雪人行动:利用IE10 0day漏洞的APT攻击剑指美国军方情报
我们确信这次攻击是针对美国高层军方人员的一次预谋已久的APT攻击,因为在这一天美国国会正巧因为暴风雪放假一天。因为攻击手法的相似性,我们认为它与不久之前的两次APT攻击有着一定的联系,这两次攻击是Operation DeputyDog 和 Operation Ephemeral Hydra.
这篇文章介绍了这次攻击所利用的漏洞和相关的攻击手法,并赋予了这次攻击一个代号“雪人行动”(Operation SnowMan)
Exploit/Delivery analysis(Exploit/Delivery 分析)
在入侵了 VFW 这个站点之后,攻击者网站的HTML代码开头插入了一个iframe,这个iframe会秘密的加载攻击者的页面。这个页面中包含的JS代码会运行一个Flash object,这个object会触发一个精心编排的remainder(Heap溢出需要用到的一种数据结构)。这个漏洞由一个定义在JS代码中的IE 10的回调函数触发。值得一提的是,VFW中的iframe所包含的网址是 www.REDACTED.com/Data/img/img.html
Mitigation(预防措施)
这是一个利用Adobe Flash针对IE 10的攻击。如果他发现浏览不是IE 10,或者是用户安装了 Experience Mitigation Toolkit (EMET) (微软的一种预防漏洞的工具,会使用一些随机地址之类的技术防止溢出)那么攻击不会被触发。所以安装这款软件或者升级浏览器都可以避免被攻击。
Vulnerability analysis (Vulnerability 分析)
这个漏洞依旧是因为 IE 10 的 use-after-free 问题引起的。这个漏洞允许攻击者修改内存中的任意一个字节。(应该就是比较典型的堆溢出)。攻击者使用如下的方法利用该漏洞
通过Flash ActionScript访问内存,从而绕过地址随机化(ASLR)
使用ROP技术,从而绕过数据执行保护(DEP)
EMET detection(EMET 检查)
攻击者使用 Microsoft.XMLDOM ActiveX 加载一个单行的XML文件,这个文件包含了一个指向EMET DLL的路径。漏洞利用代码会解析这行XML语句,并记录返回结果。根据返回的结果判断EMET DLL是否存在。EMET DLL不存在,利用代码才会执行。
ASLR bypass (ASLR 绕过)
因为这个漏洞给予攻击者随意修改任意内存的权限,所以攻击者可以借此绕过ASLR。举个例子说,攻击者可以
破坏一个Vector object 然后通过 Flash 访问内存的方法再次访问到这个object。我在blog中讨论过类似的技术,不过在这次利用中对喷射的地址变为了0x1a1b2000
Code execution (代码执行)
一旦攻击者通过 Vector object 取得了全部的内存访问权限。便会加载一个,机器码搜索的插件。攻击者还会覆盖flash.Media.Sound() object vftable指针,并开始ROP。利用代码执行之后,会修复Vector object 和flash.Media.Sound()
Shellcode analysis (Shellcode 分析)
恶意代码执行之后,会下载一个包含恶意程序下载的payload,文件的开始是一个JPG图片,文件的末尾是payload(offset 36321)payload使用XOR 0×95 进行编码。攻击者把这段payload附加到shellcode之中。shellcode执行之后会创建“sqlrenew.txt” 和 “stream.exe”这两个文件。之后JPG文件的尾部被解码并写入这些文件,然后调用 LoadLibraryA 中的 Windows API 执行他们。
ZxShell payload analysis (ZxShell payload 分析)
上文提到的那个payload同时也运行了一个后门程序ZxShell backdoor (MD5: 8455bbb9a210ce603a1b646b0d951bce)程序中的编译日期是 2014-02-11,同时利用代码的最后修改日期也是 2014-02-11。这表明,这个实例是最近开发的,而且带有很强的战略目的。雪人攻击的主要目标,很有可能是军方从业人员,最终目的很可能是窃取军方情报。除了退休人员,有很多在职人员也是用VFW。攻击在2月17日很美国国会因为暴雪而放假的时候展开,这不是一场巧合。
Infrastructure analysis (基础设施分析)
info.flnet.org,icybin.flnet.org和book.flnet.org域名解析有些许重叠,解析到的IP地址如下:
我们以前观察到的Gh0stRat样本的自定义数据包通过“HTTPS”叫回book.flnet.org和icybin. flnet.org。
DeputyDog的策划者也用“HTTPS”版本的GH0ST的。我们还观察到另一个“HTTPS”GH0ST变种连接到一个主控服务器 me.scieron.com
me.scieron.com解析到 58.64.199.22 book.flnet.org 也被解析到了相同子网下 58.64.199.0/24。值得一提的是,book.flnet.org被解析到了58.64.199.27
其他的被解析到同子网的域有,dll.freshdns.org, ali.blankchair.com, 和 cht.blankchair.com
dll.freshdns.org被解析到了58.64.199.25。另外两个被解析到了58.64.199.22
其他的一些相关的域名,也都被解析到了这个子网之中。不过我们还是把重点放在DeputyDog 和 Ephemeral Hydra campaigns这两个事件上.
你可能还记得dll.freshdns.org, ali.blankchair.com and cht.blankchair.com 都与这两个事件有关。下图展示了这两个事件,和本次VFW被攻击,所使用的网络基础设备之间的关联。
snowman-graph_thumb.png
Links to DeputyDog and Ephemeral Hydra(DeputyDog and Ephemeral Hydra之间的联系)
使用了同一款远控软件(RAT)
通过入侵web页面的方式来传播木马。
使用简单的Xor加密,和jpg图片的后缀来进行伪装。
Gh0stRat使用HTTPS进行回传
所使用的相似的CnC主机
Conclusion(结论)
攻击者所攻击的不同的目标。
US政府部门
日本公司
国防工业基础(DIB)公司
律师事务所
信息技术(IT)公司
矿业公司
非政府组织(NGO)
免责声明:文章内容不代表本站立场,本站不对其内容的真实性、完整性、准确性给予任何担保、暗示和承诺,仅供读者参考,文章版权归原作者所有。如本文内容影响到您的合法权益(内容、图片等),请及时联系本站,我们会及时删除处理。查看原文