三天前,Morphisec實(shí)驗(yàn)室的研究人員發(fā)現(xiàn)一波針對多個(gè)國家的大范圍網(wǎng)絡(luò)攻擊活動。Morphisec的研究人員稱之為“Pied Piper”,主要的攻擊方式是通過向多個(gè)國家實(shí)施網(wǎng)絡(luò)釣魚來投送遠(yuǎn)控木馬程序(RAT)。
此次攻擊活動中傳播的一個(gè)木馬程序版本為“FlawedAmmyy RAT”。 該木馬使攻擊者可以完全控制受害者的PC系統(tǒng),可以竊取系統(tǒng)文件、登錄憑證,以及實(shí)現(xiàn)遠(yuǎn)程截屏、控制攝像頭及麥克風(fēng)。此外,它還為攻擊者開展橫向滲透攻擊打下了基礎(chǔ),可以作為主要供應(yīng)鏈攻擊的潛在入口點(diǎn)。
如下文所述,如果該攻擊活動順利實(shí)施的話,將對會Godiva Chocolates,Yogurtland和Pinkberry在內(nèi)的多家知名食品連鎖企業(yè)供應(yīng)商產(chǎn)生潛在影響。 如果不禁用C&C服務(wù)器的話,我們可以假設(shè)其他人很快也會受到此網(wǎng)絡(luò)攻擊活動的影響。
近幾個(gè)月來,F(xiàn)lawinAmmyy遠(yuǎn)控木馬程序的使用量激增,上個(gè)月它已躋身Checkpoint全球威脅指數(shù)前十名。正如Proofpoint研究人員去年3月份所透露的那樣,此次攻擊活動所使用的FlawinAmmyy遠(yuǎn)控木馬程序是基于已泄露的AmmyyAdmin遠(yuǎn)控木馬程序的源代碼程序開發(fā)的變種程序。
隨著對該活動的深入調(diào)查掌握,基于元數(shù)據(jù)和其他指標(biāo),同一個(gè)攻擊活動參與者正在交付另一個(gè)版本的遠(yuǎn)控木馬程序,該版本以遠(yuǎn)程操控器(RMS)RAT作為有效載荷。RMS RAT是建立在一個(gè)隨時(shí)可用的非商業(yè)庫之上的,該庫有助于分析代碼中出現(xiàn)的異常。
此攻擊活動的所有版本都以網(wǎng)絡(luò)釣魚作為攻擊起點(diǎn),欺騙受害者啟用宏功能。攻擊活動會分多個(gè)階段進(jìn)行,最終將會提供一個(gè)完全簽名的可執(zhí)行RAT。
基于元數(shù)據(jù)分析,我們懷疑發(fā)起這次攻擊活動的幕后黑手為Proofpoint所描述的TA505。截至本文發(fā)表時(shí),攻擊活動仍在繼續(xù)。Morphisec已向有關(guān)當(dāng)局報(bào)告了這次攻擊活動的細(xì)節(jié),以便對攻擊活動所使用的C&C服務(wù)器采取措施。
本文我們將重點(diǎn)介紹Ammyy RAT的攻擊鏈,并指出其與RMS RAT攻擊鏈的區(qū)別。
技術(shù)介紹
網(wǎng)絡(luò)釣魚
此次的“Pied Piper”攻擊活動與之前的網(wǎng)絡(luò)釣魚攻擊活動相似, 之前的網(wǎng)絡(luò)釣魚所使用的遠(yuǎn)控木馬程序?yàn)锳mmyy Admin RAT。這些武器化的文檔采用了相同的彩色圖像,誘使受害者啟用宏功能來瀏覽Microsoft Office文檔。在此次攻擊活動中,攻擊者使用了weaponized .pub (Microsoft Publisher)文檔以及更標(biāo)準(zhǔn)的.doc文件。Morphisec研究人員檢查了多個(gè)不同文件名的文檔。有些文件名為invoice_.pub,更多的則為invoice_laspinasfoods.doc。根據(jù)文件的元數(shù)據(jù)來分析,這些文檔似乎是在最近幾天創(chuàng)建的,目前還在繼續(xù)創(chuàng)建其他類似文件。
此次的“Pied Piper”攻擊活動與之前的網(wǎng)絡(luò)釣魚攻擊活動相似, 之前的網(wǎng)絡(luò)釣魚所使用的遠(yuǎn)控木馬程序?yàn)锳mmyy Admin RAT。這些武器化的文檔采用了相同的彩色圖像,誘使受害者啟用宏功能來瀏覽Microsoft Office文檔。在此次攻擊活動中,攻擊者使用了weaponized .pub (Microsoft Publisher)文檔以及更標(biāo)準(zhǔn)的.doc文件。Morphisec研究人員檢查了多個(gè)不同文件名的文檔。有些文件名為invoice_.pub,更多的則為invoice_laspinasfoods.doc。根據(jù)文件的元數(shù)據(jù)來分析,這些文檔似乎是在最近幾天創(chuàng)建的,目前還在繼續(xù)創(chuàng)建其他類似文件。
圖為西班牙語的釣魚Word文檔
圖為德語的釣魚Word文檔
宏代碼分析
當(dāng)宏代碼被執(zhí)行時(shí),將會在Windows計(jì)劃任務(wù)中添加一項(xiàng)計(jì)劃任務(wù),該任務(wù)將在下一個(gè)攻擊階段被執(zhí)行。這是惡意程序作者為規(guī)避殺軟系統(tǒng)而設(shè)計(jì)的,同時(shí)也是打破攻擊鏈的一種常見做法,而不是直接去執(zhí)行下一階段的Word程序進(jìn)程。 在Ammyy RAT和RMS RAT兩種攻擊方式中,已添加的計(jì)劃任務(wù)會執(zhí)行PowerShell命令,該命令會對從一個(gè)指定域名下載的MSI程序進(jìn)行相同的解密(所有域名都會在附錄中記載)。
在已分析出的大多數(shù)情況下,MSI的名稱是“WpnUserService”。在所有情況下,MSI都包含一個(gè)可執(zhí)行文件MYEXE,該文件會根據(jù)它傳遞的RAT類型而進(jìn)行不同的簽名。這個(gè)可執(zhí)行文件只是用于下一個(gè)階段的下載者程序,而不是RAT本身。 在下面的圖示中,我們對與Ammyy RAT程序相關(guān)的MYEXE進(jìn)行了逆向分析(這是最近編譯的一個(gè)變種程序)。
通過截圖,我們可以清楚地看到可執(zhí)行文件會檢測一些常見的病毒查殺系統(tǒng),如果檢測到其中一個(gè),它將會使用一個(gè)不同的路徑(通過Svchost.exe來執(zhí)行)。 如果沒有找到病毒查殺系統(tǒng),它將從下一臺IP服務(wù)器(仍然不是C2服務(wù)器)下載一個(gè)臨時(shí)文件。此臨時(shí)文件是Ammyy RAT加密文件,將在后面的階段進(jìn)行解密。 從下面的截圖可以看出,可執(zhí)行文件編寫了一個(gè)自定義的GetProcAddress函數(shù),并根據(jù)在程序運(yùn)行時(shí)計(jì)算的哈希值(SHIFT 7 + xor)加載內(nèi)存中的所有函數(shù)地址。
| 
