[译] APT分析报告：09.伊朗APT34更新武器库——SideTwist变体

这是作者新开的一个专栏，主要翻译国外知名安全厂商的APT报告，了解它们的安全技术，学习它们溯源APT组织和恶意代码分析的方法，希望对您有所帮助。当然，由于作者英语有限，会借助机翻进行校验，还请包涵！前文分享了checkpoint公司提出的一个新技术，即漏洞利用图谱，通过查找作者的指纹来寻找利用漏洞。这篇文章将详细讲解伊朗威胁组织APT34（又名“OilRig”）发起的一项新攻击行动，该行动似乎是针对Lebanese的一个目标，使用了一种新的后门变体，我们称之为“SideTwist”。

• 原文标题：《Iran’s APT34 Returns with an Updated Arsenal》
• 原文链接：https://research.checkpoint.com/2021/irans-apt34-returns-with-an-updated-arsenal/
• 文章作者：checkpoint
• 发布时间：2021年4月8日
• 文章来源：research.checkpoint.com

---

一.前言

Check Point 研究院发现了伊朗威胁组织 APT34（OilRig） 针对黎巴嫩目标的新攻击证据，该攻击采用了我们称为 SideTwist 的后门新变体。

自从2019年，APT34组织泄漏一个名为“Lab Dookhtegan”的工具以来，该威胁组织一直在积极地改造和更新其有效载荷库，从而避免被检测，并创建了几种不同的恶意软件变体，其最终目的仍然是在目标设备上获得初始立足（寄生目标设备）。

从2018年的DNSpionage活动开始，就已经观察到APT34通过使用诱骗性寻找工作的钓鱼文件作为目标，该文档通过LinkedIn消息直接传递给选定的目标个人。这项攻击活动通过HardPass操作一直持续到2019年，并且同样使用了LinkedIn平台。

在2021年1月份的最新活动中，Lebanese（APT34的共同目标）向VirusTotal提交了一份文件，其中也描述了这样一份工作钓鱼文件，尽管在这种情况下，我们无法确认目标的最初交付机制。

在下面的文章中，我们将分析攻击者使用的最新感染链，并深入研究新的恶意软件变体。

补充：DNSpionage攻击活动
该攻击组织使用了两个虚假的恶意网站，其中托管了伪装成招聘文书的Microsoft Office恶意文档，文档中嵌入用来入侵目标用户的恶意宏。我们将攻击者所使用的恶意软件标识为DNSpionage，该恶意软件能够以HTTP和DNS协议与攻击者通信。并且通过社交平台（如LinkedIn）来传播恶意链接，使这种求职攻击更加真实。

恶意样本中包含的宏主要执行如下两个步骤：

• 第一步：当文档打开时，使用base64解码经过编码的一个PE文件，然后将其释放到当前系统中，具体路径为：%UserProfile%.oracleServices\svchost_serv.doc。
• 第二步：当文档关闭时，将svchost_serv.doc重命名为svchost_serv.exe，然后创建名为chromium updater v 37.5.0的计划任务，以便执行该程序。计划任务会立即执行，并且每分钟都会重复执行。
  
  

同时，恶意样本通过两个步骤来规避沙盒检测。

• 一方面，只有当Microsoft Office被关闭时才会执行攻击载荷，意味着载荷部署过程中需要用户交互。样本中包含的宏同样使用密码保护，避免用户通过Microsoft Office查看宏代码。
• 另一方面，宏还用到了经典的字符串混淆技术来规避基于字符串的检测机制。宏使用拼接方式生成schedule.service字符串。
  
  

最终攻击载荷是一款远程管理工具，我们将其标识为DNSpionage。DNSpionage会在当前运行目录中生成相关数据，并使用HTTP及DNS协议来与C2服务器通信。

• %UserProfile%.oracleServices/
• %UserProfile%.oracleServices/Apps/
• %UserProfile%.oracleServices/Configure.txt
• %UserProfile%.oracleServices/Downloads/
• %UserProfile%.oracleServices/log.txt
• %UserProfile%.oracleServices/svshost_serv.exe
• %UserProfile%.oracleServices/Uploads/
  
  

---

二.初次感染

我们的分析始于一个名为 Job-Details.doc 的恶意Microsoft Word文档。

• md5：6615c410b8d7411ed14946635947325e。

图1：带有恶意宏的钓鱼文档

显然，这份钓鱼文档试图表现得像一份真实的求职文档，提供了总部位于美国弗吉尼亚州的Ntiva IT咨询公司的各种职位。但是，一旦用户激活了嵌入式恶意宏，就会触发恶意行为。完整的感染流程如下图所示：

图2：感染流程

---

三.带有DNS隧道的恶意宏

APT34在钓鱼求职攻击中使用的宏经过了多年的演变，并且一直设法保持自己独特的风格和目的，包括（重点知识）：

• 验证是否有鼠标连接到PC（防沙盒技术）
• 对目标设备进行初始指纹识别，并将信息发送到C2服务器
• 将扩展名为“doc”的嵌入式可执行文件放置到磁盘上，稍后将更名为“.exe”
• 注册Windows计划任务，该任务将每隔X分钟启动一次可执行文件

图3：由Vba2Graph生成的VBA函数调用图

注意：Vba2Graph是一款通过VBA代码分析恶意软件的强大工具，推荐文章。

• https://www.freebuf.com/sectool/191430.html

在上面的宏函数调用图中，我们可以从 Document_Open 和 Document_Close 函数中看到对DnsQuery外部函数的多次调用。

APT34因其在许多不同的工具中大量使用DNS隧道而臭名昭著，这一次该功能也被放进入了最初的宏阶段。一旦宏被执行，DNS请求就被用来指向攻击者，并告知他们当前的执行阶段，以及传递一些受害者可识别的信息。

图4：来自恶意宏的代码段，负责发送DNS查询

在此步骤中，攻击者正在使用公开可用的 requestbin[.]net DNS隧道服务，以获取有关宏感染进度的更新。这样，攻击者拥有的基础设施就不会暴露出来，以防沙箱无法完全“引爆”文档。

以下是攻击者在 requestbin[.]net 网站上看到的信息演示。其中，受害者在以下环境下的系统中执行恶意宏。

• 用户名： John
• 主机名： John-pc

图5：在 requestbin[.]net 上显示的宏请求，源IP地址和时间戳已编辑

编码后的数据是通过以下方式从PC信息导出来的。

图6：编码的DNS数据

---

四.第二阶段有效载荷：SideTwist

这个阶段的后门是我们在以前的APT34操作中从未见过的变体，但提供了类似于 DNSpionage、TONEDEAF 和 TONEDEAF2.0 等其他基于C语言的后门的简单功能。后门的功能包括:

• 下载
• 上传
• 执行Shell命令

1.持久化（Persistence）

在这个感染链中，持久性实际上是由第一阶段的宏建立的，而第二阶段的有效载荷（payload）没有任何自己的持久性机制。

持久化是在注册调度任务时的第一阶段实现的。名为 SystemFailureReporter 的计划任务将每5分钟执行第2阶段有效载荷。

图7：受感染机器上的计划任务

后门非常依赖于这种持久性机制，因为每次启动后门时，它只会执行从C＆C服务器提供的单个命令并立即关闭，直到由计划任务再次启动为止。

2.初始化

该后门首先收集有关受害者计算机的基本信息，然后根据目标环境的用户名，计算机名和域名计算一个4字节长的受害者标识符。此标识符将在后续C＆C通信中使用。

图8：收集可识别信息的代码

接下来，恶意软件将验证本应在感染第一阶段创建的 update.xml 文件确实存在，如果不存在，它将自己终止——使用 OutputDebugString 函数将以下文本打印到调试输出。

• “Please install visual studio 2017 and try again”

图9：用于验证是否已执行第一阶段的代码

因为此功能的目的是打印调试信息，所以仅在应用程序的调试过程中，普通用户是看不到该文本的。

---

五.C＆C通信

后门与C＆C服务器（sarmsoftware[.]com）的通信是基于443端口的HTTP协议，回退（443）端口是80。后门使用两种不同的技术来与C&C服务器进行传出和传入通信，尽管在这两种情况下使用了相同的加密算法（请参阅下面有关加密的更多内容）。

1.命令请求通讯

后门使用GET请求通过以下URL与C＆C服务器联系。

• sarmsoftware[.]com/search/{identifier}

这个请求的响应隐藏在下面的Flickr页面的源代码中。

图10：用作C＆C的Fake Flickr相似页面

这个响应以下面的格式返回到HTML代码后门中。

/*Encrypted_Message_Encoded_with_Base64*/
/*R7ECPhIUYBsPFGA=*/

图11：代码中嵌入的C＆C命令

在对该base64字符串进行解码和解密之后，明文内容采用以下管道分隔格式：

图12：加密的数据格式

• 命令数字（Command Number）
  一个运行索引号，用来跟踪执行命令。如果设置为-1以外的任何数字，后门应该根据命令ID继续执行该命令；否则，忽略并终止。

• 命令ID（Command ID）
  可以是以下命令之一:
  – 101 - Shell命令：执行附加在{Arg1}参数中的Shell命令
  – 102 - 下载文件：下载一个文件，该文件可以{Arg2}在服务器的路径上找到，并使用{Arg1}名称保存在磁盘上
  – 103 - 上传文件：上传本地文件{Arg1}到服务器
  – 104 - Shell命令(副本)：执行附加在{Arg1}参数中的Shell命令

2.命令结果通讯

后门在受害人的机器上执行了任意命令后，会将执行后的命令的结果返回到C＆C服务器，并返回到与以前相同的URL，但是在POST请求中而不是GET中：

当后门在受害者的机器上执行了任意命令后，它将执行命令的结果返回给C&C服务器，返回到之前相同的URL，但使用的是POST请求而不是GET。

• sarmsoftware[.]com/search/{identifier}

POST正文的格式是一个简单的JSON，基于C&C服务器提供的命令编号和命令执行的加密结果。

图13：结果数据格式

3.加密通讯

攻击者利用 Mersenne Twister 伪随机数生成器作为加密通信的基础。每个加密消息的第一个4个字节是 Mersenne Twister 的种子，用于解密消息的其余部分。

可以使用以下Python代码段对加密的Base64通信进行解密：

def decode(msg):
    bs=base64.b64decode(msg)
    seed=int.from_bytes(bs[:4],byteorder='big')
    rng = mersenne_rng(seed)
    k=rng.get_random_number()
    key=int.to_bytes(k,length=4,byteorder='little')
    dec="".join([chr(bs[i]^key[(i-4)%4]) for i in range(4,len(bs))])
    return dec

---

六.溯源归因

无论是恶意宏、后门、目标攻击，还是在这次操作中使用的技术，都与之前报告的归因于APT34的活动一致。

1.文件相似度

除了像以前的 APT34 操作一样，我们再次看到求职文件被用来鼓励受害者启用宏，并且在技术上也有相似之处。

• 在之前的DNSpionage战役中出现了相同的变量beacher

图14：在旧版本宏代码中存在类似的变量名

• 宏的主要功能与以前的APT34活动一样：恶意宏使用 MouseAvailable 函数来逃避检测，并创建一个计划任务来执行嵌入在文档中的有效负载。

2.C＆C通信相似度

众所周知，APT34的后门DNSpionage和TONEDEAF会通过搜索隐藏在合法网站HTML内容中的特定模式来接收服务器发出的命令。

在我们的案例中，攻击者使用了一个类似Flickr的页面，而在之前的活动中使用的是GitHub、Wikipedia和Microsoft lookalikes。

3.额外APT34的目标

在分析上述活动时，恶意软件研究人员将这些文件和其他与APT34相关的文件上传到VirusTotal，并在Twitter上注明。

这些文档在初始宏中使用了相同的 requestbin[.]net DNS隧道服务，并交付了该组织的另一个签名工具，基于.net的名为 Karkoff 的后门的变种，它利用internet面向exchange服务器作为与攻击者的通信方法。

这些新发现的安全人员强调了APT34正在对中东，特别是Lebanon的目标发动进攻的程度。

• Karkoff植入物(MD5: ab25014c3d6f77ec5880c8f9728be968))包括一个属于Lebanon ZF（mail.army.gov[.]lb）的交换服务器的凭证，可能表明其网络长期处于受损状态。

---

七.结论

伊朗支持的APT34没有任何放缓的迹象，并持续关注Lebanon，发起网络攻击行动。如上文所述，在维持惯常的操作方式并重用旧技术的同时，该小组继续创建和更新工具，以最大程度地减少安全供应商对其工具的可能检测。

在这篇文章中，我们分析了该组织正在进行的求职钓鱼攻击行动部署的最新后门变种，其中包括带有工作机会的恶意文档，这是他们至少自2018年以来成功采用的一种技术。

Check Point Sandblast可以抵御这种APT攻击，并从一开始就阻止它。

• 一.前言
• 二.初次感染
• 三.带有DNS隧道的恶意宏
• 四.第二阶段有效载荷：SideTwist
  1.持久化（Persistence）
  2.初始化
• 五.C＆C通信
  1.命令请求通讯
  2.命令结果通讯
  3.加密通讯
• 六.溯源归因
  1.文件相似度
  2.C＆C通信相似度
  3.额外APT34的目标

附录A：IOCs

恶意文档：

• MD5：6615c410b8d7411ed14946635947325e
• SHA1：9bba72ac66af84253b55dd7789afc90e0344bf25
• SHA256：13c27e5049a7fc5a36416f2c1ae49c12438d45ce50a82a96d3f792bfdacf3dcd

SideTwist后门：

• MD5：94004648630739c154f78a0bae0bec0a
• SHA1：273488416b5d6f1297501825fa07a5a9325e9b56
• SHA256：47d3e6c389cfdbc9cf7eb61f3051c9f4e50e30cf2d97499144e023ae87d68d

C＆C服务器：

• sarmsoftware[.]com

---

前文分享：

• [译] APT分析报告：01.Linux系统下针对性的APT攻击概述
• [译] APT分析报告：02.钓鱼邮件网址混淆URL逃避检测
• [译] APT分析报告：03.OpBlueRaven揭露APT组织Fin7/Carbanak（上）Tirion恶意软件
• [译] APT分析报告：04.Kraken - 新型无文件APT攻击利用Windows错误报告服务逃避检测
• [译] APT分析报告：05.Turla新型水坑攻击后门（NetFlash和PyFlash）
• [译] APT分析报告：06.猖獗的小猫——针对伊朗的APT攻击活动详解
• [译] APT分析报告：07.拉撒路（Lazarus）使用的两款恶意软件分析
• [译] APT分析报告：08.漏洞利用图谱–通过查找作者的指纹来寻找漏洞
• [译] APT分析报告：09.伊朗APT34更新武器库——SideTwist变体

2020年8月18新开的“娜璋AI安全之家”，主要围绕Python大数据分析、网络空间安全、逆向分析、APT分析报告、人工智能、Web渗透及攻防技术进行讲解，同时分享CCF、SCI、南核北核论文的算法实现。娜璋之家会更加系统，并重构作者的所有文章，从零讲解Python和安全，写了近十年文章，真心想把自己所学所感所做分享出来，还请各位多多指教，真诚邀请您的关注！谢谢。

(By:Eastmount 2021-04-13 星期二 晚上10点写于武汉 http://blog.csdn.net/eastmount/ )

---

参考文献：

• Iran’s APT34 Returns with an Updated Arsenal
• DNSpionage：针对中东的攻击活动