首页 ›资讯› 业界 › 查看内容

针对白俄罗斯军事通讯社的APT样本分析

2016-11-11 11:34 1682 0

摘要: 互联网上出现一起针对白俄罗斯军事网站的渗透活动，攻击者通过电子邮件做为诱饵，在电子邮件的附件中嵌入漏洞利用的文档，在受害者打开文档后，文档中嵌入的shellcode得以执行，实现对目标系统的控制。本文分析的样 ...

互联网上出现一起针对白俄罗斯军事网站的渗透活动，攻击者通过电子邮件做为诱饵，在电子邮件的附件中嵌入漏洞利用的文档，在受害者打开文档后，文档中嵌入的shellcode得以执行，实现对目标系统的控制。本文分析的样本的shellcode只是生成pe文件，并将pe文件加入到启动项之中，比较有趣的是，样本并不直接启动这个PE文件，而是在等待受害者重启计算机后执行PE文件。在受害者重启计算机后，通过操作系统的启动项加载PE文件，进行后续的渗透攻击。

从我们最初得到的email来看，攻击者针对是白俄罗斯共和国国防部武装部队军事通讯社进行的定向攻击。

Email信息

攻击者第一步是向白俄罗斯共和国国防部武装部队军事通讯社发送邮件。邮件主题“Куда идёт Беларусь”翻译成中文是”白俄罗斯将何去何从？”

收件人邮箱对应的网站为http://www.mil.by/ ，为白俄罗斯共和国国防部武装部队军事通讯社的网站，网站截图如下。

而发件人则显示来自俄罗斯外交部外交事务杂志网站

文档信息

附件中的“Куда идёт Беларусь.doc”文档为CVE -2012-0158漏洞利用样本。当受害者打开文档时，在未打相应补丁的office系列产品的的情况下，会触发WORD软件的漏洞加载运行shellcode。

打开文档显示的内容如下：

文档内容通过google翻译的结果图如下

漏洞利用

样本利用CVE-2012-0158漏洞，该漏洞是一个栈溢出漏洞，该漏洞是由于Microsoft Windows Common Controls的MSCOMCTL.TreeView、MSCOMCTL.ListView2、MSCOMCTL.TreeView2、MSCOMCTL.ListView控件(MSCOMCTL.OCX)中存在错误，可被利用破坏内存，导致任意代码执行。

漏洞利用成功后，会执行下面的shellcode。关于这个漏洞的成因及利用，网络上有很多文章进行过分析，我们在本文就不再展开分析。对此漏洞不太熟悉的朋友，可自行google了解。

Shellcode

漏洞成功利用后，嵌入在文档中的shellcode得以执行，shellcode几个功能点如下

1.通过rol5算法得到函数地址

2.得到文件句柄：

从0开始，通过GetFileSize，ReadFile等函数得到文件尾部的0×10字节内容，文件尾部的0×10字节为检验标志。通过下面算法进行校验：

1）.取最后一个DWORD的值，将该值+1，ror 3后，比较是否与倒数第二个DWORD的值相等；

2）.取倒数第三个DWORD的值，将该值+1，ror 3后，比较是否与倒数第四个DWORD的值相等；

如果1)和2)都满足，就说明当前数值就就句柄号

3）.将文件中F39C0D处的32C大小的字节，异或9E后，得到下一阶段运行的shellcode，随后跳转到下一阶段的shellcode运行；

对应的文档中的加密过的内容如下：

4）.通过ror13算法得到函数地址；

使用的函数列表如下：

kernel32!GetEnvironmentVariableAStub
kernel32!CopyFileA
kernel32!WriteFileImplementation
kernel32!CloseHandleImplementation
kernel32!TerminateProcessStub
kernel32!GetSystemDirectoryAStub
kernel32!CreateFileA
kernel32!lstrlenStub
kernel32!lstrcatA
kernel32!GetModuleFileNameAStub
kernel32!CreateFileMappingA
kernel32!MapViewOfFileStub
kernel32!GetFileSizeStub
kernel32!SleepStub
SHLWAPI!SHSetValueA
SHLWAPI!SHDeleteKeyA

5）.通过kernel32.dll中的函数将system目录下的rundll32.exe拷贝到%appdata%目录下；

6）.解码生成comct132.dll文件；

解密算法为：每个字节异或上0x5A后，加上0xA5