趨勢科技最近新發現了一起由資金雄厚的駭客組織所發動的網路間諜攻擊行動,主要鎖定亞洲一些重要產業當中與政府有密切關係的民間企業,包括:民營化政府機構及政府承包商,此外還有消費性電子、電腦、醫療、金融等產業。
該組織從 2010 年起活躍至今,我們根據其某個後門程式中的 mutex 名稱將這起行動命名為「Shrouded Crossbow」(暗弩) 行動。我們的研究指出,該組織財力雄厚,足以買下某個熱門惡意程式工具的原始程式碼,並擁有充足的人力根據這份程式碼開發出自己的改良版本。
BIFROSE、KIVARS 和 XBOW
BIFROSE (亦稱為 Bifrost) 惡意程式過去在地下市場上的售價高達 10,000 美元。我們曾在一起針對政府機構的攻擊和「Here You Have Mail」(您有來信) 垃圾郵件行動當中看過這個惡意程式。儘管 BIFROSE 的網路封包和行為已經廣為業界所知,但該團體仍有辦法在其攻擊行動當中充分運用這個惡意程式。
以下這段程式碼顯示 BIFROSE 回報 (phone home) 給幕後操縱 (C&C) 伺服器的受害者資料。
圖 1:BIFROSE 的回報訊息。
從 2010 年起,這項攻擊行動開始使用另一個後門程式:KIVARS。雖然此程式在載入器和後門工具兩部分的設計與 PLUGX 類似,但從其回報訊息內容看來,似乎與 BIFROSE 的關係更為密切。
圖 2:KIVARS 的回報訊息。
儘管 KIVARS 在功能上沒有 BIFROSE 來得豐富,但對該組織來說仍不失為一個好用的後門工具。事實上,為了因應 64 位元系統的日益普及,KIVARS 在 2013 年更推出了 64 位元的升級版本。
我們認為該組織應該是買下了 BIFROSE 的原始程式碼並加以改良,然後再設計出一套新的安裝流程,以及一個新的程式產生器來產生成對的載入器和後門工具,並且將後門功能加以精簡,結果就成了目前的 KIVARS。這意味著,要不是有人在背後資助這項攻擊行動,就是這個組織本身就擁有足夠的財力和人力可將現有的後門程式加以改良。
有趣的是,KIVARS 某些程式資料庫 (PDB) 檔案的路徑採用的是「BR」+{年份} 的命名方式,這一點似乎與 KIVARS 的名稱不符。我們認為「BR」兩個字母很可能是代表 Bifrose RAT。
圖 3:KIVARS 某些程式資料庫 (PDB) 檔案的路徑。
除此之外,這項攻擊行動還使用了另一個自行開發的後門程式,叫做「XBOW」。XBOW 的發展最遠可追溯至 2010 年中期,其設計靈感應該是來自 BIFROSE 和 KIVARS。
從下圖的 XBOW 組合語言程式碼當中我們可以找到「Recent」、「Desktop」和「Program」等資料夾名稱,這些同樣也出現在 BIFROSE 和 KIVARS 的回報訊息當中。
圖 4:XBOW 的組合語言程式碼片段。
到了 2011 年中期,某些 XBOW 的變種開始提供一個「搜尋密碼」的功能選項,而 BIFROSE 當中也有這項功能。所以又再次證明該組織應該是買下了 BIFROSE 的原始程式碼。
運作明確分工
另一個關於 XBOW的有趣發現是該後門程式所產生的一個 mutex,其名稱是以「zhugeliannu」(諸葛亮弩) 為開頭,這也是為何我們將該行動命名為「Shrouded Crossbow」(暗弩)。
此 mutex 的命名格式如下:
- zhugeliannu{1 位元組的專案版本}{製作人員代號}{編譯日期}
駭客在開發 XBOW時即根據這個原則來命名 mutex。
從 mutex 名稱當中的 {製作人員代號} 部分我們可以判斷至少有 10 個人參與 XBOW 的製作和散布。這些人有可能是這個駭客組織當中專門負責開發工具的小組。
除了這個小組之外,我們相信應該還有另外一個專門負責利用魚叉式網路釣魚(Spear Phishing)和惡意附件檔案來突破網路防線的滲透小組。其附件檔案有時是使用 RTLO (從右至左書寫) 技巧的 .RAR 壓縮檔案,有時則是 .EXE 檔案,它們通常會偽裝成即時新聞、履歷表、資訊分享、政府文件、會議邀請等等的文件。這個小組負責指定工具的製作人員,以及感染方式、C&C 伺服器、安裝時的檔案名稱等等。
我們認為應該還有第三組人員負責 C&C 伺服器的維護作業。該行動共使用了 100 台以上的 C&C 伺服器,某些是使用免費動態 DNS 註冊的網域,某些則是註冊在特定 IP。這些 C&C 伺服器皆依據其用途來管理。我們發現該組織的 C&C 維護作業 (如更換 IP 及網域到期重新續約等等) 都有一定的程序。而且,他們到現在都還在持續不斷註冊一些新的網域。
對企業的可能影響
面對這樣有組織、有財力的針對性攻擊駭客團體,除非企業也採取同樣的態度來主動偵測網路上的入侵及異常活動並採取適當因應措施,否則企業將無力招架。企業若採用像 Deep Discovery 這類的網路防禦平台,IT 系統管理員就有能力偵測、分析及回應這些威脅。
入侵指標資料
| 類型 | 指標 |
| KIVARS SHA1 | 83d3bb544e0542dd9c4168350adef928e4205e69 |
| KIVARS SHA1 | e6a5e1018ea41c6c76f0d69cc4698f9912c889b7 |
| KIVARS SHA1 | 64eb9809de14a57d5aa557ee7678cb77096291ba |
| KIVARS SHA1 | c28e9f5e923713f84bfbb6608d2904e997e520b4 |
| XBOW SHA1 | 2f3a1906b9d11b2d1ede44aa40f9e2426afdf637 |
| XBOW SHA1 | c0f7d1e03de2a6d935e3291b2ab4e5fa559d9a48 |
| XBOW SHA1 | 38f3658ffa357622abdd235a0f4447de3325310c |
| XBOW SHA1 | 8a1877929704ee62e54f6f819bfd15efbf15f212 |
| XBOW SHA1 | a366ff9025ba49973570950a8379d232a5584166 |
| XBOW SHA1 | 4eb78ce1b91dc5f4f25877ca1109f2a41f2193b3 |
| C&C 伺服器 | butterfly.xxuz.com |
| C&C 伺服器 | idonotknow.serveusers.com |
| C&C 伺服器 | mydnsupdate.mynumber.org |
| C&C 伺服器 | adobebackup.itemdb.com |
| C&C 伺服器 | evergo.dnset.com |
| C&C 伺服器 | idonotknow.lflinkup.com |
| C&C 伺服器 | adobeupdate.serveusers.com |
| C&C 伺服器 | truecoco.rebatesrule.net |
| C&C 伺服器 | gsndomain.ddns.us |
| C&C 伺服器 | cisco-database.ns02.us |
| C&C 伺服器 | microsoft.dns1.us |
| C&C 伺服器 | csicohelp.ddns.us |
| C&C 伺服器 | msnserver.ddns.us |
| C&C 伺服器 | update.microsoftmse.com |
| C&C 伺服器 | help.microsoftmse.com |
| C&C 伺服器 | adc.microsoftmse.com |
| C&C 伺服器 | nicelogpaser.cleansite.info |
| C&C 伺服器 | aptscans.microsoftmse.com |
| C&C 伺服器 | www.motorolasolutions.dnset.com |
| C&C 伺服器 | office.etowns.net |
| C&C 伺服器 | updateserver.serveruser.com |
| C&C 伺服器 | upgratedns.zyns.com |
| C&C 伺服器 | help.microsoftmse.com |
原文出處:New Targeted Attack Group Buys BIFROSE Code, Works in Teams |作者:Razor Huang (威脅分析師)
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。