一、攻擊活動(dòng)細(xì)節(jié)
2017年9月，在針對烏克蘭的攻擊活動(dòng)中FireEye發(fā)現(xiàn)了FELIXROOT后門這款惡意載荷，并將其反饋給我們的情報(bào)感知客戶。該攻擊活動(dòng)使用了一些惡意的烏克蘭銀行文檔，其中包含一個(gè)宏，用來下載FELIXROOT載荷并將其投遞給攻擊目標(biāo)。
最近FireEye觀察到有新的攻擊活動(dòng)中用到了同樣的FELIXROOT后門。在這次攻擊活動(dòng)中，武器化的誘騙文檔涉及到與環(huán)境保護(hù)研討會(huì)相關(guān)的話題，利用了兩個(gè)已知的Microsoft Office漏洞（CVE-2017-0199以及CVE-2017-11882）來將后門程序釋放到受害者主機(jī)上并加以執(zhí)行，攻擊活動(dòng)流程圖如圖1所示。

圖1. 攻擊流程圖
惡意軟件借助俄語文檔（如圖2所示）進(jìn)行傳播，文檔用到了已知的Microsoft Office漏洞利用技術(shù)。在此次攻擊活動(dòng)中，我們觀察到攻擊者利用CVE-2017-0199以及CVE-2017-11882漏洞來傳播惡意軟件。所使用的惡意文檔名為“Seminar.rtf”，文檔利用CVE-2017-0199漏洞從193.23.181.151這個(gè)地址處（如圖3所示）下載第二階段所使用的攻擊載荷，所下載的文檔包含了CVE-2017-11882漏洞利用技術(shù)。

圖2. 誘餌文檔

圖3. Seminar.rtf文檔中的URL信息（十六進(jìn)制數(shù)據(jù)）
圖4表明第一個(gè)載荷正嘗試下載攻擊第二階段所使用的Seminar.rtf。

圖4. 下載第二階段所使用的Seminar.rtf
下載的Seminar.rtf文檔中包含一個(gè)二進(jìn)制文件，通過公式編輯器將可執(zhí)行文件釋放到%temp%目錄中。該文件將可執(zhí)行文件釋放到%temp%目錄（MD5：78734CD268E5C9AB4184E1BBE21A6EB9），后者用來下載并執(zhí)行FELIXROOT釋放器組件（MD5：92F63B1227A6B37335495F9BCB939EA2）。
釋放出來的可執(zhí)行文件（MD5：78734CD268E5C9AB4184E1BBE21A6EB9）在PE（Portable Executable）覆蓋區(qū)中包含經(jīng)過壓縮處理的FELIXROOT釋放器組件。當(dāng)該文件被執(zhí)行時(shí)會(huì)創(chuàng)建兩個(gè)文件：指向%system32%\rundll32.exe路徑的一個(gè)LNK文件以及FELIXROOT加載器組件。LNK文件會(huì)被移動(dòng)到啟動(dòng)目錄中。LNK文件中包含用來執(zhí)行FELIXROOT加載器組件的命令，如圖5所示：

圖5. LNK文件中包含的命令
內(nèi)置的后門組件使用了自定義加密算法進(jìn)行加密。該文件會(huì)直接在內(nèi)存中解密并執(zhí)行，不涉及到落盤操作。
 
二、技術(shù)細(xì)節(jié)
成功利用漏洞后，釋放器組件會(huì)執(zhí)行并釋放加載器組件。加載器組件借助RUNDLL32.EXE來執(zhí)行。后門組件會(huì)被加載到內(nèi)存中，只包含一個(gè)導(dǎo)出函數(shù)。
后門中包含的字符串經(jīng)過自定義的加密算法進(jìn)行加密處理，加密算法為XOR（異或）算法，采用了4字節(jié)的密鑰。ASCII字符串對應(yīng)的解密邏輯如圖6所示。

圖6. ASCII解密過程
Unicode字符串的解密邏輯如圖7所示。

圖7. Unicode解密過程
執(zhí)行起來后，后門會(huì)創(chuàng)建一個(gè)新的線程，然后休眠10分鐘，接著確認(rèn)自身是否由RUNDLL32.EXE使用#1參數(shù)啟動(dòng)，如果條件滿足，則后門會(huì)在執(zhí)行命令與控制（C2）網(wǎng)絡(luò)通信操作之前先進(jìn)行初始的系統(tǒng)信息收集。為了收集系統(tǒng)信息，后門通過ROOTCIMV2命名空間連接到Windows Management Instrumentation（WMI）。
整個(gè)操作過程如圖8所示：

圖8. 后門組件初始執(zhí)行流程
從ROOTCIMV2及RootSecurityCenter2命名空間中引用的類如表1所示：
WMI命名空間
Win32_OperatingSystem
Win32_ComputerSystem
AntiSpywareProduct
AntiVirusProduct
FirewallProduct
Win32_UserAccount
Win32_NetworkAdapter
Win32_Process
表1. 引用的類
WMI及注冊表
用到的WMI查詢語句如下所示：
SELECT Caption FROM Win32_TimeZone
SELECT CSNAME, Caption, CSDVersion, Locale, RegisteredUser FROM Win32_OperatingSystem
SELECT Manufacturer, Model, SystemType, DomainRole, Domain, UserName FROM Win32_ComputerSystem
后門會(huì)讀取注冊表相關(guān)鍵值信息，收集管理員權(quán)限提升信息及代理信息。
1、查詢SOFTWAREMicrosoftWindowsCurrentVersionPoliciesSystem路徑中的ConsentPromptBehaviorAdmin及PromptOnSecureDesktop表項(xiàng)值；
2、查詢SoftwareMicrosoftWindowsCurrentVersionInternet Settings路徑中的ProxyEnable、Proxy:(NO)、Proxy及ProxyServer表項(xiàng)值。
FELIXROOT后門的功能如表2所示。每條命令都會(huì)在獨(dú)立的線程中執(zhí)行。命令
描述
0x31
通過WMI及注冊表收集系統(tǒng)指紋信息
0x32
釋放文件并加以執(zhí)行
0x33
遠(yuǎn)程Shell
0x34
終止與C2服務(wù)器的連接
0x35
下載并運(yùn)行批處理腳本
0x36
下載文件到本地
0x37
上傳文件
表2. FELIXROOT后門命令
使用圖6及圖7的解密方法后，我們從內(nèi)存中提取出了每條命令執(zhí)行后的日志信息，如圖9所示。

圖9. 命令執(zhí)行后的日志
網(wǎng)絡(luò)通信
FELIXROOT會(huì)通過HTTP與HTTPS POST協(xié)議與C2服務(wù)器通信。通過網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)經(jīng)過加密處理，采用自定義的數(shù)據(jù)結(jié)構(gòu)。所有的數(shù)據(jù)都經(jīng)過AES加密，轉(zhuǎn)換為Base64數(shù)據(jù)然后再發(fā)送給C2服務(wù)器（如圖10所示）。

圖10. 發(fā)送給C2服務(wù)器的POST請求
Request及Response數(shù)據(jù)包頭部中的其他所有字段（如User-Agents、Content-Type及Accept-Encoding）都經(jīng)過XOR加密處理，可以在惡意軟件中找到。惡意軟件調(diào)用Windows API獲取計(jì)算機(jī)名、用戶名、卷序列號(hào)、Windows版本、處理器架構(gòu)以及其他兩個(gè)值（分別為“1.3”以及“KdfrJKN”）。“KdfrJKN”這個(gè)值可能是個(gè)標(biāo)識(shí)符，可以在文件內(nèi)部的JSON對象中找到（如圖11所示）。

圖11. 每次通信中所使用的主機(jī)信息
FELIXROOT后門在C2通信中用到了3個(gè)參數(shù)，每個(gè)參數(shù)都可以提供關(guān)于目標(biāo)主機(jī)的一些信息（如表3所示）。
參數(shù)
描述
‘u=’
該參數(shù)包含目標(biāo)主機(jī)信息，具體格式為：, , , 
, , , 
‘&h=’
該參數(shù)包含執(zhí)行的命令及具體結(jié)果
‘&p=’
該參數(shù)包含與C2服務(wù)器有關(guān)的數(shù)據(jù)信息
表3. FELIXROOT后門參數(shù)
加密算法
發(fā)送給C2服務(wù)器的所有數(shù)據(jù)都經(jīng)過AES加密處理，通過IbindCtx接口使用HTTP或者HTTPS協(xié)議進(jìn)行傳輸。每次通信所使用的AES密鑰都不相同，該密鑰經(jīng)過兩個(gè)RSA公鑰的加密處理。FELIXROOT所使用的RSA密鑰如圖12及圖13所示，AES加密參數(shù)如圖14所示。

圖12. RSA公鑰1

圖13. RSA公鑰2

圖14. AES加密參數(shù)
加密處理后，發(fā)往C2的密文還會(huì)經(jīng)過Base64編碼。發(fā)送給服務(wù)器的數(shù)據(jù)結(jié)構(gòu)體如圖15所示，C2通信中對應(yīng)的數(shù)據(jù)結(jié)構(gòu)如圖16所示。

圖15. 用來將數(shù)據(jù)發(fā)送至服務(wù)器的結(jié)構(gòu)體

圖16. 發(fā)往C2服務(wù)器數(shù)據(jù)結(jié)構(gòu)樣例
后門使用CryptBinaryToStringA函數(shù)將該結(jié)構(gòu)體數(shù)據(jù)轉(zhuǎn)換為Base64編碼。
FELIXROOT后門包含若干條命令，用于不同的任務(wù)。每項(xiàng)任務(wù)執(zhí)行完畢后，惡意軟件會(huì)在執(zhí)行下一項(xiàng)任務(wù)前睡眠1分鐘。一旦所有任務(wù)執(zhí)行完畢，惡意軟件會(huì)跳出循環(huán)，刪除數(shù)據(jù)緩沖區(qū)，然后清除目標(biāo)主機(jī)上的所有痕跡，包含如下清痕操作：
1、從啟動(dòng)目錄中刪除LNK文件；
2、刪除HKCUSoftwareClassesApplicationsrundll32.exeshellopen注冊表項(xiàng)；
3、從系統(tǒng)中刪除釋放器組件。
 
三、總結(jié)
CVE-2017-0199以及CVE-2017-11882是目前我們最常見到的兩個(gè)漏洞。攻擊者通常會(huì)越來越廣泛地利用這些漏洞發(fā)動(dòng)攻擊，直至漏洞再無可用之處為止，因此各個(gè)單位必須確保他們處于足夠的防護(hù)中。在本文成文時(shí)，F(xiàn)ireEye Multi Vector Execution（MVX）引擎已經(jīng)能正確識(shí)別并阻止此類安全威脅。我們建議所有行業(yè)保持警惕，因?yàn)榇舜喂�擊活�?dòng)的肇事者很有可能會(huì)擴(kuò)大他們的攻擊范圍。
 
四、附件
IOC
MD5哈希值
樣本
11227ECA89CC053FB189FAC3EBF27497
Seminar.rtf
4DE5ADB865B5198B4F2593AD436FCEFF
Seminar.rtf
78734CD268E5C9AB4184E1BBE21A6EB9
Zam.doc
92F63B1227A6B37335495F9BCB939EA2
FELIXROOT Dropper
DE10A32129650849CEAF4009E660F72F
FELIXROOT Backdoor
表4. FELIXROOT IOC
網(wǎng)絡(luò)IOC
217.12.104.100/news
217.12.204.100:443/news
193.23.181.151/Seminar.rtf
Accept-Encoding: gzip, deflate
content-Type: application/x-www-form-urlencoded
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)
Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)