日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

摘要

成都網(wǎng)絡(luò)公司-成都網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)公司10余年經(jīng)驗(yàn)成就非凡，專業(yè)從事網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)，成都網(wǎng)頁(yè)設(shè)計(jì)，成都網(wǎng)頁(yè)制作，軟文營(yíng)銷，廣告投放等。10余年來已成功提供全面的成都網(wǎng)站建設(shè)方案，打造行業(yè)特色的成都網(wǎng)站建設(shè)案例，建站熱線：18980820575，我們期待您的來電！

近些年來，通過網(wǎng)絡(luò)竊取機(jī)密的事情屢見不鮮。各路媒體爭(zhēng)相報(bào)道以APT為代表的計(jì)算機(jī)攻擊以及其危害。頻發(fā)于網(wǎng)絡(luò)的數(shù)字攻擊已經(jīng)影響到現(xiàn)實(shí)的生產(chǎn)和生活，我們必須從戰(zhàn)略上解決這一問題。

AIRBUS Defense & Space不僅可為顧客提高網(wǎng)絡(luò)安全事故的應(yīng)急響應(yīng)服務(wù)，而且能夠指導(dǎo)顧客擬定完整的解決方案。

今天，我們決定公開一個(gè)叫做“Pitty Tigger” 的APT組織的相關(guān)信息。這片報(bào)道所涉及的資料，均是AIRBUS Defense & Space的Threat Intelligence組織的第一手信息。

我們的資料表明，Pitty Tiger組織在2011年就鋒芒畢露。他們攻擊過多個(gè)領(lǐng)域的各種單位。他們對(duì)國(guó)防和通訊業(yè)的承包商下過手，也對(duì)一個(gè)(或更多)政府部門發(fā)起過攻擊。

我們投入了大量精力以追蹤這個(gè)組織，現(xiàn)在已經(jīng)能夠披露他們的各類信息。我們已經(jīng)對(duì)他們“惡意軟件軍火庫(kù)”的情況了如指掌，甚至足以披露他們的技術(shù)人員結(jié)構(gòu)。

調(diào)查表明，目前為止Pitty Tigger未曾用過任何0day Exploits。與眾不同的是，他們喜歡使用自己開發(fā)的、專用的惡意軟件。雖然Pitty Tiger能夠潛入目標(biāo)深藏不露，但是并不如我們發(fā)現(xiàn)的其他組織那樣老到。

基本可以斷定Pitty Tiger不是政府背景的網(wǎng)絡(luò)入侵組織。無論從經(jīng)驗(yàn)還是從財(cái)力方面看，他們都有明顯區(qū)別。我們認(rèn)為，這個(gè)組織屬于機(jī)會(huì)主義的入侵組織，他們把被害目標(biāo)(多數(shù)是私人企業(yè))的資料賣給商業(yè)競(jìng)爭(zhēng)對(duì)手。

結(jié)合這個(gè)組織的有關(guān)資料，我們可以看出Pitty Tiger是個(gè)相當(dāng)小的組織，應(yīng)該不是發(fā)起APT攻擊的那種大規(guī)模組織。當(dāng)然，我們的數(shù)據(jù)來源有限，所以這種結(jié)論可能不正確。

本文將在最后揭示Pitty Tiger的顯著特征，以幫助讀者判斷他們是否深受其害。

一、犯罪手法：APT攻擊

APT的攻擊手段足以說明其危害的嚴(yán)重程度。它的攻擊手段可以概括為下圖：

1、偵查階段/Reconnaissance

入侵者選好目標(biāo)并開始收集信息的時(shí)候，他就會(huì)發(fā)起偵查。

這方面能夠獲取的資料非常有限，可以說幾乎沒有。如果要收集這種資料就要監(jiān)控所有入侵者的探測(cè)行為，不過這種做法的可行性很低。

入侵者在這個(gè)階段的工作越到位，他們對(duì)整個(gè)目標(biāo)的理解能力也就越強(qiáng)，他們就能更為有效的滲透到目標(biāo)企業(yè)的網(wǎng)絡(luò)系統(tǒng)中去。

偵查工作能夠通過信息搜集找到攻破目標(biāo)系統(tǒng)的手段，更能探測(cè)到目標(biāo)系統(tǒng)隔離保護(hù)的目標(biāo)(例如關(guān)鍵人員的姓名等因素)。

而且，互聯(lián)網(wǎng)的大量公開信息源都為入侵者的偵查工作敞開方便之門：社交網(wǎng)站、出版讀物、白皮書、企業(yè)網(wǎng)站、搜索引擎，等等。各種掃瞄漏洞的主動(dòng)掃瞄程序也能挖掘出大量信息。

2、初始階段/Initial Infections

在前一階段里，APT攻擊人員已經(jīng)充分了解了目標(biāo)(包括關(guān)鍵人員信息)，知道從何處下手進(jìn)入企業(yè)網(wǎng)絡(luò)。而后，他們將會(huì)實(shí)施攻擊，在企業(yè)內(nèi)網(wǎng)的一臺(tái)或數(shù)臺(tái)服務(wù)器里安裝永久性后門。

在這一階段，他們通常會(huì)使用魚叉式攻擊(Spear Phishing)或偷渡式下載(Drive-by Downloads)的手段，攻陷一臺(tái)或數(shù)臺(tái)電腦(通常是工作站)。

魚叉式攻擊通常就針對(duì)特定Email地址發(fā)起的釣魚式攻擊。采用這一手段的入侵者，會(huì)向特定人群定點(diǎn)發(fā)送Email，而且Email總數(shù)不會(huì)很多。實(shí)際上，他們往往僅發(fā)送一封Email。這種針對(duì)特定受害者的花招，就是給受害人發(fā)送以假亂真的email，誘使后者點(diǎn)擊某個(gè)鏈接以下載惡意軟件，或者誘使他們打開有問題的郵件附件。

一些攻擊者也會(huì)用“水坑”技術(shù)，成功攻破目標(biāo)。要實(shí)施一個(gè)水坑攻擊，攻擊者首先要攻陷某個(gè)第三方網(wǎng)站。這種第三方網(wǎng)站通常是目標(biāo)單位的目標(biāo)人群通常會(huì)訪問的承包商的網(wǎng)站。一旦有人訪問這些第三方網(wǎng)站，他們的電腦就會(huì)中招。該方法有一個(gè)主要的缺點(diǎn)：網(wǎng)站會(huì)感染目標(biāo)群體以外的人群。當(dāng)然，攻擊者會(huì)事先擬定對(duì)策避免這種情況。只要他們?cè)趥刹祀A段做的工作足夠充分，他們就會(huì)知道目標(biāo)公司所有的IP地址。只要在腳本里添加幾行識(shí)別IP的代碼，就能夠鑒別出訪問該網(wǎng)站的終端是否屬于他們要攻擊的范圍。

此外，入侵者還可以直接攻擊目標(biāo)單位的服務(wù)器，滲透到它們的網(wǎng)絡(luò)中去。

3、擴(kuò)大戰(zhàn)果與后續(xù)行動(dòng)/Access Strengthening

一旦入侵者能夠訪問到目標(biāo)企業(yè)的內(nèi)部電腦，他們就需要在這些電腦上安裝后門程序，以便后續(xù)繼續(xù)控制這些電腦。在安裝后門的時(shí)候，如果一個(gè)程序不行，他們就會(huì)換其他后門程序。

在他們認(rèn)為自己有足夠權(quán)限之后，他們會(huì)開始做兩件事：按照既定計(jì)劃挖掘知識(shí)產(chǎn)權(quán)相關(guān)的文件、在被攻陷的網(wǎng)絡(luò)里繼續(xù)提升權(quán)限(以方便后續(xù)滲透)。對(duì)于行家里手來說，從拿下一臺(tái)終端到攻破域管理員權(quán)限、獲取全部Active Directory內(nèi)容，并不需要太長(zhǎng)的時(shí)間。

接下來，入侵者會(huì)在網(wǎng)絡(luò)里四處游蕩、以攫取他們感興趣的內(nèi)容。對(duì)于被害者來說，這種“游蕩”行為很難檢測(cè)。主要因?yàn)樗麄兌紩?huì)使用正確有效的登陸信息，使用正當(dāng)?shù)墓芾砉ぞ?諸如psExec)。

4、攫取數(shù)據(jù)/Data Exfiltration

攻擊的最終目的就是要攫取數(shù)據(jù)。只是即使達(dá)成了目的，還有可能無法滿足入侵者無休無止的貪欲。

攻擊者通常將他們感興趣的文件進(jìn)行打包，然后通過遠(yuǎn)程管理工具RAT或FTP/HTTP傳輸出去。

這一環(huán)節(jié)并非是APT的終點(diǎn)。攻擊者會(huì)滾雪球般擴(kuò)大他們的權(quán)限，不斷的竊取更多的信息，賴在網(wǎng)絡(luò)里不停收集數(shù)據(jù)。

我們?cè)赽log里更詳細(xì)的介紹了APT的各個(gè)階段(http://blog.cassidiancybersecurity.com/tag/APT)。#p#

二、“Pitty Tiger”事件背景

在我們常規(guī)的APT案件調(diào)查中，一個(gè)前所未見的惡意軟件引起了我們的注意。我們決定調(diào)查這個(gè)軟件，最終發(fā)現(xiàn)只有一個(gè)特定的團(tuán)體才會(huì)使用它。在反病毒界，這個(gè)系列的程序都被認(rèn)為是“Pitty Tiger”出品的惡意軟件。

自2014年6月它被發(fā)現(xiàn)以來，它背后的服務(wù)器(C&C)一直在運(yùn)轉(zhuǎn)。

我們的研究表明，“Pitty Tiger”在2011年就開始制作惡意軟件。結(jié)合他人的公開資料， 則基本可以推斷這個(gè)組織的活動(dòng)至少可以追溯到2010年。

這個(gè)組織不僅會(huì)使用自產(chǎn)的Pitty Tiger RAT工具進(jìn)行APT行動(dòng)，他們還會(huì)使用其他的惡意軟件。

這個(gè)組織多次用到臭名昭著的Gh0st的變種程序，一個(gè)叫做“游俠/Paladin”的RAT程序。此外，他們也會(huì)使用自己開發(fā)的RAT程序，例如“MM RAT” (aka Troj/Goldsun-B)和“CT RAT”。在他們的C&C服務(wù)器上，還存在Gh0st的另外一種變種的痕跡——Leo。

在他們攻陷的工作站上，我們也找到了“Troj/ReRol.A”。這個(gè)程序用來收集系統(tǒng)信息，并可用來安裝其他的惡意軟件。在攻陷第一批主機(jī)后的情報(bào)偵查階段，它主要承擔(dān)木馬下載和系統(tǒng)數(shù)據(jù)采集的任務(wù)。Pitty Tiger小組主要通過Email的Office附件傳播這個(gè)病毒。

Pitty Tiger在服務(wù)器配置方面的水平不高。我們成功的收集到他們3臺(tái)C&C服務(wù)器的信息。這些信息揭示出2013年底到2014年初的很多情況。

在調(diào)查C&C服務(wù)器數(shù)據(jù)的同時(shí)，我們了解了Pitty Tiger的運(yùn)作環(huán)境。

本白皮書旨在披露我們對(duì)Pitty Tiger的解讀，重點(diǎn)揭示他們的基礎(chǔ)設(shè)施和技術(shù)實(shí)力。我們希望這本白皮書能夠起到拋磚引玉的作用，帶動(dòng)業(yè)內(nèi)深入各種反入侵的分析，促進(jìn)全球?qū)W(wǎng)絡(luò)威脅的認(rèn)知。#p#

三、入侵途徑

1、魚叉式攻擊+全副武裝的郵件附件

在這方面，Pitty Tiger和多數(shù)APT組織沒有什么區(qū)別，他們都用魚叉式Email攻擊目標(biāo)網(wǎng)絡(luò)，以尋求立足點(diǎn)。

我們找到了這個(gè)組織所發(fā)的、以目標(biāo)企業(yè)的內(nèi)部員工的身份發(fā)出的一封Email：

From: XXXXXXX
To: XXXXXXX
File: 1 Attachment: Bird’s Eye Point of View.doc
While the holiday season means clustering clustering ‘time for a vacation’ for many, there are Those That Will Be of us staying home this year. That’s why we’ve Decided to take you on a trip around the world from a bird’s eye view of the item! It’s safe to say That MOST of the lucky people on vacation Will not see breathtaking sights like these. Remember to look down!
XXXXXX

這封Email的附件是一個(gè)Microsoft Office Word文檔。若打開該文檔，則會(huì)觸發(fā)編號(hào)為CVE-2014-1761的漏洞，繼而感染打開附件的計(jì)算機(jī)：

利用Troj/ReRol.A感染計(jì)算機(jī)的word文檔

以魚叉式攻擊的角度來看，這種攻擊手段未免過于業(yè)余。不過在他們所發(fā)的其他email之中，包含了被害企業(yè)的一些被盜信息。所以我們認(rèn)為這個(gè)組織發(fā)起過更像模像樣的攻擊。這些感染源能夠在目標(biāo)主機(jī)上安裝Troj/ReRol.A，我們將在后文詳細(xì)討論這個(gè)問題。

換而言之，Pitty Tiger能夠使用偷來的材料發(fā)起魚叉式攻擊。他們可能發(fā)送Email給被害單位的其他人，也可能發(fā)送Email給目標(biāo)單位競(jìng)爭(zhēng)對(duì)手，或者是其他目標(biāo)。

Pitty Tiger會(huì)偽造有問題的Excel文件。不過，迄今為止，我們僅在他們發(fā)送的email里發(fā)現(xiàn)過只含有同種(Troj/ReRol.A )病毒的Excel文件。

2、直接攻擊

雖然我們沒有證據(jù)表明他們的exploits直接攻擊了目標(biāo)企業(yè)的服務(wù)器，但是我們有記錄表明他們C&C服務(wù)器發(fā)起過多次漏洞掃瞄。

這些攻擊人員用過多種不同的漏洞掃瞄程序。他們使用過各種“常規(guī)”的漏洞掃瞄工具，例如與Nmap相似的Hscan和流光。此外，他們還使用過特定漏洞的掃瞄工具，例如針對(duì)ZyWall和飛塔產(chǎn)品的專用掃描器。

Pitty Tiger組織能夠成功利用HeartBleed漏洞獲取目標(biāo)系統(tǒng)的信息。HeartBleed是存在于老版本OpenSSL的一種漏洞，可泄露目標(biāo)主機(jī)內(nèi)存中的敏感信息。正是借助這一漏洞，Pitty Tiger成功獲取了一臺(tái)主機(jī)上的管理員登錄信息。 

Pitty Tiger通過HeartBleed漏洞竊取到的內(nèi)存數(shù)據(jù)

不過，在信息采集階段里，使用自動(dòng)化的漏洞掃描器掃瞄大量IP的主機(jī)，或者掃瞄多個(gè)domain的系統(tǒng)，這種行為非常容易暴露。如果他們想要鬼鬼祟祟的潛伏下去，應(yīng)該不會(huì)采用這種不明智的做法。但是，他們的C&C服務(wù)器竟然會(huì)無所忌憚的發(fā)起了這種漏洞掃瞄。所以 我們認(rèn)為，即使他們?cè)贏PT的進(jìn)攻方面有所建樹，但是很明顯他們的基本功并不扎實(shí)。#p#

四、惡意軟件信息

1、TROJ/REROL.A

Pitty Tiger主要通過微軟Word文件攻擊特定漏洞的手段攻擊計(jì)算機(jī)。

殺毒軟件將惡意軟件識(shí)別為“Troj/ReRol.A”。它們主要被用作Pitty Tiger入侵攻擊的敲門磚。

1.1、漏洞利用原理

我們發(fā)現(xiàn)，這組人員的一個(gè)文件(MD5 hash: e70c0479cdb9aa031a263740365e7939)攻擊編號(hào)為CVE- 2012-0158的漏洞。這個(gè)漏洞存是微軟Office 2010的一個(gè)早期漏洞，微軟在2012年4月發(fā)布的MS12-027已經(jīng)修復(fù)了這個(gè)問題。我們還發(fā)現(xiàn)了可以利用編號(hào)為CVE-2014-1761的漏洞，這就是個(gè)較新的漏洞。

他們發(fā)送過各種格式的Office文件，利用攻擊編號(hào)為CVE-2012-0158的漏洞。因?yàn)檫@些文件包含受害單位的機(jī)要信息，我們決定不公開這些文件。

他們能夠利用的漏洞最多是2014年6月的漏洞。這多數(shù)意味著Pitty Tiger無法接觸到0day exploits，或者他們沒有錢買這些程序。也可能因?yàn)楣裟繕?biāo)的運(yùn)維水平不高，Pitty Tiger使用這些過時(shí)exploits就足以攻破目標(biāo)網(wǎng)絡(luò)。

我們發(fā)現(xiàn)的最初樣本是個(gè)測(cè)試文件。打開這個(gè)文件后，會(huì)發(fā)現(xiàn)里面只有一行中文的“你好!”。

你好!

Pitty Tiger的誘餌測(cè)試文檔

1.2、安裝

在成功觸發(fā)目標(biāo)主機(jī)上的漏洞之后，exploit會(huì)在當(dāng)前用戶的臨時(shí)文件夾里存放并執(zhí)行“svohost.exe”程序(MD5 hash: 1752aacc08ee0acd58405e9bc10b0dbb)。

C:\DOCUME~1\USER\LOCALS~1\Temp\svohost.exe

根據(jù)Sophos的命名規(guī)則，這個(gè)可執(zhí)行程序被命名為“Troj/ReRol.A”。如果使用sandbox打開這個(gè)程序，將會(huì)立刻觸發(fā)sandbox的警報(bào)：

Troj/ReRol.A觸發(fā)的sandbox警報(bào)

這個(gè)程序還會(huì)在當(dāng)前用戶的Application Data里保存自己的副本。 

在sandbox用戶文件夾中創(chuàng)建的Pitty Tiger惡意軟件副本

它通過連接time.windows.com檢查主機(jī)是否連接到網(wǎng)絡(luò)，然后會(huì)和C&C服務(wù)器開始通訊——mac.avstore.com.tw。 

Troj/ReRol.A與C&C服務(wù)器之間的加密通訊

Troj/ReRol.A的變種程序不多。我們發(fā)現(xiàn)的變種程序所用的user-Agent都是：

Mozilla/4.0 (compatible;)

它會(huì)在注冊(cè)表的中的“shell”下添加記錄，以保證目標(biāo)主機(jī)持續(xù)調(diào)用病毒程序：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Name: Shell
Value: explorer.exe,C:\DOCUME~1\XXXXXX\APPLIC~1\svohost.exe,

svohost程序可以收集主機(jī)信息，并把這些信息上傳到C&C服務(wù)器。它還能下載和執(zhí)行程序。

1.3、命令&控制

它所發(fā)送的POST信息，數(shù)據(jù)包頭都是0x11字節(jié)長(zhǎng)。其中第一個(gè)字節(jié)都是0xC3,后續(xù)的0x10字節(jié)是加密密鑰。包頭里的密鑰用來加密后面的數(shù)據(jù)正文，加密算法是RC4。在解密后，明文的最后一個(gè)字節(jié)應(yīng)當(dāng)還是0xC3。

經(jīng)過相應(yīng)的處理，我們就能解密C&C服務(wù)器和中招終端之間的通訊。

通過技術(shù)上的匿名處理，可以得到下述的通訊內(nèi)容：

HostName :xxx
UserName :xxx
SysType  :32bit
Windows 7 Enterprise Service Pack 1 6.1 7601 Organization:
Owner:xxx
 
————–Server Info——————- 
- AdobeARMservice
- Adobe Acrobat Update Service
- AeLookupSvc
- Application Experience
- AudioEndpointBuilder
- … (list goes on)
 
————–Soft Info——————-
       1    Adobe AIR 4.0.0.1390
       2    Adobe Shockwave Player 12.0 12.0.9.149
       3    FileZilla Client 3.7.4.1 3.7.4.1
       4    Mozilla Thunderbird 24.3.0 (x86 en-US) 24.3.0
       5    … (list goes on)
 
————–IP Config——————-
Adapt Type: Ethernet
NetCardNum:        11
NetCard Name:    {XXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Description :          Realtek RTL8139C+ Fast Ethernet NIC
MAC-ADDR:           XX-XX-XX-XX-XX-XXX
IP-Addr:                   10.xxx.xxx.xxx
IP-Mask:                  255.255.255.0
GateWay:               10.xxx.xxx.xxx
DHCP Serv:           1
DHCP Host:           10.xxx.xxx.xxx
WINS Serv:           0
WINS PriHost:       
WINS SecHost:

Troj/ReRol.A收集的樣例信息

攻擊者需要這些信息：它列出了系統(tǒng)上安裝的所有軟件和服務(wù)。

在把這些數(shù)據(jù)上傳到C&C服務(wù)器之后，程序會(huì)響應(yīng)C&C命令從中下載、安裝其他惡意軟件。

C&C服務(wù)器有2個(gè)文件：

1、dr.asp：實(shí)現(xiàn)控制的ASP前端，它能夠設(shè)置變量、發(fā)送payload。

2、JHttpSrv.DLL：通過”regsvr32”實(shí)現(xiàn)的控制程序。ASP前端以4種方式調(diào)用這個(gè)程序：

·SETIP：設(shè)置bot的IP地址;

·AddKeyword(strKeyword, strFilePath): 在服務(wù)器上綁定關(guān)鍵字;

·Work(lpByteArray, nDataLength): 解密playload，搜索注冊(cè)的關(guān)鍵詞、生成相關(guān)log;

·ResponseBinary(): 回傳符合特定關(guān)鍵字的可執(zhí)行程序。

dr.asp注冊(cè)的關(guān)鍵字有：

·“SysType :32bit” 設(shè)置程序?yàn)?“32.exe”

·“SysType :64bit” 設(shè)置程序?yàn)椤?4.exe”

現(xiàn)在，服務(wù)器上的文件名已經(jīng)不再是32.exe/64.exe了。在過去，32.exe曾以下列文件名出現(xiàn)過：

·3200.exe

·322.exe

·32m.exe

·32mm.exe

其中322.exe是很傻很天真的合法中文calc.exe程序，這個(gè)文件用于測(cè)試目的。其余3個(gè)文件是接來下來要介紹的Rats工具。

2、Pitty Tiger RAT

RAT是這群入侵者的名稱的由來。“Pitty Tiger”是他們的標(biāo)志。在這個(gè)RAT的網(wǎng)絡(luò)通信里也會(huì)出現(xiàn)“Pitty Tiger”字樣的字符串。

2.1、安裝

在Sandbox里執(zhí)行這個(gè)惡意軟件(MD5 hash：be18418cafdb9f86303f7e419a389cc9)時(shí)，將會(huì)觸發(fā)下列警報(bào)： 

Pitty Tiger RAT觸發(fā)的sandbox警報(bào)

它將藏匿于“C:\Windows\System32”。 

Sandbox中Pitty Tiger釋放的文件

“qmgrxp.exe”僅僅是原始二進(jìn)制文件的簡(jiǎn)單復(fù)制，它會(huì)釋放一個(gè)名為“packet64.dll”的文件，并將其注入到“explorer.exe”進(jìn)程中。執(zhí)行之后，會(huì)創(chuàng)建名為“PittyTiger”的互斥量(mutex)。

程序駐留則通過添加“qmgrxp.exe”文件路徑到注冊(cè)表WinlogonUserInit鍵值中：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Name: UserInit
Value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\qmgrxp.exe,

“packet64.dll”是RAT的主要payload。在注入進(jìn)程之后，便開始發(fā)送Hello數(shù)據(jù)包到C&C服務(wù)器： 

PittyTiger RAT的樣例通訊

2.2、命令&控制

所有發(fā)送給C&C服務(wù)器的請(qǐng)求都在“/FC001/”字符串后附加有bot id，而bot id則是由被感染的計(jì)算機(jī)名稱、破折號(hào)和小寫的磁盤序列號(hào)組成。

發(fā)送出的數(shù)據(jù)只是簡(jiǎn)單地進(jìn)行base64編碼，絲毫沒有做加密處理。被感染后的計(jì)算機(jī)所發(fā)出的Hello數(shù)據(jù)包被編碼后，是下面這樣：

————————–PittyTigerV1.0 ———————

————– ^ ^ —————————-

————– ^ —————————-

Version:NULL

我們的樣本有三個(gè)C&C服務(wù)器配置：

jackyandy.avstore.com.tw:80

chanxe.avstore.com.tw:443

newb02.skypetm.com.tw:80

接下來被執(zhí)行的有以下命令：

文件下載(get)和上傳(put)

8bit(prtsc)和16bit(prtsc2)屏幕截取

遠(yuǎn)程shell(ocmd/ccmd)

配置上傳(setserv/freshserv)

直接命令執(zhí)行

至于控制端部分，我們發(fā)現(xiàn)有兩個(gè)不同的版本：

僅處理PittyTiger連接的Delphi程序

處理PittyTiger和CT連接的.NET程序

其中處理PittyTiger和CT連接的程序界面很有意思。我們已經(jīng)能夠確認(rèn)有兩個(gè)不同家族的惡意軟件出自同一個(gè)作者之手，另一個(gè)惡意軟件是后面我們將看到的“CT RAT”。 

Pitty Tiger RAT控制端部分

3、CT RAT

這個(gè)遠(yuǎn)程管理工具常常被Pitty Tiger組織使用。我們已經(jīng)能夠獲取到這個(gè)工具的客戶端和服務(wù)器端部分。

我們發(fā)現(xiàn)了來自同一款程序的兩個(gè)樣本的兩個(gè)不同的名字——32mm.exe和mm32.exe。

這個(gè)RAT看起來像是PittyTiger RAT的升級(jí)版本，因?yàn)槲覀儼l(fā)現(xiàn)的一個(gè)特殊的服務(wù)器端部分可以處理來自CT和PittyTiger的請(qǐng)求，說明它和PittyTiger是兼容的。此外，兩者可執(zhí)行的命令也是相同的。

3.1、安裝

不出所料，當(dāng)我們?cè)趕andbox中運(yùn)行時(shí)，CT RAT觸發(fā)了和PittyTiger同樣的警報(bào)： 

 CT RAT觸發(fā)的sandbox警報(bào)

CT RAT會(huì)釋放兩個(gè)文件在“C:\Program Files\Internet Explorer”： 

Sandbox中由CT RAT釋放的文件

“ieupdate.exe”是一個(gè)注入DLL文件到“explorer.exe”進(jìn)程的簡(jiǎn)單二進(jìn)制程序。

程序駐留通過修改以下注冊(cè)表鍵值來實(shí)現(xiàn)：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Windows
Value Name: load
Value: c:\PROGRA~1\INTERN~1\ieupdate.exe

在注入之后，RAT會(huì)發(fā)送一個(gè)初始登陸數(shù)據(jù)包至C&C服務(wù)器： 

被CT RAT感染的計(jì)算機(jī)發(fā)出的加密通訊

3.2、命令&控制

RAT通訊是通過HTTP請(qǐng)求完成的，被發(fā)送的數(shù)據(jù)通過RC4加密和base64編碼，其中RC4密鑰是請(qǐng)求URL的Unicode形式。

經(jīng)過解碼和解密之后的登陸數(shù)據(jù)包包含如下字符串：

Login
->C:PC-XXX
->U:User-XXX
->L:10.10.10.1
->S:Microsoft Windows XP Service Pack 3 5.1 2600
->M:Nov 13 2013
->P:1033

它包含計(jì)算機(jī)名稱、用戶名、內(nèi)網(wǎng)IP、系統(tǒng)版本、RAT內(nèi)部版本和系統(tǒng)語言ID。

接著CT RAT接收來自C&C服務(wù)器的命令。通常被執(zhí)行的RAT功能如下：

文件下載(GET)和上傳(PUT)

遠(yuǎn)程shell(ocmd/ccmd)

配置上傳(cfg)

休眠(sleep)

3.3、版本和作者(們)

關(guān)于RAT配置，我們的樣本是和“sop.avstore.com.tw”進(jìn)行通訊，其中包含的“Mov 13 2013”字符串應(yīng)該是版本識(shí)別碼。

C&C服務(wù)器部分是用.NET編寫的Windows二進(jìn)制程序。我們發(fā)現(xiàn)了兩個(gè)版本：

僅作為CT控制端的版本 2013.10

可作為CT和PittyTiger控制端的版本 2013.12

“關(guān)于”窗口給出了開發(fā)者(們)的名字： 

和測(cè)試主機(jī)交互的CT RAT控制端

能夠處理PittyTiger和CT請(qǐng)求的控制端版本顯示的作者(們)也是一樣： 

CT/PittyTiger控制端

正如這些截屏所示，從PittyTiger到CT的轉(zhuǎn)變很可能是在2013年的下半年。

幸虧有Google翻譯，翻譯后的作者信息如下：

CT console (compatible pittytiger) v1.3

2013.12 by Trees and snow

關(guān)于該作者的更多描述在后面我們會(huì)提到。

4、MM RAT(AKA TROJ/GOLDSUN-B)

在調(diào)查之初，且尚未命名為“Troj/Goldsun-B”之前，我們將這個(gè)惡意軟件名為為“MM RAT”。這是Pitty Tiger的小伙伴常使用的另一個(gè)遠(yuǎn)程管理工具。我們已經(jīng)能夠獲得它的客戶端和服務(wù)器端部分。

4.1、安裝

我們發(fā)現(xiàn)的樣本名字是3200.exe，在sandbox中觸發(fā)的警報(bào)如下： 

Troj/Goldsun-B觸發(fā)的sandbox警報(bào)

“release.tmp”文件被釋放到系統(tǒng)中： 

惡意軟件釋放的文件

這個(gè)二進(jìn)制文件也被復(fù)制到用戶目錄下的“Application Data”目錄，并且注入“release.tmp”文件到“explorer.exe”進(jìn)程中。

程序駐留通過添加程序路徑到Winlogon Shell鍵值中實(shí)現(xiàn)：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Name: Shell
Value: explorer.exe,C:\DOCUME~1\
 \APPLIC~1\
 ,

MM RAT嵌入有自己的DNS服務(wù)器IP地址來做C&C域名解析。這些DNS地址的列表如下：

63.251.83.36
64.74.96.242
69.251.142.1
212.118.243.118
216.52.184.230
61.145.112.78
218.16.121.32

4.2、命令&控制

MM RAT在進(jìn)程注入后開始進(jìn)行域名解析，并立即發(fā)送請(qǐng)求。首次請(qǐng)求用來檢查更新(GET /httpdocs/update/update.ini)，然后發(fā)送Hello數(shù)據(jù)包： 

Troj/Goldsun-B發(fā)送給C&C服務(wù)器的Hello數(shù)據(jù)包

感染之后的bot接著重復(fù)發(fā)送GET請(qǐng)求到“/httpdocs/mm/ /ComMand.sec”獲取遠(yuǎn)程命令。

通訊協(xié)議相當(dāng)簡(jiǎn)單：GET請(qǐng)求被用來接收來自C&C服務(wù)器的數(shù)據(jù)，POST請(qǐng)求用來發(fā)送數(shù)據(jù)。在POST命令中，CGI名稱表示命令。

可以執(zhí)行的功能如下：

使用密碼進(jìn)行C&C服務(wù)器驗(yàn)證
遠(yuǎn)程Shell
遠(yuǎn)程命令
文件下載/上傳/刪除/搜索
終止Bot

Bot能夠請(qǐng)求的CGI文件如下：

Vip：測(cè)試連接情況
Owpp4：注冊(cè)新bot
CReply：響應(yīng)遠(yuǎn)程命令
Clrf：清除遠(yuǎn)程文件(讀取之后清除ComMand.sec)
CFile：傳輸文件(文件傳輸或響應(yīng)命令)
Cerr：發(fā)送錯(cuò)誤

在本地的配置文件名為“schmup.sys”，該文件使用RC4加密，并采用“rEdstArs”的MD5值作為密鑰。

我們的樣本使用“mca.avstore.com.tw”、“star.yamn.net”和“bz.kimoo.com.tw”作為C&C服務(wù)器，它包含“1.6.0”的版本號(hào)，并用“9ol.8ik,”作為密碼來驗(yàn)證bots。

不同于其他的C&C程序，MM RAT的C&C部分沒有圖形化界面，但是能夠遠(yuǎn)程接收請(qǐng)求來管理bots。除此之外，bots不需要發(fā)送驗(yàn)證請(qǐng)求到C&C服務(wù)器(但是需要知道已配置密碼和bots交互)。

管理協(xié)議和bots協(xié)議一樣，但使用不同的CGI文件：

-Shudown：關(guān)閉C&C
-Cnor：為一個(gè)bot增加一條新命令(寫入到“ComMand.sec”)
-Mlist：得到bots列表
-Mlist2：寫入bots列表到“Online.dat”文件

Bots對(duì)遠(yuǎn)程命令的響應(yīng)可以通過請(qǐng)求“Reply.sec”文件得到(比如：GET /httpdocs/mm/ /Reply.sec)。

4.3、網(wǎng)絡(luò)模式

這些網(wǎng)絡(luò)模式可能會(huì)在一些研究員的腦中響起警鐘。MM RAT使用的網(wǎng)絡(luò)模式和之前Lurid組織(APT攻擊者)以及其他在中國(guó)的邪惡角色們所使用的Enfal惡意軟件一樣。

代碼檢查顯示MM RAT并沒有和Enfal惡意軟件有相似之處，我們目前還無法知道為何這個(gè)惡意軟件使用了相同的網(wǎng)絡(luò)通訊模式。

5、PALADIN(游俠) RAT

這是Pitty Tiger組織使用的另一款遠(yuǎn)程管理工具。我們能夠獲取到它的客戶端和服務(wù)器端。

5.1、安裝

我們發(fā)現(xiàn)的二進(jìn)制文件會(huì)釋放一個(gè)惡意Word文檔。下面是在sandbox中觸發(fā)的警報(bào)：

Paladin RAT在sandbox中觸發(fā)的警報(bào)

Wrod文件所包含的shellcode會(huì)釋放并執(zhí)行以下文件：

C:\Documents and Settings\ \Local Settings\Temp\svohost.exe

該程序逐個(gè)釋放以下文件：

Sandbox中惡意軟件釋放的文件

這些tmp文件接著被復(fù)制到“C:\Windows\system32\Nwsapagentex.dll”并在系統(tǒng)中注冊(cè)名為“Nwsapagent”的服務(wù)。

這款惡意軟件是臭名昭著的Gh0st RAT的變種，不同的是我們手中的樣本采用“ssss0”作為網(wǎng)絡(luò)通訊的前綴而非“Gh0st”。

5.2、命令&控制

用于通訊協(xié)議的命令I(lǐng)D也會(huì)改變，但是功能卻是一樣的。

PALADIN RAT將配置信息直接寫入在二進(jìn)制程序中，并在運(yùn)行時(shí)做解密。原本有多達(dá)5臺(tái)C&C服務(wù)器可以被配置，但我們的樣本只有一臺(tái)：“ey.avsotre.com.tw:53”。

“EY”可能表示的是“Ernst & Young”，這一點(diǎn)都不奇怪，因?yàn)樵S多不同的攻擊組織都確實(shí)在用反病毒廠商或其他大公司的名字，顯得更合法一些。Pitty Tiger也不例外，具體細(xì)節(jié)在報(bào)告后面提及。

我們也發(fā)現(xiàn)了兩個(gè)C&C二進(jìn)制程序，分別是Paladin RAT控制端的2.1版本和2.2版本。2.1版本網(wǎng)絡(luò)通訊以“ssss0”為開頭，而2.2版本網(wǎng)絡(luò)通訊以“Gh0st”開頭。

測(cè)試機(jī)中的Paladin控制端

Paladin的多種功能：文件傳輸、截屏、cmd shell

6、LEO RAT

除了Paladin(游俠)RAT，我們還發(fā)現(xiàn)了另一款Gh0st RAT變種，名為“Leo”。盡管我們是在Pitty Tiger的C&C服務(wù)器中發(fā)現(xiàn)的它，但是沒有證據(jù)表明它被Pitty Tiger所使用，與之相反，Paladin RAT經(jīng)常被Pitty Tiger所用。

此外，我們?cè)谙嗤募A中發(fā)現(xiàn)了一款已編譯的惡意軟件被配置為連接到本地IP地址，很可能出于測(cè)試的目的。

Leo惡意軟件控制端截圖——Gh0st RAT的變種

五、基礎(chǔ)架構(gòu)

我的調(diào)查集中在Pitty Tiger使用的三個(gè)特別的C&C服務(wù)器上。這些C&C服務(wù)器不同于他們使用的其他C&C服務(wù)器的是他們被錯(cuò)誤地配置了。一旦被解析成功，它將給我們提供更多的內(nèi)幕。

我們發(fā)現(xiàn)了幾個(gè)Pitty Tiger所使用的域名，其中最有趣的一個(gè)將會(huì)在這部分詳細(xì)展示。

Pitty Tiger，像其他APT攻擊者一樣，在注冊(cè)域名或創(chuàng)建子域名時(shí)常常用反病毒的“耳熟能詳之名”。其中的樣例包括avstore.com.tw、sophos.skypetm.com.tw、symantecs.com.tw、trendmicro.org.tw等等。

1、AVSTORE.COM.TW

1.1、WHOIS信息

這個(gè)域名的注冊(cè)信息從2013年6月4日開始就未曾變動(dòng)：

Domain Name: avstore.com.tw
Registrant:
information of network company
longsa longsa33@yahoo.com
+86.88885918
No.520.spring road.shenyang
shanghai, shanghai
CN

這些信息也被用來注冊(cè)其他域名，像是skypetm.com.tw，同樣是被Pitty Tiger所使用。

1.2、惡意軟件家族

我們的研究引導(dǎo)我們發(fā)現(xiàn)了和avstore.com.tw子域名相關(guān)的四個(gè)不同的惡意軟件家族：

PittyTiger RAT(又叫Backdoor:Win32/Ptiger.A)
Troj/ReRol.A
CT RAT
Paladin RAT(Gh0st RAT的變種)

?連接到avstore.com.tw的文件MD5列表 

惡意軟件樣本、惡意軟件家族和avstore.com.tw子域名的關(guān)聯(lián)

1.3、C&C服務(wù)器和IP地址

Avstore.com.tw基礎(chǔ)架構(gòu)：主機(jī)和子域名

2、SKYPETM.COM.TW

2.1、WHOIS信息

這個(gè)域名歷史上有兩次不同的WHOIS信息：

2011年12月29日至2013年1月2日

Registrant :chenzhizhong
Email : hurricane_huang@163.com
Telephone : +86.2426836910

2013年11月32日至今

Registrant : long sa
Email : longsa33@yahoo.com
Telephone : +86.88885918

2.2、惡意軟件家族

和子域名skypetm.com.tw進(jìn)行通訊且已識(shí)別的有六個(gè)惡意軟件家族：

MM RAT

Pitty Tiger RAT

Troj/ReRol.A

CT RAT

Paladin

Exadog?

Skypetm.com.tw基礎(chǔ)架構(gòu)：子域名和惡意軟件連接

托管企業(yè)	地理位置	IP范圍	IP地址	主機(jī)	時(shí)間線
Take 2 Hosting Inc.	美國(guó)圣何塞	173.252.192.0 - 173.252.255.255	173.252.198.103	newb02.skypetm.com.tw	實(shí)際在用
颶風(fēng)電子有限公司	美國(guó)菲蒙市	66.220.0.0 - 66.220.31.255	66.220.4.100	sophos.skypetm.com.tw	實(shí)際在用
臺(tái)灣學(xué)術(shù)網(wǎng)絡(luò)	臺(tái)灣臺(tái)北	210.60.0.0 - 210.60.255.255	210.60.141.45	botemail.skypetm.com.tw	至2012-3-6
Gorillaservers Inc.	美國(guó)洛杉磯	http://www.dlmjj.cn/article/cdoeghj.html 其他資訊 windows程序無法運(yùn)行 視頻云服務(wù)器租用怎么搭建 once使用Redis構(gòu)建快速響應(yīng)系統(tǒng)（redis的respp） 12123車輛備案電話號(hào)錯(cuò)了怎么改？(如何申請(qǐng)備案服務(wù)號(hào)) 創(chuàng)新互聯(lián)Minecraft Wiki教程：概述[ ] 快速導(dǎo)航 軟文推廣公司 成都網(wǎng)站設(shè)計(jì)公司 注冊(cè)域名 成都柴油發(fā)電機(jī)銷售 達(dá)州發(fā)電機(jī)組 成都網(wǎng)站建設(shè)公司 成都手機(jī)網(wǎng)站建設(shè) 友情鏈接 網(wǎng)站制作 網(wǎng)站建設(shè) 網(wǎng)絡(luò)推廣 網(wǎng)站推廣 小程序開發(fā) 網(wǎng)站導(dǎo)航 網(wǎng)站建設(shè) 四川平武建站 網(wǎng)站導(dǎo)航 聯(lián)系方式 企業(yè)：四川綿陽(yáng)平武網(wǎng)站建設(shè)工作室 地址：成都市青羊區(qū)太升南路288號(hào) 電話：18980820575 網(wǎng)址：www.dlmjj.cn 公司名稱：四川綿陽(yáng)平武網(wǎng)站建設(shè)工作室 聯(lián)系電話：18980820575 網(wǎng)站備案號(hào)：蜀ICP備2024061352號(hào)-3 四川平武建站 四川平武網(wǎng)站建設(shè) 四川平武網(wǎng)站設(shè)計(jì) 四川平武網(wǎng)站制作 成都做網(wǎng)站