黑狮行动：针对西班牙语地区的攻击活动剖析

宣布时间 2019-05-18

近期，，，，，，，鉴黑担保网ADLab监测到一批疑似针对西班牙语地区的政府机构及能源企业等部分的定向攻击活动，，，，，，，黑客组织通过结构恶意Office Word文档并配合鱼叉邮件提倡定向攻击，，，，，，，以“简历更新”作为诱饵文档向攻击目的植入特工木马，，，，，，，从事情报网络、远控监视及系统破损等恶意行动。。。。。。。我们将土耳其黑客的此次攻击行动称为“黑狮行动”。。。。。。。

通过对攻击者的行为和所用效劳器相关信息的剖析和追踪，，，，，，，确定该次攻击泉源于一批隐秘多年的土耳其黑客组织-KingSqlZ黑客组织。。。。。。。该组织是一个民族主义色彩很是浓重的黑客组织，，，，，，，曾攻陷其他国家的3千多个网站效劳器，，，，，，，并高调的在被攻击网站上留下其组织的名称，，，，，，，随后消逝了多年。。。。。。。现在通过我们对”黑狮行动”的追踪再次挖出该黑客组织的活动迹象。。。。。。。本次攻击历程中，，，，，，，该黑客组织接纳渗透手段攻陷多台效劳器并将其作为存放攻击代码的跳板。。。。。。。

2019年2月，，，，，，，我们发明了第一个攻击样本并将其加入到追踪清单中，，，，，，，直到近期已经发明了多起攻击，，，，，，，每次攻击都使用了差别的攻击形态和免杀方法。。。。。。。从现在已有的攻击代码中我们发明了两款商用远程治理工具（RAT）：WARZONE和Remcos，，，，，，，其中WARZONE被杀毒厂商普遍的识别为AVE_MARIA（由于RAT代码中保存该字符串因而被命名为” AVE_MARIA”），，，，，，，可是通过我们深入的剖析确定AVE_MARIA为远程治理工具WARZONE。。。。。。。本文中，，，，，，，我们将对黑客组织、攻击目的以及其所使用的攻击武器举行深入剖析。。。。。。。

1威胁剖析

1.1 攻击目的剖析

从现在所获取的攻击样本和威胁情报，，，，，，，可以看出本次攻击活动并没有大规模的举行，，，，，，，现在还处于攻击试探阶段，，，，，，，可是从其投放的诱饵文档可以简朴简直定其攻击目的锁定在西班牙语系的国家。。。。。。。这些诱饵文档形如：“Curriculum Vitae Actualizado Jaime Arias.doc”（简历更新海梅阿里亚斯）、“Curriculum Vitae Actualizado Daniel Ortiz.doc”(简历更新丹尼尔奥蒂兹)、“Michelle Flores - Curriculum Actualizado.doc”(米歇尔弗洛雷斯-简历更新)、“Jose Trujillo.doc”(何塞特鲁希略)等等，，，，，，，它们均接纳西班牙语来结构一个带恶意宏代码的简历文件。。。。。。。以此来对目的人力部分举行攻击，，，，，，，以诱使相关职员执行恶意代码进而从事特工活动。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

在我们剖析这批诱饵文档时，，，，，，，还发明一个有趣的征象，，，，，，，那就是许多诱饵文档中包括了文档作者信息和最后一次生涯者信息，，，，，，，并且这些信息均为类似财务部、信访局、SCG（Southern Connecticut Gas）等等与政府部分相关的信息。。。。。。。通过我们现实测试发明，，，，，，，这些信息均会在文档修改后酿成目今会见者office上岸账户名或者主机名，，，，，，，并且有心的人还可以对其举行恣意定制。。。。。。。我们选取几个典范的样本并针对相关信息和逻辑关系做了如下梳理和推论：

我们通过建设内容时间、最后修改时间及攻击文档内部的逻辑关系推论出相关纪录应为攻击者生涯。。。。。。。�；；；；；谧詈侠硪约白钣锌赡艿耐撇�，，，，，，，我们以为攻击者可能是基于黑客组织内部规范，，，，，，，将文档的相关名称设置为攻击目的或相关行业信息，，，，，，，从而伪造成内部人士，，，，，，，在一定水平上起到混淆视听、隐藏自身的目的。。。。。。。

由此我们可以看出此次行动的攻击目的为西班牙语系地区的政府或者公共效劳部分，，，，，，，虽然并不扫除其有更多的目的，，，，，，，至少可以肯定的是此次行动是一次带有政治目的的攻击活动。。。。。。。

1.2 黑客组织剖析

在我们深入剖析恶意代码时，，，，，，，发明该次攻击的控制下令效劳器是由上游黑客也即是恶意软件提供商所提供的，，，，，，，从这些控制下令效劳器上是无法追踪到该次行动的背后组织，，，，，，，因此我们把主要精神聚焦于攻击的前几个阶段相关的域名。。。。。。。虽然大部分域名均接纳了隐私保�；；；；；�，，，，，，，无法找到有用的信息，，，，，，，可是我们却在其中一个强关联的样本中发明一个可突破的点。。。。。。。我们在其中一个RTF文档中内部发明了一个Excel文件，，，，，，，该Excel文件会通过执行宏来下载恶意代码。。。。。。。通过对该效劳器的剖析我们乐成地找到了与黑客组织相关的线索。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

在恶意代码存储路径的同目录，，，，，，，我们发明黑客组织所留下的一些信息，，，，，，，下图为其中一个文件纪录的信息：

该文件中包括了一些声明信息、黑客组织及其相关成员，，，，，，，并且所接纳的语言为土耳其语，，，，，，，因此我们判断该组织正是一经活跃一时的KingSqlZ黑客组织。。。。。。。该效劳器很有可能在被黑客组织控制后作为跳板机或资源效劳器继续使用。。。。。。。别的通过恶意代码时区剖析法，，，，，，，我们进一步确定该次攻击来自于土耳其黑客。。。。。。。我们对RAT样本之前的PE文件及其他前期攻击环节相关的样本的编译时间做了时区剖析（由于RAT样原来自于上游黑客，，，，，，，因此我们忽略了该类样本的时区剖析）。。。。。。。最后发明这些攻击样本的编译时间在UTC时间21:00至06:00区间内泛起的频次极低。。。。。。。而假定以24:00至08:00作为睡眠时间，，，，，，，攻击者所处的时区可能会在东3区（UTC+3）正负 1 小时区间内，，，，，，，而土耳其时区为东三区正好切合。。。。。。。

在文件的纪录信息里还可以得知到该组织成员如F0RTYSEVEN , BlackApple , Pyske , HeroTurk , SadrazaM , MrDemonLord等，，，，，，，他们早期举行过猖獗的网络攻击活动，，，，，，，攻陷的效劳器高达3287个，，，，，，，而之后便神秘的销声匿迹，，，，，，，其twitter账号也阻止了活动。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

本次攻击活动最先于2019年，，，，，，，接纳大宗公共DDNS效劳子域名作为C2来实验攻击，，，，，，，这其中的一些域名为2019年新注册的，，，，，，，使用的部分域名如下：

asdfwrkhl.warzonedns.com
casillas.hicam.net
casillasmx.chickenkiller.com
casillas.libfoobar.so
du4alr0ute.sendsmtp.com
settings.wifizone.org
wifi.con-ip.com
rsaupdatr.jumpingcrab.com

activate.office-on-the.net

到报告撰写时，，，，，，，部分中心攻击阶段的域名已经失效，，，，，，，但RAT回连的C2依然在活跃。。。。。。。依据我们现在对疑似攻击组织的掌握和溯源剖析，，，，，，，绘制黑客组织画像如下：

2攻击概述

此次事务的主要攻击活动时间线如下所示:

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

其中，，，，，，，我们对2019年2月7日发明的“Curriculum Vitae Actualizado Jaime Arias.doc”文档举行了详细的剖析，，，，，，，并相继捕获到关联文档“Curriculum Vitae Actualizado Daniel Ortiz.doc”和“Michelle Flores - Curriculum Actualizado.doc/ Jose Trujillo.doc”。。。。。。。

攻击者使用了API哈希、无文件攻击、WinrarSFX、AutoIt、C#混淆和傀儡历程等手艺来规避检测并滋扰剖析职员。。。。。。。其中，，，，，，，“Curriculum Vitae Actualizado Jaime Arias.doc”文档植入的木马泉源最初无法确认，，，，，，，我们在其中发明了特征字符串“AVE_MARIA”,其与Cybaze-Yoroi ZLab研究职员在2018年12月尾披露的针对意大利某能源企业举行攻击的恶意软件相似度很高，，，，，，，部分清静研究员和厂商由于没有乐成的举行溯源便以此字符串做为该木马家族的名称。。。。。。。而我们经由关联溯源和同源性剖析后发明，，，，，，，“AVE_MARIA”类恶意样本同RAT工具“WARZONE”RAT具有高度一致性，，，，，，，因此将此类恶意家族命名更新为“WARZONE”。。。。。。。

后文将重点就植入特工木马的2个Office Word文档（“Curriculum Vitae Actualizado Jaime Arias.doc”和“Michelle Flores - Curriculum Actualizado.doc”）及其释放的文件举行详细剖析。。。。。。。

3手艺剖析

3.1 早期攻击样本

此次攻击历程最先于一个携带恶意宏的DOC文档，，，，，，，黑客通过伪造成简历的投递邮件手段将此恶意文件发送给攻击目的，，，，，，，当目的用户失慎翻开文档便成为了受害者。。。。。。。DOC文档运行后会启动恶意宏代码并从指定的效劳器下载Etr739.exe，，，，，，，乐成下载后连忙执行。。。。。。。新历程通过Base64解码出另一个效劳器地点，，，，，，，继续下载恶意代码hqpi64.exe至暂时目录下。。。。。。。恶意程序hqpi64.exe即是Warzone RAT的释放器，，，，，，，其通过释放Warzone RAT来执行后续操作，，，，，，，如将explorer.exe作为傀儡历程守护、与控制端举行通讯等。。。。。。。

样本中的恶意代码大部分接纳CRC32来加密敏感字串，，，，，，，同时在API挪用手法上接纳了API Hash值动态获取函数地点和模拟系统快速挪用两种方法。。。。。。。使用此类手法不但能在一定水平上镌汰杀软静态扫描的检测，，，，，，，并且还不易被监测到API的挪用踪迹。。。。。。。同时其使用纯加密Shellcode代码内存执行的方法加载其焦点功效�？？？？�，，，，，，，通过“无文件手艺”提高自身隐藏性，，，，，，，以此来逃避清静厂商查杀。。。。。。。其与C2效劳器间的通讯数据也以CR4算法举行加密进而规避IDS系统的检测。。。。。。。

样本整体执行流程如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

(1)DOC文档

Doc文档为word文件，，，，，，，也是针对攻击目的实验的第一步攻击，，，，，，，黑客通过垂纶攻击、社工等手段诱骗攻击目的翻开此文档让其中嵌入的恶意宏代码得以执行。。。。。。。我们使用提取工具获取到的宏代码如下图所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

在AutoOpen函数中包括了一串混淆过的cmd下令，，，，，，，经由解密后的代码如图所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

这段代码获得执行后，，，，，，，会直接以后链接地点(http[:]//linksysdatakeys.se)下载恶意程序到“%Temp%\SAfdASF.exe”并执行。。。。。。。

(2)Payload

下一个Dropper的下载地点是被加密后生涯在恶意程序SAfdASF.exe的资源中，，，，，，，加密的资源数据如下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

该Payload先将上图中加密的数据通过Base64解码出下载链接地点“http[:]//www.gestomarket[.]co/hqpi64.exe”，，，，，，，然后把hqpi64.exe更名为2XC2DF0S.exe并生涯在暂时目录下。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

(3)Dropper

在后续的解密以及执行的历程中，，，，，，，此Dropper会把一段Shellcode注入到explorer历程并在内存中解密出RAT实体使其不落地，，，，，，，最终通过无文件手艺将RAT加载到内存中来执行。。。。。。。

逃避检测

此恶意程序在最先执行时，，，，，，，会通过大宗的挪用printf函数打印垃圾代码和sleep函数来抵达延时效果，，，，，，，这在一定水平上能够逃避清静软件的监控。。。。。。。而其焦点功效是将自身携带的shellcode解密并执行：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

解密shellcode

如上图所示，，，，，，，恶意程序会在加载执行shellcode前举行解密。。。。。。。解密算法很是简朴，，，，，，，将每个字节的值增添0x0c即可。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

自界说的解密函数

经由重重下载并解密之后，，，，，，，那么这段解密后的Shellcode(PE Loader)代码详细会做些什么，，，，，，，下面我们来一窥事实。。。。。。。

PE Loader

此PE Loader在执行Shellcode的时间使用了四个参数，，，，，，，经剖析后我们将这4个参数内容所对应的详细功效整理如下表所示：

序号	内容	功效
参数1	“FYBLV”	拷贝自身的目录名和文件名(需解密的资源名)
参数2	“BJU”	RAT远控文件(需解密的PE文件资源名)
参数3	“OPTYUPPABIVSUWNRXSNCTDW”	Key
参数4	0x01（牢靠数值）	未使用

该PE Loader首先在运行历程中举行了沙箱和指定历程的检测，，，，，，，以避免被自动化系统剖析。。。。。。。并且凭证自带的资源数据来判断是否实验驻留本机的操作和注入体的选择。。。。。。。最后此PE Loader将最终选择的傀儡历程的空间倾轧，，，，，，，并把解密出的RAT�？？？？橛成涞酱死讨兄葱�(原本PE文件代码被置换)。。。。。。。

运行情形检测

该PE Loader在最先运行时，，，，，，，依然会举行沙箱和调试情形的检测，，，，，，，同时通过预先盘算好的历程名哈希值来查找指定的历程。。。。。。。当这些检测条件中的恣意一条知足时，，，，，，，该恶意程序就不再继续执行，，，，，，，直接返回退出。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

运行情形检测

操作资源数据

若是运行情形的检测所有通过，，，，，，，该PE Loader则加载名为“FYBLV”的资源数据，，，，，，，并从资源中取出后续要拷贝自身的文件夹名称和文件名的字串。。。。。。。然后以参数3作为脱离符，，，，，，，依次取出其它的数据并生涯在自界说的结构体中。。。。。。。资源中提取出的结构数据内容如下图：（图中标红的数值为生涯在结构体中的8个成员数据）：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

经太过析，，，，，，，结构体中每个成员的详细功效可参考下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

释放与驻留

若是bIsCpySelf值为TRUE，，，，，，，那么该PELoader会将自己复制到C:\Users\SuperVirus\AppData\Roaming\ptdkuybasm\"目录下并把新文件命名为szPathName里生涯的内容。。。。。。。接着在Windows的启动文件夹里建设一个.url的网页文件快捷方法，，，，，，，我们审查该PE Loader建设的快捷键属性，，，，，，，发明此快捷键的会见协议名堂为file:///，，，，，，，即指向的资源是外地盘算机上的文件，，，，，，，此后面紧跟的路径即是复制已往新文件的全路径。。。。。。。通过此方规则可实现开机自启动以抵达恒久控制主机的目的。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

建设的快捷键属性

最后，，，，，，，该PE Loader凭证结构体中的dwFlag值来选择后续的RAT载体，，，，，，，所对应的RAT载体详见下表：

数据	历程名
0x01	C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
0x02	C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
0x03	C:\Windows\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe
0x04	C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
0x05	C:\Windows\System32\svchost.exe
0x06	C:\Windows\System32\dllhost.exe
0x07	目今运行的自身历程

而在本样本中，，，，，，，此成员的值所对应的载体为目今运行的自身历程。。。。。。。

获取RAT并执行

在准备好RAT的傀儡历程后，，，，，，，该PE Loader将结构体中的szKey值作为key，，，，，，，和名为”BJU”的资源传入解密函数。。。。。。。解密的算法仅为XOR运算，，，，，，，详细算法代码如下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

接着，，，，，，，该PE Loader重新建设新历程并将其设置为挂起状态。。。。。。。然后卸载此历程映像，，，，，，，并把在内存中解密出的新的PE头部，，，，，，，以及节数据依次写入到挂起的历程中，，，，，，，最后修改OEP并启动运行。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

(4) WARZONE RAT�？？？？�

我们将此PE文件从内存中dump出来，，，，，，，通太过析和溯源后发明，，，，，，，该PE与外洋某黑客论坛中售卖的WARZONE RAT同出一辙。。。。。。。由此我们推测，，，，，，，此处使用的RAT�？？？？榭赡芪猈AREZONE RAT1.6版本，，，，，，，此版本为C++语言编写，，，，，，，主要功效包括远程桌面控制、键盘纪录、特权升级（UAC绕过）、远程WebCam、窃取凭证信息、Remote Shell、Offine Keylogger等等。。。。。。。下面我们会对RAT中的焦点部分做简要先容。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

远控程序Warzone后台界面

获取C&C地点

为了避免C&C被容易发明或者批量提取，，，，，，，该木马将其加密后存放在“.bss”的资源节数据中。。。。。。。通过对解密函数的剖析我们发明，，，，，，，这里接纳了CR4算法。。。。。。。CR4天生一种称为密钥流的伪随机流，，，，，，，它是同明文通过异或操作相混淆来抵达加密的目的。。。。。。。解密时则使用密钥调理算法(KSA)来完成对巨细为256个字节数组sbox的初始化及替换。。。。。。。详细流程如下：

1）用数值0~255来初始化数组sbox。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2)当最先替换的时间，，，，，，，获取硬编码在资源里的密钥，，，，，，，长度为0x32个字节。。。。。。。

(在资源数据中前0x32个字节是密钥，，，，，，，其余0x68个字节则是待解密的数据)

密钥和待解密数据

3）密钥流的天生是从sbox[0]到sbox[255]，，，，，，，对每个sbox[i]，，，，，，，凭证目今sbox值，，，，，，，将sbox[i]与sbox中的另一个字节置换，，，，，，，然后使用密钥举行替换。。。。。。。当数组sbox完成初始化之后，，，，，，，输入密码便不再被使用。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

4）替换后的sbox数组中的数值如下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

5）通过替换后的sbox和待解密的数据举行XOR运算后，，，，，，，最终获得效劳器的host地点"asdfwrkhl.warzonedns[.]com"。。。。。。。

执行注入功效

当乐成解密出C&C地点后，，，，，，，该木马则最先将一段Shellcode代码注入到傀儡历程中。。。。。。。在注入功效开启时，，，，，，，木马程序首先会凭证操作系统架构(64/32)来选择注入到cmd.exe或explorer.exe中。。。。。。。相关代码如下图所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

接着，，，，，，，该木马使用远程线程的方法来注入焦点功效Shellcode代码，，，，，，，并在启动远线程执行时，，，，，，，修改写入目的历程内存偏移的0x10E处为最先执行代码。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

通太过析我们发明，，，，，，，这段注入代码的主要功效是使用傀儡历程来保�；；；；；ropper(hqpi64.exe)。。。。。。。其会准时检查Dropper是否处于运行状态，，，，，，，如被关闭，，，，，，，则重新启动。。。。。。。以此抵达历程守护的目的。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

历程守护功效

通讯协议剖析

1）毗连效劳器

当乐成注入到目的历程后，，，，，，，该木马则最先实验与前文解密出的C2效劳器举行毗连，，，，，，，并会凭证效劳器返回的内容执行指定操作。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

吸收数据包的结构大致如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2）解密控制包

该木马首先将吸收到的前0x0C个字节作为头部数据挪用自界说fn_Decrypt_CR4函数举行解密（密钥以明文方法硬编码在代码中）。。。。。。。乐成解密后，，，，，，，取出偏移0x04处的DWORD数值作为是否继续执行以下游程的判断条件（此DWORD数值里生涯着除去0x0C后，，，，，，，剩余的数据长度）。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

若条件切合，，，，，，，则该木马会再次挪用fn_Decrypt_CR4函数对整个数据（头部数据+追随数据）重新举行一次解密。。。。。。。接着挪用自界说fn_Distribute函数，，，，，，，并取出数据中的OpCode来执行switch中差别的操作。。。。。。。相关代码如下图所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

3）执行控制指令

通过我们前面的剖析可以看到，，，，，，，该木马控制指令中包括了大宗用户隐私信息的窃取功效。。。。。。。最终受害者的敏感数据信息，，，，，，，都会凭证远程效劳器的指令回传给远程效劳器。。。。。。。

控制指令功效

当远程效劳器乐成响应数据后，，，，，，，该木马就会凭证效劳器返回的内容执行指定操作。。。。。。。部分控制指令功效如下表所示：

控制下令	指令功效
0x01~0x04	挪用自界说函数，，，，，，，并将执行效果回传效劳器
0x02	上传历程列表
0x04	获取盘算机逻辑磁盘信息
0x06	上传文件列表信息
0x08	下载控制下令中指定的文件
0x10	竣事控制下令中指定的历程
0x0E	Remote Shell
0x10	作废下载
0x12	获取Webcam Devices列表
0x14	Start Webcam
0x16	Stop Webcam
0x18	发送心跳包
0x1A	卸载客户端
0x1C	修改控制下令中指定的文件
0x1E	下载VNC�？？？？�
0x20	窃取Google Chrome、Mozilla FireFox等浏览器和OutLook、Thunderbird、Foxmail邮箱中生涯的凭证信息
0x22	下载控制下令中指定的文件链接并执行
0x24	凭证控制指令，，，，，，，切换两种方法来纪录键盘使用信息
0x26	使用全局新闻钩子，，，，，，，纪录键盘使用信息
0x28	Remote VNC装置
0x2A	测试本机的网络毗连功效
0x2C	断开远程效劳器
0x38	未知测试
other	获取用户名，，，，，，，系统版本，，，，，，，GUID等信息

1）窃取凭证信息

窃取的信息包括Google Chrome、Mozilla Firefox等浏览器和Outlook、Thunderbird、Foxmail邮箱客户端生涯的凭证信息等。。。。。。。

该木马获取相关凭证信息以及实现要领如下表所示：

窃取的凭证信息	实现要领
Google Chrome	读取\AppData\Local\Google\Chrome\User Data\Default\ Login Data数据库文件举行盘问
Mozilla Firefox	读取设置路径下的signons.sqlite数据库，，，，，，，并通过nss3.dll解密
Outlook	遍历注册表Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles下子键举行识别并解密
Thunderbird	读取\AppData\Roaming\Thunderbird\Profiles目录下的数据库文件，，，，，，，并通过应用程序目录下的nss3..dll对存储的密码举行解密
Foxmail	读取邮箱目录下的\\Account\\Account.rec0文件并举行解密

a）提取Chrome凭证

Chrome浏览器生涯用户登录信息的数据库文件为%AppData%\Local\Google\Chrome\UserData\Default\Login Data，，，，，，，该数据库是sqlite3的数据库，，，，，，，数据库中用于存储用户名密码的表为logins。。。。。。。logins表结构界说如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

从该表中读取的内容是加密的，，，，，，，通过CryptUnProtectData函数对其举行解密便可以获取到明文数据。。。。。。。最后该木马将解密后的数据生涯在名为”xxx.tmp”（”xxx“为Base64解码出的字串）的暂时文件中。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

b）提取Mozilla凭证信息

该木马首先检索和读取profile.ini设置文件，，，，，，，并提取关联的文件夹路径。。。。。。。接着使用nss3.dll来解密数据库signons.sqlite中被加密的内容，，，，，，，并通过SQL语句获取到主机名、被加密的用户名及密码，，，，，，，然后挪用nss3.dll中的导出函数对sqlite盘问出的用户名和密码举行解密。。。。。。。最后同样的，，，，，，，将解密后的内容生涯在名为”xxx.tmp”的暂时文件中。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

用户名和密码

c）OutLook凭证获取

电子邮箱OutLook的用户登录凭证一样平常会生涯在注册表中，，，，，，，该木马通过枚举注册表Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles下的所有子健，，，，，，，读取键名为下表中的数据好比password举行解密还原出明文的密码。。。。。。。最后将获取到的用户的Outlook登录凭证写入名为”xxx.tmp”的暂时文件中。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

获取Outlook邮箱的用户信息

d）Thunderbird凭证获取

同样，，，，，，，Thunderbird邮箱的凭证数据也是存储在数据库文件%AppData%\\Thunderbird\\Profiles中，，，，，，，该木马通过nss3.dll 的导出函数对贮存文件的密码举行解密。。。。。。。最后将解密后的数据生涯在名为”xxx.tmp”的暂时文件中。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

e）FoxMail凭证获取

该木马在FoxMail的装置目录下查找Storage文件夹，，，，，，，接着遍历所有目今邮箱账户目录下的\Account\Account.rec0文件。。。。。。。此文件现实上就是用来存放账户相关信息的，，，，，，，加密后的密码就默认生涯在这里。。。。。。。木马获取并解密此文件后便可窃取到Foxmail的凭证信息。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

f）上传获取到的凭证信息

窃取完所有信息后，，，，，，，该木马则使用fn_Decrypt_CR4加密函数将文件内容做加密处置惩罚并将它们发送给远程效劳器。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

2）键盘纪录

a）离线键盘纪录（常驻）

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

当接受到的控制下令为为启用脱机键盘纪录时，，，，，，，此木马则使用钩子来实现键盘纪录功效。。。。。。。该钩子将捕获按键和窗口名信息生涯在”C:\user\sss\AppData\Local\MicrosoftVision\”目录下，，，，，，，文件则以目今日期和时间来命名。。。。。。。相关代码的实现如下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

b）暂时键盘纪录

当远程控制指令为开启键盘纪录时，，，，，，，该木马则通过Raw Input要领来实时监控目今键盘的使用情形。。。。。。。接着将捕获到的键值举行判断并转化为字符值。。。。。。。同样的，，，，，，，这些字符值和窗口名信息生涯在”C:\user\sss\AppData\Local\MicrosoftVision\”目录下，，，，，，，文件则以目今日期和时间来命名。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

按键和窗口名信息的获取

3）RemoteVNC装置

a）将新用户添加到”远程桌面用户”组

首先，，，，，，，该木马会挪用fn_Base64自界说函数，，，，，，，解码出后续需要添加的账户名和密码。。。。。。。并设定Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\Userlist注册表值为0来隐藏新建设的账户。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

添加并隐藏建设的新账户

接着，，，，，，，该木马将上文解码出的账户名和密码作为新用户加入到administor用户组中。。。。。。。这样便可使用非治理员用户来举行远程桌面登录。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

将新账户加入治理员组中

b）更改远程桌面设置

该木马会修改注册表信息，，，，，，，实现翻开远程桌面、多用户支持、更改用户登录和注销方法、使用快速登录切换、以及设置远程”终端效劳”的使用名为“RDPClip”等等操作。。。。。。。详细细节如下图所示（仅截取了部分办法）：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

通太过析我们发明，，，，，，，此RAT的远程桌面功效是通过特制的VNC�？？？？槔词迪值�。。。。。。。并且在后续的更新版本中，，，，，，，还增添了HRDP�？？？？槔词迪忠卦犊刈烂�。。。。。。。该HRDP�？？？？槭褂昧薌ithub上的rdpwrap项目，，，，，，，不但可以在后台登录远程盘算机，，，，，，，并且建设的Windows账户还会自动隐藏。。。。。。。

4）权限升级（UAC绕过）

该木马的权限提升是使用了自动提升权限的正当应用程序”pkgmgr.exe”来执行DISP�？？？？�。。。。。。。其功效代码实现是接纳了Bypass-UAC框架，，，，，，，该框架可以通过挪用IFileOpertion COM工具所提供的要领来实现自动提权。。。。。。。

该木马先将嵌入在资源数据中的PE文件在内存中加载并运行。。。。。。。而此PE文件现实上是一个加载器，，，，，，，其所做的事情则是将资源中的另一个PE伪造为“dismcore.dll”，，，，，，，然后将此dll复制到System32目录下，，，，，，，最后使用pkgmgr.exe执行伪造的恶意DLL。。。。。。。由于pkgmgr.exe是一个UAC白名单程序，，，，，，，以是它默认具有治理员权限，，，，，，，且不会弹出UAC提醒框。。。。。。。部分代码如下图所示：

此恶意DLL的主要功效是获取注册表中的”Install”装置信息(Dropper的路径)并重新启动具有治理员权限的Dropper新历程。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

5）未知测试

该木马实验与远程效劳器举行通讯，，，，，，，当毗连乐成时则会向效劳器发送”AVE_MARIA”字串作为旗号。。。。。。。然后期待吸收效劳器返回数据，，，，，，，巨细为4个字节。。。。。。。若是吸收乐成，，，，，，，则开启新线程。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

在新线程中，，，，，，，凭证远程效劳器发送的指令，，，，，，，与新指定的C&C举行毗连。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

由于吸收数据无法获取，，，，，，，以是现在我们无法确定其准确用途，，，，，，，暂将其命名为未知测试。。。。。。。

3.2 最新攻击样本

我们在2019年3月26日捕获到了最新的关联文档“Michelle Flores - Curriculum Actualizado.doc”，，，，，，，其同样通过恶意宏启动攻击。。。。。。。文档首先通过Powershell剧本下载并执行PE文件“massive.exe”(C#编写并加入了大宗混淆)。。。。。。。之后包括了两个阶段，，，，，，，第一阶段“massive.exe”会从资源中解密出PE文件“DUMP1.exe”(C#编写)并加载。。。。。。。第二阶段则是“DUMP1.exe”释放自身并通过妄想使命设置自启动，，，，，，，最后从资源中提取出Remcos RAT并以傀儡历程的方法加载运行，，，，，，，焦点历程如下图：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

阶段一：

“massive.exe”从资源中提取并解码出加密字符流，，，，，，，之后通过StrReverse函数将该字符流逆序排列，，，，，，，再经FromBase64String函数解码，，，，，，，最后通过自界说的解密函数method_0解密获得PE文件“DUMP1.exe”。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

解密函数method_0如下图所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

在经由逆序排列和Base64解码后的字符串（byte_0）中，，，，，，，前16位为解密密钥“0x28 0x49 0xf7 0x30 0xec 0x8d 0x500x80 0x94 0xaf 0x85 0xaa 0xa8 0xe7 0xc0 0x41”,之后为待解密密文。。。。。。。函数以16位为循环,将密钥同密文依次举行按位异或，，，，，，，最终解密获得“DUMP1”文件并通过CallByName函数加载执行。。。。。。。

阶段二：

“DUMP1”文件同样接纳C#编写，，，，，，，程序首先会睡眠50秒以逃避沙箱检查，，，，，，，之后会检测调试器并将自身释放至“%ApplicationData%\riNpmWOoxxCY.exe”，，，，，，，接着建设schtasks.exe历程并添加妄想使命“Updates\riNpmWOoxxCY”，，，，，，，从而实现在登录账户时自启动，，，，，，，相关下令如下：

"C:\Windows\System32\schtasks.exe/Create/TN Updates\riNpmWOoxxCY/XMLC:\Users\super\AppData\Local\Temp\tmp925C.tmp"

之后，，，，，，，程序会从自身资源内解密出PE文件“DUMP2”，，，，，，，通过CreateProcess、WriteProcessMemory和SetThreadContext等函数，，，，，，，以挂起的方法加载一个新的历程，，，，，，，并最终以傀儡历程的方法写入并加载“DUMP2”。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

经太过析，，，，，，，我们在“DUMP2”中发明了一些可疑字符串如：“Remcos”、“Remcos_Mutex_Inj”、“2.3.0 Pro”。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

通过大宗可疑信息我们确认此木马为Remcos RAT的客户端，，，，，，，且其使用的版本为2.3.0 Pro。。。。。。。以Remcos RAT免费版V2.4.3为例，，，，，，，效劳端如图所示：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

其免费版仅可添加一个C2毗连效劳器，，，，，，，专业版则没有数目限制。。。。。。。此次攻击中植入的木马是通过专业版天生且毗连至多个恶意C2，，，，，，，包括的C2地点提取如下：

casillas.hicam.net
casillasmx.chickenkiller.com
casillas.libfoobar.so
du4alr0ute.sendsmtp.com
settings.wifizone.org
wifi.con-ip.com
rsaupdatr.jumpingcrab.com

activate.office-on-the.net

Remcos RAT自2016年下半年最先在其官网和黑客论坛售卖，，，，，，，部分厂商曾对其举行过详细的手艺剖析，，，，，，，在此不做赘述，，，，，，，但这款木马的发明为我们寻找“Curriculum Vitae Actualizado Jaime Arias.doc”植入的未知木马泉源提供了很好的溯源线索。。。。。。。

4恶意代码溯源与关联

4.1 恶意代码溯源追踪

前文曾提到，，，，，，，“Curriculum Vitae Actualizado Jaime Arias.doc”植入的木马中包括了“AVE_MARIA”特征字符串，，，，，，，且自2018年12月最先，，，，，，，“AVE_MARIA”类恶意样本在twitter、virustotal等平台越来越多的被发明。。。。。。。但多篇相关研究文章均未指出其真实泉源，，，，，，，杀毒厂商也普遍的将其命名为AVE_MARIA，，，，，，，这引起了我们浓重的兴趣。。。。。。。

我们实验从多种角度去溯源木马以寻找线索，，，，，，，包括域名、IP、关联样本等等。。。。。。。其中在对关联样本“Michelle Flores - Curriculum Actualizado.doc”的剖析中乐成溯源到了商用软件Remcos RAT。。。。。。。我们剖析了该软件的宣布渠道，，，，，，，发明其不但在官网举行销售，，，，，，，还在诸多黑客论坛如Hackforums上大宗售卖。。。。。。。由此，，，，，，，我们推测攻击职员很可能活跃在相关论坛并购置过多款商用软件，，，，，，，同时也将溯源重点转向黑客论坛和暗网市场。。。。。。。

我们网络并剖析了大宗AVE_MARIA类恶意样本，，，，，，，发明大部分样本均通过warzonedns.com子域名举行恶意毗连和下载，，，，，，，追溯发明着实质为黑客提供的DDNS效劳。。。。。。。连系攻击职员的活动线索，，，，，，，我们乐成追踪到Hackforums论坛上的可疑用户Solmyr。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

Solmyr在论坛中提供了warzonedns.com域名的免费DDNS效劳（IP动态绑定至子域名），，，，，，，使得用户可以容易的将效劳器IP绑定剖析至warzonedns.com下的恣意子域名，，，，，，，使用示例如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

这无疑给黑客提供了很好的藏身之所，，，，，，，与此同时我们发明Solmyr的另一个身份是WARZONE RAT的宣布者，，，，，，，该软件由于控制手段富厚、手艺功效强盛、迭代更新迅速，，，，，，，现在在Hackforums论坛中很是受接待。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

至此，，，，，，，我们有理由嫌疑攻击者使用过该款商用远程治理工具。。。。。。。由于该软件闭源且不提供免费版本，，，，，，，我们追溯到了WARZONE RAT流出的破解版本（V1.31），，，，，，，并将其与“Curriculum Vitae Actualizado Jaime Arias.doc”植入的木马样本举行同源性剖析,以确定二者间的关联。。。。。。。

4.2 同源性剖析

首先，，，，，，，我们在两种样本中均发明了特征字符串“AVE_MARIA”，，，，，，，并且针对两类样本的代码结构举行了比对，，，，，，，发明相似度极高。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

其次，，，，，，，我们通过Bindiff举行了更为准确的比照，，，，，，，在去除部分API滋扰并较量剖析了可信度高的函数后，，，，，，，发明大宗函数完全相同，，，，，，，占比抵达80.16%，，，，，，，其余函数则可能由于版来源因略有差别，，，，，，，这也印证了二者间的强关联性。。。。。。。

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

另外,从撒播时间的角度剖析,“AVE_MARIA”关联样本最初泛起的时间(2018年12月2日)略晚于WarzoneRAT在论坛的宣布时间(2018年10月22日)，，，，，，，这也切合恶意代码撒播的时间逻辑。。。。。。。

依据以上几点剖析，，，，，，，我们以为两者具有高度的一致性。。。。。。。从现在已知的情形看，，，，，，，WARZONE被杀毒厂商普遍的识别为AVE_MARIA，，，，，，，而在深入比对剖析后，，，，，，，我们判断黑客组织使用的远控木马正是WARZONE RAT。。。。。。。因此可以将此类包括“AVE_MARIA”字符串的恶意样同族族命名更新为“WARZONE”。。。。。。。

4.3 域名关联

我们视察到现在与DDNS效劳warzonedns.com相关联的子域名总数共101个，，，，，，，部分截图如下：

鉴黑担保网(jhdbw)·最具权威唯一维权担保平台

这批域名均为warzonedns.com提供的免费子域名，，，，，，，且大部分关联至恶意样本，，，，，，，这批注大宗黑客正在滥用此类效劳举行恶意攻击。。。。。。。

可以判断，，，，，，，Solmyr团伙作为WARZONE类恶意软件工业链的上游供应商，，，，，，，提供了包括免费域名效劳、收费恶意软件及其它恶意使用手艺等一系列效劳，，，，，，，打包售卖给下游黑客使用。。。。。。。此次事务的攻击组织也为其下游客户，，，，，，，通过购置其部分效劳，，，，，，，与自身的恶意代码组合使用来抵达更佳的攻击效果，，，，，，，同时也能更好的隐藏自己的身份。。。。。。。

5总结

本文对本次攻击活动的攻击流程、相关的恶意代码、黑客配景等做了深入的剖析和研究，，，，，，，从上文的剖析中我们可以看出该黑客组织现在的攻击活动十分审慎，，，，，，，既没有大规模的攻击，，，，，，，也没有接纳高本钱的0day误差，，，，，，，同时，，，，，，，攻击活动时间也很是短。。。。。。。这批注该攻击活动还处于初期，，，，，，，并对目的举行了一些试探性、针对性的攻击，，，，，，，也为后续的攻击做好准备。。。。。。。别的通过对攻击活动的溯源，，，，，，，我们确定了该次活动背后的黑客组织，，，，，，，并凭证该黑客组织的活动历史，，，，，，，发明其民族主义色彩强烈，，，，，，，因此政治目的意图也较为显着。。。。。。。

目今使用宏举行网络攻击已经成为一种本钱较低的攻击方法，，，，，，，因此也被大宗的黑客组织所使用。。。。。。。黑客经常使用目的的一些薄弱环节来举行此类攻击，，，，，，，具有一定的乐成率，，，，，，，通过诱饵文档可以看出，，，，，，，本次活动针对的是政府机构的招聘部分，，，，，，，此类人群具有相对较弱的清静意识，，，，，，，且由于事情中需要翻阅的简历量较多(如财务部分的简历量通常较大)，，，，，，，使得相关职员无法区分伪装得较好的恶意简历文件。。。。。。。再加上多阶段在线下载恶意代码的战略、无文件手艺和打包加密手艺的使用，，，，，，，从而大大提高了攻击的乐成率。。。。。。。因而此类攻击需要相关部分提高小心，，，，，，，增强系统架构中的短板提防。。。。。。。

IOC

MD5

99C82F8A07605DA4CCC8853C910F7CAF

048DCA20685ECD6B7DBDBF04B9082A54

DEF105A9452DEF53D49631AF16F6018B

1E19266FC9DFF1480F126BD211936AAC

262D9C6C0DC9D54726738D264802CCAD

B3C9F98DD07005FCCF57842451CE1B33

497566120F1020DBD6DF70DD128C0FFB

域名

linksysdatakeys[.]se

gestomarket[.]co

asdfwrkhl.warzonedns[.]com

casillas.hicam[.]net

casillasmx.chickenkiller[.]com

casillas.libfoobar[.]so

du4alr0ute.sendsmtp[.]com

settings.wifizone[.]org

wifi.con-ip[.]com

rsaupdatr.jumpingcrab[.]com

activate.office-on-the[.]net

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

鉴黑担保网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系鉴黑担保网

清静研究

黑狮行动：针对西班牙语地区的攻击活动剖析

关于鉴黑担保网

解决计划

清静研究

联系鉴黑担保网

7*24小时效劳热线