响尾蛇(SideWinder) APT组织2020年上半年活动总结报告
响尾蛇(SideWinder) APT组织2020年上半年活动总结报告
注意事项:1.本报告由追影小组原创,未经许可禁止转载2.本文一共3245字,36张图,预计阅读时间8分钟3.本文涉及的敏感内容皆已打码,并且不公开C2和hash.所造成的恶劣影响与本公众号和本团队无关
0x00 前言:
响尾蛇(又称SideWinder,T-APT-04)是一个背景可能的印度的APT组织,该组织联合国已对巴基斯坦和东南亚各国发起过多次攻击,该组织以窃取政府,能源,军事,矿产等领域的机密信息为主要目的。
在今年初的时候,Gcow安全团队的追影小组发布了关于SiderWinder APT组织的报告- 《游荡于中巴替换的魅影-响尾蛇(SideWinder)》 APT组织针对巴基斯坦最近的活动以及2019年该组织的活动总结》。。本小组也一直该小组的活动整合跟踪。
在2020上半年的活动中该组织的主要目标依然是巴基斯坦,中国,孟加拉国以及其他的东南亚国家,其主要是集中在政府,军事领域。不过某些的在本次活动也出现了体育比赛方面的话题。同时该组织在针对某某重点单位的时候采取的使用钓鱼网站的方式窃取相关人员的安排,目前所发现的这种方式主要针对的是与军事有关的部门。实际上该组织也同样利用关于COVID-19的信息作为诱饵对中巴的教育机构以及政府机构进行攻击活动。
从样本攻击流程来看,该组织的技术并没有太多的革新。主要的样本形式有两类,第一类为带有CVE-2017-11882突破的RTF(富文本)文件;另一类为使用该mshta.exe执行远程hta脚本的LNK文件。不过该组织在针对某些特定的大学的攻击活动中所采取的替代方法不同,其采用了CVE-2017-0199突破性结合CVE-2020-0674的方式进行攻击,在后续的内容中我们会详细的介绍该组织使用的新手法。具体的流程会在后文中以流程图的形式展现出来。
Gcow安全团队追影小组初步统计了关于2020年上半年半年度国内外各大厂商以及安全团队所发布的内容的披露SideWinder APT组织的相关报告信息,并把相关报告链接放在了文末的相关链接上(若有不全欢迎私信补充)
图片1-2020上半年各大厂商发布关于SideWinder APT组织的报告
根据不完全统计,Gcow安全团队追影小组还替换了该组织2020年上半年的攻击活动脉络图。
图片2-SideWinder APT组织2020上半年的活动时间轴
0x01 样本分析:
该组织主要发布的样本类型以LNK文件为主,RTF文件为辅。基本在针对每个目标的攻击活动中,我们都发现其使用两种交替攻击的情况。
一 针对巴基斯坦的活动:
下图为该组织针对巴基斯坦活动所投放的LNK文件:
图片3-2020上半年SideWinder APT组织针对巴基斯坦所投放的LNK样本
其主要通过将lnk文件放到压缩包中,以达到绕过过邮件网关的目的。
其释放的诱饵文件如下:
图片4-向退役军人释放csd回扣卡
图片5-巴基斯坦军方抗击疫情相关战略
图片6-巴基斯坦空军大学疫情期间网络课程政策
其中这些LNK文件的参数为%windir%\system32\cftmo.exe {HTA URL} 这里的cftmo.exe是伪装的mshta.exe。该组织通过修改sIDList结构以迷惑受害者。
图片7-lnk系数的参数
所请求的远程hta文件,该组织以自写的解密算法取代了之前的硬编码,不过核心与上一篇文章我们所描述的一样,在内存加载.Net的dll文件LinkZip.dll
图片8-第一阶段hta脚本
LinkZip.dll被认为四个参数
参数1-下一段hta文件的URL地址参数2-上传杀软信息的URL地址参数3-base64和Gzip加密后的诱饵文档数据参数4-诱饵文档名称
该LinkZip.dll先解密参数3,再将诱饵文档编写临时文件夹,最后运行。就会出现我们提到的那些诱饵文档,以迷惑受害者。
图片9-解密诱饵文档数据并运行
将参数1的第二阶段hta文件下载下来,存在%temp%\目录下,利用mshta.exe将其运行起来,若运行不成功将会向参数2反馈在第一阶段hta脚本中收集的杀软信息以及其他异常情况。
图片10-执行第二段hta脚本并反馈异常信息
第二阶段hta脚本同样是解密后内存加载.Net文件StInstaller.dll
图片11-第二阶段hta脚本
StInstaller.dll被认为了三个参数
参数1-加密的duser.dll数据参数2-加密的{随机名}.tmp数据参数3-编码的回链C2地址
先从其%windir%\system32\或者%windir%\syswow64\拷贝产品rekeywiz.exe到该木马的指定文件夹数下,解密Duser.dll与{随机名}.tmp,并将其写入木马指定的文件夹下,以组成rekeywiz.exe与Duser.dll白加黑组合进行攻击,并且通过写注册表启动项的方式将rekeywiz.exe添加自启动达到权限维持的效果。
图片12-StInstaller.dll
Duser.dll以rekeywiz.exe的侧加载执行起来,并且其主要功能是读取同目录下的.tmp文件,并选择其前32个字节为异或的秘钥,解密后面的内容再重新加载。
图片13-Duser.dll
其解密出了最后的Net文件SystemApp.dll
由于最后的远控与上篇文章没有什么区别,这里不再多余述。
图片14-SystemApp.dll
远控指令:
图片15-远控指令
为了方便各位看官的理解本团队特意画了一张流程图,方便各位更加直观地了解这个组织的手法。
图片16-响尾蛇(SideWinder)APT组织lnk晶体的运行流程
二 针对孟加拉国的攻击活动:
本小组发现该组织针对孟加拉国的活动主要模仿了孟加拉国代购商协会对相关单位以及人员进行攻击活动。
图片17-模仿孟加拉国代购商协会进行攻击
该属于RTF类型的样本,主要是利用嵌入的ole对象释放1.a文件
图片18-1.a文件
1.a文件概述上文介绍了Lnk顶点中提到的第二阶段hta文件,其在内存中解密StInstaller.dll并释放白加黑组合,后续的白加黑组合也和上文类似,这里不再赘述。
图片19-响尾蛇(SideWinder)APT组织RTF副本的运行流程
三 针对中国的攻击活动:
在本次活动之中,本小组捕获了针对中国某某重点大学的网络攻击活动,如下是其使用的文件诱饵,话题关于2020年春季的疫情防控工作的优秀教师推荐名单。
图片20-针对某某重点大学的诱饵
其利用内置一个框架集组件,ID是rId912。该组件会指向一个远程的RTF文件,从而完成远程远程模板注入技术,加载远程模板,这是一种绕过杀软静态查杀的好方法。
图片21-远程模板注入技术
远程模板为RTF文档,其内嵌了OLE对象,并且使用了漏洞CVE-2017-0199加载其内置会自动更新的超链接域。
图片22-远程模板内置的自动更新超链接域
该超链接更新域指向一个hta文件,hta文件的解密算法与上文提到的类似。
不过某些原因是,该hta文件的异或解密秘钥是从网站上获取的。
若攻击者需要及时停止攻击活动只需要撤走相关的秘钥即可。
图片23-hta文件自解密部分
其解密的文件如下所示,通过调试发现其崩溃点移位量与双星突破所公开的POC完全相同,均位于jscript + 0x1cfbb位移处。从而确定为双星0day的CVE-2020-0674进攻的利用,属于浏览器nday突破利用规模。
图片24-CVE-2020-0674利用
图片25-与公开POC崩溃点变为完全一致
shellcode主要利用异或算法自解密再从C2上下载第二段shellcode解密执行后释放白加黑组合和随机名称的tmp文件以及兼容的.net环境的配置文件。为开机自启动。后续的内容就与上文相同,这里不再赘述。
图片26-Shellcode自解密后下载第二段shellcode解密内存执行
为方便大家理解,笔者调整了一张流程图来展示这个组织利用浏览器nday进行攻击的流程。
图片27-SideWinder组织利用浏览器nday对中国某重点大学发起攻击的活动
除此之外,该组织还针对针对的政府,军工,外交行业投递递减相应的副本,其主要内容以lnk文件与rtf文件。其执行流程与上文相符。
图片28-与军事有关的攻击活动1 
图片29-与军事有关的攻击活动2 
图片30-与政策有关的攻击活动
图片31-与科技有关的攻击活动
四 针对未确定地区的攻击活动:
在该组织的跟踪过程中,我们还观察了该组织利用关于体育比赛的话题进行攻击的活动。
该组织利用AFC(Asian Football Confederation)**`的话题进行攻击,其为lnk上限,具体lnk减小的运行方式我们已经在上文介绍过了,这里不再赘述。
图片32-利用AFC为诱饵
AFC(亚洲足球联合会)指的是亚洲足球联合会可见该组织的攻击目标集中在亚洲范围内,比较偏向于南亚,东亚,东南亚地区。
图片33-AFC简介
同时我们还监测到了关于其使用亚太科学中心协会ASPAC(Asia Pacific Network of Science and Technology Centres)的名称为话题诱饵的的攻击活动。
图片34-以ASPAC,BMAC为话题诱饵
其所使用的手法与上文类似,这里不再赘述。
0x02 样本关联与预设:
从一月份的样本来看,该组织依旧沿用了rekeywiz.exe与Duser.dll这个白加黑的组合方式,并且使用了读取同目录下的带有随机名的tmp文件的前32个字节当做秘钥的手法,以解密后面加密的部分。其lnk文件的伪装欺骗以及释放相关诱饵的流程也与去年年末的活动有相似之处。
不过有所不同的是,其在去年的hta文件中主要使用的编码方式是base64编码但在今年的活动中,其使用了自己的自定义编码方式对文本进行解码与异或解密。这给杀软的静态查杀造成了一定程度的困难。
图片35-hta文件自编码方式的改变
同时该组织也有一定的突破利用能力,某些其利用CVE-2019-2215以及CVE-2020-0674的裂隙,两者在其利用的时候都属于nday细分范围。并且从其相关的利用代码来看,存在了该组织可能依托于网络军火商的现象。
比如CVE-2020-0674的漏洞,依据国内安全厂商360以及日本证书所发布的报告来看,二者的前面所使用的变量声明以及具体参数是一致的,该一致性也同样适用于目前泄露的该漏洞的POC中。从此后研磨第一种可能是SideWinder APT组织截取了Darkhotel APT组织所使用的入侵利用代码,并进行进行二次的开发。还有一种情况为其中都依托于某网络武器的供应商。本小组认为可能的可能大于前者。
图片36-本次活动使用nday与日本cert报告中的所使用的利用代码的相似
不过以上仅仅为追影小组的一些猜测,如果看官有更多相关的证据,欢迎在评论区指出。
0x03 处置建议与结语
处置建议
删除C:\ ProgramData \下可能存在的疑似的文件夹中,存在rekeywiz.exe,Duser.dll,rekeywiz.exe.config,{随机名} .tmp
或者通过进程遍历查找rekeywiz.exe打开其路径是否于%windir%\System32或者%windir%\syswow64下,不如果存在观察是否存在同目录下的随机名tmp文件,如果存在需要将其清空。
同时找到引导启动项删除目标路径为rekeywiz.exe的调用键值。
另外需要注意的是CVE-2020-0674拆分在win7上很难打上补丁,由于win7已经停服,请广大win7用户自行检查自己的jscript.dll文件版本是否小于5.8.9600.19626这个版本,如果是,则处在该突破影响的风险中,这里建议最稳妥的方式就是升级系统。
结语
印度的响尾蛇APT组织是比较活跃的APT组织之一,通过手法的进步,以及相关的nday突破利用,该组织的攻击水平会越来越高。对中国的政治,经济,军事等方面会造成的一定影响。同时加强员工的安全意识,进行安全意识培训,勤打补丁,可以对这种“鱼叉”攻击一定的预防作用。
0x04.IOC
MD5
FEF12D62A3B2FBF1D3BE1F0C71AE393E
69A173DC32E084E7F1E1633526F80CA2
DBB09FD0DA004742CAC805150DBC01CA
865E7C8013537414B97749E7A160A94E
3AD91B31956CE49FE3736C0E7344228D
B6932A288649B3CEB9A454F808D6EB35
7E461F6366681C5AE24920A31C3CFEC6
C2
nrots [。] net
www.d01fa [。] net
www.fdn-en [。] net
ap-ms [。] net
r0dps [。] net
www-afc [。] chrom3 [。] net
cloud-apt [。] net
www.link-cdnl [。] net
kat0x [。] net
www [。] au-edu [。] km01s [。] net
0x05 相关链接:
https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/• https://mp.weixin.qq.com/s/yxUTG3Qva169-XiYV0pAyQ • https://mp.weixin.qq.com/s/9LfElDbKCrQX1QzGFISFPw • https://mp.weixin.qq.com/s/Kb_woHp1miaCgDZyHLHNgA • https://mp.weixin.qq.com/s/CZrdslzEs4iwlaTzJH7Ubg•https://bbs.pediy.com/thread-259500.htm•https://blogs.360.cn/post/apt-c-06_0day。 html•https://blogs.jpcert.or.jp/zh/2020/04/ie-firefox-0day.html