寫在前面的話

Unit 42自從2016年五月份開始就一直在密切跟蹤黑客組織OilRig的一舉一動。根據(jù)我們研究人員的觀察與發(fā)現(xiàn)，從2016年五月份開始，這個名叫OilRig的黑客組織在其網(wǎng)絡釣魚攻擊活動中開始使用Clayslide文檔來作為釣魚郵件的附件。

近期，我們觀察到了一種新版本的Clayslide文檔，它的開發(fā)人員將其稱之為“ALMA Communicator”，而OilRig的攻擊者可以使用Clayslide文檔在目標用戶的主機中安裝一種新型的自定義木馬。這種惡意文檔還可以存儲類似Mimikatz之類的后滲透憑證收集工具，而研究人員則認為攻擊者引入這種功能的最終目的還包括從目標用戶的主機中收集賬號憑證信息。雖然我們現(xiàn)在還沒有拿到詳細的數(shù)據(jù)，但是我們有理由相信這種攻擊活動針對的是中東地區(qū)一家公共事業(yè)公司的個人用戶。

新型的Clayslide文檔

近期出現(xiàn)的最新版本Clayslide文檔其運行機制與之前的Clayslide文檔非常相似，它一開始會給用戶顯示一個“不兼容”的Excel工作表，并聲稱這個Excel文件是使用一個更新版本的Excel創(chuàng)建的，因此用戶需要點擊“啟用內(nèi)容”來查看該文檔的內(nèi)容。如果用戶點擊了“啟用內(nèi)容”之后，文件會顯示一個隱藏的工作表并觸發(fā)惡意宏的運行，而這個隱藏的工作表中包含的是攻擊者所設置的“誘餌”內(nèi)容，隱藏工作表中的內(nèi)容大致如下圖所示：

當“誘餌”內(nèi)容顯示給用戶之后，惡意宏會從這個“不兼容”工作表中的某個特定單元格中開始訪問數(shù)據(jù)，并創(chuàng)建一個.HTA文件，然后將其存儲至路徑%PUBLIC%\tmp.hta之中，最后再使用mshta.exe應用程序來打開這個文件。這個.HTA文件中包含HTML代碼，而這些代碼將運行一個VBScript腳本并在目標用戶的主機中運行最終的惡意Payload。

惡意Payload過程描述如下：首先，.HTA會創(chuàng)建一個名叫%PUBLIC%\{5468973-4973-50726F6A656374-414C4D412E-2}的文件夾，然后再向這個文件夾中寫入三個文件，這三個文件的文件名分別為：

SystemSyncs.exe
m6.e
cfg

.HTA文件中包含兩個已編碼的可執(zhí)行文件，隨后它會對這兩個文件進行解碼，并將其寫入m6.e和SystemSyncs.exe中。.HTA文件還包含一個Base64編碼的配置文件，解碼之后便會被寫入cfg文件之中，而惡意木馬之后需要使用這些配置信息來獲取C2域名，并使用它來與��擊者進行通信。在該攻擊活動之中，保存在cfg文件中的C2域名為prosalar[.]com。

SystemSyncs.exe文件（SHA256: 2fc7810a316863a5a5076bf3078ac6fad246bc8773a5fb835e0993609e5bb62e）是一個由OilRig黑客組織開發(fā)出來的自定義木馬，這個木馬就是“ALMA Communicator”，我們待會兒會在接下來的章節(jié)中對其進行詳細介紹。

.HTA文件所釋放出來的“m6.e”文件其實是Mimikatz工具的變種版本（SHA256: 2d6f06d8ee0da16d2335f26eb18cd1f620c4db3e880efa6a5999eff53b12415c）。在此之前，我們曾見到過OilRig黑客組織在其后滲透活動中使用Mimikatz工具來收集憑證信息。但是，這一次是我們第一次發(fā)現(xiàn)OilRig組織在攻擊的感染階段就使用Mimikatz工具�？紤]到ALMA Communicator的C2通信功能以及性能限制，我們認為釋放這一額外工具（Mimikatz變種）的就是該組織所使用的Clayslide文檔，待會兒也會對這部分內(nèi)容進行詳細分析。

.HTA文件中的VBScript負責執(zhí)行SystemSyncs.exe Payload，并且還會通過創(chuàng)建一個計劃任務來實現(xiàn)攻擊持久化。之前的Clayslide文檔主要通過schtask應用程序（通過命令提示窗）來創(chuàng)建計劃任務，而這個.HTA文件中的VBScript使用的是編程的方式（使用Schedule.service對象）來創(chuàng)建計劃任務。請大家看下面這張截圖，計劃任務創(chuàng)建成功之后， ALMA Communicator Payload每兩分鐘就會執(zhí)行一次（配合命令行參數(shù)“Lock”）：

ALMA Communicator木馬

ALMA Communicator木馬是一款后門木馬，它使用了DNS隧道來從攻擊者那里接收控制命令并從目標主機中提取數(shù)據(jù)。隨后，這個木馬會從Clayslide文檔所創(chuàng)建的cfg文件中讀取配置信息。ALMA中并不包含內(nèi)部配置文件，所以如果沒有這個cfg文件的話，該木馬就無法正常運行了。

在讀取完配置文件之后，該木馬會創(chuàng)建兩個文件夾，即Download和Upload。ALMA使用Download文件夾來保存C2服務器提供的批處理文件，這些文件之后會運行。ALMA使用Upload文件夾來存儲批處理文件執(zhí)行后的輸出，最終這些數(shù)據(jù)會發(fā)送給C2服務器。

ALMA Communicator使用了DNS隧道來作為其C2通信信道，這種DNS隧道使用了一種特殊的協(xié)議，并且使用了專門的子域名來給C2服務器傳輸數(shù)據(jù)，而服務器使用了專門的IPv4地址來給木馬發(fā)送數(shù)據(jù)。

在構(gòu)建這種專門的子域名時，木馬會生成一個隨機的四位數(shù)字，并連接一個硬編碼字符串，最后再在字符串末尾添加一個用于標識受感染系統(tǒng)的唯一標識符。為了生成這個唯一標識符，該木馬會從目標系統(tǒng)的注冊表中獲取ProductId，該參數(shù)位于SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId。如果無法找到這個注冊表鍵，它將會使用硬編碼值00000-00000-00000-00000。接下來，它還會獲取當前系統(tǒng)的用戶名，后面跟上一個下劃線并加上ProductId字符串。該木馬會計算這個字符串的MD5哈希，然后將其作為受感染系統(tǒng)的唯一標識符。最后，它會添加硬編碼的-0-2D-2D字符串來結(jié)束子域名（用于C2服務器通信）的構(gòu)造。下圖顯示的是域名的結(jié)構(gòu)：

為了讓大家更清楚地了解ALMA生成的唯一標識符，我們假設測試系統(tǒng)的用戶名和ProductId創(chuàng)建的字符串為Administrator_00000-00000-00000-00000，其MD5哈希為35ead98470edf86a1c5a1c5fb2f14e02。接下來，該木馬會選取MD5哈希中的第1、5、9、13、17、21、25和29個字符，并將其組合生成唯一標識符字符串3d7f11b4。具體如下圖所示:

C2服務器將會使用A記錄中的IPv4地址來回應DNS請求，而木馬將會從這些請求中解析出兩個IP地址，一個用于標識數(shù)據(jù)傳輸（C2->木馬）的開始，一個用于標識數(shù)據(jù)傳輸（C2->木馬）的結(jié)束。這兩個特殊的IP地址如下：

開始– 36.37.94.33 ($%^!)
結(jié)束– 33.33.94.94 (!!^^)

在我們的分析過程中，C2服務器發(fā)送給我們的分析系統(tǒng)的數(shù)據(jù)如下所示（“$%^!”和“ !!^^”分別代表數(shù)據(jù)的起始部分和末尾部分）：

$%^!_DnsInit.bat@echo off & chcp 65001\r\necho
%userdomain%\\%username% 2>&1 & echo %computername% 2>&1 & echo
________________________________Task__________________________________
& schtasks /query /FO List /TN "Google_{50726F6A656374-
414C4D41-48747470}" /V | findstr /b /n /c:"Repeat: Every:" 2>&1
& schtasks /query /FO List /TN "Micro_{50726F6A656374-
414C4D41-446E73-2}" /V | findstr /b /n /c:"Repeat: Every:" 2>&1 & echo
______________________________________________________________________   !!^^

基于C2服務器傳回的數(shù)據(jù)，該木馬會使用數(shù)據(jù)中的命令來創(chuàng)建一個名叫_DnsInit.bat的文件，然后將其存儲在Download文件夾中。接下來，該木馬會枚舉該文件夾中的文件名，然后使用批處理腳本的路徑作為命令行參數(shù)來創(chuàng)建一個cmd.exe進程。在進程開始運行之前，該木馬還會加上下面這行命令行參數(shù)：

\r\nDEL /f /q \”%~0\”|exit

下面給出的是該木馬在向C2服務器發(fā)送數(shù)據(jù)時所使用的DNS查詢語句的結(jié)構(gòu)：

[random 4 digits]ID[unique identifier]-[number of DNS queries needed]-[string of hexadecimal bytes for sent data]-[string of hexadecimal bytes for filename being sent].prosalar[.]com

其中每一次DNS請求一次只能發(fā)送10個字節(jié)的數(shù)據(jù)，下面給出的是當測試系統(tǒng)運行了_DnsInit.bat腳本之后所發(fā)送的第一條DNS查詢：

由此可以看出，ALMA Communicator的C2信道在數(shù)據(jù)傳輸時有一定的性能限制，如果你想使用ALMA Communicator來提取大型文件的話，則會產(chǎn)生大量的出境DNS請求。可能正是因為這個原因，OilRig黑客組織才會選擇利用Clayslide文檔來攜帶Mimikatz工具并使用它來從受感染的系統(tǒng)中提取數(shù)據(jù)（后滲透階段）。

總結(jié)

目前OilRig黑客組織仍在他們的攻擊活動中使用這種Clayslide文檔，從我們對當前Clayslide變種的分析中可以看出，該黑客組織現(xiàn)在還在這類文檔中嘗試新的安裝技術(shù)以及檢測繞過技術(shù)。

入侵威脅指標IoC

f37b1bbf5a07759f10e0298b861b354cee13f325bc76fbddfaacd1ea7505e111 (Clayslide)
2fc7810a316863a5a5076bf3078ac6fad246bc8773a5fb835e0993609e5bb62e (ALMA Communicator)
2d6f06d8ee0da16d2335f26eb18cd1f620c4db3e880efa6a5999eff53b12415c (Mimikatz)
prosalar[.]com

本文鏈接：http://m.51huadong.com/cloundnews/11001452.html