發起攻擊。
已知攻擊包括20多個針對俄羅斯的攻擊,40余起針對中國的攻擊,針對比利時大使館的攻擊和瑞典某公司的攻擊。同時包括伊朗、盧旺達以及幾個意大利語系國家。
技術能力分析:
一.Remsec遠程控制技術分析
這里針對某一個遠程控制樣本進行分析。
樣本名:Backdoor.Remsec.server.exe
MD5 :234e22d3b7bba6c0891de0a19b79d7ea
Hash :9214239dea04dec5f33fd62602afde720b71d2d2
文件大?。?/span> 135168 字節
樣本通過 MSAOSSPC.DLL裝載硬盤文件,并執行。硬盤上的文件是一種特殊格式BLOB,并通過“0xBAADF00D”進行加解密。
加載路徑c:\System Volume Information\_restore{ED650925-A32C-4E9C-8A738E6F0509309A}\RP0\A0000002.dll
獲取啟動參數,這個啟動參數在該樣本中并沒有起到太大作用,需要其他輔助增加參數完成具體攻擊行為。
參數識別,并將獲取的參數存入重新分配的內存中
判斷是不是pe結構,并開始查找pe的區塊,找到bin區塊之后返回bin區塊的首地址
動態加載該程序,初始階段有明顯的脫殼函數調用。
這里動態解析pe,并修正導入表
調用rsaenh.dll交互的進行加密,rsaenh.dll是微軟Microsoft增強加密服務相關文件,用于128位加密
分配一段bin區塊大小的內存存放加密過的shellcode
加載kernel32,主要是為了獲取kernel32模塊的首地址
Shellcode中循環解密字符串,獲取api地址。
獲取api函數地址后保存
循環解密兩次之后有一個crc檢測,當檢測到被調試或者下斷點便直接退出返回。
在解密之后啟用遠程鏈接的命名管道同時創建線程來配合管道命名,該命名管道可以實現對任意文件的讀寫刪除,接受遠程命令等操作。
同時還有遠程加載pe文件行為,實現無實體惡意代碼的運行。
綜合各種分析發現,remsec遠程控制軟件具備多種高級特性:
Remsec適用于所有的x64和x86 Microsoft Windows操作系統。由于Remsec采用獨特的插件系統,插件用Lua語言編寫,這種lua插件可自定義配置,從特定機器中獲取特定數據文件,能便捷的進行網絡操作,完成各種網絡任務。同時該平臺具備數十種插件,能支持從類似ls命令到keylog,hashdump的全系列工具插件。
“Remsec”遠程控制軟件自身只是一個平臺,不具備特殊功能,所有的功能都通過內存加載,減少了使用了自身的行為特征。它還使用一種Lua模塊技術,多種操作通過Lua語言是實現。另外,我們還發現,Remsec 惡意文件根據每臺機器安裝的軟件不同,偽裝成不同軟件的不同組成部分,如下圖所示:
remsec偽裝進程列表
Remsec 偽裝的文件多種多樣,包括像卡巴斯基、賽門鐵克這種殺毒軟件,同時也有諸如微軟補丁文件、VmWareTools更新文件。有趣的是,Remsec偽裝的kavupdate.exe文件即是卡巴斯基殺毒軟件的進程文件,同時也是國產迅雷安全組件的必要文件。
偽裝迅雷/卡巴斯基升級文件
Remsec遠程控制軟件使用特殊的技術上線,在這里發現的有DNS方式上線和mail方式實現數據傳輸。這兩種傳輸技術在遠程控制軟件中都不多見。
一個叫“DEXT”的插件顯示了DNS隧道數據傳輸。
Remsc使用特殊的郵件方式進行數據傳輸
Remsec木馬VFS具有兩個主要功能,一個是負責竊取數據保存在本地C:\System Volume Information\_restore{ED650925-A32C-4E9C-8A73-8E6
F0509309A}目錄下,以bka*、da、~*.tmp等方式存儲。
另一功能是連接外部通信,將竊取的數據通過自己本地服務器發送出去,不過木馬在完成以上兩個功能后,由于木馬本身的設計缺陷,木馬并沒有將緩存文件刪除干凈。
綜上可以看到,該遠程控制軟件具備很多特殊的高級特征和特殊功能,絕不是普通的黑客個人或小團體所能有能力開發使用的。
二.內網拓展能力分析
該組織使用了多種特殊的攻擊方式進行內網拓展。從木馬偽裝位置和功能上就可以看出,在內網拓展中秘密收集各種用戶密碼和機密文件。
該APT攻擊團隊,會通過網絡滲透控制目標內網系統中的域服務器,以域服務器為重要攻擊目標。獲取相應權限之后,再通過被控制的服務器進行橫向移動,攻擊內網系統中的其他設備和終端。獲取到想要的目標數據。
三.0day使用能力
在所有的攻擊中,各大廠商都未報道發現相關了0day攻擊漏洞,都只發現了被方式remsec控制型后門的攻擊結果,未能發現攻擊過程。由此推測,該組織一定具備較多的0day資源,使用較多的0day工具、較好的攻擊技能和特殊的隱藏技術才能實現這種效果。
四.非聯網數據獲取能力
遠程控制軟件可以使木馬跳出隔離的網絡實現繼續控制。其原理在于USB磁盤分區有一塊預留空間,木馬利用這塊USB磁盤空間,感染USB驅動,秘密寫入執行指令,一旦目標網絡系統不能使用,攻擊者等待USB驅動器繼續控制被感染的機器。