首頁 > 關(guān)于我們 > 安恒動態(tài) > 2019 > 正文

魔芋行動（Operation Ninikachu ）針對韓國某大型集團(tuán)的定向攻擊

閱讀量：次

近日，安恒安全研究院獵影威脅分析團(tuán)隊(duì)在文件威脅分析平臺上監(jiān)測到了一起針對韓國大型公司的高級可持續(xù)攻擊。經(jīng)過深入分析，發(fā)現(xiàn)攻擊者可能來自南亞國家，通過樣本中的關(guān)鍵詞匯將該起攻擊命名為魔芋行動（Operation Ninikachu）。

樣本分析

攻擊者投遞了多個(gè)高度偽裝的文檔，文檔實(shí)例展示如下：

文檔利用形式相同，都使用了相似的惡意宏代碼，我們拿出其中一個(gè)進(jìn)行分析，如“????_191030.xls”文檔。

文檔中包含惡意宏代碼

宏代碼的功能為遠(yuǎn)程下載文件，其地址如下：

hxxps://218.*.*.187/as/***/***/skcc.com/ReportSVC.exe

保存到“c:\ProgramData\ReportSVC.exe”并執(zhí)行。

ReportSVC.exe程序?yàn)榧舆^密的python打包程序,將該程序進(jìn)行解包并反編譯還原如下：

可以得到agent主程序，并可以通過AES算法使用加密key：”XMBci***8HQGPDH”解密被加密的一些模塊：

如解密config.pyc.encrypted文件解密出config模塊：

內(nèi)部包含程序執(zhí)行所需要的各種配置信息，如回連地址信息“hxxps:// 218.*.*.187”，服務(wù)前綴“skcc[.]com”，幫助信息等等。

接下來分析反編譯出的angent.py程序，發(fā)現(xiàn)其就是一個(gè)python遠(yuǎn)程控制程序。包含多個(gè)功能指令。

程序會先進(jìn)行初始化，從配置文件中獲取各類配置信息，以及收集本機(jī)計(jì)算機(jī)中的各類信息，如獲取系統(tǒng)版本信息：

獲取uid信息：

獲取Hostname信息：

獲取Username信息：

然后回連C2，發(fā)送信息并通過指令進(jìn)行交互

幾個(gè)關(guān)鍵功能包括：

函數(shù)Getdocpaths：獲取指定路徑下的doc*,xls*,ppt*路徑信息

函數(shù)Upload：上傳本地文件到服務(wù)器。

函數(shù)Download：從遠(yuǎn)程服務(wù)器通過http(s)下載文件。

函數(shù)Powershell：運(yùn)行powershell程序或命令。

函數(shù)Python：運(yùn)行python命令或python程序。

函數(shù)Getpw(Ninikachu)：通過使用Empire的Invoke-Mimikatz.ps1來獲取系統(tǒng)密碼。?

Agent程序整體函數(shù)功能如下列表：

函數(shù)	功能
__init__	程序初始化，獲取信息和配置等
log	日志記錄
get_UID	獲取uid
jsonenc	Aes encrypt
add_server	添加C2服務(wù)地址
server_hello	請求服務(wù)指令
send_output	發(fā)送控制臺輸出內(nèi)容到服務(wù)器
expand_path	擴(kuò)展環(huán)境變量
runcmd	運(yùn)行cmd指令
getdocpaths	獲取指定路徑下的doc,xls,ppt*路徑信息
powershell	運(yùn)行powershell程序
filterInput	過濾輸入內(nèi)容
ninikachu	獲取系統(tǒng)密碼
python	運(yùn)行python命令或python程序
cd	切換目錄
upload	上傳本地文件到服務(wù)器
download	從遠(yuǎn)程服務(wù)器下載文件
exit	退出agent
zip	Zip壓縮文件或文件夾
help	幫助
run	循環(huán)運(yùn)行指令交互

關(guān)聯(lián)分析

https指紋分析

根據(jù)之前的樣本，我們知道其回連地址是218.*.*.187且使用https進(jìn)行通訊，我們獲取https的證書sha1值

c8b81df******de7e360af7a6e54b0

使用安恒全球網(wǎng)絡(luò)空間超級雷達(dá)sumap進(jìn)行檢索，又發(fā)現(xiàn)另2個(gè)使用了相關(guān)證書的ip地址：

通過關(guān)聯(lián)分析，發(fā)現(xiàn)了其中一個(gè)IP地址目前仍可訪問，其后臺地址：

代碼特征分析

分析頁面信息，其含有一個(gè)叫“Ares”關(guān)鍵詞信息，通過互聯(lián)網(wǎng)檢索發(fā)現(xiàn)，該后臺是Ares遠(yuǎn)控程序的控制端，而解密后的agent程序?yàn)锳res的被控端。

Ares的代碼在github屬于開源項(xiàng)目，但是這次攻擊的程序是黑客定制修改版本，修改包括：

設(shè)置終端語言版本。代碼中使用“cp949”編碼可以看出針對目標(biāo)語言為韓語
添加了一些竊密功能，如getdocpaths、powershell、ninikachu等定制重要功能

?

?被攻擊目標(biāo)分析

最開始的木馬ReportSVC.exe程序下載地址為hxxps:// 218.*.*.187/as/***/***/skcc.com/ReportSVC.exe中包含的skcc[.]com

而在解密的config.py配置文件中服務(wù)前綴SERVER_PREFIX也是包含skcc[.]com

猜測本次攻擊目標(biāo)為韓國SK C&C公司。SK C&C是韓國幾大企業(yè)集團(tuán)之一的SK集團(tuán)的全資子公司，主營業(yè)務(wù)為IT服務(wù)提供商和數(shù)字業(yè)務(wù)。

推測攻擊者

可以從pyimod01_os_path等文件中得到電腦的用戶名“kngkn”的信息。

通過一些搜索發(fā)現(xiàn)，推特上有這么一個(gè)用戶名，并且還關(guān)注了兩個(gè)用戶，都和數(shù)字媒體相關(guān)，并且所在地為南亞某國。

再可通過facebook搜索kngkn用戶名查看人物，發(fā)現(xiàn)大多數(shù)人物所在地都在南亞某國

如這些人物所在的地址：

說明該名字kngkn可能某地區(qū)的常用名字。

再來看看“Ninikachu”這個(gè)函數(shù)功能是使用mimikatz，兩個(gè)單詞拼讀起來也感覺類似，推測攻擊者可能是南亞某國的口音。

拆分ninikachu為nini和kachu，通過檢索發(fā)現(xiàn)在梵文中kachu叫做芋頭，所以我們將這次攻擊也叫作魔芋行動（Operation Ninikachu）。

防御建議總結(jié)

企業(yè)應(yīng)當(dāng)注重培養(yǎng)人員安全意識，不輕易打開未知來源的郵件及附件，不隨意點(diǎn)擊未知鏈接，不隨意打開未驗(yàn)證可靠來源的文檔。及時(shí)為信息系統(tǒng)打好補(bǔ)丁。

部署安恒APT預(yù)警平臺，安恒APT預(yù)警平臺能夠發(fā)現(xiàn)已知或未知的威脅，APT預(yù)警平臺的實(shí)時(shí)監(jiān)控能力能夠捕獲并分析郵件附件投遞文檔或程序的威脅性，并能夠?qū)︵]件投遞，漏洞利用、安裝植入、回連控制等各個(gè)階段做強(qiáng)有力的監(jiān)測。結(jié)合安恒威脅情報(bào)系統(tǒng)，可將國內(nèi)外的威脅數(shù)據(jù)進(jìn)行匯總，并分析整個(gè)攻擊演進(jìn)和聯(lián)合預(yù)警。

獵影威脅分析團(tuán)隊(duì)將持續(xù)關(guān)注網(wǎng)絡(luò)安全動態(tài)。

IOC

MD5：

7927a48***d0e598c962f4b

526842f***e36d828d5edec

7e851a9***35937bbb54326

36bcfeb***d2f1faf9c6a3ae

IP：

218.***.***.187

211.***.***.113

114.***.***.178

URL：

hxxps://218.***.***.187/as/***/***/skcc.com/ReportSVC.exe

hxxps://211.***.***.113/as/***/***/skcc.com/SCMetroUIUpdater.exe

hxxps://114.***.***.178/as/login

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>