首頁 > 關于我們 > 安恒動態 > 2019 > 正文

蔓靈花APT組織最新的C#木馬組件揭秘

閱讀量：次

安恒安全研究院獵影威脅情報分析團隊于今年4月份監控并發現“蔓靈花”(BITTER)組織針對我國多個敏感部門進行攻擊，安全研究團隊對該次事件進行深入了分析。通過持續監控，近期又發現其開始了新的攻擊，并加入了新的組件。

APT組織介紹

“蔓靈花”又名“BITTER”，一個長期針對中國及巴基斯坦的政府、軍工、電力、核等部門發動網絡攻擊，竊取敏感資料，具有較強的政治背景。該組織最早在2016由美國安全公司Forcepoint進行了披露，他們發現攻擊者使用的遠程訪問工具（RAT）變體使用的網絡通信頭包含 “BITTER”，所以該這次攻擊命名為“BITTER”，同年國內安全廠商也跟進發布了分析報告，命名為“蔓靈花”。

攻擊樣本分析

本次攻擊(2019年9月份發現)使用了多個攻擊樣本，如捕獲到一個命名為“mypictures.chm”的樣本，該樣本格式是chm，文件被打開后展示一些圖片：

通過查看代碼發現它會在后臺通過msiexec命令去遠程服務器下載msi文件

觀察進程樹也能發現該行為：

通過安恒文件威脅分析平臺檢索域名gongzuosousuo[.]net,又發現多個樣本，其中2個樣本引起我們注意：

這兩個文件都是捆綁的主樣本，它們偽裝成office圖標的exe文件

其中“中國新的對外安全政策.docx”打開后，是關于我國外交策略的文檔，

另一個文檔顯示亂碼：

這兩個文件除了顯示假文檔還會釋放都“audiodq.exe”，且回連還是相同域名：gongzuosousuo[.]net。

另外，通過該域名還可以關聯到另一個msi樣本wupd.msi。

該樣本會釋放運行wupdte.exe，wupdte.exe包含pdb信息為：

C:\Users\user\Desktop\360ActiveDefence 1.4 Sep2019\360ActiveDefence 1.4 V2\Release\360ActiveDefence.pdb

wupdte.exe的主要功能為獲取基礎信息和遠程下載新樣本并執行，

該樣本會搜集計算機名、用戶名、操作系統版本、操作系統序列號等信息，發送到mil.openendhostservice[.]org遠程地址，并拷貝自身文件到

C:\Users\用戶名\AppData\Roaming\Microsoft\Windows\SendTo\winupd.exe

并且還可以下載遠程數據解密出樣本并執行。

接下來，分析chm文件下載的ausetup.msi文件，它運行后也會釋放叫“audiodq.exe”,其回連地址是：“lmhostsvc[.]net”，繼續使用平臺檢索該域名，發現叫做engineblock-2.jpg.exe程序

其運行后會打開圖片和釋放并運行audiodq.exe。

audiodq.exe和之前發現的樣本功能一致，只是域名有所變化，如本次攻擊所使用的其中一個域名為lmhostsvc[.]net

并且通過安恒文件威脅分析平臺分析關聯到另一個域名zhulidailiren4winnt[.]net也是主模塊回連域名。

深入追蹤發現BITTER組織對其組件進行了一些更新，其中最主要的變化是加入了兩款.net的遠控程序。

從樣本時間來看最新更新的組件時間為10月15日。

由于篇幅有限，之前的分析一筆帶過。之前組件的功能匯總如下表所示：

樣本名稱	Md5	功能
audiodq.exe	6bb5614223a21db411b1cb3ed29465f5	主程序:發送基礎信息，可接受黑客指令下載各個組件
regdl	be171b4df9b7db48c67f31c678421bfd	組件:設置主程序audiodq的注冊表自啟動模塊
spoolvs	fc516905e3237f1aa03a38a0dde84b52	組件:遠控模塊，具備完善的文件竊密功能，使用加密傳輸，密鑰是”m50e!sq&n67$t”，傳輸地址是：neth****pport.ddns.net
igfxsrvk	efec7464f07633415cbc36a97b900587	組件:鍵盤記錄模塊
dashost	d884f6d37c0202935db1a54c7f0a79ed	組件:功能同spoolvs，文件hash不同而已。
lsap	44e936f5f02fa3fdf5925ba9fbd486e5	組件:搜集信息（收集的文件列表）和并將文件涉及的文件上傳到：Sysi****vice.ddns.net
upmp	450005b247add0b1aa03cee00c90bc3b	組件:功能同lsap一樣，文件hash不同而已。
misis	11864ec73e6226f52a1e6e4074b33e89	組件:功能和lsap類似，當文件上傳時采取的加密傳輸(參數base64+間隔符切割)，地址也是：Sysi****vice.ddns.net
putty	b3e0ed34b7ee16b12b80a4dc5f8dddae	正常文件.ssh登入工具putty.exe

我們將更新后的組件和之前的組件進行了對比分析，

其中sleep、kill、regdl和之前的regdl一致為給audiodq程序設置自啟動，
lsap*系列和之前的lsap功能大致上是一致的都是搜集信息和文件并上傳，
igfxsrvk和之前的也是一致的主要為鍵盤記錄功能，
winsvc和spoolvs功能一致為遠控模塊。

這些模塊功能大致相同，樣本中的回連地址會做一些變化。

下面主要分析新加入的.net程序模塊MSAServices、MSAServicet、onedriveManager、sessionmanagers。

MSAServices模塊分析

MSAServices為遠程控制程序，主要功能為回連遠程服務器進行命令控制和數據傳輸。

樣本先回進行一個冒泡排序，將結果寫入到

C:\Users\Public\array.txt文件中，具體內容似乎并無什么意義。

然后進行了刪除，猜測這么做的目的是為了判斷系統是否是win7及以上的系統，在WIN XP下無法發現C:\Users\Public路徑。

接著進行網絡連接操作并設置心跳狀態定時回調函數。

可以觀察到網絡連接的C2域名為mswinhostsvc[.]net，端口為 43821，被用于數據傳輸加解密的NetworkKey為745930。

其加密算法如下：

然后接受和發送數據信息，發送的基本信息，包括系統版本、系統用戶、系統目錄、mac地址等等信息

還包括獲取Win序列號信息等

然后該程序會進行Processor調用初始化。

包含了該程序可以執行的主要功能。

接收命令并進行執行并返回執行信息，功能如下所示：

包類型	完成功能
Delete File	刪除文件
Get Processes	獲取進程信息
Kill Processes	Kill進程
Suspend Processes	掛起進程
Resume Processes	恢復進程
Get Process DLLs	獲取進程中使用的dll信息
Get Process threads	獲取進程中的線程信息
Mod Thread	改變線程狀態
Start Process	開始進程
FileMgr get drives	獲取可用邏輯驅動器
FileMgr get Folders	獲取目錄下的文件信息
FileMgr Create File	創建文件
FileMgr Copy File	拷貝文件
FileTransfer Begin	傳輸文件
FileTransfer Data	傳輸數據
FileTransfer Complete	數據傳輸完成
FileTransfer for downloading start	傳輸文件
Get Command	獲取指令
Start Command Prompt	開始命令并監控
Stop Command Prompt	結束命令
Connection Status	連接狀態

MSAServicet和MSAServices功能一致。

Sessionmanagers模塊分析

Sessionmanagers也為遠程控制程序，主要功能為回連遠程服務器進行命令控制和數據傳輸。

通過安恒文件威脅分析平臺分析發現該樣本的編譯時間故意被篡改。

該程序會連接遠程服務器進行命令和控制。

解密出遠程服務器地址為winqrcservice[.]net，端口為28564。

接著程序進行等待命令并處理命令階段。

命令包括獲取信息包括基本的信息和殺毒軟件信息等，

主要命令如下列表：

命令	功能
tskmgr	啟動任務管理器
getinfo-	獲取各類信息
prockill	Kill進程
proclist	列舉進程
startcmd	開啟cmd
stopcmd	停止cmd
cmd§	執行各類cmd指令
fdrive	獲取邏輯驅動器信息
fdir§	獲取目錄下的文件信息
f1§	f1 +?drive name
fpaste§	移動或拷貝文件或文件夾
fexec§	執行程序
fhide§	設置文件屬性為隱藏
fshow§	設置文件屬性為可見
fdel§	刪除文件
frename§	重命名文件或文件夾名
ffile§	新建文件
fndir§	新建文件夾
getfile§	備份文件
putfile§	寫入文件
fup	上傳文件
fdl§	下載文件
fconfirm	命令確認
dc	循環接收指令

onedriveManager和sessionmanagers功能一致。

總結

通過該次分析，可以看出該組織疑似有新的C#開發成員加入或轉向了C#研發，新的組件代碼仍在持續開發階段，部分功能并沒有調用或只是測試使用，通過回連域名發現攻擊者了解中文，回連域名中包含中文拼音(如zhulidailiren4winnt、tongbanzhichi、gongzuosousuo)。

另外，其核心木馬下載功能也做了更新，安恒安全研究院獵影威脅情報分析團隊將持續監控該組織動態。由于篇幅關系內容有所精簡，需詳細報告請聯系郵箱ti@dbappsecurity.com.cn

IOC

域名：

hxxp://lmhostsvc[.]net

hxxp://zhulidailiren4winnt[.]net

hxxp://mswinhostsvc[.]net

hxxp://winqrcservice[.]net

hxxp://winlocsec.ddns[.]net

hxxp://tongbanzhichi[.]net

hxxp://mscnsservice.ddns[.]net

hxxp://gongzuosousuo[.]net

hxxp://mil.openendhostservice[.]org

文件MD5：

c87641a13843682ae16a5da18ffee654

46ef2c0db107b794516dc2b2622e44ad

4b0e5c5c4e0e22f2dfeef0531e021072

b5c66d01d0e96b04702030ed23add415

c831af87ab876bd774784eb8f3338b4b

ae02f2f8100de5f9f155f4b8ce3e494e

8831eac19d1a1c30697057fa501d063f

d8c76c736a3285378bc82ea9cd3c972d

4bfff2480fb6eaa0ef82abb0092c2586

a24d5a8f6a916fe976face1f145cf297

79a1e1d2ea5c629f60ef00a96ec4d0fe

be171b4df9b7db48c67f31c678421bfd

e421808b24c1ebd4cf0a078c6e66ded8

fc572eec5ae8b38428259c5d8fc5a05f

關閉

AI+安全>

數據安全>

數據基礎設施>

態勢感知>

云安全>

基礎安全>

終端安全>

商用密碼>

軟件供應鏈安全>