APT集团在中亚高知名度网络中植入后门

去年的秋天，针对中亚高知名度公司的APT恶意软体入侵事件引起了我们的注意。几个月后，我们开始与ESET的恶意软体分析师一起合作，分析该集团用来对一家电信公司、一家天然气公司和一个政府机构进行间谍活动的样本。这个我们认为可能来自中国的APT集团植入了后门程序，以获得对企业网路的长期访问权限。我们的分析显示，这个集团可能也参与了对蒙古、俄罗斯和白俄罗斯的攻击活动。

这个攻击组织经常重新编译他们的自定义工具以避免被防病毒软体检测，这些工具除了后门外，还包括Mimikatz和Gh0st RAT。这导致了大量样本，且二进位文件通常受到VMProtect的保护，使得分析变得更加困难。

后门程序使得攻击者能够操作和删除档案、截取萤幕快照、操作过程与服务，还能执行控制台命令、删除自身等。此外，一些命令可能指示后门将数据汇出至CampC伺服器。被感染的设备也可以被CampC伺服器指令作为代理或在每个网路接口的特定端口上监听。该组织还使用了Gh0st RAT和Management Instrumentation等工具在渗透的网路中横向移动。

时间线

图1：有关Microcin追踪的事件时间线，以及Avast通知目标公司的情况

Avast和ESET的防病毒引擎在我们注意到之前就已经阻止了APT集团使用的样本，因为我们的防病毒引擎检测是自动化的。

归因与集群化

我们分析的样本与恶意软体样本和活动有关，例如Microcin、BYEBY和Vicious Panda，这些之前均由Kaspersky、Palo Alto Networks和Check Point描述过。我们发现的后门是自定义工具，据我们所知，之前并未被分析。大部分CampC伺服器都注册在Choopa LLC，这是一个在过去被网路犯罪分子用过的托管平台。这场运动早期也见过GoDaddy的注册伺服器，但这些伺服器很快就被删除。

我们怀疑这个APT集团背后的攻击是来自中国。Gh0st RAT是这次活动中使用的工具之一，过去曾被中国APT集团使用。分析中我们发现的代码与Vicious Panda的活动中使用的代码TTPS，特别是在感染向量中使用RTF Weaponizer具有相似性，我们也因此推测该集团可能来自中国。被攻击的公司和机构，以及专业的代码编写，都指向一个APT集团。

工具集

后门

在我们的分析中，我们发现了以下后门。以下是这些后门的详细资讯。

sqllauncherdll (VMProtected 后门)

logondll (VMProtected 后门)

logsupportdll (VMProtected 后门)

pcauditbat

技术细节 (pcauditbat)

pcauditbat 是一个批次档，用于调用svchostexe 以载入注册表中指定的服务的DLL档案。这个批次档负责后门的持久性。pcauditbat 脚本的内容如下：

图2：负责后门持久性的批次档

技术细节 (sqllauncherdll logondll)

这两个DLL，sqllauncherdll 和 logondll，主要用作后门。它们通过前述批次档安装为服务，并在路径COMMONDOCUMENTWZ9JuN00tmp 下创建日志档，以收集后门运行期间的错误。每个条目都包含错误代码、错误讯息和格式为“[yyyymmdd hhmmss] error code message”的时间戳。

如果受感染的设备无法连接到CampC伺服器，恶意软体会尝试判断流量是否通过代理进行路由。这些资讯可能从WINDOWSdebugnetlogoncfg 或TCP表中获取。在成功连接到CampC伺服器后，将建立安全通信通道(Schannel)，并向CampC伺服器发送遥测信息(OS版本、用户名称)。CampC伺服器发出的命令如下：

命令 子命令 参数 描述 原始命令 AmbYDkEx 发送恶意程式版本给CampC WELCOM eYTS5IwW 终止先前启动的有效负载 Ki0Swb7I 发送所有使用的驱动器字母给CampC LIST D 5fdi2TfG 启动远端Shell STARTC h71RBG8X command 执行“cmd command”透过CreateProcess API J8AoctiB QHbU0hQo path subcommand 从path读取并将数据发送至CampC UPLOAD J8AoctiB hwuvE43y path subcommand data 将data写入path DOWNLO gRQ7mIYr command 透过CreateProcess API执行command EXECUT

技术细节 (logsupportdll)

与前述DLL类似，logsupportdll 主要用作后门，但它使用了不同的CampC伺服器。其对应的日志档位于TEMPrar[AZ09]{4}tmp。日志档的结构也相同。主要的区别是这个日志档是通过一个硬编码密钥的XOR加密的。

图3：日志档是通过硬编码键的XOR加密进行解密

这个后门会检查恶意程式是否在虚拟环境中运行。此外，DLL还会指纹化被感染的设备NETBIOS名称、IP地址、用户名、OS版本、MAC地址和RAM使用量、OEM代码页、token资讯、CPU核心数及是否64位，并将这些资讯发送至CampC伺服器。

通过简单的串流加密与CampC伺服器进行的通信。如果恶意软体无法建立加密通道，则它使用与之前两个DLL不同的方法检查是否使用代理。它尝试连接到http//wwwgooglecom/indexasp，并从连接中获取有关可能代理的信息，还检查Windows注册表键中的ProxyServer的值：

HKLMSoftwareMicrosoftWindowsCurrentVersionInternet Settings

根据我们在代码中观察到的情况，该后门也能接受来自CampC伺服器的各种命令。这些命令允许后门执行文件操作移动、读取、删除、检查存在性、操作进程创建、终止、获取父进程及进程ID以及Windows服务启动、停止、检查，执行控制台命令、删除自身等。此外，某些命令读取/检查档案、检查服务、检查进程还会将数据回传给CampC。受感染的设备也可以被CampC指令作为代理或在每个网路接口的特定端口上监听。

有趣的是，该后门有一组特定针对tu和tut副档名文件的命令。这些命令可以检查其存在性、将内容发送回CampC，并修改其内容附加或重写来自CampC伺服器的数据。

其他工具

通过Mimikatz横向移动

fc66353fb26fd82227700beb47c4fa90118cea151eb1689fd8bf48e93fda71d0

Mimikatz是法国安全研究员Benjamin Delpy于2007年启动的开源项目。这是一个强大的工具，可以利用多种Windows身份验证机制，并从Windows本地安全帐户资料库中提取相关的凭证数据。因此，它经常被各种APT行为者如Lazarus Group或Telebots滥用。

在这次活动中使用的Mimikatz版本有一个两阶段的安装机制installerexe安装Yokel64exe和mktz64dll，并包含一个PDB字符串“E2018MimHashmimikatzBinmktzx64pdb”。在我们的测试虚拟机中调用mktz64dll的导出函数MktzDumpbyInjection产生的输出如下：

1 domain = MSEDGEWIN10 user = Administrator nthash=FC525C9683E8FE067095BA2DDC971889

2 domain = MSEDGEWIN10 user = IEUser nthash=FC525C9683E8FE067095BA2DDC971889

通过WMI横向移动

2615e5585a5db77b973c74e0a87551978a9322c820362a148a995e571923b59c

通过WMI的横向移动是通过一个解析自身档名的文件来实现的，我们怀疑它使用的格式如下：“@@ exe”。然后，档名中描述的数据被提取并用来建立与被检索名称识别的计算机的远端控制台。然后，透过Windows管理工具(WMI)设置严格的代理安全，这使得每个远程过程调用的参数都被加密，并允许伺服器访问本地资源。接著，WMI再次被用来检索Win32Process类，进而用来以给定参数创建进程。最后它自身终止。

Gh0st RAT

3a3b05a08180013a37fbdbe65e3fe017440c1cb34289647ef1f60316964ef6a9

Gh0st RAT是一个老牌且知名的后门，主要与东亚攻击者相关。通常认为其源代码是广为人知的。其存在通常以名为rastlsdll的文件为标志，该文件以export DLL名称svchostdll存在，并包含字符串Gh0st。一个名为uwqixgze}的字符串用作CampC域的占位符。

我们在此次活动中看到的版本尝试连接至https//yuemtzzux[]com。

图4：Gh0st RAT恶意软体

代码相似性

在分析其中一个文件时，我们注意到其与2017年的Microcin样本、2017年的BYEBY样本和2020年的Vicious Panda：COVID活动有几个相关性。下方的图5提供了用于解密第一个后门主配置数据的解密循环的比较。

图5：用于解密主配置数据的代码片段

文件名 SHA256 irmondll 170008187EBCEF183E792513608B82572FAF0AAEB33212BFA44736439453218F cryptbasedll 383A2D8F421AD2F243CBC142E9715C78F867A114B037626C2097CB3E070F67D6 NWCWorkstationdll 2A42F500D019A64970E1C63D48EEFA27727F80FE0A5B13625E0E72A6EC98B968 nwsapagentdll 92315CDCDD3ECDAFBAC1D46EF872AAA333E1EA159D662CB61C4FA029D3896DF7

结论

Avast已将其发现报告给当地CERT团队并与电信公司取得了联系。我们尚未收到任何一方的回复。

Avast最近使用我们分析的样本保护中亚的用户免受进一步攻击。这与我们发现的样本元素相关，且与对其他国家的攻击相连，因此让我相信这个集团仍然活跃。

我想对ESET的Peter Kalnai表示感谢，感谢他与我一同进行分析，同时感谢Avast的Luk Obrdlk和Adolf Steda对本研究的支持，以及Kaspersky的Alexey Shulmin的帮助。

事件指标 (IoC)

参考资料

Vasily Berdnikov Dmitry Karasovsky Alexey Shulmin “Microcin 恶意软体”，Kaspersky Labs 2017925 https//mediakasperskycontenthubcom/wpcontent/uploads/sites/43/2018/03/07170759/MicrocinTechnical4PDFengfinalspdf

Josh Grunzweig Robert Falcone “威胁行为者针对白俄罗斯政府使用CMSTAR木马”，Palo Alto Networks 2017年9月，https//unit42paloaltonetworkscom/unit42threatactorstargetgovernmentbelarususingcmstartrojan/

Checkpoint Research “Vicious Panda COVID活动”，20200312 https//researchcheckpointcom/2020/viciouspandathecovidcampaign/

Avast威胁情报 https//githubcom/avast/ioc

ESET威胁情报 https//githubcom/eset/malwareioc

Dhia Mahjoub Jeremiah O’Connor Thibault Reuille Thomas Mathew “钓鱼、剥削和不良托管”，Cisco Umbrella Blog 2015年9月14日

https//umbrellaciscocom/blog/2015/09/14/phishingspikingandbadhosting/

https//githubcom/gentilkiwi/mimikatz

标签： APT、后门、中亚