4 月 1 日，雷鋒網(wǎng)從微步在線了解到，境外黑客組織“白象”在蟄伏了一段時間后，于今年 3 月上旬對國內(nèi)發(fā)起攻擊。

2017年12月下旬，國外網(wǎng)絡(luò)安全公司趨勢科技對其攻擊活動曝光后，該團(tuán)伙迅速停用了所有域名、IP等基礎(chǔ)設(shè)施，進(jìn)入“蟄伏期”。然而在今年 3 月上旬至 3 月中旬，“白象”團(tuán)伙再次發(fā)起針對我國的網(wǎng)絡(luò)攻擊，使用的誘餌文檔均為某特定期間的新聞話題，涉及軍事、社會、法律等多個方面。

此次，白象利用誘餌文檔，通過 Office 漏洞向受害主機(jī)植入木馬后門，相關(guān)程序與該團(tuán)伙此前使用的木馬結(jié)構(gòu)功能基本一致，可根據(jù)遠(yuǎn)程控制服務(wù)器發(fā)送的指令完全控制受害主機(jī)。此次攻擊活動系通過釣魚郵件對特定單位和個人發(fā)起，且攻擊活動仍在繼續(xù)。

據(jù)微步在線捕獲的樣本文檔顯示，“白象”使用的多個誘餌文檔，分別存放在 fprii.net、ifenngnews.com和chinapolicyanalysis.org 等該團(tuán)伙注冊的仿冒網(wǎng)站上，文檔內(nèi)容涉及“2018最新部隊工資調(diào)整政策” （3月6日出現(xiàn)）、 “民政部公布一批非法社會組織” （3月14日生成）、“中華人民共和國監(jiān)察法（草案）”（3月15日生成）、以及日本防衛(wèi)研究所發(fā)布的2018年版《中國安全戰(zhàn)略報告》（3月13日出現(xiàn)）等某特定期間的熱點話題，具備較強(qiáng)的迷惑性和針對性。

雷鋒網(wǎng)了解到，這批誘餌文檔均利用了微軟Office較新漏洞CVE-2017-8570，未及時安裝補(bǔ)丁的用戶一旦打開文檔就會觸發(fā)惡意代碼，并被植入后門程序。

樣本分析

以下為微步在線出具的樣本分析：

我們以名為“Chinas_Arctic_Dream.doc”的樣本（21f5514d6256a20dcf9af315ee742d6d2a5b07009b200b447c45b2e8f057361d）為例對此次攻擊涉及的木馬程序分析如下：

1.樣本流程概要

與2017年12月捕獲的樣本不同的是，此次樣本較早期樣本解密流程更加簡潔，木馬后門不在內(nèi)存解密執(zhí)行，而是落地后直接運行。流程對比圖如下：

??2017年12月份樣本

??2018年3月份樣本

??

微步云沙箱檢測結(jié)果

2. Droper分析(qrat.exe)

a. Word文檔被打開后，會通過觸發(fā)漏洞釋放并運行qrat.exe，樣本為C#開發(fā)，并做了混淆以防止被分析。

 b. 該Droper樣本和以往捕獲的“白象”樣本功能相似，主要是進(jìn)行木馬后門的安裝。樣本運行后會通過資源先后釋放Microsoft.Win32.TaskScheduler.dll和microsoft_network.exe。這兩個文件都被存放在qrat.exe的資源中，該段資源包含兩個PE文件，最開始的MZ頭是后門程序，而第二個MZ頭是添加計劃任務(wù)的dll。通過PE工具可以查看明顯的PE文件特征。

??

為了驗證猜想，可通過PE工具和16進(jìn)制編輯器對這段資源進(jìn)行提取和分離然后分別得到后門microsoft_network.exe和動態(tài)鏈接庫文件Microsoft.Win32.TaskScheduler.dll。

 c. 釋放后門到路徑%APPDATA%\Microsoft Network\microsoft_network\1.0.0.0目錄，并注冊開機(jī)啟動，通過調(diào)用Microsoft.Win32.TaskScheduler.dll添加計劃任務(wù)，每5分鐘執(zhí)行一次。

?

qrat.exe的編譯時間為2018年2月2日

3. 后門分析(microsoft_network.exe)

a. 樣本從編譯時間來看是2018年1月23日，同樣采用C#編寫，也同樣做了混淆，去掉混淆后發(fā)現(xiàn)該樣本為遠(yuǎn)控木馬。木馬采用開源遠(yuǎn)控xRAT的源碼編譯，一直被“白象”團(tuán)伙所使用。此次木馬在功能能上相比去年12月份的樣本，并沒有什么功能性的變化，但是對配置文件選項進(jìn)行了AES加密，并進(jìn)行了Base64編碼。如下圖所示：

?

該款木馬的內(nèi)部版本號為2.0.0.0 RELEASE3，上線域名tautiaos.com（當(dāng)前解析43.249.37.199，已無法連接），上線端口號23558，連接密碼g00gle@209.58.185.36，互斥體為eohSEArfS1nJ0SBOsCLroQlBlnYZnEjM，配置信息解密密鑰為Kkbnev10lq5zOdKl51Aq。與之前捕獲的樣本相比，此次樣本的配置信息均進(jìn)行了修改，但端口號仍然使用23588。 

b. 樣本運行后獲取操作系統(tǒng)基本信息，通過“ freegeoip.net”獲取受害者的地理位置，然后創(chuàng)建互斥體等。遠(yuǎn)控基本功能包括：

a) 基礎(chǔ)功能：遠(yuǎn)程 Shell，進(jìn)程管理，屏幕管理，文件操作，獲取主機(jī)信息，查看開機(jī)啟動項，遠(yuǎn)程關(guān)機(jī)、重啟等；

b) 殺軟對抗，防火墻檢測；

c) 自動更新功能，dll 注入；

d) 獲取同一個域下的其它設(shè)備的信息。

關(guān)聯(lián)分析

對此次涉及的惡意域名ifenngnews.com、chinapolicyanalysis.org關(guān)聯(lián)發(fā)現(xiàn)，除datapeople-cn.com、sinamilnews.com、ustc-cn.org等大批我們此前已經(jīng)掌握該團(tuán)伙資產(chǎn)外，我們還發(fā)現(xiàn)了包括wipikedia.xyz、armynews.today等多個于2018年1月19日最新注冊的可疑域名，從域名注冊商、服務(wù)器信息等特點研判認(rèn)為，這些域名仍為“白象”團(tuán)伙所有，如下圖所示：

??

此外，有情報顯示，“白象”團(tuán)伙此次攻擊主要利用釣魚郵件向特定單位和個人傳播惡意文檔的下載鏈接，截至 2018 年 3 月 21 日，大多數(shù)惡意鏈接仍可訪問下載（如hxxp://fprii[.]net/The_Four_Traps_for_China.doc），證明攻擊活動仍在繼續(xù)。雷鋒網(wǎng)了解到，用戶還可以下載放入監(jiān)控或者在自己的日志中查看，近期這個團(tuán)伙是否關(guān)注了相關(guān)單位。

雷峰網(wǎng)版權(quán)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。