解析專攻擊日本的ChessMaster 網路間諜行動

蒐集情報、社交工程誘餌、攻擊系統漏洞、在企業網路內部橫向移動,駭客有各式各樣的針對性攻擊工具可以利用。而且這些工具就像西洋棋的棋子一樣,各有不同用途。

就以 ChessMaster (西洋棋大師) 攻擊行動為例,這是一個專門以日本學術機關、科技公司、媒體機構、託管式服務供應商以及政府機關為目標的網路間諜行動。它派出的小兵就是挾帶誘餌文件的魚叉式釣魚攻擊(SPEAR PHISHING)郵件。不過,趨勢科技也發現了一些蛛絲馬跡顯示,ChessMaster 跟 APT 10 有所關連 (後者亦稱為 menuPass、POTASSIUM、Stone Panda、Red Apollo 及 CVNX)。

ChessMaster 網路間諜行動的名稱取自其主要後門程式內部資源區段的名稱「ChChes」,趨勢科技將它命名為 「BKDR_CHCHES」。

此攻擊行動獨特之處在於其使用的工具和技巧:

  • 惡意的捷徑 (LNK) 檔案與 PowerShell 工具該捷徑檔會執行「命令提示字元」程式去下載一個 PowerShell 腳本,此腳本會直接在系統上植入或載入 ChChes,第二種方法也就是所謂無檔案式攻擊。
  • 自我解壓縮檔案 (SFX)。此壓縮檔會解出一個執行檔 (EXE)、一個動態連結程式庫 (DLL) 和一個二進位檔 (.BIN)。解開之後,惡意程式碼會被注入到一個正常的執行程序當中 (透過 DLL 挾持技巧)。ChessMaster 將此技巧進一步發揚光大,利用載入時期動態連結技巧來呼叫惡意 DLL 內的函式。
  • 執行時期包裝程式。在整個間諜行動當中,ChChes 使用了三個檔案包裝程式來將自己加密編碼以躲避偵測。第一個不具備加密功能,但含有各種載入程式碼。第二個具備 XOR 加密技巧 (用以反制模擬分析)。第三個在 XOR 之上又增加了 AES 加密。這些程式的組譯日期彼此重疊,可見 ChChes 的作者不斷地在改進並微調其惡意程式。
  • 第二階段惡意程式。歹徒會在系統上植入更多惡意程式,以便能持續躲藏在系統當中。這些其實都是 ChChes 的變種,其程式進入點皆相同,但加密和幕後操縱 (C&C) 通訊卻不盡相同。
  • 駭客工具。ChessMaster 會利用合法的電子郵件以及駭客專為其攻擊行動而修改而來的瀏覽器密碼復原擷取工具。這些工具能在使用者忘記密碼時救回密碼,因此也可讓駭客用來擷取密碼。有了這項資訊之後,就能從事橫向移動與進一步攻擊。
  • TinyX。這是 PlugX 的衍生版本,只不過少了增加新功能的能力。TinyX 是經由魚叉式網路釣魚郵件挾帶並散布。
  • RedLeaves。這是一個第二階段後門程式,其運作方式類似 Trochilus 這個開放原始碼無檔案式遠端遙控木馬程式 (RAT),後者賦予歹徒在已感染系統上進行橫向移動的能力。RedLeaves 的功能衍生自 PlugX。今年四月,一個名為「himawari (向日葵的日文)」的 RedLeaves 變種現身,在當時具備了躲避 YARA 偵測規則的能力。

 

ChessMaster 和 APT 10 其實同屬一個網路間諜行動。
APT 10/menuPass 是一個網路間諜集團,其攻擊行動名為「Operation Cloud Hopper」,專門攻擊鎖定目標的中介機構,也就是代管式服務供應商 (MSP)。其最知名的是非常會善用各種專門竊取資訊的後門程式與漏洞攻擊套件,再配合詭計多端的手法,從各種魚叉式網路釣魚郵件到各種攻擊與感染途徑。此外還會使用合法或開放原始碼的遠端遙控工具來竊取資訊。

這聽起來是否有點熟悉?這是因為 ChessMaster 和 APT 10 似乎同屬一個網路間諜行動。下圖進一步詳細說明兩者的攻擊流程:


圖 1:ChessMaster 與 APT 10 的攻擊流程。

我們一開始是發現 ChChes 盯上了某個遭到 APT 10/menuPass 長期攻擊的目標。然而,當我們取得並分析了越來越多 ChChes 的樣本之後卻發現,兩者的攻擊模式幾乎如出一轍:專用的檔案包裝程式、相同的攻擊目標、共用的 C&C 基礎架構。

例如,ChChes 的檔案包裝程式與 menuPass 舊版的 PlugX 很像。此外,從 DNS 記錄也可看出,其某些 C&C 伺服器和網域對應到的 IP 位址根本是同一個,或者位於同一個子網路 (subnet) 之內。所以,他們背後到底是否為同一集團?從種種相似性來看的確如此。而這樣情況以前也發生過,例如 BlackTech 網路間諜行動就是一個例子。

圖 2:Emdivi 和 ChChes 兩者對照。

ChessMaster 的 ChChes 後門程式跟另一個 2014 年現身的 Emdivi 後門程式也非常類似。兩者的用途是一樣的,都屬於第二階段惡意程式,並使用系統的安全識別碼 (Security Identifier,簡稱 SID) 來當成加密金鑰,因此只會在目標系統上執行。兩者只有複雜程度的差別,ChChes 會將解密金鑰和惡意程式碼暗藏在 Windows 的系統登錄機碼當中以增加反向工程的難度。

但這只是我們找到的其中一個線索,趨勢科技還曾經發現 PlugX 和 Emdivi 出現在同一台電腦上。而這個 PlugX 變種會連上某個 APT 10/menuPass 集團所擁有的網域,而其包裝程式也與 ChChes 所使用的相似。當然,這也可能是該電腦同時遭到兩個不同集團的攻擊,不過,經過我們仔細研究之後發現並非如此。兩者的程式都是在同一天組譯出來,而且相隔不到幾小時。我們是在隔天就偵測並取得兩者的樣本,換句話說,這兩個後門程式都是在組譯出來之後,隔天就被派送至受害者電腦上。

 


圖 3:ChessMaster 與 APT 10 間諜行動交叉重疊之處。

掌握正確資訊
像 ChessMaster 這樣的攻擊會盡可能利用系統、網路、裝置以及裝置使用者來竊取企業機構的珍貴資產。這正是為何企業必須搶先歹徒一步做好準備、迅速回應、迅速回復,並從中學到教訓。預先規劃:駭客可能使用何種技巧?如何防範?千萬別貿然行動,先搞清楚發生了什麼事,才能正確評估並降低損害。調整您的回應措施:哪些有效、哪些無效、哪些可以再改進?

然而最重要的關鍵在於縱深防禦,尤其對負責掌管企業安全的 IT 系統管理員與資安專業人員來說更是如此。其實,網路端點伺服器行動裝置,以及網站與電子郵件閘道,就如同西洋棋的主教、騎士、城堡守護著國王一樣守護著企業的珍貴資產,這就是為何企業應妥善保護它們的安全。所以,可以的話,盡量縮小其打擊面。隨時保持系統更新並定期修補,嚴格實施最低授權原則。採用行為監控與應用程式控管,部署防火牆與入侵防護系統,實施網址分類、網路分割以及資料分類

ChessMaster 的第一步棋就是魚叉式網路釣魚,因此電子郵件閘道上的防護和過濾更顯得重要。此外也應培養員工的網路資安意識,例如,至今還是有很多受害者會被一些看似無害的圖示或誘餌文件所騙。更重要的是,建立主動的事件回應與矯正策略,在這方面,良好的威脅情報能幫助企業預先做好準備,並且進一步降低攻擊的損害。如同下棋一樣,知己知彼、百戰百勝。

本文內容曾經在 7 月 27 日於新加坡 Marina Bay Sands 飯店舉行的「RSA Conference 2017 Asia Pacific & Japan」(2017 亞太暨日本地區 RSA 大會) 上發表,標題為「ChessMaster: A New Campaign Targeting Japan Using the New ChChes Backdoor」(ChessMaster:使用新版 ChChes 後門程式的新攻擊行動侵襲日本)。

 

原文出處:ChessMaster Makes its Move: A Look into the Campaign’s Cyberespionage Arsenal 作者:Benson Sy、CH Lei 與 Kawabata Kohei