尊龙凯官网入口ADLab | SWEED黑客组织攻击运动剖析报告

宣布时间 2020-07-03

一、概述

近期，尊龙凯官网入口ADLab接连捕获到大宗针对全球制造、运输、能源等行业及部分医疗机构提倡的鱼叉式垂纶邮件定向攻击。从邮件的剖析效果来看，受害者大多遍布于美国、加拿大、德国、中国、英国、法国、西班牙等国家和地区。攻击者以“装船通知单”、“装箱交货价单”、“紧迫运输文件”等主题邮件作为诱饵向攻击目的植入信息窃密木马（Agent Tesla、Formbook、Lokibot）和远程控制程序（NanoCore、Remcos）。我们通过对网络到的攻击工具举行去重并做剖析，最终发明此次攻击运动关联着1362个攻击样本。通过同源剖析，我们发明这批样本中有近80%是统一款恶意软件，对其剖析判断后确定这正是近期被大规模撒播且极为活跃的新型下载者病毒Guloader。Guloader是一款免杀能力很强的病毒，近期全球各大厂商均对其举行了预警，其具备沙盒逃逸、代码混淆、反调试、C&C/URL加密和有用载荷加密等多种能力。由于Guloader具有较强的免杀能力和对抗机制，因而受到大宗黑客的青睐。本批攻击中，攻击者就普遍地使用Guloader下载者病毒团结云服务来分发窃密工具或远程控制程序（RAT）。

我们通过溯源剖析确定此次攻击运动来自尼日利亚，并且关联出了大批量的黑恶意域名（攻击者使用境外的Duck DNS注册动态域名）和IP地址。通过对攻击者使用的网络基础设施，追踪剖析发明此次攻击运动最早可追溯到2020年1月。进一步剖析我们发明，这批攻击者的攻击念头、攻击目的、作业气概与SWEED黑客组织极为相似，他们尚有着相似的攻击习惯，并使用相同窃密木马程序，以及同样气概的C&C地址。因此，我们推断这批攻击背后应该就是SWEED黑客组织。SWEED是一个来自尼日利亚的以获取经济利益为主要目的的黑客组织，其最早泛起于2017年，常使用果真披露的误差，借助鱼叉式垂纶邮件来撒播木马程序，如Agent Tesla、Formbook和Lokibot等。该组织曾在早期被披露的攻击运动中，通过窃取被攻击目的用户和企业敏感信息实验中心人攻击，诱使财务职员将款子转至指定账户，是一个典范的网络诈骗团伙。

尊龙凯官网入口ADLab对本次攻击运动的攻击历程和攻击手法举行了详细地剖析和溯源，并对其所使用的新型恶意软件和C&C基础设施举行了深入研究。提醒各大企业单位做好清静提防事情，谨防后续可能泛起的攻击。

二、攻击目的和受害者漫衍

阻止到2020年6月，我们发明攻击者的重点目的为从事对外商业的中小型企业，其目的是通过植入特定的后门以实现对目的盘算机举行信息网络和恒久监控，并为接下来的横向移动攻击提供基础。

2.1 地区漫衍

通过对已知的SWEED组织攻击行动中受害者的国家和地区漫衍情形举行统计（如图2-1），我们可以看到该组织提倡的攻击运动笼罩了许多国家和地区，由此推测，攻击者在攻击目的地理位置的选择上并没有特定的指向性。

尊龙凯时 - 人生就是搏!

图2-1 受害者国家地区漫衍图

2.2 行业漫衍

统计效果显示（如图2-2），此次SWEED组织在面向全球的攻击中，运输、制造业和能源行业依然是其重点针对的目的工具。

尊龙凯时 - 人生就是搏!

图2-2 受害者行业漫衍图

三、攻击事务剖析

本小节总结了该组织在近些年的攻击运动时间点、此次行动中使用的攻击手法以及攻击流程。

3.1 攻击运动时间线

为了对黑客组织在此次攻击运动使用的战略和手艺举行周全的相识，尊龙凯官网入口ADLab研究职员将现在关联到的该组织近几年的主要运动做了梳理和总结，并绘制了“SWEED组织”运动时间轴（如图3-1）。从时间轴可以看出，该组织的大部分运动都具有一致性——借助带有恶意附件的鱼叉式垂纶邮件分发远控木马程序（RAT），并且行动中使用的木马程序主要是以Agent Tesla为主。

尊龙凯时 - 人生就是搏!

图3-1 SWEED组织相关运动时间轴

3.2 攻击手法和特点

SWEED组织在初始环节主要以投递垂纶邮件最先睁开攻击，攻击者在前期对目的用户举行深入调研，选取与目的用户所属行业或领域相关的内容来结构邮件和恶意文档。随后将全心制作的主题如”采购订单”、“紧迫运输文件”、”装船通知单“等文档添加在邮件附件中发送给目的用户，诱使其下载附件，目的用户一旦翻开带有误差的恶意文档，触发误差的恶意代码就将会在后台静默下载和执行恶意软件，从而窃取目的用户的敏感信息并对其主机举行控制。

3.2.1 鱼叉邮件

尊龙凯官网入口ADLab通过对SWEED组织年头至今的攻击行动举行监测和关联剖析后，梳理出几十起定向目的的攻击垂纶邮件。部分相关邮件信息见表3-1。

表3-1 部分垂纶邮件案例信息

时间	邮件主题	发件人	收件人
2020年6月10日	RE : URGENT!!! 2 x 20ft - SHIPPING DOC BL,SI,INV#462345 //\r\n MAERSK KLEVEN V.949E // CLGQOE191781 //	"A.P. Moller – Maersk" nooreply@maersk.com	undisclosed-recipients
2020年6月9日	M/V BCC - Port Agency Appointment	InterTrans OPS” operation@inter-trans.co	jameshall@compasspub.com
2020年6月8日	AGENCY APPOINTMENT/ MV SHOTAN /DISCHARGING/PDA	df15ae634578@6b74fbd36.cn	9ed08@dcc762b7ba3.uk
2020年5月17日	PAYMENT ADVICE-TELEGRAPHIC TRANSFER NO. M88SI1808BU00250	11@c7c7bacd336b.com	undisclosed-recipients
2020年4月29日	Purchase Order /APO-074787648	jane.hsieh@sealking.com.tw	gjchristopher@safeguard-technology.com
2020年4月24日	[ D.H.L ] Document Arrival Notice	royalcrown_travel@hotmail.com	Anna.Chitan@linde.com
2020年4月23日	Shipment Arrival Notice	noreply@dhl.com	andrea.schilling@silloptics.de
2020年4月21日	SF Express：您的包裹更新	no-reply@sendover.net	info@kraeber.de
2020年4月7日	Returned Payment MT103 Swift	shipping@angloeastern.com	undisclosed-recipients
2020年3月24日	RE: New Order (PO Ref: 01002020)	account@dongbuhitek.co.kr	undisclosed-recipients
2020年3月23日	RE: M/V BLUE LOTUS/NOON RPT /VOY BL 03.20/ DD 24th March 2020- APPOINTMENT REQUEST	shahid@erawanaircargo.com	undisclosed-recipients
2020年3月17日	RE : RE : URGENT SHIPPING DOC BL,SI,INV 462345//MAERSK KLEVEN V.949E//CLGQOE191781//	nooreply@maersk.com	unrecognized@sys.redcondor.com
2020年3月17日	VSL: MV FORTUNE TRADER	Oriental Logistics Group Limited cindy@persadanusantara.co.id	undisclosed-recipients
2020年3月16日	New order by sea FO1909009	acct@gandptech.com	undisclosed-recipients
2020年3月16日	P.I, P.O/MT SR YUJIN (SYNTEK)	bright@kj-global.co.kr	undisclosed-recipients
2020年3月9日	RE: Refund of deposit	pffb@comsats.net.pk	undisclosed-recipients
2020年2月21日	WG: New Order	Anja.Sieveritz@hsm.eu	holthausen@einstein.br
2020年2月19日	RE 2 second lot FCL shipment #48897 Ex works price	Zhejiang Meto Electrical Co.	operations@labcosulich.com
2020年2月19日	Request For Quotation (RFQ-008342)	purchase@auronapharma.com	kbrooks@alpinecom.net
2020年2月19日	?? ?? (?? ??) ???? ??	usef3@hotmail.com	monstar1234@knps.or.kr
2020年2月18日	RE: Revised Cargo Receipts/Documents.	ojs@ojshipping.co.kr	undisclosed-recipients

通太过析这些邮箱发件人所属公司的注册信息以及其官网信息，我们发明大都公司网站均为正当网站，由此推测攻击者使用的这些邮箱，有可能来自被入侵和盗用的正当实体或小我私家。虽然收件人的信息许多无法看到，可是从邮件的主题以及正文内容不难看出，攻击者妄想使用运输货物清单、装箱交货价单、物品到货通知单、海上新订单等邮件向运输商、制造商及其合作商举行有针对性的攻击运动。下面我们从以上邮件中枚举一个做简朴剖析。

在此案例中，攻击者试图使用“VSL: MV FORTUNE TRADER”主题冒充“MV Fortune Trader”。船舶FORTUNE TRADER是一艘建于1994年的集装箱船，该船舶的注册国家为韩国。

尊龙凯时 - 人生就是搏!

图3-2 船舶FORTUNE TRADER相关信息

邮件正文与主题坚持一致，显示该邮件是来自超捷国际物流公司。该公司总部位于台湾台北，主要提供海运、空运和中港运输等营业。

尊龙凯时 - 人生就是搏!

图3-3 超捷国际物流公司主页

邮件正文如图3-4：

尊龙凯时 - 人生就是搏!

图3-4 邮件正文信息

对邮件信息举行剖析后如图 3-5所示，发件人的邮件地址是印度尼西亚一家名为“PT.INTI PERSADA NUSANTARA”电机装备公司的正当域，而该邮件现实上是由托管在us10.rumahweb.com上的Roundcube Web邮件服务器发送。这里收件人地址之以是显示为“Undisclosed-Recipient”（导致无法看到收件人信息），推测攻击者是在使用Roundcube Webmail/1.3.8软件群发邮件时，为了不让收件人看到其他吸收邮件人的地址，故将此处设置为Undisclosed-Recipient。

尊龙凯时 - 人生就是搏!

图3-5 部分邮件头部信息

3.2.2 诱饵文件

通过对该批截获的邮件举行剖析所得，攻击者使用的攻击载荷类型总共有四种。下面将枚举典范的攻击载荷及其所对应的垂纶邮件。

(1) 携带误差文档

图3-6是一封攻击者冒名航空货运公司发送给客户的预约请求回复邮件，附件伪装成船舶详细信息表单。该文档使用微软Office经典误差CVE-2017-11882，当用户翻开恶意文档时，嵌入到文档中的恶意程序则会自动加载。该误差的特点是在整个历程中用户完全无感知，且在断网的情形下仍然可抵达有用攻击，以是成为各大APT组织必用误差使用库之一。

尊龙凯时 - 人生就是搏!

图3-6 携带误差文档案例1—邮件截图

（2）携带GZ名堂的压缩文档

图3-7是攻击者发送给总部位于比利时的一家多元化的工业制造商的邮件，该邮件使用热门的COVID-19为主题，并通过正文形貌谎称恶意附件GZ压缩文档中包括采购单，诱使受害者下载。

尊龙凯时 - 人生就是搏!

图3-7 携带GZ文档案例2—邮件截图

附件内里是伪装成bat文件的Guloader下载器。

尊龙凯时 - 人生就是搏!

图3-8 GZ压缩包里的文件

（3）携带ISO名堂的文档

由图 3-9可见，攻击者将邮件附件伪装成系统镜像ISO文件（使用ISO文件可用于绕过垃圾邮件过滤器），将其命名为“COVID-19解决计划宣布”诱骗用户点击。嵌入在ISO恶意附件中的可执行文件为Guloader下载器。

尊龙凯时 - 人生就是搏!

图3-9 ISO压缩包里的文件

（4）携带html名堂的文件

图3-10是攻击者冒充DHL Express国际快递公司发送给德国一家光学组件制造商的垂纶邮件，邮件附件被命名为装船通知单并以html形式诱骗受害者点击。

尊龙凯时 - 人生就是搏!

图3-10 携带html文件案例3—邮件截图

3.2.3 恶意软件托管位置

在攻击运动中，攻击者经常使用远程设置来控制恶意软件，而清静职员通过研究剖析差别的恶意软件设置（例如主机地理位置和DNS信息），可以深入的相识和追踪攻击者使用的基础设施。我们在研究历程中将网络到的大宗样本数据举行提取和整合，发明SWEED组织此次实验攻击行动所使用的恶意软件设置，主要应用了Guloader下载器设置选项中的使用云服务分发恶意软件的功效。攻击者之以是使用正规的云存储平台来托管恶意软件，是由于这些云平台大都是受信任的且有助于绕过商业威胁检测产品。虽然Google Drive等云平台通常也会执行防病毒检测，但若是有用载荷是被加密后再存储，就可以躲过此类限制，并能有用的阻止清静职员对黑客组织的基础设施举行追踪。图3-11为恶意载荷样本托管平台的使用占比率。凭证图中显示的数值可得，Google Drive为恶意软件主要使用的托管平台。除此之外，尚有部分恶意软件会托管在已被攻陷的正当网站上。

尊龙凯时 - 人生就是搏!

图3-11有用载荷托管平台的使用率

除了Google Drive和OneDrive，下面我们枚举出几个攻击者使用的其他云托管平台。

files.fm是外洋一家提供文件云存储平台的信息手艺公司。图3-12是生涯在该平台的加密的恶意文件。

尊龙凯时 - 人生就是搏!

图3-12 云托管平台例1

sendspace是一家免费文件托管平台。图3-13是攻击者上传到该平台举行托管的恶意软件。

尊龙凯时 - 人生就是搏!

图 3-13 云托管平台例2

dmca.gripe是一个免费的文件托管平台，其主页如图3-14所示。

尊龙凯时 - 人生就是搏!

图3-14 云托管平台例3

3.3 攻击流程

我们对这批攻击运动举行归纳剖析后发明绝大部分攻击具有相同的攻击流程，其攻击的流程如图3-15。

尊龙凯时 - 人生就是搏!

3-15 攻击流程图

攻击者伪装成物流或船舶等公司职员，向目的企业投递携带附件的垂纶邮件，附件类型包括：包括误差的恶意文档、GZ名堂的压缩包、ISO文件和HTML文件。在大都情形下，这些附件早先都会包括或下载Guloader下载器（其他情形下为远控木马）。Guloader最先执行时，先对贮保存代码部分的shellcode举行解密，再将解密后的shellcode注入到RegAsm.exe系统文件中；接着RegAsm.exe中的shellcode再从指定的云平台地址下载加密的payload，并在内存中解密执行payload（远控木马），最后通过C2对目的主机举行信息窃取和远程控制。

此次攻击运动中使用到的窃密和远控木马包括：Agent Tesla（是一款着名的商业窃取木马，主要用于浏览器、邮件客户端、FTP工具、下载器等用户账号密码和WiFi凭证的窃取。）；Formbook（是一款信息窃取木马，其主要以窃取用户电脑神秘信息为主，包括键盘纪录、剪贴板纪录、cookie会话与外地密码等等。）；Lokibot（一款窃密木马，其通过从多种盛行的网络浏览器、FTP、电子邮箱客户端、以及PuTTY等IT管理工具中获取凭证，来窃取用户的密码和加密钱币钱包）；NanoCore（是一款.net编写的远控软件，其具有键盘监控、实时视频操作、语音、下令行控制等完全控制远程主机的功效。）；Remcos（一款远控软件，包括下载并执行下令、键盘纪录、屏幕纪录以及使用摄像头和麦克风举行录音录像等功效。）。

鉴于我们剖析的这些木马在功效和手艺上与旧版类似，并没有发明太多的转变点，以是在此我们仅对其主要功效做了简朴的形貌，本文后续便不再过多的详细形貌其详细的手艺细节，若有需要各人可审查文末的参考文献。在下个章节，我们主要对SWEED组织新引入的Guloader恶意代码举行完整详细地剖析。

四、手艺剖析

正如前文所述，我们现在网络到的电子邮件的附件主要分为四类。虽然其释放恶意软件的形式差别，但它们的主要功效行为都基本一致。在这里，我们选取一个典范案例举行详细剖析。

4.1 垂纶邮件

图4-1为攻击者针对美国一家防滑产品制造商举行攻击的垂纶邮件，此邮件于美国山地时区时间2020年4月29日（周三）02:31被发送到该公司。邮件问题为“Purchase Order /APO-074787648”，正文形貌为“请审查清单和确认商品库存”，并附有同名恶意文档“Purchase Order /APO-074787648”。

尊龙凯时 - 人生就是搏!

图4-1 垂纶邮件内容

4.2 恶意文档

样本“Purchase Order /APO-074787648.ppsx”使用了沙虫误差CVE-2014-4114的补�。∕S14-060）绕过误差CVE-2014-6352。沙虫误差是Windows OLE恣意代码执行误差，该误差泛起在Microsoft Windows服务器上的OLE包管理器上。攻击者通过使用该误差在OLE打包文件（packer.dll）中下载并执行类似的INF文件，来抵达执行恣意下令的目的。虽然微软为沙虫误差宣布补�。∕S14-60），但攻击者还可通过结构特定的CLSID和OLE Verb来绕过MS14-160补丁的限制（CVE-2014-6352）。下面我们以本次行动中使用的恶意文档为例，对该误差的实现原理做简朴的剖析。

图4-2为此案例中使用的ppsx误差攻击文档内容。

尊龙凯时 - 人生就是搏!

图4-2 ppsx误差文档内容

我们解压PPXS文档可以看到，在“Purchase Order APO-074787648.ppsx\ppt\slides \slides.xml”中，指定了嵌入的工具id=rld3。

尊龙凯时 - 人生就是搏!

图4-3 “slides.xml”文件内容

在“Purchase Order APO-074787648\ppt\slides\_rels\slide1.xml.rels”中指定了rld3对应“ppt\embeddings\”目录下的oleObject1.bin文件。

尊龙凯时 - 人生就是搏!

图4-4 “slide1.xml.rels”文件内容

“Purchase Order APO-074787648.ppsx\ppt\embeddings\”目录下的“oleObject1.bin”文件内嵌一个OLE Package工具，嵌入文件为PE可执行程序。

尊龙凯时 - 人生就是搏!

图4-5 “oleObject1.bin”文件内容

CVE-2014-4114误差的成因是packager.dll中CPackage::Load要领加载对应的OLE复合文档工具时，针对差别类型的复合文档举行差别的处置惩罚流程，但其中对某些复合文档中嵌入的不可信泉源文件没有做处置惩罚。由此攻击者可使用伪造OLE复合文档的CLSID来抵达执行特定文件的目的。微软在MS14-060补丁中，通过添加MarkFileUnsafe函数对文件举行MOTW处置惩罚，将其Security Zone标记为“此文件来自其他盘算机”，运行时会弹出清静忠言窗口。

尊龙凯时 - 人生就是搏!

图4-6 “%TEMP%\NEW ORDER.exe”标记为不可信文件

但就算受害者已装置MS14-060的补丁，攻击者照旧可以通过结构特定的CLSID和OLE Verb来改变执行流程，从而绕过该补�。–VE-2014-6352误差）。关于一个exe文件，纵然被标记为URLZONE_INTERNET，右键点击以管理员权限执行该exe文件，那当程序运行时便不会再弹出“清静忠言”（如图4-6）的提醒，而是以（如图4-7）UAC 提醒窗弹出。

尊龙凯时 - 人生就是搏!

图4-7 弹出的UAC提醒窗

由此可知，当受害者翻开此PPSX恶意文档时，自动播放模式便会开启，同时“%TEMP%\NEW ORDER.exe”将被释放在暂时目录中。若是受害者选择“是”，恶意代码将会被执行。而若是受害者的系统处于UAC关闭状态或在获取了管理员权限的情形下，该UAC清静忠言窗口则不会弹出，“NEW ORDER.exe”会被静默地执行。

4.3 GuLoader

如上文所述，最后被执行的“NEW ORDER.exe”可执行文件现实上即是文章开头提到的Guloader恶意软件（在后续对“NEW ORDER.exe”的详细剖析中，我们均使用“Guloader”来替换该文件名）。Guloader是一款新型的恶意软件下载器，其自己具有重大的执行流程，通过接纳种种代码混淆和随机化、反沙箱、反调试和数据加密等机制来对抗清静产品的检测。下面我们将对该GuLoader举行深入的挖掘剖析。

4.3.1 执行流程

如图4-8所示， GuLoader首先将贮保存代码部分的加密Shellcode解密并执行。这段Shellcode的主要功效为：以挂起方法建设一个系统子历程，之后将本段Shellcode自身注入到子历程并修改程序入口点为Shellcode处执行。最后从托管服务器上下载加密的BIN文件，乐成下载后将其解密和运行。

尊龙凯时 - 人生就是搏!

图4-8 Guloader执行流程图

4.3.2 EXE可执行文件

（1）代码混淆

Guloader可执行文件是由Visual Basic 6语言编写的。使用工具审查后发明，其并未使用商业壳举行自身�；�，而是使用混淆壳实验对抗清静产品的查杀。由于杀软对商业壳较量敏感，并且商业壳检测和脱壳手艺也较量成熟，以是混淆壳不失为一个不错的选择�；煜且谎匠２槐４嫱ㄓ玫募觳庖�，并且静态脱壳相对较难，以是其恶意行为不易被发明，从而可长时间的存活在目的机械上。关于逆向剖析职员来讲，剖析这种带混淆壳的样本往往会破费大宗的精神，无形的增添了人力和时间本钱。

图4-9是一段混淆代码的截取，这部分代码使用了数据混淆中的常量拆分，主要目的是隐藏真实的代码逻辑，让剖析者心田奔溃。

尊龙凯时 - 人生就是搏!

图4-9 部分混淆代码

（2）代码解密

恶意软件首先盘算出用于解密shellcode的密钥，其值为：0x24EBE470。

尊龙凯时 - 人生就是搏!

图4-10 获取密钥的恶意代码

接着，为shellcode申请内存空间，再使用密钥举行XOR运算解密Shellcode并执行。

尊龙凯时 - 人生就是搏!

图4-11 解密和执行shellcode

4.3.3 ShellCode

解密后的shellcode前期也接纳了大宗的对抗手段，使用种种代码混淆、沙箱检测、反调试等手艺手段来规避清静产品的行为监测和查杀。仅当通过种种检查判断条件后，恶意代码才最先执行主功效行为。下面我们将对恶意代码做详细的剖析。

（1）检测功效

● 代码混淆

将解密后的shellcode从内存中dump出来并使用IDA反编译，可以看到shellcode中使用的混淆手艺。恶意代码在执行历程中插入混淆函数，该函数的历程被支解成多个跳转流程，一直到最后再 jmp到原来的正常代码中继续执行下面的流程。图4-12是shellcode在入口处挪用的此类混淆函数的代码片断，很显然通过该要领，能够有用的扰乱剖析者对样本举行剖析，严重降低了剖析效率。

尊龙凯时 - 人生就是搏!

图4-12 混淆后的代码片断

● 动态获取API函数

接着，恶意代码通过会见PEB->LDR中的InMemoryOrderModuleList获取kernel32.dll的基址。遍历提取该�？榈汲霰斫峁怪写娣藕氖�，并依次将名称字符串作为参数传入到哈希算法函数中做运算，再将效果与硬编码数据做较量，以此要领来查找GetProcAddress函数。

尊龙凯时 - 人生就是搏!

图4-13 查找GetProcAddress函数

此处使用的是djb2的算法， djb2是一个爆发随机漫衍的哈希函数，与LCG的算法相似。由于该函数结构简朴，使用移位和相加的操作，以是常被用来处置惩罚字符串。详细算法见图4-14。

尊龙凯时 - 人生就是搏!

图4-14 djb2算法代码截图

由此我们可以看到，恶意代码在函数的获取方面是使用LoadLibrary和GetProcAddress这两个函数举行动态的获取。详细如图4-15所示。

尊龙凯时 - 人生就是搏!

图4-15 动态获取API函数

● 沙箱检测

恶意代码枚举窗口数目，若是值小于12则退出历程，以此来检测自身是否运行在沙箱情形中。

尊龙凯时 - 人生就是搏!

图4-16 沙箱检测代码

● 反调试手艺

要领1：

挪用ZwProtectVirtualMemory函数修改ntdll.dll的“.text”节属性为可读可写可执行。

尊龙凯时 - 人生就是搏!

图4-17 修改ntdll.dll节属性

恶意代码通过修改DbgBreakPoint和 DbgUiRemoteBreakin函数代码，让调试器无法附加调试程序（如图4-18和图4-19）。给call挪用后面指定一个未知地址，以此引发调试器瓦解退出。

尊龙凯时 - 人生就是搏!

图4-18 DbgBreakPoint函数代码修改前后比照

尊龙凯时 - 人生就是搏!

图4-19 DbgUiRemoteBreakin函数代码修改前后比照

要领2：

将ZwSetInformationThread函数的第二个参数设置为ThreadHideFromDebugger （值为17），作用是在调试工具中隐藏线程。若是恶意软件处于被调试状态，那么该函数就会使目今线程（一样平常是主线程）脱离调试器，使调试器无法继续吸收该线程的调试事务。效果就像是调试器瓦解了一样。

尊龙凯时 - 人生就是搏!

图4-20 隐藏线程抵达反调试目的

要领3：

在使用ZwAllocateVirtualMemory函数申请内存空间时，为避免剖析职员在调试时对要害函数下断点，恶意代码会提前将该函数的功效实现代码复制到本历程空闲空间中，使得后续在使用此函数时直接跳转到自身代码中执行。

尊龙凯时 - 人生就是搏!

图4-21 复制函数功效实现代码

要领4：

在挪用部分敏感API函数时，会先挪用自界说的检查函数做判断，以镌汰被清静产品检测的几率。

尊龙凯时 - 人生就是搏!

图4-22 检查函数是否被下断点或挂钩

该自界说的检查函数的主要功效：

① 将挪用该函数前的shellcode代码（正序）按字节与0x4字节的返回地址做异或运算举行加密处置惩罚；

② 挪用ZwGetContectThread函数，通过检查_CONTEX结构中的Dr寄存器来判断是否在调试情形中；

③ 判断此次要检查的要害API函数是否被下断点或挂钩。若是效果为否，则挪用该API函

数，不然程序直接瓦解退出；

④ 同“要领①”对shellcode代码（倒序）举行解密并跳转到返回地址处执行后续流程。

尊龙凯时 - 人生就是搏!

图4-23 自界说检查函数代码

（2）恶意行为执行功效

若是以上一系列的沙箱以及反调试检测都通过，恶意代码则最先执行以下游程：

① 动态获取图4-24中的API函数，并将函数挪用地址生涯在客栈中。

尊龙凯时 - 人生就是搏!

图4-24 动态获取的API函数名称

② 凭证指定地址处生涯的数据内容特征（若是恶意代码未执行过建设子历程流程，那么该地址处原数据为无效内容；不然，此处生涯的是目今历程的全路径。）来判断是否需要建设子历程。

尊龙凯时 - 人生就是搏!

图4-25 判断是否需要建设子历程

尊龙凯时 - 人生就是搏!

图4-26 对指定地址处生涯的数据内容做判断

③ 挪用CreateProcessInternal函数以挂起模式建设RegAsm.exe历程。

图4-27 建设系统子历程

④ 挪用ZwOpenFile函数，获得映射文件mstsc.exe的句柄。

尊龙凯时 - 人生就是搏!

图4-28 获取mstsc.exe的句柄

⑤ 使用ZwCreateSection和NtMapViewOfSection函数将“mstsc.exe”文件映射到

RegAsm.exe内存中的0x00400000位置上。

尊龙凯时 - 人生就是搏!

图4-29 映射文件

⑥ 在傀儡历程中申请内存空间，并将我们正在调试的整个shellcode写入到目的内存中。

尊龙凯时 - 人生就是搏!

图4-30 写入shellcode到系统子历程中

⑦ 使用ZwGetContextThread和ZwSetContextThread函数，获取和修改挂起的子线程上下文中寄存器值，以实现重定向到shellcode入口处执行的目的。

尊龙凯时 - 人生就是搏!

图4-31 修改系统子历程的执行入口点

⑧ 若“办法⑤”操作乐成，则恢复执行子历程；不然竣事目今程序。

尊龙凯时 - 人生就是搏!

图4-32 判断办法⑤是否操作乐成

（3）乐成注入后恶意行为功效

我们在恶意代码挪用NtResumeThread函数前，附加RegAsm.exe历程并在注入的shellcode执行处设置断点（如图4-33），然后再继续执行该函数来恢复线程运行。该shellcode前部分与之前的操作流程相同，将前文形貌的种种检测重新执行一遍，直到在“判断是否建设子历程”处跳转到另外的分支流程。下面我们继续对后续功效举行详细地剖析。

尊龙凯时 - 人生就是搏!

图4-33 Shellcode执行处代码

判断开启RegAsm.exe程序的父历程是否为“C:\Users\***\directory\filename.exe”。

若是不是，则将目今父历程文件复制到该目录中，将其命名为filename.exe并重新执行；

若是是，则在注册表HLM\Software\Microsoft\Windows\CurrentVersion\RunOnce目录里将该路径添加在“Startup key”中，以实现恒久驻留的目的。

尊龙凯时 - 人生就是搏!

图4-34 添加注册表信息代码

尊龙凯时 - 人生就是搏!

图4-35 添加注册表开机启动项

乐成添加注册表项后，恶意代码则最先使用winnet.dll库中的Internet API函数从云托管服务器下载加密的payload。

尊龙凯时 - 人生就是搏!

图4-36 从云托管服务下载payload

下载完成后，恶意代码再将硬编码的值与将payload的巨细做较量，以此来检查文件的完整性。若是巨细不匹配，恶意代码则会重新下载文件，直到完全匹配为止。

尊龙凯时 - 人生就是搏!

图4-37 检测payload巨细

下载到的payload文件是由0x40个字节的HEX小写数字和加密的PE文件组成，详细如图4-38所示。

尊龙凯时 - 人生就是搏!

图4-38 payload内容

接着，恶意代码再使用自界说解密函数对下载的payload举行异或解密。其密钥贮保存shellcode代码0x2032偏移处，密钥长度为0x214。解密函数内容如图4-39所示。

尊龙凯时 - 人生就是搏!

图4-39 payload解密函数

解密后的PE文件如图4-40所示。

尊龙凯时 - 人生就是搏!

图4-40 解密后的文件内容

最后，恶意代码将解密后的PE文件笼罩0x00400000基址的内容，并跳转到入口点执行payload恶意程序。

尊龙凯时 - 人生就是搏!

图4-41 执行payload

在此次剖析的案例中，解密出的payload是Agent Tesla。关于该恶意软件，在此我们就不再做过多的先容和剖析了。下面我们会对黑客组织的C&C服务器基础设施睁开追踪溯源。

五、溯源追踪

5.1 C&C基础设施

阻止到现在为止，我们通过提取和整理所有关联样本中的IP地址和域名信息，可以看到此次攻击行动主要以动态域名为主，大部分域名都是通过境外的Duck DNS注册。图5-1为SWEED黑客组织使用的部分域名、IP、样本的对应关系。

尊龙凯时 - 人生就是搏!

图5-1 部分域名、IP、样本的对应关系图

凭证样本同源性剖析的效果，我们发明大宗的有用载荷被划分挂载在差别的动态域名中，以备包括误差的Office文档或恶意软件Guloader会见和下载。通过域名的盘问纪录所得，此次攻击运动最早可追溯到1月中下旬，同时也可以看到，它们最初均使用指向尼日利亚的基础设施。值得注重的是，这些域名剖析使用的IP总未必期在常用的IP地址段往返切换。详细如图5-2所示。

尊龙凯时 - 人生就是搏!

图5-2 动态域名剖析的IP地址

我们将C&C对应的IP地址所属国家和地区举行统计，并绘制其地理位置漫衍图（如图5-3所示）。整体来看，美国和法国占比率最高，其次为荷兰。

尊龙凯时 - 人生就是搏!

图5-3 C&C对应的IP地理位置漫衍图

5.2 关联性剖析

尊龙凯官网入口ADLab将本次捕获到的样本同以往SWEED运动做了周全的关联剖析，得出以下几处主要的关联点：

（1）误差文档

在此次行动中攻击组织使用的误差文档有两类（CVE-2017-11882和CVE-2014-6357），其中以CVE-2017-11882误差使用文档为主要攻击载荷。而SWEED组织也曾在以往的攻击行动中频仍的使用过该误差文档。详细如图5-4所示。

尊龙凯时 - 人生就是搏!

图5-4 误差文档案例

（2）攻击目的

凭证果真报告可以得知，SWEED黑客组织的攻击目的主要针对全球从事对外商业的中小型企业，并且所涉及的行业主要以制造业、航运、物流和运输为主。这与我们此次监测到的攻击行动中受害者的地理位置和行业漫衍具有较高的相似性。图5-5枚举了几例在本次攻击运动中攻击者发送给目的用户的垂纶邮件。

尊龙凯时 - 人生就是搏!

图5-5 垂纶邮件案例

（3）攻击武器

在现在视察到的行动中，攻击者最终投放的恶意软件包括Agent Tesla、Remcos、NanoCore、Formbook和Lokibot。我们将捕获的所有恶意软件按家族分类和统计，凭证效果显示，Agent Tesla的占比率处于最高，是攻击者重点使用的攻击武器。而这种使用特征也曾重复泛起在SWEED组织以前的攻击运动中。

尊龙凯时 - 人生就是搏!

图5-6 恶意软件家族占比率

（4）IP地址位置

我们通过Whois信息盘问，发明在此次行动中的域名“mogs20.xxx.org”早期剖析的IP（105.112.XXX.XXX）地理位置指向尼日利亚，该网段归属尼日利亚地区电信的105.112段。这与SWEED组织所属国家具有高度的一致性。

尊龙凯时 - 人生就是搏!

图5-7 Whois盘问信息内容

团结SWEED组织一系列的攻击运动特点以及上面总结的四点可以看出，攻击者在攻击念头（窃取用户信息以牟利）、攻击目的（针对全球对外商业的中小企业）、作业气概（投递定制型垂纶邮件分发木马）、战术（规避检测、常驻、下令与控制）、手艺（误差使用）、历程（发送携带恶意附件的邮件->误差文档->解密运行Agent Tesla远控木马）以及其使用的网络基础设施等方面都十分切合SWEED组织的特征。由此我们推断，此次攻击运动幕后者很可能是来自尼日利亚的SWEED黑客组织。

六、总结

迄今为止SWEED黑客组织至少已活跃了4年的时间，从该组织近期的攻击可以发明，SWEED最先使用更具有针对性的邮件内容和更具疑惑性的文档问题，从而提高受害者中招的概率。尊龙凯官网入口ADLab将该组织此次行动TTP的研究剖析效果与以往跟进或披露的相关攻击行动特征做比对后，获得的相关证据都可批注这些样原来自SWEED黑客组织。

SWEED组织使用Guloader下载器撒播的远程木马种类虽然多样化，但主要照旧以其偏好的Agent Tesla为主。从其所使用的TTP来看，该黑客组织现在并未具备很好的自研开发能力。在大都情形下，仅会从外洋一些主流黑客网站上购置木马天生器和加密工具来作为攻击武器，例如曾使用的KazyCypter和此次使用的Guloader。不过，即便攻击者在手艺能力上相对较弱，但其在社工技巧和多样化攻击方法的应用面上照旧较为熟练的。在此，建议用户只管阻止翻开不明泉源的邮件以及附件文件（来自未知发送者的），实时装置系统补丁，提高危害意识，提防此类恶意软件攻击。

七、IOC

MD5

F97CFA6C3F1338B597768808FC1B2F00

B1941921571C2B6ED0C3BDA77E402001

DD82B2E488811E64BB9C039C441DB19C

EC4CF91427DAC3AD29CD2A52B0789DC6

166FD7B0C74C60DCBC80BF335D712EA2

BCBCC89F237B22F21BDAE9E6555404A

60147B91AB7B64B9BE27BD3422147E60

48408BBE8D9EE22D6BBB6820FCCC305F

7DDA46F2D9008FAE016AFFF39E9C5801

A22A37E699C20D42753D35A94A75B365

C36C41EB6A34880459154334681C203A

6BC92ACB050A2068EFF4842A1D360938

FB7ED44C2BAAA6F011F7BF51DE721BC4

58604AE63AEA84483C67980369958ACB

312BFAFE6746645E72FCB84ECBFB023C

779EB99965F1AAC12363632468DF7DCE

DD49030C00EF3C2341BCBE4489DCEF63

167.114.85.125

URL

https://drive.google.com:80/uc?export=download&id=1lmmu6kv5ep_wkm7hfyhdshru-y1n2pqv

https://onedrive.live.com/download?cid=554BBD19BDD72613&resid=554BBD19BDD72613!156&authkey=AGIuaWEkkBxB_4o

https://drive.google.com/uc?export=download&id=1W3ddZnmArVGhsecoWW5KcQAKPZ9OacLU

https://share.dmca.gripe/iQakn267f3ZvpDN.bin

http://167.114.85.125/go/Origin%20server%20ilyas_tTzYDNEGay108.bin

八、参考链接

[1]https://www.fortinet.com/blog/threat-research/new-agent-tesla-variant-spreading-by-phishing

[2]https://www.fireeye.com/blog/threat-research/2017/10/formbook-malware-distribution-campaigns.html

[3]https://www.fortinet.com/blog/threat-research/new-infostealer-attack-uses-lokibot

[4]https://success.trendmicro.com/solution/1122912-nanocore-malware-information

[5]https://www.fortinet.com/blog/threat-research/remcos-a-new-rat-in-the-wild-2

尊龙凯官网入口起劲防御实验室（ADLab）

ADLab建设于1999年，是中国清静行业最早建设的攻防手艺研究实验室之一，微软MAPP妄想焦点成员，“黑雀攻击”看法首推者。阻止现在，ADLab已通过CVE累计宣布清静误差1000余个，通过 CNVD/CNNVD累计宣布清静误差800余个，一连坚持国际网络清静领域一流水准。实验室研究偏向涵盖操作系统与应用系统清静研究、移动智能终端清静研究、物联网智能装备清静研究、Web清静研究、工控系统清静研究、云清静研究。研究效果应用于产品焦点手艺研究、国家重点科技项目攻关、专业清静服务等。

尊龙凯时 - 人生就是搏!

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

尊龙凯官网入口

网络清静防护

网络清静检测

应用清静

数据清静

清静管理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静服务

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后服务

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系尊龙凯官网入口

清静研究