近期 Check Point 发现 Naikon APT 组织正在对亚太地区 (APAC) 国家政府进行网络攻击活动, 使用了名为 Aria-body 的新后门控制受害者的网络. 本报告将详细分析 Naikon APT 组织在过去 5 年中使用的战术, 技术, 程序和基础设施.
目标分析
过去的十年中, Naikon APT 一直目标锁定同一地区, 包括澳大利亚, 印度尼西亚, 菲律宾, 越南, 泰国, 缅甸和文莱, 使用了名为 Aria-body 的后门. 目标实体包括外交部, 科学技术部以及政府所有的部门, 攻击者会利用已被攻陷的政府组织发动攻击, 来试图感染其他目标, 利用受信任的已知联系人渗透到新的组织中并扩展网络.
该小组目的是收集情报并监视该国政府, 攻击者会从政府部门内受感染的计算机和网络中查找和收集特定文档, 从可移动驱动器中提取数据, 屏幕截图和键盘记录. 该组织将受感染的内部服务器用作攻击和控制服务器, 防止被目标发现.
感染链
研究过程中发现几种不同的感染链用于传播 Aria-body. 最开始时发现从亚太地区政府使馆发送给澳大利亚州政府的恶意电子邮件, 该电子邮件名为 The Indians Way.doc, 含有恶意软件 RoyalRoad, 加载程序尝试从 spool.jtjewifyn.com 下载并执行下一阶段的有效负载.
观察到了几种不同的感染方法:
,RoyalRoad 漏洞利用的 RTF 文件
, 包含合法可执行文件和恶意 DLL 的存档文件, 利用 Outlook 和 Avast 代理加载恶意 DLL
, 直接通过可执行文件加载程序
基础设施
最近的行动中, 攻击者 C&C 服务器使用了相同的托管和 DNS 服务, 在多个域中重用了相同的 IP 地址:
域名使用情况:
工具分析
加载程序分析
自 2017 年以来, Aria-body 加载程序功能未发生重大变化, 加载程序负责以下任务:
, 通过启动文件夹或注册表建立持久性
, 将自身注入到另一个进程, 例如 rundll32.exe 和 dllhost.exe
, 解密两个 Blob:"导入表" 和 "加载器配置"
, 使用 DGA 算法
, 与 C&C 地址通信, 检索下一阶段有效载荷
, 解密收到的有效载荷 DLL(Aria-body 后门)
, 加载并执行 DLL 的导出功能
Configuration & DGA
加载程序配置经过加密, 包含以下信息: C&C 域, 端口, 用户代理和域生成算法 (DGA) 种子. 如果种子不为零, 加载程序将根据种子和通信日期使用 DGA 生成 C&C 域. 加载程序的配置使用以下算法解密:
def decrypt_buf(buf): k = 8 j = 5 for i in range(len(buf)): xor_byte = (k + j) % 0xff buf[i] = buf[i] ^ xor_byte j = k k = xor_byte
C&C 服务器
获取 C&C 域后, 加载程序会与下载下一阶段程序. 攻击者每天在有限的窗口期操作 C&C 服务器, 每天仅在线几个小时. 加载程序的最后一个阶段, 接收 XOR 密钥对下载的 RAT 进行解密.
Aria-body RAT 分析
下载的有效负载是一个自制 RAT, 称为 Aria-body, 有 32 位和 64 位两种. RAT 功能包括:
, 创建 / 删除文件 / 目录
, 截屏
, 搜索文件
, 使用 ShellExecute 启动文件
, 枚举进程
, 收集文件的元数据
, 收集 TCP 和 UDP 表状态列表
, 关闭 TCP 会话
, 收集操作系统信息
, 使用 checkip.amazonaws.com 验证位置
Aria-body 的变体还包括其他模块, 例如:
,USB 数据采集模块
, 键盘记录器模块
, 反向代理模块
, 加载扩展模块
特征分析
初始化
后门包含一个导出的函数, 执行程序后, 它将初始化一个名为 MyDerived 的结构以及用于 HTTP 和 TCP 连接的结构.
信息收集
Aria-body 首先在受害者的机器上收集数据, 包括: 主机名, 计算机名, 用户名, 域名, Windows 版本, 处理器 MHz,MachineGuid, 公共 IP.
C&C 通信
通过 HTTP 或 TCP 协议与 C&C 服务器进行通信. 恶意软件通过程序配置标志来决定使用哪种协议. 收集的数据与 XORed 密码和 XOR 密钥一起送到 C&C 域:
Outlook DLL
研究中发现了非常独特的 Aria-body 变体, 变体 DLL 名为 outllib.dll, 它是 Office.rar 的一部分. 它没有从加载程序获得任何配置, 在变体中包含了硬编码配置.
有效负载具有两个不同的 C&C 域: blog.toptogear [.] com,202.90.141 [.] 25, 如果无法解析第一个 C&C 域, 将使用 IP 地址.
归属分析
字符串相似
Aria-body 后门具有几个描述恶意软件功能的调试字符串. 这些调试字符串也可以在 XsFunction 后门中找到:
散列函数相似
XsFunction 和 Aria-body 加载程序都使用相同的哈希算法 djb2. 在 XsFunction 中, 该函数的名称为 XS02, 在 Aria-body 中, 其名称为 AzManager.
代码相似
Aria-body 后门中的某些功能与旧 XsFunction 后门中的功能相同.
基础设施重叠
四台 C&C 服务器与 mopo3 [.] net 域共享 IP, 该域解析 IP 为与卡巴斯基报告中提到的域 myanmartech.vicp [.] net 相同.
总结
从这次活动中发现了 Naikon APT 组织针对亚太地区政府的最新工具, 攻击者利用了 RoyalRoad RTF 等通用工具集和特制的后门 Aria-body.Naikon APT 组织过去 5 年中一直处于活动中, 通过利用新服务器, 不断变化加载程序, 无文件加载以及新后门程序阻止自身被发现分析追溯.
附录
Aria-body 支持命令集
DGA
来源: http://www.tuicool.com/articles/3AvYnyj