----- ### 目录 第 1 章 概述 ............................................................................................................................... 3 1. 主要发现 ........................................................................................................................... 3 2. 命名由来 ........................................................................................................................... 4 第 2 章 攻击目的和受害分析 ................................................................................................... 5 1. 攻击目的 ........................................................................................................................... 5 2. 行业分布 ........................................................................................................................... 6 3. 地域分布 ........................................................................................................................... 6 第 3 章 持续 11 年的活动 ......................................................................................................... 8 1. 初始攻击 ........................................................................................................................... 8 1) 鱼叉式钓鱼邮件攻击 ............................................................................................... 8 2) RLO 伪装文档扩展名 ............................................................................................. 16 3) 伪装图标隐藏扩展名 ............................................................................................. 16 2. 漏洞分析 ......................................................................................................................... 17 1) CVE-2012-0158 漏洞 ............................................................................................... 17 2) CVE-2014-6352 漏洞(0day) ............................................................................... 19 3) CVE-2017-8759 漏洞 ............................................................................................... 24 3. 持续渗透 ......................................................................................................................... 25 1) RAT 演进.................................................................................................................. 25 2) RAT 13 个版本分析 ................................................................................................. 27 3) 脚本加载的攻击载荷分析 ..................................................................................... 36 4) 最新控制木马分析 ................................................................................................. 44 4. C&C 分析 ......................................................................................................................... 51 1) 动态域名 ................................................................................................................. 51 2) 域名涵义 ................................................................................................................. 52 3) 云盘 ......................................................................................................................... 53 4) 第三方博客 ............................................................................................................. 55 5) C&C 的 IP(ASN) .................................................................................................. 56 6) 其他 ......................................................................................................................... 56 5. 关联分析 ......................................................................................................................... 57 1) 整体关联 ................................................................................................................. 57 2) RAT 迭代升级(对抗手法) .................................................................................. 58 加密方法......................................................................................................................................... 59 第 4 章 幕后始作俑者 ............................................................................................................. 65 1. 资源方法 ......................................................................................................................... 65 2. 相关关联信息 ................................................................................................................. 65 1) 域名 whois 信息 ..................................................................................................... 65 2) 关注的关键字 ......................................................................................................... 66 3) PE 样本中繁体字体、BIG5 字符集 ....................................................................... 66 4) 漏洞文档中繁体字体 ............................................................................................. 67 5) 释放的迷惑文档 ..................................................................................................... 68 第 5 章 组织能力或特性分析 ................................................................................................. 69 附录 1:文件 MD5 列表 ................................................................................................................ 70 **1 / 78** ----- 附录 2:C&C 列表 .......................................................................................................................... 72 附录 3:360 追日团队(Helios Team) ....................................................................................... 75 附录 4:360 安全监测与响应中心 ............................................................................................... 76 附录 5:360 威胁情报中心 ........................................................................................................... 77 **2 / 78** ----- # 第1章 概述 ## 1. 主要发现 从 2007 年开始至今,360 追日团队发现毒云藤组织对中国国防、政府、科技、教育以 及海事机构等重点单位和部门进行了长达 11 年的网络间谍活动。该组织主要关注军工、中 美关系、两岸关系和海洋相关领域,其关注的领域与我们之前发布的海莲花(OceanLotus) APT 组织有一定相似的地方。 360 追日团队捕获毒云藤的首个木马出现在 2007 年 12 月。在之后的 11 年中我们先后 捕获到了 13 个版本的恶意代码,涉及样本数量 73 个。该组织在初始攻击环节主要采用鱼叉 式钓鱼邮件攻击,攻击之前对目标进行了深入调研和精心挑选,选用与目标所属行业或领域 密切相关的内容构造诱饵文件和邮件,主要是采用相应具体领域相关会议材料、研究成果或 通知公告等主题。期间漏洞文档样本数量 10 个,其中包含 1 个 0day 漏洞。这些木马的感染 者遍布国内 31 个省级行政区。C&C 域名数量为 59 个,回传的地址位于 4 个不同国家或地区。 毒云藤在对中国持续 11 年的网络间谍活动中,下述相关时间点值得关注:  2007 年 12 月,首次发现与该组织相关的木马。涉及海洋相关领域(疑似对某大型船务 公司进行相关攻击)  2008 年 3 月,对国内某高校重点实验室(某科研机构)  2009 年 2 月,开始对军工行业展开攻击(某知名军工类期刊杂志社)  2009 年 10 月,木马增加了特殊的对抗静态扫描的手法(API 字符串逆序),相关手法沿 用到大部分版本的木马中,并持续应用到 2018 年  2011 年 12 月,木马增加了特殊的对抗动态检测的手法(错误 API 参数),相关手法沿 用到大部分版本的木马中,并持续应用到 2015 年  2012 年 2 月,首次发现基于 zxshell 代码的修改版后门 1,其中关键功能是窃取 如.doc\.ppt\.xls\.wps 类文档文件  2013 年 3 月,对中科院,以及若干科技、海事等领域国家部委、局等进行了集中攻击  2013 年 10 月,对中国某政府网站进行水坑攻击  2014 年 5 月,发现 zxshell 修改版后门 1 的进化版本 2,其中除了基于修改版 1 功能, 增加了如“军”,“航”,“报告”关键字的搜索  2014 年 9 月 12 日,首次发现与 CVE-2014-4114(0day 漏洞)相关事件和样本。  2014 年 10 月 14 日,iSIGHT 发布相关报告,并指出 CVE-2014-4114(0day 漏洞)。同日 微软发布相关安全公告  2015 年 2 月 25 日,对某军工领域协会组织(国防科技相关)、中国工程院等攻击,同 时发现酷盘版样本  2017 年 10 月,主要通过 CVE-2017-8759 漏洞文档对某大型媒体机构网站和泉州某机关 相关人员实施鱼叉攻击  2018 年 4 月,360 威胁情报中心公开披露了该组织利用 CVE-2017-8759 漏洞文档的攻击 恶意代码 [2]  2018 年 5 月,针对数家船舶重工企业、港口运营公司等海事行业机构发动攻击 注: 以上首次攻击时间,是基于我们对该组织了解掌握的现有数据进行统计的,不代表我们已经掌握了该 **3 / 78** ----- 组织的全部攻击事件和行为。 ## 2. 命名由来 自 2015 年,国内在 APT 方向的相关研究逐渐起步并加快。继“海莲花”、“蓝宝菇”等 组织曝光之后,毒云藤组织(APT-C-01)是又一个针对政府、军工、海事等领域敏感信息持 续发起攻击的 APT 组织。 该组织是 360 独立发现的,并率先披露了该组织的部分相关信息(参见: https://ti.360.net/blog/articles/analysis-of-apt-c-01/,发布时间:2018 年 4 月),符合 360 对 APT 组织就行独立命名的条件。 360 威胁情报中心将 APT-C-01 组织命名为“毒云藤”,主要是考虑了以下几方面的因素: 一是该组织在多次攻击行动中,都使用了 Poison Ivy(毒藤)木马;二、该攻击组织在中转 信息时,曾使用云盘作为跳板传输资料,这跟爬藤类植物凌空而越过墙体,颇有相似之处。 根据 360 威胁情报中心对 APT 组织的命名规则(参见《2016 年中国高级持续性威胁研究报 告》),同时结合该组织关联地区常见的蔓藤植物,将 APT-C-01 组织命名为“毒云藤”。 另,国内安天实验室于 2018 年 9 月 19 日发布 APT 攻击组织“绿斑”(Green Spot)分 析报告。根据 360 威胁情报中心与安天实验室之间达成的能力型厂商成果互认约定,360 威 胁情报中心发现的“毒云藤”(APT-C-01)对应“绿斑”(Green Spot),二者是同一组织。因 此,我们把监测到的情况与该组织攻击特点也公布出来,共同为中国提升 APT 防御能力而 努力。 **4 / 78** ----- # 第2章 攻击目的和受害分析 ## 1. 攻击目的 攻击组织的主要目的是窃取中国政府、科研相关行业领域的资料数据。相关数据主要以 文档为主,关心的关键字主要包括以下关键字和扩展名的文件: 关键字: “201”,“2014”,“2015 年”,“报”,“报告”,“兵”,“部队”,“对台”,“工作”,“规划”, “国”,“国际”,“航”,“合作”,“机”,“机场”,“基地”,“极地”,“军”,“军事”,“科技”, “密”,“内部”,“十”,“十三”,“台”,“台湾”,“铁路”,“无人”,“项”,“雪”,“研”,“运 输”,“战”,“站”,“中” 扩展名: “doc”,“ppt”,“xls”,“pdf”,“rtf”,“rar”,“wps”,“doc*”,“ppt*”,“xls*” 窃取用户主机相关信息 MAC Info:MAC 信息,主要包括 IP 地址、网关信息等 Host Info:主机信息,主要包括操作系统信息、主机名称、本地用户名等 Process Info:当前进程信息 Version Info:相关版本信息,主要包括 Microsoft Office 和 Microsoft Internet Explorer 版本信息 Disk Info:磁盘信息 图 1 相关窃取用户主机信息截图(示例) **5 / 78** ----- 图 2 被感染用户月统计(2014 年 7 月-2015 年 6 月) ## 2. 行业分布 主要涉及:国防、政府、科技、教育等 相关领域包括:海洋(南海、东海、测绘)、军工、涉台问题(两岸关系)、中美关系 ## 3. 地域分布 图 3 中国被感染地区分布图(2014 年 7 月-2015 年 6 月) **6 / 78** ----- 福建 7% 图 4 中国被感染地区比例图 地区 数量 北京 296 福建 55 广东 43 浙江 39 上海 32 **7 / 78** 福建 7% 广 ----- # 第3章 持续 11 年的活动 ## 1. 初始攻击 ### 1) 鱼叉式钓鱼邮件攻击 鱼叉式钓鱼邮件攻击是 APT 中常用的攻击手法,主要在 APT 的初始攻击环节。简单理 解就是利用邮件作为攻击前导,其中正文、附件都可能携带恶意代码,进一步主要以附件携 带漏洞文档文件为主,大约 90%的攻击都是该类攻击[1]。 本小节主要介绍邮件携带漏洞文档和邮件携带二进制可执行文件这两种攻击方法。 #### A. 携带漏洞文档 **MD5** 文件名 病毒名 邮件 附件 压缩 包内 **PE** 释放 的 **PE** a5d9edaa1b6cf820d54c19b2c6bd246d 专业技术干部手册.rar 2fa75fdf4d57c182bc6c0438dd6cbf27 HandBook.chm b04d7fa1c7e3a8274ba81f48f06a5f4e hh.exe Backdoor.Win32.Fa keWinupdate 1“Spear-Phishing Email: Most Favored APT Attack Bait”, http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/wp-spear-phishing-emailmost-favored-apt-attack-bait.pdf **8 / 78** ----- 图 5 携带漏洞文档案例 1 邮件截图 图 6 携带漏洞文档案例 1 邮件附件压缩包截图 **9 / 78** ----- 图 7 携带漏洞文档案例 1 诱饵 CHM 文档截图 **MD5** 文件名 病毒名 邮件 附件 释放 的 **PE** 19365fddc2fca8735d51def001704db3 2013 中国亚洲太平洋 学会年会文件.doc virus.exp.20120158 07561810d818905851ce6ab2c115287 1 update.exe Backdoor.Win32.Zx Shell **10 / 78** ----- 图 8 携带漏洞文档案例 1 邮件截图 **MD5** 文件名 病毒名 邮件 附件 释放 的 **PE** f3ed0632cadd2d6beffb9d33db4188ed update.exe Backdoor.Win32.Po isonIvy **11 / 78** 9fb6866c2cdd49387a520f421a04b882 中科院 2013 年研究项 目材料.doc virus.exp.20120158 ----- 图 9 携带漏洞文档案例 2 邮件截图 图 10 携带漏洞文档案例 2 漏洞文档(释放后迷惑文档)截图 **12 / 78** ----- #### B. 携带 PE 二进制可执行程序 **MD5** 文件名 病毒名 邮件 附件 压缩 包内 **PE** 释放 的 **PE** 954f50f7ed8b4c11b59560769de0ec36 关于推荐第十三届中 国青年科技奖候选人 的通知.rar 6a37ce66d3003ebf04d249ab049acb22 svchoct.exe Backdoor.Win32.Ht tpBot 图 11 携带 PE 二进制可执行程序案例邮件截图 **13 / 78** Dropper.Win32.Fak eDoc Dropper.Win32.Fak eDoc 8c9670fbe68ab8719077d480242e6b9 e 关于推荐第十三届中 国青年科技奖候选人 的通知.exe ----- 图 12 携带 PE 二进制可执行程序案例邮件附件压缩包截图 图 13 携带 PE 二进制可执行程序案例中木马释放迷惑文档打开后截图 攻击组织在发送钓鱼邮件通常登录 web 邮件和通过相关工具(PHPMailer[2])进行攻击邮 件的发送。 2 PHPMailer,http://code.google.com/a/apache-extras.org/p/phpmailer/ **14 / 78** ----- #### C. 携带自解压文件 攻击组织通过向目标邮箱发送压缩形态的 RAR 自解压格式程序。 附件里面是木马文件: 该文件实际是一个 RAR 自解压格式程序,参数如下,点击这个 exe,会直接运行里面的 bat 文件: 默认的批处理命令会把木马主体移动到 temp 目录下,然后执行起来,同时删除该批处理文 件: **15 / 78** ----- ### 2) RLO[3]伪装文档扩展名 **MD5** 文件名 病毒名 邮件 附件 954f50f7ed8b4c11b59560769de0ec36 东海航保通信台站规 划 补 充 材 料 hangbaoexe.doc(真实 扩展名 cod.exe) 图 14 伪装文档扩展名(RLO)样本截图 Dropper.Win32.Fak eDoc ### 3) 伪装图标隐藏扩展名 **MD5** 文件名 病毒名 邮件 附件 cbeebf063f914eb3b5eba8b37302189f “军民融合深度发展战 略研究”咨询项目正式 启动 .exe 图 15 伪装图标隐藏扩展名案例 1 截图 Dropper.Win32.Fak eFolder **MD5** 文件名 病毒名 3 RLO,http://en.wikipedia.org/wiki/Unicode_character_property **16 / 78** ----- 邮件 附件 ae004a5d4f1829594d830956c55d6ae4 2014-03-18 中国系统仿 真学会科研项目经费 自 查 xls ___________________ __________.exe 图 16 伪装图标隐藏扩展名案例 2 截图 Dropper.Win32.Fak eXls 图 17 伪装图标隐藏扩展名案例 2 木马释放的迷惑文档截图 ## 2. 漏洞分析 ### 1) CVE-2012-0158 漏洞 漏洞编号 **CVE-2012-0158** 说明 Windows 常用控件中存在一个远程执行代码漏洞。攻击者可通过构建特制网 页来利用此漏洞。当用户查看网页时,该漏洞可能允许远程执行代码。成功 利用此漏洞的攻击者可以获得与登录用户相同的用户权限。 公布时间 2012 年 4 月 10 日 参考链接 [https://technet.microsoft.com/zh-cn/library/security/ms12-027.aspx](https://technet.microsoft.com/zh-cn/library/security/ms12-027.aspx) [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0158](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-0158) **17 / 78** ----- #### A. 漏洞文档执行流程 图 18 漏洞文档(CVE-2012-0158)执行流程 #### B. MHT 格式 图 19 漏洞文档两种形态(上 MHT,下 RTF)对比图 CVE-2012-0158 漏洞主要以 rtf 和 doc 格式为主,但本次攻击都是将 doc 文件保存为 mht 格式,导致杀软在漏洞检查时,因前置逻辑不匹配而漏检。相关漏洞文档文件在当时都是较 低检出率。 **18 / 78** ----- #### C. shellcode 对比 相关对比项 共性描述 **shellcode** 第一层 shellcode 都是异或 0xA3 用于解密,相关样本均为 3 层 shellcode, 并且数据结构一致 **Magic 值** 值为:0x22776655,0xCACACACA,0xA02005CA,均一致 释放文件 路径一致:  正常文档文件:“%USERPROFILE%”,相关文档文件名会有变化,如: “关于对中船钦州大型海工修造及保障基地项目一期工程建设工 作责任表的意见(37 号).doc”、“两会重要发布报告.doc”、“123.doc” 等  PE 木马文件:“C:\Documents and Settings\All Users\「开始」菜单\ 程序\启动\update.exe” 清除痕迹 解码相关注册表项,并删除。目的是为了清除 office 的打开失败等记录 的历史信息。 相关注册表项: "Software\Microsoft\Office\12.0\Word\Resiliency\DisabledItems" "Software\Microsoft\Office\12.0\Word\Resiliency\StartupItems" "Software\Microsoft\Office\11.0\Word\Resiliency\DocumentRecovery" "Software\Microsoft\Office\11.0\Word\Resiliency\DisabledItems" "Software\Microsoft\Office\11.0\Word\Resiliency\StartupItems" 通过我们对漏洞文档的 shellcode 对比可以发现相关结构和功能都基本一致,进一步我 们也能推断相关漏洞文档是同一组织开发。 ### 2) CVE-2014-6352 漏洞(0day) #### A. 背景介绍 CVE-2014-4114 漏洞是 iSIGHT 公司[4]在 2014 年 10 月 14 日发布相关报告,报告其中提到 一个 0day 漏洞(CVE-2014-4114)用于俄罗斯相关主要针对北约、欧盟、电信和能源相关领 域的网络间谍活动。微软也是在 10 月 14 日发布相关安全公告。 而 CVE-2014-6352 是可以认为绕过 CVE-2014-4114 补丁的漏洞,微软之前的修补方案首 先在生成 Inf 和 exe 文件后添加 MakeFileUnsafe 调用,来设置文件 Zone 信息,这样随后在漏 洞执行 inf 安装时,会有一个安全提示。而 CVE-2014-6352 漏洞样本抛弃了使用 inf 来安装 exe,转而直接执行 exe。因为 xp 以上系统可执行文件的右键菜单第二项是以管理员权限执 行,这样导致如果用户关闭了 uac 会导致没有任何安全提醒。所以微软 6352 的补丁是在调 用右键菜单添加一个安全提示弹窗。 漏洞编号 **CVE-2014-4114** 4“iSIGHT discovers zero-day vulnerability CVE-2014-4114 used in Russian cyber-espionage campaign”, http://www.isightpartners.com/2014/10/cve-2014-4114/ **19 / 78** ----- 说明 Windows OLE 中存在一个漏洞,如果用户打开包含特制 OLE 对象的文件, 则该漏洞可能允许远程执行代码。成功利用此漏洞的攻击者可以获得与登录 用户相同的用户权限。如果当前用户使用管理用户权限登录,则攻击者可随 后安装程序;查看、更改或删除数据;或者创建拥有完全用户权限的新帐户。 那些帐户被配置为拥有较少用户权限的用户比具有管理用户权限的用户受 到的影响要小。 公布时间 2014 年 10 月 14 日 参考链接 [https://technet.microsoft.com/zh-cn/library/security/ms14-060.aspx](https://technet.microsoft.com/zh-cn/library/security/ms14-060.aspx) [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4114](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-4114) 漏洞编号 **CVE-2014-6352** 说明 在用户下载或接收,然后打开经特殊设计的包含 OLE 对象的 Microsoft Office 文件时,会导致当前用户上下文中的远程执行代码漏洞。Microsoft 最 初通过协调漏洞披露渠道了解到有关此漏洞的信息。此漏洞最初在 Microsoft 安全通报 3010060 中进行了说明。Microsoft 获悉尝试使用此漏洞的有限攻 击。此更新通过修改在访问 OLE 对象时受影响的操作系统验证内存使用的 方式来解决这些漏洞。 公布时间 2014 年 10 月 21 日 参考链接 [https://technet.microsoft.com/zh-cn/library/security/3010060.aspx](https://technet.microsoft.com/zh-cn/library/security/3010060.aspx) [https://technet.microsoft.com/zh-cn/library/security/ms14-064.aspx](https://technet.microsoft.com/zh-cn/library/security/ms14-064.aspx) [http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6352](http://www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6352) #### B. 本次行动中相关介绍 **MD5** 文件名 病毒名 virus.exp.20146352 virus.exp.20146352 **da807804fa5f53f7cbcaac82b901689c** 指挥控制专委会评审责 任书.ppsx **19f967e27e21802fe92bc9705ae0a770** 南海课题项目建议 书.ppsx **20 / 78** ----- 图 20 漏洞文档(CVE-2014-6352)属性相关信息 图 21 CVE-2014-6352 相关关键时间节点 本次行动中的样本没有使用 inf[5]来做跳板,而是直接使用 exe,CVE-2014-4114 漏洞触发 后,默认调用的是右键菜单第二项,Windows7 下正常是使用管理员权限打开,如果第二项 是其他选项,则会将病毒路径作为参数传递,这也会产生部分兼容性问题。执行效果具体如 下图所示: 5 inf 是用来描述设备信息的文件,通过 inf 文件可以完成对文件以及注册表的一些操作 **21 / 78** ----- 漏洞文档版本升级 图 22 漏洞执行效果示意图 图 23 沙虫漏洞文档样本(版本 A)相关截图 **22 / 78** ----- 图 24 沙虫漏洞文档样本(版本 B)相关截图 图 25 毒云藤漏洞文档样本(版本 C)相关截图 版本 时间 厂商 描述 版本 **A** 2014 年 10 月 14 日 (报告发布时间) 版本 **B** 2014 年 10 月 16 日 (捕获样本时间) iSIGHT UNC 下载 PE 木马,利用 inf 安装启动 PE 木马 Xecure lab[6] 利用 inf 执行嵌入“.ppsx”文档内的 PE 木马 6http://blog.xecure-lab.com/2014/10/cve-2014-4114-pptx-apt-xecure-lab.html **23 / 78** ----- 版本 **C** 2014 年 9 月 12 日 (捕获样本时间) ### 3) CVE-2017-8759 漏洞 A.背景介绍 360 没有利用 inf,直接执行嵌入“.ppsx”文 档内的 PE 木马 CVE-2017-8759 漏洞是 FireEye 公司在 2017 年 9 月 12 日披露的一个 0Day 漏洞 (CVE-2017-8759)。微软也在 9 月 12 日发布了相关的安全公告。 漏洞编号 **CVE-2017-8759** 说明 CVE-2017-8759 是 SOAP WSDL 分析器代码注入漏洞,在解析 SOAP WSDL 定义 的内容中它允许攻击者注入任意代码,影响所有.net 环境。 公布时间 2017 年 9 月 12 日 参考链接 https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-8759 ### B.本次行动中相关介绍 **MD5** 文件名 病毒名 **5d0b4cadfb149695d9fbc71dd1b36bef** 2017 两岸关系新进展与 问题(内部).rtf virus.exp.20178759 Rtf 文档中通过 objautlink 和 objupdate 控制字段自动更新链接,漏洞触发后导致 mshta.exe 执行远程指定的 HTA 文件。 HTA 文件为一个嵌入了恶意 VBS 的 html 页面,该 VBS 调用 POWERSHELL 下载后续 exe loader。 **24 / 78** ----- ## 3. 持续渗透 ### 1) RAT 演进 RAT (Remote Access Trojan):远程访问木马,俗称远控。 图 26 相关 RAT 演进时间轴 **RAT** 最早 最晚 **ZxShell** 2007/12/26 2014/10/14 **Poison Ivy** 2011/12/27 2014/9/10 **kbox** 2015/2/11 2015/5/4 **puppet** 2008/12/22 2009/2/12 **httpbot** 2013/7/23 2013/10/2 **gh0st** 2009/1/13 2013/4/21 **AresRemote** 2009/5/5 2009/5/5 **shellcode** 2011/7/13 2015/5/5 **25 / 78** ----- **XRAT** 2013/11/6 2013/11/6 **FakeRising** 2009/5/15 2009/5/15 **FakeWinupdate** 2009/10/21 2009/10/21 **SBlog2014** **SBlog2015** 相关后门程序总共涉及 11 个版本。相关比例数量如下: 1% 1% 1% 1% 3% ZxShell Poison Ivy 5% kbox 6% 32% puppet httpbot 6% gh0st FakeRising AresRemote 21% shellcode 23% XRAT FakeWinupdate 图 27 11 个版本 RAT 分布比例 **RAT** 数量 **ZxShell** 23 **Poison Ivy** 17 **kbox** 15 **puppet** 4 **httpbot** 4 **gh0st** 4 **FakeRising** 2 **AresRemote** 1 **shellcode** 1 **XRAT** 1 **FakeWinupdate** 1 **26 / 78** ----- ### 2) RAT 13 个版本分析 #### A. Poison Ivy 图 28 RAT 相关版本分类 Poison Ivy 木马本质上一款远程控制木马程序(RAT)。其中 FireEye 对 Poison Ivy 专门进 行了一次研究分析[7]。 本次报告中出现的 Poison Ivy 木马对应的生成器版本均为 2.3.2,Poison Ivy 木马生成器 从 1.0.0 版本开始总共 10 个版本,最新版本为 2.3.2。Poison Ivy 木马生成器可以生成 EXE 和 shellcode 两种版本,在本次行动中生成的木马均为 shellcode 形态。进一步相关互斥体绝大 部分均为默认:“)!VoqA.I4”。 7 “POISON IVY:Assessing Damage and Extracting Intelligence”, https://www.fireeye.com/resources/pdfs/fireeye-poison-ivy-report.pdf **27 / 78** ----- 图 29 Posion Ivy 生成器相关配置界面截图 依次异或 key1和key2 Poison Ivy (shellcode) 图 30 外层和内层 PI 关系 另外 Poison Ivy 木马均由外层母体依次异或 key1 和 key2 来得到 shellcode。 图 31 Poison Ivy 木马(三个)相关异或解密对比图 **28 / 78** |Col1|Poison Ivy (shellcode)| |---|---| |异或 和key2|| ||| ----- 下表是相关 Poison Ivy 木马配置信息(ID 和对应密码)列表。 **MD5** **ID** 密码 **d61c583eba31f2670ae688af070c87fc** 14 926 **26d7f7aa3135e99581119f40986a8ac3** 14 8613 **5ee2958b130f9cda8f5f3fc1dc5249cf** 4 #My43@92 **7639ed0f0c0f5ac48ec9a548a82e2f50** 1013 @1234@ **250c9ec3e77d1c6d999ce782c69fc21b** avex admin **f3ed0632cadd2d6beffb9d33db4188ed** w6U900 admin **9b925250786571058dae5a7cbea71d28** zhan ftp1234 **ae004a5d4f1829594d830956c55d6ae4** zhan2 ftp1234 **fccb13c00df25d074a78f1eeeb04a0e7** zhan2 ftp1234 **a73d3f749e42e2b614f89c4b3ce97fe1** 009-4 ftp443 **785b24a55dd41c94060efe8b39dc6d4c** 120707 hook32wins **36c23c569205d6586984a2f6f8c3a39e** 90518 kkbox55 **81e1332d15b29e8a19d0e97459d0a1de** 90518 kkbox55 **7c498b7ad4c12c38b1f4eb12044a9def** motices ps135790 **ca663597299b1cecaf57c14c6579b23b** 010-4 ps1478 **76782ecf9684595dbf86e5e37ba95cc8** 13099 updatewin **c31549489bf0478ab4c367c563916ada** 0314--Good updatewin #### B. ZxShell ZxShell 从 2007 年 12 月开始一直到 2014 年 10 月一直被毒云藤组织持续使用。由于相 关版本差别较大,区分为内部公开版和源码公开版,第一个版指从 2007 年开始到 2012 年 之前出现过的该组织使用的 ZxShell 木马,第二个版指从 2012 年开始到 2014 年出现过的该 组织使用的相关 ZxShell 木马,相关木马是基于源码公开版进行开发,即我们称之为二次开 发版。 内部公开版和源码公开版均为 3.0 版本,前者无大范围公开,其中功能较丰富,后者相 关源码传播较为广泛,其中功能较之前版本剔除部分。 关于 ZxShell 的研究可以参看思科的 Threat Spotlight: Group 72, Opening the ZxShell 报告[8]。 内部公开版 源码公开版 二次开发版 **CleanEvent** √ √ √ **End** √ √ √ **Execute** √ √ √ **Help / ?** √ √ √ **LoadDll** √ √ √ **Ps** √ √ √ **SC** √ √ √ [8 Threat Spotlight: Group 72, Opening the ZxShell,http://blogs.cisco.com/security/talos/opening-zxshell](http://blogs.cisco.com/security/talos/opening-zxshell) **29 / 78** ----- **ShareShell** √ √ √ **SysInfo** √ √ √ **TermSvc** √ √ √ **TransFile** √ √ √ **ZXNC** √ √ √ **zxplug** √ √ √ **CA** √ √ × **CloseFW** √ √ × **FileTime** √ √ × **PortScan** √ √ × **RunAs** √ √ × **Shutdown** √ √ × **Uninstall** √ √ × **User** √ √ × **ZXHttpProxy** √ √ × **ZXHttpServer** √ √ × **ZXSockProxy** √ √ × **capsrv** √ × × **Exit / Quit** √ × × **FileMG** √ × × **FindDialPass** √ × × **FindPass** √ × × **GetCMD** √ × × **KeyLog** √ × × **rPortMap** √ × × **SYNFlood** √ × × **winvnc** √ × × **ZXARPS** √ × × 总共指令数量 35 24 13 从上表可以看出基于相关版本的木马,对应版本自带指令数量不断减少,也就是毒云藤 组织剔除了较多已有的功能,在二次开发版中只保留了 13 个指令,进一步增量了其他指令 和功能。二次开发版中相关新增功能如下表所示: 二次开发版与源码公开版对比 剔除功能 保留功能 新增功能 克隆系统账号 暂时关闭 windows 自带防火 墙 克隆一个文件的时间信息 端口扫描 以其他进程或用户的身份运 清除系统日记 结束本程序 运行一个程序 显示本信息 加载一个 DLL 或插入到指定 的进程 **30 / 78** IEPass 获取 IE 密码 搜索敏感信息加密写入文件: 指定时间范围内;指定文件扩 展名;指定关键字范围内 搜集信息回传到服务器 期间相关版本改动:修改监控 ----- 行程序 注销 || 重启 || 关闭系统 卸装 系统帐户管理 代理服务器 HTTP 服务器 Socks 4 & 5 代理 进程管理 服务管理 共享一个 Shell 给别人. 查看系统详细信息 配置终端服务 从指定网址下载文件或上传 文件到指定 FTP 服务器 NC 插件功能, 可添加自定义命 令 日志文件加密写到日志 _adovbs.mof;添加配置字符的_ 监控;增加了 _Profiles.log 记_ 录系统信息和文件信息 我们捕获到的样本是基于 ZxShell 源码修改,保留原有结构,ZxShell 本身指令比较多, 有二十多种。我们捕获的样本除了保留部分指令外,剔除了大量指令,如:安装启动,克隆 系统账户,关闭防火墙,端口扫描,代理服务器等功能。另外增加“IEPass”指令。 图 32 包含 IEPass 指令相关代码截图 相关子版本迭代更新(二次开发版) 1、 对比上一个版本,变化主要是搜集信息的部分,搜集文档的创建时间时间从半年前变成 4 年前,增加对“.wps”扩展名的文件搜集,改变原来的“.doc”为“.doc*”; 2、 窃取的文档的创建时间又重新变成半年,文件打包部分修改,去除文件版本信息; 3、 比较大的改动,修改监控日志文件加密写到日志 adovbs.mof,添加配置字符的监控,增 加,增加了 Profiles.log 记录系统信息和文件信息; 4、 代码功能较上个版本更新较少,相关函数位置发生了变化,是对抗杀毒软件进行了相关 调整。 **31 / 78** ----- 图 33 包含相关关键字代码截图 **ZxShell 相关配置列表** 上线密码 标记 关键字 admin fish1111 “201”,“报”,“项” ps1357 ps1234 “军事”,“对台”,“工作” ftp533 ftp1234 “军”,“项” 8613 spring “军”,“航”,“报告” 661566 大 661566 大 “极地”,“军”,“雪” 987 zxcvasdf “对台”,“国际”,“军” 95279527 asusgo “航”,“无人”,“军” qwer1234 kano918 “航”,“军”,“部” #### C. 酷盘版 相关样本伪装文件夹图标,执行后释放“svch0st.exe”的木马文件和用作迷惑用户的正 常文件夹和“.doc”文档文件。 “svch0st.exe”是一个采用 ssl 加密协议传输的一个木马程序,它会每过一个小时,执 行一遍所有的木马流程,木马流程把包括获取电脑上的所有信息(相关信息包括:文件目录、 系统版本,网卡信息、进程列表信息、打包指定文件、网络信息和磁盘信息),还有如果发 现文件有相关关键字(如:“台”、“军”、“战”)的文件,打包,通过 ssl 协议的方式上传到 攻击者事先注册的酷盘。 C&C 地址是酷盘地址[9],通过酷盘提供的 API 进行文件上传。 API 上传接口: https://api-upload.kanbox.com/0/upload/%s/%s?bearer_token=%s https://auth.kanbox.com/0/token 9https://kanbox.com/ **32 / 78** ----- 图 34 包含酷盘 API 地址的代码截图 图 35 酷盘官网首页截图 酷盘版 **A 相关功能描述** (不释放 **Shellcode 后门)** 酷盘版 **B 相关功能描述** (释放 **shellcode 后门)** 1、 释放窃密木马子体 2、 获取系统信息 1、 释放窃密木马子体 2、 获取系统信息 **33 / 78** ----- 3、 搜索敏感文件 4、 打包加密上传敏感文件 酷盘版相关配置信息列表 3、 搜索敏感文件 4、 打包加密上传敏感文件 5、 释放 Shellcode 后门子体(增加) 6、 连接远程 CC 服务器(增加) 7、 执行远程命令(增加) 样本编译时间戳 监控字符 特征串 **2/11/2015 20:48:26** “2014","军",“兵” A-plus **2/11/2015 20:48:26** “台”,“军”,“战” Aboutdoublewu **2/11/2015 20:48:26** “201”,“报”,“研” book **2/11/2015 20:48:26** “国际”,“合作”,“军事” wind **2/11/2015 20:48:26** “部队”,“机场”,“部队” rankco **3/1/2015 22:08:18** “2014","军",“兵” A-plus **3/2/2015 8:21:01** “军”,“机”,“站” ineedyou **3/2/2015 23:17:57** “十”,“国”,“中” ineedyou **3/2/2015 23:17:57** “军”,“机”,“站” ineedyou **3/2/2015 23:17:57** “十三”,“运输”,“铁路” AJ **5/4/2015 16:48:12** “部队”,“台湾”,“基地” rancor **5/4/2015 16:48:12** “军”,“科技”,“国” furyman **5/4/2015 16:48:12** “201”,“密”,“内部” king **5/4/2015 16:48:12** “2015 年”,“工作”,“报告” comein **5/4/2015 16:48:12** “201”,“报”,“研” book #### D. 未知 RAT 未知 RAT 从外层 dropper 区分为文件夹和捆绑两个版本,其中的 RAT 分为 4 个版本,这 4 种 RAT 均为未知远控。 **a)** 文件夹版 图 36 未知 RAT 文件版执行后相关变化 **b)** 捆绑版 67d5f04fb0e00addc4085457f40900a2 └─Atnewyrr.exe~tmp.zip **34 / 78** ----- │ newyrr.exe │ └─doll.exe aaa.vbs b.bat server.exe 图 37 未知 RAT 中利用到的数字签名 #### E. 其他 毒云藤组织在相关行动中使用的后门程序,进一步还包括 gh0st、XRAT、HttpBot 这三种 RAT。 **35 / 78** ----- ### 3) 脚本加载的攻击载荷分析 2018 年初,360 威胁情报中心发现了毒云藤组织使用的一个用于控制和分发攻击载荷的 控制域名 http://updateinfo.servegame.org,并对外披露了相关攻击技术和关联分析(详见 https://ti.360.net/blog/articles/analysis-of-apt-c-01/)。 在该攻击活动中,该组织结合 CVE-2017-8759 漏洞文档,下载恶意的 HTA 文件,执行相 关脚本命令来下载执行后续的攻击载荷模块。 ### A. Dropper 分析 Dropper 程序由鱼叉邮件附带的漏洞文档触发下载执行。 **36 / 78** ----- 并且进一步下载恶意的 HTA 文件,其执行 PowerShell 指令下载 Loader 程序,保存为 officeupdate.exe 并执行。 ### B. Loader 分析 根据 Loader 程序中包含的字符串信息,制作者将其命名为 SCLoaderByWeb,版本信息 为 1.0 版,从字面意思为从 Web 获取的 Shellcode Loader 程序。其用来下载执行 shellcode 代 码。 Loader 程序首先会尝试连接某常用网址,以判断网络联通性,如果没有联网,会每隔 5 秒尝试连接一次,直至能联网。 然后从 hxxp://updateinfo.servegame.org/tiny1detvghrt.tmp 下载 payload,如图: **37 / 78** ----- 接着判断文件是否下载成功,如果没有下载成功会休眠 1 秒后,然后再次尝试下载 payload: 下载成功后,把下载的文件内容按每个字节分别和 0xac,0x5c,0xdd 异或解密(本质上 就是直接每个字节异或 0x2d),如图: **38 / 78** ----- 之后把解密完的 shellcode 在新创建的线程中执行,如图: **39 / 78** ----- ### C. Shellcode 分析 分发域名地址托管的.tmp 文件均为逐字节异或的 shellcode,如下图为从分发域名下载 的 tinyq1detvghrt.tmp 文件,该文件是和 0x2d 异或加密的数据。 解密后发现是 Poison Ivy 生成的 shellcode,标志如下: 通过分析测试 Poison Ivy 木马生成的 shellcode 格式与该攻击载荷中使用的 shellcode 格 式比较,得到每个配置字段在 shellcode 中的位置和含义。 **40 / 78** ----- 其 shellcode 配置字段的格式详细如下: **41 / 78** ----- 在分析 Poison Ivy 中获取 kernel32 基址的代码逻辑时,发现其不兼容 Windows 7 版本系 统,因为在 Windows 7 下 InitializationOrderModule 的第 2 个模块是 KernelBase.dll,所以其获 取的实际是 KernelBase 的基址。 由于 Poison Ivy 已经停止更新,所以攻击团伙为了使 shellcode 能够执行在后续版本的 Windows 系统,其采用了代码 Patch 对获取 kernel32 基址的代码做了改进。 其改进方法如下: 1. 在原有获取 kernel32 基址代码前增加跳转指令跳转到 shellcode 尾部,其 patch 代码增 加在尾部; 2. patch 代码首先获取 InitializationOrderModule 的第 2 个模块的基址 (WinXP 下为 kernel32.dll,WIN7 为 kernelbase.dll); 3. 然后获取 InitializationOrderModule 的第二个模块的 LoadLibraryExA 的地址(WinXP 下的 kernel32.dll 和 WIN7 下的 kernelbase.dll 都有这个导出函数) 4. 最后通过调用 LoadLibraryExA 函数获取 kernel32 的基址。 **42 / 78** ----- 攻击者针对 shellcode 的 patch,使得其可以在不同的 Windows 系统版本通用。 该 shellcode 的功能主要是远控木马的控制模块,和 C2 通信并实现远程控制。这里我们 在 Win7 系统下模拟该木马的上线过程。 **43 / 78** ----- 对控制域名上托管的其他 shellcode 文件进行解密,获得样本的上线信息统计如下: 行动 ID 上线域名 端口 上线密码 互斥体 2017 office.go.dyndns.org 5566 !@#3432!@#@! )!VoqA.I4 bing zxcv201789.dynssl.com 8088 zxc5566 )!VoqA.I4 ding1 microsoftword.serveuser.com 53 1wd3wa$RFGHY^%$ )!VoqA.I4 ding2 uswebmail163.sendsmtp.com 53 1wd3wa$RFGHY^%$ )!VoqA.I4 geiwoaaa geiwoaaa.qpoe.com 443 wyaaa8 )!VoqA.I4 jin_1 hy-zhqopin.mynumber.org 80 HK#mq6!Z+. )!VoqA.I4 jin_2 bearingonly.rebatesrule.net 53 ~@FA<9p2c* )!VoqA.I4 justdied www.service.justdied.com 80 ppt.168@ )!VoqA.I4 pouhui pouhui.diskstation.org 53 index#help )!VoqA.I4 tina_1 fevupdate.ocry.com 80 168168 )!VoqA.I4 tina_2 wmiaprp.ezua.com 53 116688 )!VoqA.I4 tony_1 winsysupdate.dynamic-dns.net 80 0A@2q60#21 )!VoqA.I4 tony_2 officepatch.dnset.com 53 aZ!@2q6U0# )!VoqA.I4 ### 4) 最新控制木马分析 在 2018 年 5 月,我们在该组织针对境内相关海事机构和单位的攻击活动中,发现了其 使用的新的木马程序,其主要利用鱼叉邮件投递 RAR 自解压程序附件,当受害目标人员双 击后执行。 该远控模块的入口处,通过触发异常代码,在 catch 里执行恶意代码,如图: **44 / 78** |行动ID 上线域名 端口 上线密码 互斥体|Col2|Col3|Col4|Col5| |---|---|---|---|---| |2017|office.go.dyndns.org|5566|!@#3432!@#@!|)!VoqA.I4| |bing|zxcv201789.dynssl.com|8088|zxc5566|)!VoqA.I4| |ding1|microsoftword.serveuser.com|53|1wd3wa$RFGHY^%$|)!VoqA.I4| |ding2|uswebmail163.sendsmtp.com|53|1wd3wa$RFGHY^%$|)!VoqA.I4| |geiwoaaa|geiwoaaa.qpoe.com|443|wyaaa8|)!VoqA.I4| |jin_1|hy-zhqopin.mynumber.org|80|HK#mq6!Z+.|)!VoqA.I4| |jin_2|bearingonly.rebatesrule.net|53|~@FA<9p2c*|)!VoqA.I4| |justdied|www.service.justdied.com|80|ppt.168@|)!VoqA.I4| |pouhui|pouhui.diskstation.org|53|index#help|)!VoqA.I4| |tina_1|fevupdate.ocry.com|80|168168|)!VoqA.I4| |tina_2|wmiaprp.ezua.com|53|116688|)!VoqA.I4| |tony_1|winsysupdate.dynamic-dns.net|80|0A@2q60#21|)!VoqA.I4| |tony_2|officepatch.dnset.com|53|aZ!@2q6U0#|)!VoqA.I4| ----- 然后再用同样的方法触发异常代码,进入第二层的代码: **45 / 78** ----- 进入初始化套接字,并和 C2 建立连接的地方: **46 / 78** ----- 连接 zxcv201789.dynssl.com 的 8080 端口,创建 C&C 通道: **47 / 78** ----- 其中向控制服务器发送上线包的地方有上线密码:asd88,如图: **48 / 78** ----- 最后进入远控的功能循环部分: **49 / 78** ----- 图如下: |功能包括:|Col2| |---|---| |Token|功能| |0x04|关闭连接| |0x41|远程shell| |0x42|进程枚举| |0x43|结束指定进程| |0x51|枚举驱动器| |0x52|列指定目录| |0x53|上传文件到受害者| **50 / 78** ----- |0x54|下载受害者的文件| |---|---| |0x55|删除文件| |0x56|远程执行| 该木马程序中的字符串用的都是反转的字符串,通过 C 语言的 strrev 把字符串反转回来, 这种方式,在该组织 2015 年的木马中也用到过。如图: ## 4. C&C 分析 ### 1) 动态域名 图 38 动态域名服务商(ChangeIP) **51 / 78** ----- 图 39 动态域名服务商相关比例图 动态域名服务商 域名数量 **ChangeIP** 30 **No-IP** 9 **DynDNS** 2 **Afraid(FreeDNS)** 1 **dnsExit** 1 非动态域名 6 ### 2) 域名涵义 以下是取动态域名子域名(攻击组织注册的名称),进行相关映射涵义的研究分析。 **C&C** 名称 网站名称 网站地址 **chinamil.lflink.com** chinamil 中国军网 www.chinamil.com.cn[10] 红色战略网 www.chinamil.com 中国国防域名 注册网 www.chinamil.cn **soagov.sytes.net** **soagov.zapto.org** **soasoa.sytes.net** soagov,soasoa 国家海洋局 www.soa.gov.cn **xinhua.redirectme.net** xinhua 新华网 www.xinhuanet.com 类别 名称 邮箱类 126mailserver、mail.sends、mail163、mailsends 杀软类 kav2011,safe360,cluster.safe360,rising 网络类 javainfo、webupdate、updates、netlink 10 该网站目前会重定向到 [www.81.cn](http://www.81.cn/) 中国军网新的域名。 **52 / 78** ----- 姓名类 Sandy、jerry、jason ### 3) 云盘 酷盘相关样本目前两个 Token: **client_id** **client_secret** **refresh_token** **Token1** 3edfe684ded31a7cca637 8c0226f5629 **Token2** 7a5691b81bf4322fd88f5f a99407fbbc bfa89eebf29032076e9cffb 75549fee5 d44cfa7dd3c852b69c59efa cf766cc23 75cdc35b1cdaee24047f3af b23a5ccce 14b6685330bf32a2268891 0e765b5dce 我们通过对酷盘 API 的分析,得到攻击组织所使用的云盘帐号的信息,主要是包含一个 中国移动的手机号码,该号码被用来注册云盘帐号。 {"status":"ok","email":"","phone":"15811848796","spaceQuota":1700807049216,"spaceUsed":5 08800279,"emailIsActive":0,"phoneIsActive":1} 以下是我们通过该手机号进行的一些关联分析结果: 图 40 谷歌搜索相关结果 图 41 威风堂机车网该用户信息 1 **53 / 78** ----- 图 42 威风堂机车网该用户信息 2 图 43 手机号机主相关支付宝和微信信息 **54 / 78** ----- ### 4) 第三方博客 图 44 某第三方博客部分截图 上图为毒云藤组织依托某第三方博客进行恶意代码传播。博客的域名通常在防火墙和各 种安全软件的白名单里,使用这种方法将恶意代码存在博客中,可以躲避查杀和拦截。 **55 / 78** ----- ### 5) C&C 的 IP(ASN) 6) 其他 图 45 C&C IP 关联分析 非动态域名中 gaewaaa.upgrinfo.com 这个域名有相关 whois 信息,具体如下图。 **56 / 78** ----- 图 46 域名注册信息 另外一个非动态域名 moneyaaa.beijingdasihei.com ## 5. 关联分析 ### 1) 整体关联 从原始攻击邮件、漏洞文件、3 种不同 RAT(ZxShell,Poison Ivy 和酷盘版)、以及相关 域名、上线密码、文件扩展名、压缩包密码和关键字不同资源之间进行关联。 **57 / 78** ----- 图 47 不同资源之间整体关联 ### 2) RAT 迭代升级(对抗手法) A B C D E F G 开发环境 加密方 法 自定义窃密函 数 **58 / 78** Shellco de 免杀对抗 静 免杀对抗 动 伪装文档 等 ----- httpbot C++ × √ × √ √ √ Kbox C++ √ √ √ √ √ √ Poison Ivy C++ √ × √ √ √ × puppet Borland C++ √ × × √ × √ XRAT Delphi √ × √ √ √ × gh0st Borland C++ FakeRising Borland C++ √ × × √ × √ × × × × × × AresRemote C++ √ × × √ × √ shellcode C++ √ × √ √ √ FakeWinupda te C++ √ × × √ × × SBolg2014 C++ √ √ √ √ × √ SBolg2015 C++ √ × √ √ × × zxshell C++ √ √ √ √ √ 同源样本的典型手法: #### A. 开发环境 除了 XRAT 后门之外,其他的版本从 2007 年至 2015 年都是用了 C++开发语言。 #### B. 加密方法 2011、memcache 版、Voice64 版、HTTPBOTS 版、kanbox 版、PI、XRAT 都使用了连续 2 次异的解密方式,然后执行恶意代码。另外云盘版木马在上传文件也会对文件进行相关加密 方法。 图 48 未知 RAT2011 版(左),酷盘版(右) **59 / 78** ----- #### C. 窃密函数 ZXShell 版后门使用的自定义窃取函数和 2015 网盘版子体使用的窃取函数非常相似。同 样都排除了 A 盘的搜索(通常为软盘驱动器盘符);同样都预先遍历磁盘,将盘符列表保存 在内存中,通过指针加 5 的方式读取内存中的盘符列表。 图 49 ZxShell(左),酷盘版(右) #### D. Shellcode 后门 对比 2011 版(Poison Ivy)注入到系统的 Shellcode 和 2015 云盘版子体,可以看出使用 了高度相似的 Shellcode 后门,上线地址尾部同样采用 0x30 填充。 图 50 未知 RAT2011 版(左),酷盘版(右) 相关 shellcode 木马文件检出结果(0 检出): [https://www.virustotal.com/en/file/8cee670d7419d1fd0f8f0ac6a2bd981593c2c96ca0f6b801931](https://www.virustotal.com/en/file/8cee670d7419d1fd0f8f0ac6a2bd981593c2c96ca0f6b8019317cf556337cfa8/analysis/) [7cf556337cfa8/analysis/](https://www.virustotal.com/en/file/8cee670d7419d1fd0f8f0ac6a2bd981593c2c96ca0f6b8019317cf556337cfa8/analysis/) **60 / 78** ----- #### E. 子体文件名(外层) 通过对比 2009 版代码和和 2011 版代码,可以看出病毒释放的子体文件名都为~work.tmp、 格式化字符串都为“%s\%s.bak”,并且代码相似度极高。 使用~tmp.tmp、~tmp.zip、~mstmp.cpt 作为木马临时文件名(07~09)。 图 51 未知 RAT2009 版(左),未知 RAT2011 版(右) #### F. 免杀对抗–API 字符串逆序对抗静态扫描: HttpBot、酷盘、XRAT、未知 RAT(07~11 版)木马,代码编写过程中使用了逆序 API 字 符串。木马执行时,通过_strrev 函数将逆序字符串转换为正常 API 字符串,最后调用 GetProcAddress 函数动态获得 API 地址。逆序 API 字符串增加了字符串检测难度,使得 API 字符串不易被检测;除此之外,API 地址是在木马动态执行中获得,在 PE 静态信息中很难 被检测到,增加了 API 检测难度。 毒云藤组织已知最早从 2009 年开始使用此方法,并且持续到 2018 年仍在使用。 **61 / 78** ----- 图 52 未知 RAT2009(上),酷盘(下) #### G. 免杀对抗–传递错误 API 参数对抗动态扫描: 酷盘、Poison Ivy、XRAT、ZxShell、未知 RAT(07~11 版)木马,使用了 GetClientRect 函 数对抗杀毒软件的动态扫描技术。 GetClientRect 原型为:BOOL GetClientRect(HWND hWnd,LPRECT lpRect);。作用是获得窗 口坐标区域。其中第 1 个参数为目标窗口句柄,第 2 个参数为返回的坐标结构。木马调用 GetClientRect,故意在第一个参数传递参数为 0,这样使得 GetClientRect 函数在正常 Windows 操作系统中永远执行失败,返回值为 0; 目前很多杀毒软件使用了动态扫描技术(多用于启发式检测),在模拟执行 GetClientRect 函数时并没有考虑错误参数的情况,使得 GetClientRect 函数永远被模拟执行成功,返回值 非 0。这样一来,杀毒软件虚拟环境和用户真实系统就可以被木马区分,从而躲避杀毒软件 检测。实测卡巴斯基虚拟机启发式扫描环境可以被木马检测到。 毒云藤组织已知最早从 2011 年开始使用此方法,并且持续到 2018 年仍在使用。 **62 / 78** ----- 图 53 未知 RAT2011(左上),zxshell(右上),酷盘(下) 其中在酷盘使用了动态获取 API 的方式调用 GetClientRect 函数。 #### H. 合法数字签名 2011 之前早期版本 **63 / 78** ----- 2015BLOG 版本 在 2015 年 5 月开始使用签名(疑似被盗用) 签名:We Build Toolbars LLC **64 / 78** ----- # 第4章 幕后始作俑者 ## 1. 资源方法 1、 漏洞文档: (1) 主要是释放的正常 DOC:繁体、或某特定地区相关字体字符等。DOC 代码页 (2) 一些路径,如 PPSX 的 DANK? 2、 PE:字符串繁体、或某特定地区相关字体字符(BIG5 等)等等。PE 文件版本信息。上 线 ID\密码\互斥量等字符串 3、 CC: (1) 非动态域名:韦氏拼音,注册信息 (2) 动态域名: (3) 云盘 4、 IP:或某特定地区、美国,主要区分 CC 的和邮件的 5、 相关作息时间:PE 时间戳、文档时间等等,结论比如集中在周一上午攻击等等 ## 2. 相关关联信息 ### 1) 域名 whois 信息 域名为 javainfo.upgrinfo.com,注册信息中的地址是某特定地区,相关人名使用的可能 是韦氏拼音等。 **65 / 78** ----- ### 2) 关注的关键字 关键字: 图 54 包含相关关键字代码截图 “对台”,“台”,“台湾” 漏洞文件或木马程序原始文件名(诱饵文件名)相关列表: 2012 年度涉台法学研究课题材料.doc 2012 年度涉台周边问题研究课题材料.doc 2013 年度涉台周边问题研究课题材料.doc 关于海峡两岸关系法学研究会 2012 年年会暨会员大会的通报.doc 关于两岸关系研究学术座谈会的背景材料.doc 海峡两岸关系研究会 2013 年度涉台周边问题研究征集选题.zip 海峡论坛深层次推动两岸关系.exe 两岸军事互信研究学术研讨会议邀请信.doc 台盟中央参政议政工作通讯 2013 年第 2 期.doc ### 3) PE 样本中繁体字体、BIG5 字符集 Zxshell 版本中帮助信息是乱码,实际是繁体中文。 图 55 ZxShell 相关代码截图 **66 / 78** ----- 图 56 未知 RAT2009 ### 4) 漏洞文档中繁体字体 图 57 漏洞文档(CVE-2014-4114)属性详细信息截图 图 58 漏洞文档(CVE-2014-4114)内 slide 文件内容 **67 / 78** ----- ### 5) 释放的迷惑文档 某特定地区默认字体:细明体 图 59 后门释放的迷惑文档 图 60 新华网相关新闻截图 http://news.xinhuanet.com/world/2014-05/18/c_1110741502.htm **68 / 78** ----- # 第5章 组织能力或特性分析 子项 毒云藤 政府人员、行业专家 政府人员、行业专家 行业、领域 中国政府、科研院所、海事机构 等 军事、两岸关系 中国 中国,其他 重点:北京、福建、广东、浙江、 重点:北京、天津 上海 攻击者个人信息 简体中文、繁体中文 简体中文、越语 威胁等级 高(5) 高(4) 综合实力 高(5) 高(3) 常用语言或语种 简体中文 简体中文 攻击前导 邮件+PE 邮件+PE 邮件+漏洞文档 网站+PE(MAC) 发送邮件习惯 用WEB 邮箱 Phpmail 工具 0day 利用的情况 1 个 无 漏洞利用种类 CVE-2014-4114、CVE-2012-0158 无 攻击平台 windows Windows\Mac 横向移动 常用RAT 类型 PI\ZXSHELL 等 未知 家族种类 6 个以上 4 无 无 CC 指令、遍历指定文件 CC 指令 首次攻击时间 2007 2012 最近攻击时间 2018 2018 活跃度 非常活跃 非常活跃 C&C 域名属性 大量采用动态域名,基于NO-IP 等 护 IP 属性 ADSL,大部分归属地为某特定地 区,另外有美国、中国香港 **69 / 78** |主项|子项|毒云藤|海莲花| |---|---|---|---| |攻击目标|人员|政府人员、行业专家|政府人员、行业专家| ||行业、领域|中国政府、科研院所、海事机构 等 军事、两岸关系|中国政府、科研院所、海事机构等| ||国家|中国|中国,其他| ||地域|重点:北京、福建、广东、浙江、 上海|重点:北京、天津| |概况|攻击者个人信息||| ||规模||| ||母语|简体中文、繁体中文|简体中文、越语| ||威胁等级|高(5)|高(4)| ||综合实力|高(5)|高(3)| |涉及的行动 (组织特有)|||| |涉及的组织 (行动特有)|||| |攻击手法|常用语言或语种|简体中文|简体中文| ||攻击前导|邮件+PE 邮件+漏洞文档|邮件+PE 网站+PE(MAC)| ||发送邮件习惯|用WEB 邮箱 Phpmail 工具|| ||0day 利用的情况|1 个|无| ||漏洞利用种类|CVE-2014-4114、CVE-2012-0158|无| ||攻击平台|windows|Windows\Mac| ||横向移动||| ||常用RAT 类型|PI\ZXSHELL 等|未知| ||家族种类|6 个以上|4| ||……||| |攻击目的|破坏|无|无| ||窃取|CC 指令、遍历指定文件|CC 指令| |行动持续时 间|首次攻击时间|2007|2012| ||最近攻击时间|2018|2018| ||活跃度|非常活跃|非常活跃| |其他|C&C 域名属性|大量采用动态域名,基于NO-IP 等|未使用动态域名,但有域名信息保 护| ||IP 属性|ADSL,大部分归属地为某特定地 区,另外有美国、中国香港|| ----- # 附录 1:文件 MD5 列表 03d762794a6fe96458d8228bb7561629 0595f5005f237967dcfda517b26497d6 07561810d818905851ce6ab2c1152871 0e80fca91103fe46766dcb0763c6f6af 1374e999e1cda9e406c19dfe99830ffc 1396cafb08ca09fac5d4bd2f12c65059 1ab54f5f0b847a1aaaf00237d3a9f0ba 1aca8cd40d9b84cab225d333b09f9ba5 1dc61f30feeb60995174692e8d864312 250c9ec3e77d1c6d999ce782c69fc21b 2579b715ea1b76a1979c415b139fdee7 26d7f7aa3135e99581119f40986a8ac3 27f683baed7b02927a591cdc0c850743 28e4545e9944eb53897ee9acf67b1969 2a96042e605146ead06b2ee4835baec3 2c405d608b600655196a4aa13bdb3790 30866adc2976704bca0f051b5474a1ee 31c81459c10d3f001d2ccef830239c16 3484302809ac3df6ceec857cb4f75fb1 36c23c569205d6586984a2f6f8c3a39e 382132e601d7a4ae39a4e7d89457597f 3e12538b6eaf19ca163a47ea599cfa9b 41c7e09170037fafe95bb691df021a20 45e983ae2fca8dacfdebe1b1277102c9 4e57987d0897878eb2241f9d52303713 5696bbee662d75f9be0e8a9ed8672755 5e4c2fbcd0308a0b9af92bf87383604f 5ee2958b130f9cda8f5f3fc1dc5249cf 5f1a1ff9f272539904e25d300f2bfbcc 611cefaee48c5f096fb644073247621c 67d5f04fb0e00addc4085457f40900a2 6a37ce66d3003ebf04d249ab049acb22 6ca3a598492152eb08e36819ee56ab83 7639ed0f0c0f5ac48ec9a548a82e2f50 76782ecf9684595dbf86e5e37ba95cc8 785b24a55dd41c94060efe8b39dc6d4c 7c498b7ad4c12c38b1f4eb12044a9def 81232f4c5c7810939b3486fa78d666c2 81e1332d15b29e8a19d0e97459d0a1de 8abb22771fd3ca34d6def30ba5c5081c 95f0b0e942081b4952e6daef2e373967 **70 / 78** ----- 9b925250786571058dae5a7cbea71d28 9bcb41da619c289fcfdf3131bbf2be21 9f9a24b063018613f7f290cc057b8c40 a73d3f749e42e2b614f89c4b3ce97fe1 a807486cfe05b30a43c109fdb6a95993 a8417d19c5e5183d45a38a2abf48e43e acc598bf20fada204b5cfd4c3344f98a accb53eb0faebfca9f190815d143e04b adc3a4dfbdfe7640153ed0ea1c3cf125 ae004a5d4f1829594d830956c55d6ae4 b0be3c5fe298fb2b894394e808d5ffaf b244cced7c7f728bcc4d363f8260090d b301cd0e42803b0373438e9d4ca01421 bd2272535c655aff1f1566b24a70ee97 bd4b579f889bbe681b9d3ab11768ca07 bfb9d13daf5a4232e5e45875e7e905d7 c31549489bf0478ab4c367c563916ada c8755d732be4dc13eecd8e4c49cfab94 c8fd2748a82e336f934963a79313aaa1 ca663597299b1cecaf57c14c6579b23b d12099237026ae7475c24b3dfb5d18bc d61c583eba31f2670ae688af070c87fc dde2c03d6168089affdca3b5ec41f661 e2e2cd911e099b005e0b2a80a34cfaac e9a9c0485ee3e32e7db79247fee8bba6 ec7e11cfca01af40f4d96cbbacb41fed eff88ecf0c3e719f584371e9150061d2 f0c29f89ffdb0f3f03e663ef415b9e4e f1b6ed2624583c913392dcd7e3ea6ae1 f27a9cd7df897cf8d2e540b6530dceb3 f29abd84d6cdec8bb5ce8d51e85ddafc f3ed0632cadd2d6beffb9d33db4188ed fbd0f2c62b14b576f087e92f60e7d132 fccb13c00df25d074a78f1eeeb04a0e7 0fb92524625fffda3425d08c94c014a1 168365197031ffcdbe65ab13d71b64ec 2b5ddabf1c6fd8670137cade8b60a034 517c81b6d05bf285d095e0fd91cb6f03 7deeb1b3cce6528add4f9489ce1ec5d6 aa57085e5544d923f576e9f86adf9dc0 cda1961d63aaee991ff97845705e08b8 e07ca9f773bd772a41a6698c6fd6e551 fb427874a13f6ea5e0fd1a0aec6a095c **71 / 78** ----- # 附录 2:C&C 列表 126mailserver.serveftp.com access.webplurk.com aliago.dyndns.dk as1688.webhop.org babana.wikaba.com backaaa.beijingdasihei.com bt0116.servebbs.net ceepitbj.servepics.com check.blogdns.com china.serveblog.net chinamil.lflink.com cluster.safe360.dns05.com cnwww.m-music.net fff.dynamic-dns.net gaewaa.upgrinfo.com givemea.ygto.com givemeaaa.upgrinfo.com goldlion.mefound.com gugupd.008.net guliu2008.9966.org hyssjc.securitytactics.com jason.zyns.com javainfo.upgrinfo.com jerry.jkub.com kav2011.mooo.com kouwel.zapto.org laizaow.mefound.com localhosts.ddns.us mail.sends.sendsmtp.com mail163.mypop3.net mailsends.sendsmtp.com mediatvset.no-ip.org moneyaaa.beijingdasihei.com motices.ourhobby.com mp3.dnset.com netlink.vizvaz.com operater.solaris.nu pps.longmusic.com ps1688.webhop.org rising.linkpc.net safe360.dns05.com **72 / 78** ----- sandy.ourhobby.com soagov.sytes.net soagov.zapto.org soasoa.sytes.net ssy.ikwb.com ssy.mynumber.org svcsrset.ezua.com teacat.https443.org tong.wikaba.com updates.lflink.com usa08.serveftp.net waterfall.mynumber.org webupdate.dnsrd.com www.safe360.dns05.com www.ssy.ikwb.com www.tong.wikaba.com wwwdo.tyur.acmetoy.com xinhua.redirectme.net 131.213.66.10 146.0.32.168 165.227.220.223 188.166.67.36 199.101.133.169 45.32.8.137 45.76.125.176 45.76.228.61 45.76.9.206 45.77.171.209 bearingonly.rebatesrule.net canberk.gecekodu.com emailser163.serveusers.com fevupdate.ocry.com geiwoaaa.qpoe.com hy-zhqopin.mynumber.org l63service.serveuser.com microsoftword.serveuser.com office.go.dyndns.org updateinfo.servegame.org uswebmail163.sendsmtp.com winsysupdate.dynamic-dns.net wmiaprp.ezua.com www.service.justdied.com zxcv201789.dynssl.com officepatch.dnset.com **73 / 78** ----- pouhui.diskstation.org comehigh.mefound.com annie165.zyns.com http://annie165.zyns.com/zxcvb.hta **74 / 78** ----- # 附录 3:360 追日团队(Helios Team) 360 追日团队(Helios Team)是 360 公司高级威胁研究团队,从事 APT 攻击发现与追 踪、互联网安全事件应急响应、黑客产业链挖掘和研究等工作。团队成立于 2014 年 12 月, 通过整合 360 公司海量安全大数据,实现了威胁情报快速关联溯源,独家首次发现并追踪了 三十余个 APT 组织及黑客团伙,大大拓宽了国内关于黑客产业的研究视野,填补了国内 APT 研究的空白,并为大量企业和政府机构提供安全威胁评估及解决方案输出。 联系方式 [邮箱:360zhuiri@360.cn](mailto:360zhuiri@360.cn) 微信公众号:360 追日团队 扫描右侧二维码关微信公众号 **75 / 78** ----- # 附录 4:360 安全监测与响应中心 360 安全监测与响应中心,是 360 为服务广大政企机构而建立的网络安全服务平台,旨 在第一时间为政企机构提供突发网络安全事件的预警、通告,处置建议、技术分析和 360 安全产品解决方案。突发网络安全事件包括但不限于:安全漏洞、木马病毒、信息泄露、黑 客活动、攻击组织等。 360 安全监测与响应中心兼具安全监测与响应能力:中心结合 360 安全大数据监测能力 与海量威胁情报分析能力,能够全天候、全方位的监测和捕获各类突发网络安全事件;同时, 基于 10 余年来为全国数万家大型政企机构提供安全服务和应急响应处置经验,中心能够在 第一时间为政企机构应对突发网络安全事件提供有效的处置措施建议和应急响应方案。 在 2017 年 5 月发生的永恒之蓝勒索蠕虫(WannaCry)攻击事件中,360 安全监测与响 应中心在 72 小时内,连续发布 9 份安全预警通告,7 份安全修复指南和 6 个专业技术工具, 帮助和指导全国十万余家政企机构应对危机。 A-TEAM 是 360 安全监测与响应中心下属的一支专业技术研究团队,主要专注于 Web 渗透与 APT 攻防技术研究,并持续展开前瞻性攻防工具预研,以提前探知更多的未知威胁、 新兴威胁。A-TEAM 的技术研究从底层原理、协议实现入手,能够深度还原攻与防的技术本 质。 **76 / 78** ----- # 附录 5:360 威胁情报中心 360 威胁情报中心由全球最大的互联网安全公司奇虎 360 特别成立,是中国首个面向企 业和机构的互联网威胁情报整合专业机构。该中心以业界领先的安全大数据资源为基础,基 于 360 长期积累的核心安全技术,依托亚太地区顶级的安全人才团队,通过强大的大数据能 力,实现全网威胁情报的即时、全面、深入的整合与分析,为企业和机构提供安全管理与防 护的网络威胁预警与情报。 360 威胁情报中心对外服务平台网址为 https://ti.360.net/。服务平台以海量多维度网络 空间安全数据为基础,为安全分析人员及各类企业用户提供基础数据的查询,攻击线索拓展, 事件背景研判,攻击组织解析,研究报告下载等多种维度的威胁情报数据与威胁情报服务。 微信公众号:360 威胁情报中心 关注二维码: **77 / 78** -----