寫在前面的話

Unit 42自從2016年五月份開始就一直在密切跟蹤黑客組織OilRig的一舉一動。根據(jù)我們研究人員的觀察與發(fā)現(xiàn)，從2016年五月份開始，這個(gè)名叫OilRig的黑客組織在其網(wǎng)絡(luò)釣魚攻擊活動中開始使用Clayslide文檔來作為釣魚郵件的附件。

近期，我們觀察到了一種新版本的Clayslide文檔，它的開發(fā)人員將其稱之為“ALMA Communicator”，而OilRig的攻擊者可以使用Clayslide文檔在目標(biāo)用戶的主機(jī)中安裝一種新型的自定義木馬。這種惡意文檔還可以存儲類似Mimikatz之類的后滲透憑證收集工具，而研究人員則認(rèn)為攻擊者引入這種功能的最終目的還包括從目標(biāo)用戶的主機(jī)中收集賬號憑證信息。雖然我們現(xiàn)在還沒有拿到詳細(xì)的數(shù)據(jù)，但是我們有理由相信這種攻擊活動針對的是中東地區(qū)一家公共事業(yè)公司的個(gè)人用戶。

新型的Clayslide文檔

近期出現(xiàn)的最新版本Clayslide文檔其運(yùn)行機(jī)制與之前的Clayslide文檔非常相似，它一開始會給用戶顯示一個(gè)“不兼容”的Excel工作表，并聲稱這個(gè)Excel文件是使用一個(gè)更新版本的Excel創(chuàng)建的，因此用戶需要點(diǎn)擊“啟用內(nèi)容”來查看該文檔的內(nèi)容。如果用戶點(diǎn)擊了“啟用內(nèi)容”之后，文件會顯示一個(gè)隱藏的工作表并觸發(fā)惡意宏的運(yùn)行，而這個(gè)隱藏的工作表中包含的是攻擊者所設(shè)置的“誘餌”內(nèi)容，隱藏工作表中的內(nèi)容大致如下圖所示：

當(dāng)“誘餌”內(nèi)容顯示給用戶之后，惡意宏會從這個(gè)“不兼容”工作表中的某個(gè)特定單元格中開始訪問數(shù)據(jù)，并創(chuàng)建一個(gè).HTA文件，然后將其存儲至路徑%PUBLIC%\tmp.hta之中，最后再使用mshta.exe應(yīng)用程序來打開這個(gè)文件。這個(gè).HTA文件中包含HTML代碼，而這些代碼將運(yùn)行一個(gè)VBScript腳本并在目標(biāo)用戶的主機(jī)中運(yùn)行最終的惡意Payload。

惡意Payload過程描述如下：首先，.HTA會創(chuàng)建一個(gè)名叫%PUBLIC%\{5468973-4973-50726F6A656374-414C4D412E-2}的文件夾，然后再向這個(gè)文件夾中寫入三個(gè)文件，這三個(gè)文件的文件名分別為：

SystemSyncs.exe
m6.e
cfg

.HTA文件中包含兩個(gè)已編碼的可執(zhí)行文件，隨后它會對這兩個(gè)文件進(jìn)行解碼，并將其寫入m6.e和SystemSyncs.exe中。.HTA文件還包含一個(gè)Base64編碼的配置文件，解碼之后便會被寫入cfg文件之中，而惡意木馬之后需要使用這些配置信息來獲取C2域名，并使用它來與��擊者進(jìn)行通信。在該攻擊活動之中，保存在cfg文件中的C2域名為prosalar[.]com。

SystemSyncs.exe文件（SHA256: 2fc7810a316863a5a5076bf3078ac6fad246bc8773a5fb835e0993609e5bb62e）是一個(gè)由OilRig黑客組織開發(fā)出來的自定義木馬，這個(gè)木馬就是“ALMA Communicator”，我們待會兒會在接下來的章節(jié)中對其進(jìn)行詳細(xì)介紹。

.HTA文件所釋放出來的“m6.e”文件其實(shí)是Mimikatz工具的變種版本（SHA256: 2d6f06d8ee0da16d2335f26eb18cd1f620c4db3e880efa6a5999eff53b12415c）。在此之前，我們曾見到過OilRig黑客組織在其后滲透活動中使用Mimikatz工具來收集憑證信息。但是，這一次是我們第一次發(fā)現(xiàn)OilRig組織在攻擊的感染階段就使用Mimikatz工具。考慮到ALMA Communicator的C2通信功能以及性能限制，我們認(rèn)為釋放這一額外工具（Mimikatz變種）的就是該組織所使用的Clayslide文檔，待會兒也會對這部分內(nèi)容進(jìn)行詳細(xì)分析。

.HTA文件中的VBScript負(fù)責(zé)執(zhí)行SystemSyncs.exe Payload，并且還會通過創(chuàng)建一個(gè)計(jì)劃任務(wù)來實(shí)現(xiàn)攻擊持久化。之前的Clayslide文檔主要通過schtask應(yīng)用程序（通過命令提示窗）來創(chuàng)建計(jì)劃任務(wù)，而這個(gè).HTA文件中的VBScript使用的是編程的方式（使用Schedule.service對象）來創(chuàng)建計(jì)劃任務(wù)。請大家看下面這張截圖，計(jì)劃任務(wù)創(chuàng)建成功之后， ALMA Communicator Payload每兩分鐘就會執(zhí)行一次（配合命令行參數(shù)“Lock”）：

ALMA Communicator木馬

ALMA Communicator木馬是一款后門木馬，它使用了DNS隧道來從攻擊者那里接收控制命令并從目標(biāo)主機(jī)中提取數(shù)據(jù)。隨后，這個(gè)木馬會從Clayslide文檔所創(chuàng)建的cfg文件中讀取配置信息。ALMA中并不包含內(nèi)部配置文件，所以如果沒有這個(gè)cfg文件的話，該木馬就無法正常運(yùn)行了。

在讀取完配置文件之后，該木馬會創(chuàng)建兩個(gè)文件夾，即Download和Upload。ALMA使用Download文件夾來保存C2服務(wù)器提供的批處理文件，這些文件之后會運(yùn)行。ALMA使用Upload文件夾來存儲批處理文件執(zhí)行后的輸出，最終這些數(shù)據(jù)會發(fā)送給C2服務(wù)器。

ALMA Communicator使用了DNS隧道來作為其C2通信信道，這種DNS隧道使用了一種特殊的協(xié)議，并且使用了專門的子域名來給C2服務(wù)器傳輸數(shù)據(jù)，而服務(wù)器使用了專門的IPv4地址來給木馬發(fā)送數(shù)據(jù)。

在構(gòu)建這種專門的子域名時(shí)，木馬會生成一個(gè)隨機(jī)的四位數(shù)字，并連接一個(gè)硬編碼字符串，最后再在字符串末尾添加一個(gè)用于標(biāo)識受感染系統(tǒng)的唯一標(biāo)識符。為了生成這個(gè)唯一標(biāo)識符，該木馬會從目標(biāo)系統(tǒng)的注冊表中獲取ProductId，該參數(shù)位于SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId。如果無法找到這個(gè)注冊表鍵，它將會使用硬編碼值00000-00000-00000-00000。接下來，它還會獲取當(dāng)前系統(tǒng)的用戶名，后面跟上一個(gè)下劃線并加上ProductId字符串。該木馬會計(jì)算這個(gè)字符串的MD5哈希，然后將其作為受感染系統(tǒng)的唯一標(biāo)識符。最后，它會添加硬編碼的-0-2D-2D字符串來結(jié)束子域名（用于C2服務(wù)器通信）的構(gòu)造。下圖顯示的是域名的結(jié)構(gòu)：

為了讓大家更清楚地了解ALMA生成的唯一標(biāo)識符，我們假設(shè)測試系統(tǒng)的用戶名和ProductId創(chuàng)建的字符串為Administrator_00000-00000-00000-00000，其MD5哈希為35ead98470edf86a1c5a1c5fb2f14e02。接下來，該木馬會選取MD5哈希中的第1、5、9、13、17、21、25和29個(gè)字符，并將其組合生成唯一標(biāo)識符字符串3d7f11b4。具體如下圖所示:

C2服務(wù)器將會使用A記錄中的IPv4地址來回應(yīng)DNS請求，而木馬將會從這些請求中解析出兩個(gè)IP地址，一個(gè)用于標(biāo)識數(shù)據(jù)傳輸（C2->木馬）的開始，一個(gè)用于標(biāo)識數(shù)據(jù)傳輸（C2->木馬）的結(jié)束。這兩個(gè)特殊的IP地址如下：

開始– 36.37.94.33 ($%^!)
結(jié)束– 33.33.94.94 (!!^^)

在我們的分析過程中，C2服務(wù)器發(fā)送給我們的分析系統(tǒng)的數(shù)據(jù)如下所示（“$%^!”和“ !!^^”分別代表數(shù)據(jù)的起始部分和末尾部分）：

$%^!_DnsInit.bat@echo off & chcp 65001\r\necho
%userdomain%\\%username% 2>&1 & echo %computername% 2>&1 & echo
________________________________Task__________________________________
& schtasks /query /FO List /TN "Google_{50726F6A656374-
414C4D41-48747470}" /V | findstr /b /n /c:"Repeat: Every:" 2>&1
& schtasks /query /FO List /TN "Micro_{50726F6A656374-
414C4D41-446E73-2}" /V | findstr /b /n /c:"Repeat: Every:" 2>&1 & echo
______________________________________________________________________   !!^^

基于C2服務(wù)器傳回的數(shù)據(jù)，該木馬會使用數(shù)據(jù)中的命令來創(chuàng)建一個(gè)名叫_DnsInit.bat的文件，然后將其存儲在Download文件夾中。接下來，該木馬會枚舉該文件夾中的文件名，然后使用批處理腳本的路徑作為命令行參數(shù)來創(chuàng)建一個(gè)cmd.exe進(jìn)程。在進(jìn)程開始運(yùn)行之前，該木馬還會加上下面這行命令行參數(shù)：

\r\nDEL /f /q \”%~0\”|exit

下面給出的是該木馬在向C2服務(wù)器發(fā)送數(shù)據(jù)時(shí)所使用的DNS查詢語句的結(jié)構(gòu)：

[random 4 digits]ID[unique identifier]-[number of DNS queries needed]-[string of hexadecimal bytes for sent data]-[string of hexadecimal bytes for filename being sent].prosalar[.]com

其中每一次DNS請求一次只能發(fā)送10個(gè)字節(jié)的數(shù)據(jù)，下面給出的是當(dāng)測試系統(tǒng)運(yùn)行了_DnsInit.bat腳本之后所發(fā)送的第一條DNS查詢：

由此可以看出，ALMA Communicator的C2信道在數(shù)據(jù)傳輸時(shí)有一定的性能限制，如果你想使用ALMA Communicator來提取大型文件的話，則會產(chǎn)生大量的出境DNS請求�？赡苷�是因?yàn)檫@個(gè)原因，OilRig黑客組織才會選擇利用Clayslide文檔來攜帶Mimikatz工具并使用它來從受感染的系統(tǒng)中提取數(shù)據(jù)（后滲透階段）。

總結(jié)

目前OilRig黑客組織仍在他們的攻擊活動中使用這種Clayslide文檔，從我們對當(dāng)前Clayslide變種的分析中可以看出，該黑客組織現(xiàn)在還在這類文檔中嘗試新的安裝技術(shù)以及檢測繞過技術(shù)。

入侵威脅指標(biāo)IoC

f37b1bbf5a07759f10e0298b861b354cee13f325bc76fbddfaacd1ea7505e111 (Clayslide)
2fc7810a316863a5a5076bf3078ac6fad246bc8773a5fb835e0993609e5bb62e (ALMA Communicator)
2d6f06d8ee0da16d2335f26eb18cd1f620c4db3e880efa6a5999eff53b12415c (Mimikatz)
prosalar[.]com

本文鏈接：http://51huadong.com/cloundnews/11001452.html