背景
2019年3月17日,360威胁情报中心截获了一例疑似“黄金鼠”apt组织(apt-c-27)利用winrar漏洞(cve-2018-20250[6])针对中东地区的定向攻击样本。该恶意ace压缩包内包含一个以恐怖袭击事件为诱饵的office word文档,诱使受害者解压文件,当受害者在本地计算机上通过winrar解压该文件后便会触发漏洞,漏洞利用成功后将内置的后门程序(telegram desktop.exe)释放到用户计算机启动项目录中,当用户重启或登录系统都会执行该远控木马,从而控制受害者计算机。
360威胁情报中心通过关联分析后发现,该攻击活动疑似与“黄金鼠”APT组织(APT-C-27)相关,并且经过进一步溯源与关联,我们还发现了多个与该组织相关的Android平台的恶意样本,这类样本主要伪装成一些常用软件向特定目标人群进行攻击,结合恶意代码中与攻击者相关的文字内容,可以猜测攻击者也比较熟悉阿拉伯语。
后门程序(TelegramDesktop.exe)在VirusTotal上的检测情况
样本分析
360威胁情报中心针对该利用WinRAR漏洞的样本进行了分析,相关分析如下。
利用恐袭事件诱导解压
| MD5 | 314e8105f28530eb0bf54891b9b3ff69 |
|---|---|
| 文件名 |
这个Office Word文档是恶意压缩文件的一部分,其内容涉及一次恐怖袭击事件。中东地区由于其政治、地理等特殊性,该地区遭受恐怖袭击繁多,人民深受其害,所以该地区人民对于恐怖袭击等事件敏感,致使受害者解压文档的可能性增加:
诱饵文档翻译内容
用户如果解压该恶意压缩包,则会触发WinRAR漏洞,从而释放内置的后门程序到用户启动目录中:
当用户重新启动计算机或登录系统后将执行释放的后门程序Telegram Desktop.exe。
Backdoor(Telegram Desktop.exe)
| 文件名 | Telegram Desktop.exe |
|---|---|
| MD5 | 36027a4abfb702107a103478f6af49be |
| SHA256 | 76fd23de8f977f51d832a87d7b0f7692a0ff8af333d74fa5ade2e99fec010689 |
| 编译信息 | .NET |
后门程序TelegramDesktop.exe会从PE资源中读取数据并写入到:%TEMP%\Telegram Desktop.vbs,随后执行该VBS脚本,并休眠17秒直到VBS脚本运行完成:
该VBS脚本的主要功能为通过Base64解码内置的字符串,并将解码后的字符串写入到文件:%TEMP%\Process.exe,最后执行Process.exe:
Process.exe执行后会在%TEMP%目录下创建文件1717.txt,并写入与最终执行的后门程序相关的数据,以供Telegram Desktop.exe后续使用:
随后TelegramDesktop.exe便会读取1717.txt文件的内容,并将其中的特殊字符替换:
之后再通过Base64解码数据,并在内存中加载执行解码后的数据:
最终在内存中加载执行的数据为njRAT后门程序,相关配置信息如下:
njRAT
内存加载执行的njRAT后门程序会首先创建互斥量,保证只有一个实例运行:
并判断当前运行路径是否为配置文件中设置的路径,若不是则拷贝自身到该路径启动执行:
随后关闭附件检查器和防火墙:
并开启键盘记录线程,将键盘记录的结果写入注册表:
开启通信线程,与C&C地址建立通信并接受命令执行:
该njRAT远控还具有远程SHELL、插件下载执行、远程桌面、文件管理等多个功能:
Android平台样本分析
360威胁情报中心通过VirusTotal还关联到了“黄金鼠”(APT-C-27)APT组织最近使用的多个Android平台的恶意样本,其同样使用了82.137.255.56作为C&C地址(82.137.255.56:1740):
而近期关联到的Android平台后门样本主要伪装为Android系统更新、Office升级程序等常用软件。以下是我们针对伪装成Office升级程序的Android样本进行的分析
| 文件MD5 | 1cc32f2a351927777fc3b2ae5639f4d5 |
|---|---|
| 文件名 | OfficeUpdate2019.apk |
该Android样本启动后,会诱导用户激活设备管理器,接着隐藏图标并在后台运行:
诱导用户完成安装后,样本会展示如下界面:
接着样本将通过Android默认的SharedPreferences存储接口来获取上线的IP地址和端口,如果获取不到,就解码默认的硬编码IP地址和端口上线:
相关IP地址的解码算法:
最终解码后的IP地址为:82.137.255.56,端口也是需要把硬编码后的端口加上100来得到最终的端口1740:
一旦成功连接到C&C地址,会立即发送上线信息、接收控制指令并执行。该样本能够进行录音、拍照、进行GPS定位,上传联系人/通话记录/短信/文件,以及执行来自云端的命令等多种功能
Android后门样本的相关指令及功能列表如下:
| 指令 | 功能 |
|---|---|
| 16 | 心跳打点 |
| 17 | connect |
| 18 | 获取指定文件的基本信息 |
| 19 | 下载文件 |
| 20 | 上传文件 |
| 21 | 删除文件 |
| 22 | 按照云端指令复制文件 |
| 23 | 按照云端指令移动文件 |
| 24 | 按照云端指令重命名文件 |
| 25 | 运行文件 |
| 28 | 按照云端指令创建目录 |
| 29 | 执行云端命令 |
| 30 | 执行一次ping命令 |
| 31 | 获取并上传联系人信息 |
| 32 | 获取并上传短信 |
| 33 | 获取并上传通话记录 |
| 34 | 开始录音 |
| 35 | 停止并上传录音文件 |
| 36 | 拍照 |
| 37 | 开始GPS定位 |
| 38 | 停止GPS定位并上传位置信息 |
| 39 | 使用云端发来的ip/port |
| 40 | 向云端报告当前使用的ip/port |
| 41 | 获取已安装应用的信息 |
值得注意的是,在该样本回传的命令信息中包含了阿拉伯语的相关信息,因此我们推测攻击者有较大可能熟悉使用阿拉伯语:
溯源与关联
通过查询本次捕获的后门程序C&C地址(82.137.255.56:1921)可知,该IP地址自2017年起便多次被APT-C-27(黄金鼠)组织使用,该IP地址疑似为该组织的固有IP资产。在360网络研究院的大数据关联平台上,可以查看与该IP地址相关联的多个样本信息
通过360威胁情报中心威胁分析平台(ti.360.net)查询该C&C地址,也被打上了APT-C-27相关的标签:
并且从本次捕获到的相关木马样本(Windows和Android平台)的功能模块、代码逻辑、内置信息语言、目标人群、网络资产等信息都和早前曝光的APT-C-27[2]使用的木马样本信息高度相似。因此,据360威胁情报中心所述,本次拦截的相关样本同样与“黄金鼠”APT组织(APT-C-27)有关联。
正如我们的预测,利用WinRAR漏洞(CVE-2018-20250)传播恶意程序的攻击行为正处在爆发阶段,360威胁情报中心此前观察到多个利用此漏洞进行的APT攻击活动,而本次截获的疑似“黄金鼠”APT组织(APT-C-27)利用WinRAR漏洞的定向攻击活动仅仅只是众多利用该漏洞实施定向攻击案例中的一例。因此360威胁情报中心再次提醒各用户及时做好该漏洞防护措施。(见“缓解措施”一节)
缓解措施
1、 软件厂商已经发布了最新的WinRAR版本,360威胁情报中心建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:
32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe
64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe
2、 如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。
目前,基于360威胁情报中心的威胁情报数据的全线产品,包括360威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、360 NGSOC等,都已经支持对此类攻击的精确检测。
