事件背景:
Malwarebytes公司于8月28日發表安全簡報稱,2016年8月初越南多家航空公司遭到黑客攻擊,并且攔截到了針對越南航空公司的間諜軟件工具集的一部分樣本,該工具是PlugX惡意軟件家族的一個變種Korplug RAT (aka PlugX)。據我團隊分析,本次披露的事件可能與7月末發生的越南多家機場網絡被攻擊事件相關聯。具體分析過程如下。
受害者信息:
報告中稱,此次被攻擊的目標為越南航空公司,并且造成40萬游客信息泄露,但在后續的關聯分析中發現造成的損失遠不止這些。
攻擊手法介紹:
此次攻擊使用了PlugX遠控家族的一個變種。工具集大體分為四個部分并且全部偽裝成為殺毒軟件McAfee的組件。涉及到的樣本信息如下:
884d46c01c762ad6ddd2759fd921bf71 – McAfee.exe (harmless: reference)
c52464e9df8b3d08fc612a0f11fe53b2 – McUtil.dll(shellcode loader)
28f151ae7f673c0cf369150e0d44e415 – McUtil.dll.mc–shellcode
21a2f0abe47977d5c8663bd7a7c7d28 – unpacked payload (DLL)
執行流程如下:
McAfee.exe -> McUtil.dll -> McUtil.dll.mc -> payload (DLL)
工具集總覽:
總體分為四個模塊,并且整體上嘗試偽裝成為MacAfee殺毒軟件
其中MacAfee.exe是正常的軟件但是它捆綁的dll文件是未署名不安全的,這也正是攻擊者用來實施攻擊的一個突破點。但是攻擊中使用的程序是MacAfee非常老的一個版本(2008年發行),現在使用的MacAfee版本則不再支持此類利用方式。
行為分析:
在部署安裝了之后,程序保持靜默執行。我們可以看到主要的執行主體svchost.exe,稍后會自行結束自身進程,這就意味著惡意代碼已經注入到了svchost.exe中,并且繼續執行,通過查看當前目錄可以發現它已經繼承了惡意軟件的默認目錄。
病毒開始從LAN口掃描局域網內的所有主機。
并且嘗試鏈接C2服務器air.dscvn.org。但是在檢測時間此域名已經失效。
此惡意軟件在達成目的之前有幾層殼要查,執行文件和dll文件都是安全合法的,所有的惡意軟件都會存在殼,就是一段模糊的shellcode,在這些shellcode中隱藏了另一個dll文件,就是真正的惡意代碼。
溯源分析:
在樣本中發現C2服務器的解析域名為air.dscvn.org,經多處查詢未發現與此有關的信息。
在2013年trendmicro公司報道過一起跟本次攻擊使用工具極其相似的攻擊事件,樣本同樣是利用偽裝成為MacAfee的plugx遠控家族。部分原文如下:
BKDR_PLUGX.AQT
· uses Mc.exe which is a legitimate McAfee file
· loads McUtil.dll, which then loads McUtil.dll.url
· both files are also detected as BKDR_PLUGX.AQT
· connects to the fake anti-malware site vip.{BLOCKED}ate.com
可以看到執行程序和調用的dll文件以及執行流程,跟本次事件使用的樣本基本一致,不排除是同一變體的可能,并且此樣本早在2013年就已經投入使用,上線域名vip.ate.com信息如下:
但是由于時效性,暫不能把兩起事件歸類為同一組織或個人所為。
從網絡資源方面的分析暫時無法取得較大突破,那么反過來看事件本身,此次的攻擊目標為越南航空公司,恰好在今年8月初越南航空公司遭到黑客攻擊,此次攻擊造成超過20家航空公司系統故障,以及大量客戶數據流出,如此大規模的行動能由個人完成的可能較小。將此兩起報道事件比較來看就會發現很多共同點。
1.都造成40W客戶數據流出
2.相近的時間線
3.相同的攻擊目標
4.相同的泄露數據流量
攻擊是在7月29日,malwarebytes發布報告的時間是8月25日。從時間線上來看,從暴露攻擊到發出報告所經歷的時間也符合披露一次活動的調查分析周期。至此我們有理由將此事件和越南機場遭受的攻擊合并為一起事件。
在Malwarebytes報告中所提及的攻擊就是本次發生在越南機場的攻擊事件。在越南攻擊事件中有打著國內某組織的旗號聲稱對其負責,而且真正的該組織發表聲明對此說法并不認同。直到7月31日該組織領頭人在微博上更新了一條很有深意的微博。
從中可以看出該團隊的官網貌似遭到了報復性的DDOS攻擊。攻擊來源多來自東南亞。而博主的語氣仿佛也也料到了會有這樣的情況發生。
至此,可以認定Malwarebytes報告中披露的行動,就是國內媒體之前公布的越南機場事件,目前還沒有有關攻擊者的有力證據。但此次攻擊只是為了民族情結還是某次APT攻擊行動在收尾時恰好遇到“南海仲裁”事件而“發揮余熱”,亦或是其它什么情況。還有待分析。
另附2014年黑帽大會專對plugX工具集的詳細分析。
https://www.blackhat.com/docs/asia-14/materials/Haruyama/Asia-14-Haruyama-I-Know-You-Want-Me-Unplugging-PlugX.pdf