东亚黑客组织BlackTech针对金融、教育等行业展开攻击

阅读量    248422 |

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

 

一、概述

BlackTech是一个主要针对东亚地区的商业间谍组织,其活动可追溯至2010年,其攻击的目标行业包含金融、政府、科技、教育、体育和文化等,其目的是窃取机密数据(各种账密、机密文件等)和获取经济利益。该组织主要使用鱼叉式网络钓鱼邮件进行攻击,惯用Plead、TSCookie、Gh0st、Bifrose等木马。

近期,微步情报局通过微步在线威胁情报云监测到BlackTech在多次攻击活动中使用的后门木马,包含Windows版本和Linux版本,多数杀毒引擎较难查杀,经过分析有如下发现:

  1. BlackTech在近期的攻击活动中使用了多数杀毒引擎较难查杀的后门木马,这表明该组织的武器库在持续丰富和变化。
  2. BlackTech在近期的攻击活动中涉及的目标为金融、教育等行业。
  3. 在针对Windows平台的攻击中,BlackTech使用的后门木马是由Gh0st源码修改而来,具备RAT能力。
  4. 在针对Linux平台的攻击中,BlackTech使用的后门木马有两种类型,一种是Bifrose后门木马;另一种是用Python编写打包成的木马具备上传文件、下载文件、执行命令等功能。
  5. 微步在线通过对相关样本、IP 和域名的溯源分析,提取多条相关 IOC ,可用于威胁情报检测。微步在线威胁感知平台 TDP 、本地威胁情报管理平台 TIP 、威胁情报云 API 、互联网安全接入服务 OneDNS 、主机威胁检测与响应平台 OneEDR 、威胁捕捉与诱骗系统 HFish 蜜罐等均已支持对此次攻击事件和团伙的检测。

 

二、详情

微步情报局监测到东亚黑客组织BlackTech近期攻击活动频繁,攻击目标包括中国地区的互联网金融、互联网教育等行业。根据近期捕获的BlackTech组织使用的后门木马,微步情报局发现该组织的武器库在持续丰富和变化,在Windows平台上使用由Gh0st源码修改而来的后门木马,在Linux平台上使用Bifrose后门木马,多数杀毒引擎较难查杀。另外在Linux平台还使用Python编写打包的后门木马。而在IT资产方面,BlackTech组织依旧保留了之前的特点,即经常租用中国、日本等地的服务器作为C&C服务器,在近期攻击活动中也复用了部分在过往攻击活动中使用的资产。

2.1 为什么归因到东亚黑客组织BlackTech?

微步情报局近期捕获两个低杀毒引擎检出的Bifrose后门木马。经过分析,这两个后门木马在代码特征上基本一致,然后提取代码特征进行威胁狩猎寻找历史样本,发现历史样本及IT资产属于BlackTech组织。另外,这两个后门木马所使用的IT资产位于中国、日本,与BlackTech组织的特点相符。结合受害者信息综合分析,微步情报局对于将这两个Bifrose后门木马归因于BlackTech组织有较高的信心。

2.2 关联分析,未知Python木马与BlackTech的关系

对BlackTech组织近期使用的IT资产进行排查,其中通过C&C cache8754.myssldomains.com关联到一个用Python编写打包的木马8764c735d2dbc4ab83b43eaa63e78c78(MD5)。经过分析,此后门木马是BlackTech组织的新武器。

对C&C cache8754.myssldomains.com进行IT资产维度分析:

cache8754.myssldomains.com曾被解析为以下IP地址:

2020-10-28 154.204.60.xx
2020-08-12 104.238.160.xx
2020-07-01 154.209.234.xx
2020-06-23 193.187.118.xx

其中193.187.118.xx可以关联到rt37856cache.work***news.com,而www.work***news.com是Python编写打包的木马8764c735d2dbc4ab83b43eaa63e78c78(MD5)的C&C(样本分析请见后文)。而这两个域名在字符特征上也十分相似,均使用cache关键词。

2.3 关联分析,未知Windows木马与BlackTech的关系

IP 103.40.112.228是BlackTech组织使用过的IT资产,近期微步情报局捕获到使用该IP作为C&C的Windows版本木马9061ff3f23735feddcc51d66f1647f9d(MD5),此木马是由Gh0st源码修改而来,而BlackTech组织也使用过由Gh0st源码修改过的后门木马。综合分析,微步情报局推测此Windows木马也是BlackTech组织使用的木马。

下面,微步情报局将对近期BlackTech组织使用的后门木马进行详细分析,包括Windows木马、Bifrose木马以及Python木马。

 

三、样本分析

BlackTech具备Windows和Linux多平台的攻击能力,近期发现在Windows平台上使用由Gh0st源码修改而来的后门木马,在Linux平台上使用Bifrose后门木马,多数杀毒引擎较难查杀,另外在Linux平台还使用Python编写打包的后门木马。下面微步情报局将对这三种类型样本进行深入分析。

3.1 Windows 

3.1.1类Gh0st样本分析

类Gh0st样本基本信息如下:

文件名称 vsvss.exe
SHA256 c75113a4fdd9086f611b20d153e8a882bc11c0256c92468ed39adf0c43972284
SHA1 9763350d2dc9b9ab86c31929ce406f5935a7d4ec
MD5 9061ff3f23735feddcc51d66f1647f9d
样本大小 244.50 KB (250368 bytes)
样本格式 PE32+ executable for MS Windows (GUI) Mono/.Net assembly
PDB信息 D:\windows2000测试 x86 x64 v1.3\svchost-全功能-加密1205\x64\Release\svchost.pdb
C2 103.40.112.228

1、样本入口初始化回连C2字符串,代码如下:

2、获取包括计算机名、用户名、内存信息、CPU信息在内的系统信息作为上线包。

3、样本上线完成以后,循环获取控制端指令,然后通过“CKernelManager”类调用各类指令执行,截图如下:

4、功能列表如下:

5、指令表

指令 功能
1 文件操作
40 Shell
50 端口映射
63 UltraPortmapManager

6、该样本整体风格和gh0st一致,为gh0st变种木马。例如两者的文件操作功能代码:

7、除此之外,样本中存在“CFileManager”、“CKernelManager”、“CShellManager”等几乎和gh0st源码一致的类名定义。

3.2 Linux

3.2.1 Bifrose后门木马分析如下

样本基本信息如下:

文件名称 initkernel.dat
SHA256 af8301a821cf428dd3d8d52e5f71548b43ba712de2f12a90d49d044ce2a3ba93
SHA1 87d042bac542d2f23282bda4643b0c56538dfe98
MD5 bb6a5e4690768121d9bffcd82dd20d8f
样本大小 31.46 KB (32216 bytes)
样本格式 ELF 64-bit
C2 opensshd.com

1、木马运行之后先使用内置编码数据初始化一个用于解密兑换的数组。

2、随后发起https网络通信,C&C地址opensshd.com直接采用硬编码数据存储。

3、通过前面初始化的兑换数组解密C&C服务器返回指令,分发执行远控指令,包含常见的文件操作、下载执行等功能。执行结果通过日志字符串发送告知C&C服务器。

其指令表如下:

指令(解析后) 描述
137 创建目录
198 结束木马进程。
247 更换本地用于解密的兑换数组
246 执行/bin/sh目录下程序
139 查找目标文件
138 删除文件
143 重命名文件
132 下载写入文件
133、134 修改写入目标文件
135 关闭文件
130、21、248 测试
131 文件时间修改

3.2.2 Python编写打包的后门木马分析

样本基本信息如下:

文件名称 axisdev
SHA256 76bf5520c19d469ae7fdc723102d140a375bb32f64b0065470238e6c29ac2518
SHA1 8a1d27f22ecb365d6d0591fab30734598163ff03
MD5 8764c735d2dbc4ab83b43eaa63e78c78
样本大小 8.04 MB (8432384 bytes)
样本格式 ELF 64-bit
C2 www.workdaynews.com

1、多引擎反馈该样本为python编写的。

2、在段信息中发现pydata section,这个是pyinstaller打包python程序为可执行程序的特点。

3、从样本中提取pydata段的数据,再使用pyinstxtractor.py对该数据进行解析;

提取pydata段数据的命令 objcopy –only-section=pydata axisdev pydata;

使用pyinstxtractor.py解析pydata段数据;

解包后找到agent.pyc,即为源程序编码后的程序。

4、对agent.pyc程序进行解码分析。

执行命令uncompyle6 agent.pyc > agent.py。

对agent.py进行分析:

agent函数名及功能如下:

函数名 功能
get_install_dir 获取安装目录
is_installed 获取安装目录
get_consecutive_failed_connections 获取连续连接失败
update_consecutive_failed_connections 记录连续连接失败
get_UID 获取UID
server_hello 向server请求命令
send_output 发送输出到server
expand_path 扩展路径中的环境变量和元字符
Runcmd 运行shell命令并返回输出
Python 运行python命令或者python文件并返回输出
cd 变更当前路径
upload 上传本地文件到server
download 下载文件
persist 实现持久化
clean 卸载本agent
exit 退出本agent
zip 压缩文件目录或文件

其接受的命令如下:

cd 变更当前路径
upload 上传本地文件到server
download 下载文件
clean 卸载本agent
persist 实现持久化
exit 退出本agent
zip 压缩文件目录或文件
python 运行python命令或者python文件并返回输出
help 列出支持的命令

5、C&C配置

根据代码,agent会读取config中的C&C。由于agent通过import 引入config文件,因此这个config文件在pyinstxtractor.py提取数据的依赖目录里面,即config.pyc。

对config.pyc进行解码分析,提取 C&C地址www.workdaynews.com。

6、持久化技术分析

该agent意图实现持久化,对持久化技术进行分析:

(1)创建路径 ~/.ares;

(2)复制agent到路径之下;

(3)添加权限 chmod +x;

(4)添加自启动配置文件~/.config/autostart/ares.desktop ~/.bashrc(Linux);

(5)windows下添加注册表。

reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /f /v ares /t REG_SZ /d “%s”‘ % agent_path

3.2.3 ATT&CK

技术ID 技术实现
TA0003,T1547.001 Registry Run Keys / Startup Folder Linux平台下添加自启动配置文件~/.config/autostart/ares.desktop
TA0003,T1547.001 Registry Run Keys / Startup Folder Windows平台下添加注册表reg add HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Run /f /v ares /t REG_SZ /d “%s”‘ % agent_path
TA003,T1546.004 .bash_profile and .bashrc Linux平台下添加自启动配置到~/.bashrc

 

四、总结

根据上述分析结果,微步在线情报局认为东亚黑客组织BlackTech是一个经验丰富、成熟度较高、威胁度较高的黑客组织。在近期的攻击活动中该组织使用了多数杀毒引擎较难查杀的Bifrose后门木马,这表明该组织的武器库在持续丰富和变化。由于该组织近期的攻击目标均为中国的金融、教育等行业的企业,建议相关行业的企业提高安全意识、注意防护。

完整内容(含IOC)需在“微步在线研究响应中心”微信公众号查看。
分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多