Blackgear(也稱為Topgear和Comnie)網路間諜活動早在2008年就已經出現(根據駭客所使用的Protux後門程式)。它的目標是日本、韓國和台灣的組織,對公家機關、電信業及其他高科技產業進行攻擊。像在2016年,我們就發現它使用各種惡意工具(最著名的是Elirks後門程式)攻擊日本的組織。Blackgear有著高度的組織性,而且自行開發所用的工具,我們從其最新攻擊可以發現這些工具都已經被改進過。
Blackgear的特色是它躲避偵測的能力,會利用部落格、微網誌和社群媒體來隱藏其命令與控制(C&C)設定。不同於將C&C資訊嵌入惡意軟體而容易被封鎖的作法,它的作法讓Blackgear可以根據需要來快速變更C&C伺服器。讓它能夠延長駐留在系統內的時間好進行進一步的橫向移動。
分析了Blackgear最新攻擊活動所使用的Marade下載器(趨勢科技偵測為TSPY_MARADE.ZTBC)和Protux(BKDR_PROTUX.ZTBC),我們在部落格和社群媒體找到加密過的設定(參見圖1)。這可能表示這些惡意軟體是由同一個團體開發。
圖1、Marade發在Facebook上的加密過設定
圖2、Blackgear攻擊的感染鏈
攻擊鏈
為了更加了解Blackgear攻擊的全貌,我們將其所用的工具和目標攻擊策略進行關聯。以下是Blackgear最新攻擊活動的概要:
- 用垃圾郵件來寄送誘餌文件或假安裝檔來誘騙目標受害者點擊。
- 誘餌文件會解出Marade下載器再複製到系統的暫存資料夾,並且會將檔案大小增加到50MB以上來繞過傳統的沙箱解決方案。
- Marade會檢查中毒電腦是否可以連上網路及是否有安裝防毒軟體。
- 如果中毒電腦可以連網且沒有安裝防毒軟體,Marade會連到Blackgear所控制的公開部落格或社群媒體的貼文來取得加密過的C&C設定。否則Marade會使用程式內嵌的C&C資訊。
- 加密過字串會組成magnet link來防止惡意流量被防毒軟體偵測。接著Marade會解密加密過字串並取得C&C伺服器資訊。
- C&C伺服器會派送Protux到受害者電腦並加以執行。Protux是知名的後門程式,會利用rundll32執行。它會檢測系統網路,從另一個部落格取得C&C伺服器,並且用RSA演算法來產生會話金鑰(session key)再將資訊送到C&C伺服器。
Blackgear的惡意軟體是以RAR自解執行檔(SFX)或用Office VBScript建立的誘餌文件形式來傳送給目標受害者。以下是最新攻擊活動所用SFX檔和文件檔的截圖:
圖3、Blackgear所使用惡意SFX檔案內容,偽裝成Flash Player安裝程式
圖4、Blackgear所使用的惡意文件(上)及如何使用VBScript執行Marade(下)
圖5、同一部落格文章內Protux(上)和Marade(下)的加密過設定
對Marade和Protux進行關聯
Marade和Protux的加密過設定都可以在同一篇部落格文章中找到。如圖5所示,用紅色強調的字串被用作搜尋標籤來找出設定資訊的位置;用橙色強調的內容與Protux要取得的加密過設定有關。
在Blackgear之前的攻擊活動中,Protux的設定格式被改成其他版本。例如,舊版Protux會尋找“++ a ++”標籤(如圖5所示)。Protux的最新版本則使用與Marade類似的格式(如圖6所示)。
圖6、Protux貼在公開部落格的加密過設定(注意這六個magnet URL;第三個是Protux的最新設定格式)
對Protux的最新版本進行逆向工程後讓我們確認了如何解密C&C資訊,可以使用下面的Python程式進行。研究人員、系統管理員和資安專家也可以用它來解密Protux的最新版本。
#!/usr/bin/env python2
#-*-coding:utf-8 -*-
import os, sys, datetime, operator, base64
def decrypt():
if len(sys.argv) != 2:
print “Usegae : ./decrypt_protux_magnet.py <Full magnet strings>”
sys.exit(0)
str = sys.argv[1]
head = str.find(“magnet:?xt=urn:bhih:”)
tail = str.find(“&xl=”)
if -1 == tail:
tail = str.find(“&xl=”)
if -1 == head or -1 == tail:
print(“can’t find delimiter”)
sys.exit()
b64_data = str[len(“magnet:?xt=urn:bhih:”): tail]
b64_decode = base64.b64decode(b64_data)
key = ord(b64_decode[2])
data = b64_decode[4:]
output_file = open(“C2_info”, “wb”)
for single_byte in data:
output_file.write(chr(ord(single_byte) ^ key))
output_file.close()
if __name__ == ‘__main__’:
decrypt ()
一種新的遠端控制工具
我們還可以取得Protux遠端控制工具的樣本。它提供了使用者介面,可以讓攻擊者傳送指令給任一個中毒系統並對其進行監控。此工具也可以遠端控制中毒系統內的Marade。
圖7、控制器取得Marade相關資訊(上)和收集Protux相關資訊(下)
根據這個控制工具的行為,我們可以推定Marade和Protux都是由同一個駭客製作,在系統內進行特定的工作。Marade進行攻擊的第一階段,將中毒系統的資訊送到C&C伺服器,接著等待來自控制工具的命令。這讓攻擊者可以監視並檢查中毒電腦是否讓他們感興趣。如果是,接著就會部署Protux來進入第二階段。這個工具還可以即時控制後門程式和攻擊者間的連線。以下是Protux值得注意的組件及其功能的列表:
- FileManage – 列出系統內所有的磁碟機和資料夾。
- ProcManage – 列出受感染電腦內所有的程序、模組、執行緒和端口。
- ServiceManage – 列出受感染電腦內所有的服務。
- RegManage – 列出受感染電腦內的註冊表。
- ScreenManage – 進行螢幕截圖。
- ShellManage – 建立一個shell。
Protux:老狗學會新把戲
Protux是個古老的後門程式,第一個版本出現在2005年。它使用DLL注入來執行惡意行為。基於此行為,我們可以找出其從下載器到所用誘餌文件的模式。觸發格式為:%system32/rundll32.exe <PROTUX檔名> <匯出名稱>。
我們在Protux的歷史中看到兩個顯著的變化:它的匯出名稱及運作方式:
匯出名稱 | 時間 | 如何取得C&C資訊 |
TStartUp | 2005 – 2012 | 直接連到C&C伺服器並用DNS伺服器取得C&C IP地址。 |
CRestart | 2009 – 2014 | 使用網頁DNS查詢取得C&C IP地址,如ip138[.]com。 |
CReset | 2013 – 2018 | 透過部落格服務的關鍵字找出加密過的設定。 |
我們對Protux的研究和關聯比對讓我們取得數個內嵌版本號的樣本。圖8中顯示出後門程式版本號和帶有加密字串的時間戳記。我們還發現這些版本加密了與C&C伺服器的連線。
Protux的最新版本3.7使用開放原始碼編譯器OpenCSP來用RSA演算法產生會話金鑰。
圖8、Blackgear所使用的不同版本Protux
圖9、具備OpenCSP加密功能的Protux
制定主動事件回應策略
自十年前出現以來,Blackgear就一直在攻擊著各個產業。它強大的持續能力源於其躲避傳統安全軟體的隱匿手法。比方說,Blackgear每次攻擊都會採取兩階段感染。目標受害者可能無法注意到入侵,因為第一階段只有涉及到目標剖析和偵察。一旦感染了後門程式也可能不會引發警報,因為它利用了微網誌和社群媒體來取得C&C連線所需的資訊。
Blackgear的攻擊也確實證明了組織需要開發和實施能夠主動回應威脅的資安策略。比方說,強大的威脅獵捕策略有助於驗證攻擊指標來確認入侵、威脅或可疑系統活動只是一次性的攻擊或屬於大型攻擊活動的一部分。這樣更進一步的能見度為組織提供了可操作性的威脅情報,脈絡和洞察力,可以更加深入了解攻擊 – 哪個安全間隙被攻破,攻擊是否具備多個有效負載,或是惡意軟體是否在網路中散播開來。
組織還可以考慮代管偵測和回應,它提供深入的威脅分析和關聯技術(從網路到伺服器和端點)來取得攻擊全貌,更進一步地了解針對性攻擊。代管偵測和回應還可以協助組織分析原本可能沒有時間或資源來處理的系統和網路活動。
此附錄內列出與Blackgear相關的入侵指標(IoC)。
趨勢科技解決方案
趨勢科技的Deep Discovery解決方案可以即時偵測、深入分析並主動回應今日的隱匿性惡意軟體和針對性攻擊。它提供了全面性的防禦,透過特製引擎、客製化沙箱及跨越整個攻擊生命週期的無縫關聯技術來保護組織對抗針對性攻擊和進階威脅,使其即使沒有更新引擎或特徵碼也能夠偵測Blackgear所帶來的威脅。
Blackgear的攻擊活動也會利用電子郵件作為進入點,這也是為什麼保護電子郵件閘道是如此重要。趨勢科技的Hosted Email Security是一種無需維護的雲端解決方案,可持續地更新防護,在垃圾郵件、惡意軟體、魚叉式釣魚郵件和進階針對性攻擊進入企業網路前先加以封鎖。趨勢科技的Deep Discovery Email Inspector和 InterScan Web Security可以防止惡意軟體接近最終使用者。在端點層級,趨勢科技的Smart Protection Suites提供多種功能,可將威脅的影響降至最低。
@原文出處:Blackgear Cyberespionage Campaign Resurfaces, Abuses Social Media for C&C Communication 作者:Joey Chen(威脅分析師)