18 歲了!分析 Shadow Brokers 駭客集團外流的長青惡意程式Tildeb

2017 年 4 月 14 日,The Shadow Brokers (TSB) 駭客集團公開了一批名為「Lost in Translation」的駭客工具和資料。這批公開的資料當中包含了多個關於 Server Message Block (SMB) 和 Remote Desktop Protocol (RDP) 兩個通訊協定以及一些協同作業與網站伺服器軟體的零時差遠端程式碼執行漏洞。此外還有 EternalBlue、EternalChampion、EternalSynergy、EsteemAudit、EchoWrecker、ExplodingCan、EpicHero、EWorkFrenzy 等漏洞攻擊套件。

此外,這批資料還包含一些駭客在成功入侵之後可植入系統的惡意程式和工具,以便能夠:持續掌控被感染的系統、避開安全驗證、從事各種惡意活動,並與遠端伺服器建立幕後操縱 (C&C) 通訊等等。在這類植入系統的惡意程式當中,最值得注意的有五個:DoublePulsar、PeddleCheap、ExpandingPulley、KillSuit (KiSu) 和 DanderSpritz,它們各自擁有不同的能力、功能和用途。

除此之外,還有一個非常特別的惡意程式,那就是 ExpandingPulley (EP) 主要資料夾「\windows\Resources\Ep\」底下一個名為「clocksvc.exe」的獨立執行檔。這個惡意程式從未獲得公開關注,只曾經在一份 CYSINFO 的報告當中被提到它會連上某個 IP 位址。我們將這個惡意程式命名為 Tildeb (趨勢科技正式命名:Trojan.Win32.TILDEB.A),因為它會在系統上產生一個名為「~debl00l.tmp」的特殊暫存檔。

我們針對 Tildeb 進行了一番逆向工程研究,發現它專門攻擊 Windows NT 4.0 和 Microsoft Exchange Server。除此之外,它的程式碼當中含有好幾個致命的程式錯誤,而且它使用郵槽 (mailslot) 機制來進行處理程序之間的通訊,並且非常小心不讓其內部運作與 C&C 通訊被發現。

從 Tildeb 程式碼的分析當中可看出它專門攻擊 Windows NT 4.0 作業系統和 Microsoft Exchange Server。不過,雖然它攻擊的是一些較老的電腦環境,但根據 CYSINFO 報告當中所截取的網路流量顯示它仍與其程式內寫死的幕後操縱 IP 位址保持聯繫,這表示該程式仍在活躍當中。這也讓我們看到這批駭客工具的廣泛性和能力:不管其攻擊對象是否老舊,只要是駭客會想攻擊的目標,就會有對應的漏洞攻擊套件和惡意程式。

以下是我們研究的摘要重點 (有關 Tildeb 進一步分析請參閱隨附的技術摘要)。

檔案程式碼和特性。其程式組譯日期是在 2000 年 10 月 3 日。不過,由於程式開發需要一段時間,而且它可能已經過多次改版,因此真正的開發時間應該更早。雖然我們無法證明組譯時間戳記是否正確,但若就其針對的目標以及所用的組譯器版本來看,該日期應該沒有造假。Tildeb 的程式碼並未經過任何加密編碼,因此不含任何反組譯或反偵錯功能,也無加密字串或類似的編碼技巧。

感染途徑以及與其他檔案的關聯。由於 Tildeb 是一個獨立的惡意程式,我們無法找出它和其他同一批外流的工具有任何關聯,就算在程式內也找不出任何跡象。不過,我們發現它可能跟某個不知名的漏洞攻擊架構或是一些搭配 Tildeb 使用的其他工具有所關聯。我們不曉得 Tildeb 是如何進入目標系統,但很可能是歹徒在橫向移動的過程當中植入,或者是經由其他漏洞攻擊架構專門攻擊 Windows NT 的遠端程式碼執行模組來植入系統。

指令列選項。Tildeb 是一個指令列應用程式,因此可接受一些指令列參數。它一次最多可接受 0 至 4 個參數,每個參數各有其特定用途,包括:與程式內寫死的 C&C 伺服器通訊、建立一個 TCP 通訊協定的連線 (socket) 並等候連線、提升該惡意程式的權限以便將程式碼注入 Exchange Server 處理程序。

善後清理執行緒與主執行程序清理程式碼。Tildeb 在其程式終止時會遵照一定的善後程序來將自己的痕跡清除乾淨以免被發現。例如,Tildeb 有一個負責偵測執行失敗的執行緒,會在某些特定作業以及整個程式生命週期結束時執行清除動作。Tildeb 並不具備任何永續機制,而且從它具備清除功能這一點來看,應該也不可能有永續機制的設計。

網路通訊。在建立了安全的通訊管道之後,Tildeb 就進入待命狀態,等著接收操控指令,讓駭客能在受感染的系統上執行惡意活動。

Tildeb 建立連線的過程。
Tildeb 建立連線的過程。

 

操控指令。Tildeb 的功能基本上就是對應其支援的操控指令。這些指令包括:刪除檔案、與 C&C 伺服器保持連線、上傳檔案至 C&C 伺服器、擷取受感染系統上的檔案與資料夾清單、將惡意程式碼注入某個 Exchange Server 執行程序。

根據逆向工程以及我們對其程式碼的了解,Tildeb 基本上是一堆各種不同功能的片段程式碼所組合而成。這些程式碼相當龐雜,而且很可能是由不同人員或是一群各懷不同技能和經驗背景的程式設計師所撰寫。此外,程式內還包含一些致命的錯誤,可能讓該程式或預期的功能無法運作,甚至有一些錯誤還很明顯。

Tildeb 所攻擊的系統或許對今日來說已經過時。比方說,Windows NT 4.0 Server 和 Workstation 的延長支援早已於 2004 年終止 (Embedded 則是在 2006 年終止),而 Exchange Server 5.5 也從 2006 年之後就不再提供支援。

但有些企業確實可能還在使用這些環境或平台。這一點,我們從WannaCry(想哭)勒索病毒大爆發 就已獲得印證,該病毒所影響的是使用 SMB 通訊協定的系統和網路,而該通訊協定早在 2007 年即已被停用,並在 2014 年就已被淘汰。然而,有些企業依然需要仰賴一些老舊的營運關鍵系統和應用程式來運作。Tildeb 的潛在衝擊以及企業在面臨移轉或繼續使用老舊技術所面臨的挑戰,突顯出保護企業線上資產的重要性,包括:閘道、端點、伺服器、網路以及底層相關的基礎架構。

我們的技術摘要詳細剖析了 Tildeb 的內部運作,包括 C&C 通訊協定、操控指令、錯誤偵測清理程序以及其他特色和功能。

趨勢科技解決方案
趨勢科技Deep Discovery進階網路安全防護 ™ 能夠偵測、深入分析並主動回應利用漏洞或惡意程式的攻擊,利用特化的引擎、客製化沙盒模擬分析以及密切的交叉關聯分析,完整涵蓋網路攻擊的所有階段,甚至不須更新引擎或病毒碼就能偵測類似攻擊。

趨勢科技 TippingPoint® 則提供了虛擬修補和廣泛的零時差漏洞防護,能藉由DigitalVaccine™ 數位疫苗過濾規則來防範經由網路發動的漏洞攻擊。TippingPoint 的 整合式進階威脅防護能提供一些可採取行動的資安情報來防堵漏洞與漏洞攻擊,並防範已知及零時差攻擊。TippingPoint 以 XGen™ 防護為後盾的 Advanced Threat Protection Intrusion Prevention System 結合了深層封包檢查、威脅信譽評等、進階惡意程式分析等技術來攔截攻擊與進階威脅。

趨勢科技 TippingPoint™ 客戶可利用以下 MainlineDV 過濾規則來防範 Tildeb 和相關的惡意活動:

  • 33521: TCP: Tildeb Knock Request
  • 33522: TCP: Tildeb Acknowledgment Request

趨勢科技的Deep Discovery Inspector 解決方案能利用以下 DDI 規則來防範 Tildeb 的相關攻擊:

  • 3750: TILDEB – TCP (Request)

 

原文出處:Tildeb: Analyzing the 18-year-old Implant from the Shadow Brokers’ Leak 作者:Mohamad Mokbel (威脅研究員)