事件背景
2017年6月， 360威脅情報(bào)中心發(fā)現(xiàn)了一份可疑的利用漏洞執(zhí)行惡意代碼的Word文檔，經(jīng)過分析后，我們發(fā)現(xiàn)這有可能是一起針對(duì)巴基斯坦的政府官員的APT攻擊事件，釋放出來的載荷會(huì)收集受害者的鍵盤記錄和重要軟件密碼、文檔等。本文檔對(duì)并對(duì)此次攻擊事件的攻擊鏈條進(jìn)行梳理，并對(duì)使用的木馬相關(guān)技術(shù)進(jìn)行分析。
樣本分析
漏洞利用Dropper

該文檔所利用的漏洞為CVE-2015-2545（關(guān)于該漏洞的分析已經(jīng)有不少詳細(xì)分析的資料，這里就不再贅述），當(dāng)受害者點(diǎn)開該文檔時(shí)，會(huì)加載EPS文件從而觸發(fā)漏洞，這里攻擊者使用的漏洞利用代碼是已經(jīng)在野外流傳很久的成熟利用，這套利用的特點(diǎn)是通過shellcode注入explorer進(jìn)程下載木馬文件，但shellcode后附加一個(gè)DLL文件以利用CVE-2015-2546權(quán)限提升漏洞得到系統(tǒng)最高權(quán)限。
注入explorer.exe的代碼如下：

explorer.exe中下載載荷的代碼如下：可以看到下載地址為http://tes[.]sessions4life[.]pw/quiz/WelcomeScrn.exe

CVE-2015-2546權(quán)限提升DLL部分代碼：

WelcomeScrn.exe

這是個(gè)downloader，功能非常簡(jiǎn)單，直接連接到內(nèi)置網(wǎng)址http://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe ，下載并執(zhí)行文件。

DefenderReference.exe

DefenderReference.exe通過HTTP協(xié)議與服務(wù)器通信的竊密木馬，被執(zhí)行起來后，會(huì)先完成一些初始化的工作，釋放并加載WER167893459067.dll后創(chuàng)建以下目錄：
%Local%\SharedFiles\Log
% Local %\ SharedFiles \Sys
% Local %\ SharedFiles \Temp
% Local %\ SharedFiles \WinAero
% Local %\ SharedFiles \WinDataShots
% Local %\ SharedFiles \WinInternetData
% Local %\ SharedFiles \WinLog
% Local %\ SharedFiles \WinRM
然后終止cmd.exe、PATHPING.EXE、TRACERT.EXE、net.exe、systeminfo.exe進(jìn)程,并判斷自身進(jìn)程啟動(dòng)路徑是否為% Local %\ SharedFiles \Sys，如果不是，則將自身拷貝到% Local %\ SharedFiles \Sys\ DefenderReference.exe，釋放MSOBuild.exe、AdminNewDll.dll、AdminServerDll.dll等文件，最后啟動(dòng)MSOBuild.exe
 


MSOBuild.exe

這個(gè)文件其實(shí)還是個(gè)downloader，在初始化和檢查執(zhí)行環(huán)境（虛擬機(jī)、沙箱、調(diào)試）后，訪問http://docs.google.com/uc?id=0Bx9cf6a5Mapaa3g4MlI4T244SlU&export=download,獲取C&C的地址185.109.144.102
接著下載以下配置文件：
hxxp://185[.]109.144.102/DistBuild/getAllFiles.php(指明需要下載的組件)
http://185[.]109.144.102/DistBuild/getExecutables.php (指明要執(zhí)行的組件)
http://185[.]109.144.102/DistBuild/getExtensions_doc.php (指明關(guān)心的文檔類型文件后綴名)
http://185[.]109.144.102/DistBuild/ getExtensions_nondoc.php (指明關(guān)心的非文檔文件類型)
http://185[.]109.144.102/DistBuild/getExtensions_rmdrive.php (指明要執(zhí)行的組件)

接著下載配置文件中指定的組件，再一一啟動(dòng)這些組件：

下表是木馬的各個(gè)組件信息：
經(jīng)過以上分析，我們發(fā)現(xiàn)這個(gè)木馬家族有以下功能：上傳/下載文件、執(zhí)行指定文件、鍵盤記錄、屏幕截圖、感染U盤、發(fā)送感染電腦位置信息等，竊取的文件列表如下：
.doc .docx .ppt .pps .pptx .ppsx .xls .xlsx .pdf .inp .vcf .txt .jpg .jpeg .bmp .gif .png?www.myhack58.com .avi .wmv .mp4 .mpg.mpeg .3gp .mp3 .wav
并且該木馬可以通過在線獲取新插件的形式迅速方便地?cái)U(kuò)展更多的功能。木馬的代碼清晰、結(jié)構(gòu)嚴(yán)謹(jǐn)，受控端通過HTTP請(qǐng)求與控制服務(wù)器通信，訪問不同的php頁面代表執(zhí)行不同的功能，可能是高度定制的專用木馬，或者是專門出售的商業(yè)間諜木馬。
下面介紹該木馬比較有特色的地方：
1. 不同的組件都通過調(diào)用同一個(gè)AdminServerDll.dll來完成具體功能，高度模塊化。例如MSOBuild.exe和DefenderReference.exe中，分別獲取AdminServerDll.dll的不同導(dǎo)出函數(shù)，然后調(diào)用這些導(dǎo)出函數(shù)，程序里只有基本的邏輯而沒有具體的功能實(shí)現(xiàn)，下面左邊是MSOBuild.exe,右邊是DefenderReference.exe


其中AdminServerDll.dll是主要的功能模塊，其每一個(gè)導(dǎo)出函數(shù)對(duì)應(yīng)一個(gè)功能，可以從導(dǎo)出函數(shù)名知道其功能，如下：



2. 通信控制：
受控端通過HTTP請(qǐng)求與控制服務(wù)器通信，通過訪問不同的php頁面與控制端交互：


經(jīng)過整理后的路徑如下：

3. 檢查VM、沙箱和調(diào)試
通過特權(quán)指令檢查Virtual PC和VMWare：


通過dll來識(shí)別Sandboxie和是否調(diào)試：

擴(kuò)展與關(guān)聯(lián)分析
使用360威脅情報(bào)中心的威脅情報(bào)平臺(tái)（http://ti.360.com）對(duì)樣本連接的C&C地址（185.109.144.102）做進(jìn)一步關(guān)聯(lián)，我們發(fā)現(xiàn)了更多的信息。

其中有幾個(gè)樣本引起了我們的注意：
1. MD5：a6c7d68c6593b9dd2e9b42f08942a8b0，文件名：isi_report_of_2016.rar
這個(gè)樣本是一個(gè)郵件附件，解壓后為Name of Facilitators revealed.scr，這個(gè)其實(shí)是一個(gè)sfx自解壓文件，點(diǎn)擊后會(huì)將explorerss.pub改名為explorerss.exe，注冊(cè)啟動(dòng)項(xiàng)并執(zhí)行，然后打開Pakistan army officers cover blown.pdf迷惑受害人。


而explorerss.exe是由python打包成exe的，功能是竊取指定文件內(nèi)容并上傳到hxxps:// 185[.]109[.]144[.]102/browse.php?folder=%s&%s中。將其中的python代碼還原后，部分代碼如下：

2. MD5：872e7043ee8490db6e455942642c2c86 文件名：Current vacancies.doc
這個(gè)樣本利用CVE-2012-0158釋放一個(gè)downloader，downloader會(huì)下載執(zhí)行hxxp://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe，之后的流程就和前面分析的一樣，就不再多說了，值得注意的是文檔的內(nèi)容。顯示為聯(lián)合國招聘文件，這明顯是對(duì)安全相關(guān)人員投遞的郵件，有明顯的政治動(dòng)機(jī)：
3. MD5: 1b41454bc0ff4ee428c0b49e614ef56c文件名：Ramadan Mubaraq.rtf
這個(gè)樣本所利用的漏洞為CVE-2017-0199，olelink的地址為http://138[.]197[.]129[.]94/logo.doc

從以上的分析和其他關(guān)聯(lián)到的樣本中，我們注意到一些有趣的事情：這些樣本應(yīng)該都是通過郵件附件的形式傳遞的，并且使用office Nday漏洞或者社工手段引誘目標(biāo)點(diǎn)開；從文件名、文檔內(nèi)容來看，都是對(duì)政治領(lǐng)域的相關(guān)人員進(jìn)行的釣魚郵件投遞。綜合多個(gè)樣本的來源信息，這很有可能是一起針對(duì)巴基斯坦政府人員的定向攻擊事件。
IOC