蒐集情報、社交工程誘餌、攻擊系統漏洞、在企業網路內部橫向移動，駭客有各式各樣的針對性攻擊工具可以利用。而且這些工具就像西洋棋的棋子一樣，各有不同用途。

就以 ChessMaster (西洋棋大師) 攻擊行動為例，這是一個專門以日本學術機關、科技公司、媒體機構、託管式服務供應商以及政府機關為目標的網路間諜行動。它派出的小兵就是挾帶誘餌文件的魚叉式釣魚攻擊（SPEAR PHISHING）郵件。不過，趨勢科技也發現了一些蛛絲馬跡顯示，ChessMaster 跟 APT 10 有所關連 (後者亦稱為 menuPass、POTASSIUM、Stone Panda、Red Apollo 及 CVNX)。

ChessMaster 網路間諜行動的名稱取自其主要後門程式內部資源區段的名稱「ChChes」，趨勢科技將它命名為 「BKDR_CHCHES」。

此攻擊行動獨特之處在於其使用的工具和技巧：

• 惡意的捷徑 (LNK) 檔案與 PowerShell 工具。該捷徑檔會執行「命令提示字元」程式去下載一個 PowerShell 腳本，此腳本會直接在系統上植入或載入 ChChes，第二種方法也就是所謂無檔案式攻擊。
• 自我解壓縮檔案 (SFX)。此壓縮檔會解出一個執行檔 (EXE)、一個動態連結程式庫 (DLL) 和一個二進位檔 (.BIN)。解開之後，惡意程式碼會被注入到一個正常的執行程序當中 (透過 DLL 挾持技巧)。ChessMaster 將此技巧進一步發揚光大，利用載入時期動態連結技巧來呼叫惡意 DLL 內的函式。
• 執行時期包裝程式。在整個間諜行動當中，ChChes 使用了三個檔案包裝程式來將自己加密編碼以躲避偵測。第一個不具備加密功能，但含有各種載入程式碼。第二個具備 XOR 加密技巧 (用以反制模擬分析)。第三個在 XOR 之上又增加了 AES 加密。這些程式的組譯日期彼此重疊，可見 ChChes 的作者不斷地在改進並微調其惡意程式。
• 第二階段惡意程式。歹徒會在系統上植入更多惡意程式，以便能持續躲藏在系統當中。這些其實都是 ChChes 的變種，其程式進入點皆相同，但加密和幕後操縱 (C&C) 通訊卻不盡相同。
• 駭客工具。ChessMaster 會利用合法的電子郵件以及駭客專為其攻擊行動而修改而來的瀏覽器密碼復原擷取工具。這些工具能在使用者忘記密碼時救回密碼，因此也可讓駭客用來擷取密碼。有了這項資訊之後，就能從事橫向移動與進一步攻擊。
• TinyX。這是 PlugX 的衍生版本，只不過少了增加新功能的能力。TinyX 是經由魚叉式網路釣魚郵件挾帶並散布。
• RedLeaves。這是一個第二階段後門程式，其運作方式類似 Trochilus 這個開放原始碼無檔案式遠端遙控木馬程式 (RAT)，後者賦予歹徒在已感染系統上進行橫向移動的能力。RedLeaves 的功能衍生自 PlugX。今年四月，一個名為「himawari (向日葵的日文)」的 RedLeaves 變種現身，在當時具備了躲避 YARA 偵測規則的能力。

ChessMaster 和 APT 10 其實同屬一個網路間諜行動。
APT 10/menuPass 是一個網路間諜集團，其攻擊行動名為「Operation Cloud Hopper」，專門攻擊鎖定目標的中介機構，也就是代管式服務供應商 (MSP)。其最知名的是非常會善用各種專門竊取資訊的後門程式與漏洞攻擊套件，再配合詭計多端的手法，從各種魚叉式網路釣魚郵件到各種攻擊與感染途徑。此外還會使用合法或開放原始碼的遠端遙控工具來竊取資訊。

這聽起來是否有點熟悉？這是因為 ChessMaster 和 APT 10 似乎同屬一個網路間諜行動。下圖進一步詳細說明兩者的攻擊流程：

圖 1：ChessMaster 與 APT 10 的攻擊流程。

我們一開始是發現 ChChes 盯上了某個遭到 APT 10/menuPass 長期攻擊的目標。然而，當我們取得並分析了越來越多 ChChes 的樣本之後卻發現，兩者的攻擊模式幾乎如出一轍：專用的檔案包裝程式、相同的攻擊目標、共用的 C&C 基礎架構。

例如，ChChes 的檔案包裝程式與 menuPass 舊版的 PlugX 很像。此外，從 DNS 記錄也可看出，其某些 C&C 伺服器和網域對應到的 IP 位址根本是同一個，或者位於同一個子網路 (subnet) 之內。所以，他們背後到底是否為同一集團？從種種相似性來看的確如此。而這樣情況以前也發生過，例如 BlackTech 網路間諜行動就是一個例子。 Continue reading “解析專攻擊日本的ChessMaster 網路間諜行動”