多家企业网络入侵事件传言的同源木马样本分析报告（节选）
  ----安天实验室安全研究与应急处理中心（Antiy CERT）
  ----2010-1-26

报告完整版本请见： http://www.antiy.com/cn/security/2010/s100128_002.htm

目录
 第1章 攻击事件源起
 第2章 攻击采用的漏洞分析
 第3章 攻击样本分析（本章从略）
      3.1    PE可执行样本的本地行为
      3.2    PE可执行样本的网络行为
      3.3    衍生样本RASMON.DLL的功能分析
      3.4    ACELPVC.DLL、VEDIODRIVER.DLL的同源关系确认
      3.5    ACELPVC.DLL、VEDIODRIVER.DLL的功能分析
      3.6    样本使用的域名分析
 第4章 最终分析意见
 第5章 安天的建议与思考
　　　　附录（从略）

 第1章 攻击事件源起

    根据有关事件传言，2009年12月至2010年1月间，多家国际大型企业网络遭受了入侵攻击，对此，相关报道、媒体、以及网络传言都有不同说法，从相关消息汇总来看，其中相对有依据的说法来自几家国际安全厂商，包括Symantec、Mcafee、TrendMacro等，综合根据各厂商已经发布的分析报告和有关报道，较多的结论是相关企业的工作人员受到针对客户端程序的0 Day漏洞攻击（业内主要认为是IE浏览器相关漏洞，这个漏洞已经被命名为“极光”），并进而被植入了木马。

 第2章 攻击采用的漏洞分析

    根据有关描述，安天认为所捕获到的有关漏洞利用代码与有关资料描述的攻击方法是一致的。攻击方法都是利用被称为极光的IE 0day漏洞，并对有关代码采用了javascript加密变形，在常见的堆喷射技术的利用代码部分进行了变换，使得堆喷射代码只有在javascript运行后才能看到。其中比较特殊的是采用了String.fromCharCode(sss[i]/7)手段对堆喷射代码进行变形成为数字数组形式，使静态检测堆喷射代码检测困难。
    但需要指出的是，脚本加密方法是当前网页木马的常规技术手段，整体来看这个攻击的代码的加密复杂程度有被夸大的倾向，实际上相关加密并不难于分析还原。关于有关漏洞的机理网上已经有较多的材料予以说明，用户可以自行搜索予以了解，并可以参靠本报告附录中的有关链接。

 第3章 攻击样本分析

    安天实验室在此事件过程中并未与相关企业建立直接的联系，相关样本集的主要判定依据是通过使用Mcafee、Symantec所发布资料中对相关样本的命名检索安天样本库的对照命名，并验证有关样本行为基本符合目前相关厂商公开发布文档有关描述。截至到2010年1月26日，安天根据上述病毒对照名称、基因片段关联、行为辅助验证和调用关系，共筛选出关联样本13个进行细粒度分析（其中两个样本直接来自境外反病毒厂商提供），其中3个为PE可执性程序，10个为PE动态链接库。经关联分析确认，3个可执行程序的基本功能逻辑完全一致,最典型行为即:均释放在资源节中部分加密存储的名为Rasmon.dll的动态链接库；而有7个样本原始文件名均为Rasmon.dll，经验证此7个文件基本功能逻辑完全一致,其差异主要是反向连接的外部地址不同等配置差异，且均可加载acelpvc.dll，而acelpvc.dll又进一步加载VedioDriver.dll。因此可以判定3个可执行程序是相关2进制样本的关系逻辑的原点。
    但由于缺少实际场合验证，且与目前公开资料所公布的一些控制域名指向因被2级域名服务商屏蔽发生变化，安天无法确定相关样本就是相关事件中的样本，只能说明相关样本存在较大的同源性关系。

    根据已经描述的样本间的衍生和调用关系，可以基本描绘出相关攻击和恶意代码样本的整体作用流程和因果关系为：为受害用户通过IE浏览相关攻击页面后，被注入执行PE可执行样本，相关样本运行后创建rasmon.dll文件到%System32%目录下并动态加载，释放批处理文件删除该PE可执行文件。rasmon.dll加载acelpvc.dll，成功加载后acelpvc.dll会继续调用VedioDriver.dll，在rasmon.dll运行后便会尝试连接网络，接受控制。整体逻辑如下图所示：

   +------------------+       
   |      用户        |       
   +--------+---------+        
            |
            |
 用IE浏览带有溢出代码的网站
            |
            |
            Y
   +--------+---------+       
   |      网站        |
   +--------+---------+ 
            |
            |
         溢出成功
            |
            |
            Y
   +--------+---------+           +--------------------+
   |     执行代码　   |----生成-->|批处理(用以删除自身)|
   +--------+---------+           +--------------------+ 
            |
            |
      释放并注册服务
            |
            |
            Y
   +--------+---------+        
   |     Rasmon.dll   |      
   +--------+---------+         
            |
            |
           加载
            |
            |
            Y
   +--------+---------+           +-----------------+
   |    acelpvc.dll   |----加载-->| VedioDriver.dll |
   +------------------+           +-----------------+ 
      rasmon.dll: 加载acelpvc.dll，具有后门功能
      acelpvc.dll: 连接指定IP发送数据，加载VedioDriver.dll
      VedioDriver.dll: 远程桌面信息操作功能
    

    由于样本集中的3个可执行文件基本功能逻辑完全一致，且样本中的各rasmon.dll的功能相同，所以下面以BCBEF5AB2C75C171FEDCCA0A33BCF7F7样本为主展开进行综合分析:

（样本分析部分请见报告完整版）

3.6 样本使用的域名分析

    上述样本的控制跳板定向为免费2级域名，这是当前远程控制木马广泛使用的技术手段，由于免费2级域名申请相对简单，且不产生支付环节，使攻击者的成本降低，隐蔽性提高。
    安天通过行为分析系统与人工分析结合提取了目前样本集合所使用的五个域名。其中除了一个已经失效域名，都是免费2级域名服务商所提供的动态2级域名。相关服务商已经进行了上述指向处理，目前相关木马已经无法与控制服务器连接。这可能是有关国家应急响应（CERT）体系同一的协调响应的结果。

    下面是目前分析样本集中所提取到的域名：

 +---------------------+----------------+---------------------+
 |        域名         | 被指向的IP地址 |      IP地址属地     |
 |---------------------|----------------|---------------------|
 | bl88.webhop.org     | 127.0.0.1      | 本地（被服务商屏蔽）|
 |---------------------|----------------|---------------------|
 | blog1.servebeer.com | 127.0.0.2      | 本地（被服务商屏蔽）|
 |---------------------|----------------|---------------------|
 | www.ccmp1.com       | 域名失效       | 域名失效            |
 |---------------------|----------------|---------------------|
 | 360.homeunix.com    | 127.0.0.1      | 本地（被服务商屏蔽）|
 |---------------------|----------------|---------------------|
 | sl1.homelinux.org   | 127.0.0.2      | 本地（被服务商屏蔽）|
 +---------------------+----------------+---------------------+

    安天提取到的域名信息与目前境外厂商公开资料域名有所差异，这说明相关恶意代码有更多的变种或被加工、定制的版本，根据目前全部公开资料整理的域名结果集来看，尚有19个域名与安天目前分析到的5个域名不重合，根据目前每一个定制版本都对应一个不同域名的规律，应该至少有19个样本不在本次分析的样本集合中。这可能由于安天没有捕获到相关样本，也可能由于安天对照命名更新机制有一定滞后性，有的样本安天捕获入库时其他厂商尚不能检测，因此没有对照命名没有提取到。
    同时各厂商和网络安全组织可查阅公开资料也表明，部分在此次事件中出现的域名也在其他类型攻击中被发现（如Microsoft  Registry  Cleaner与Security Lab所公布的adobe flash player的攻击事件），通过上述关联基本可以看出，相关攻击事件存在一定的时间跨度和关联。当然地下经济体系的各种资源有一定的可置换交易性，同时也不能排除免费域名注册者账户密码被窃取、或者被猜测到的各种可能。因此也并不能绝对确认上述攻击与本次事件绝对系同一源头。

 第4章 最终分析意见

    在本事件中攻击者主要依托客户端程序的0day漏洞，实现可执行木马注入，并加载远程控制等其他功能模块，其后利用免费2级域名为控制跳板，实施相关行为。
    综合相关样本集合分析结果与网络资料汇总分析表明，这是一组有时间跨度的、有覆盖范围的关联型攻击事件。相关事件样本的同源性可以得到确认。但由于当前全球地下经济体系漏洞、恶意代码和地下资源的产业链条的存在，漏洞的POC和exploit代码、恶意代码源码和加工的版本、肉鸡（跳板）、其他可利用空间和代理等，都在被广泛的交易或共享，代码同源性分析只能作为事件存在关联的判据，在没有有关网络行为有效辅证的情况下，难以对攻击的同源性进行确认。
    同时根据安天 CERT了解到的情况，各个反病毒公司都捕获到了一定基数的相关样本，而非全部来自现场定向提取，这使相关事件是一组定向型攻击，还是广泛的攻击事件，或者兼而有之，很难做出有效判定。加之有关分析时效性所限，场景难于追溯复现，而传言受到入侵的有关公司亦没有公布更多有效信息，这都使进一步分析工作已经缺少进展的空间。

 第5章 安天的建议与思考

    目前针对内网体系的入侵，其原点更多的来自针对客户端应用的攻击，攻击的焦点多数集中于IE、Firefox浏览器等浏览器、office、Adobe PDF Reader等文档浏览和编辑工具等。对windows用户来说，牺牲部分兼容性将Windows DEP保护设置从保护默认的仅为基本的windows程序和服务使用调整到为所有程序和服务使用，是我们能看到的最具有普遍性的方法。同时兼容性问题一定程度上可以靠设置例外解决。但对于具有安全诉求的个人用户来说，需要知道，打开反病毒实时监控便可以畅行网络的时间段已经终结，尽管系统UAC和主动防御产品的交互的确构成了对用户的打扰，但安全必然要付出方便性的代价。（关于如何配置实现，参看附录链接）
    而对企业网络来说，IT部门必须把维护的重点从关键服务器扩展到终端，一旦终端被突破，不仅其上的资料损失，而且会成为内部攻击的跳板，而终端用户的网络认证身份和权限，则完全被攻击者获取。仅凭出口UTM/IDP，很难阻塞到0DAY的攻击，网管需要补充更多的手段，以获取主机的异常和内网访问轨迹的变化。这使网管需要更多的精力对类似内网IDS日志和其他访问日志予以更密切的关注。
    同时，类似 “浏览网页、打开文档文件与运行可执行程序一样是有风险的”安全常识的广泛普及尤为同样重要，很多企业的还把安全建立在简单的防病毒的早期规定，很多用户还完全不知道“静态文件”的风险。
    同时不可否认，对于自由接入Internet的企业和机构的来说，将整体或者关键部门的网络与Internet断开，会严重的影响交流和效率，但对于安全诉求高于方便诉求的企业和部门，这确实是最后的措施。这种网络“隔离”不是鸵鸟政策，不是内部IT和CERT无能的表现，而是最不情愿的最终方案。
    相关事件传言涉及的企业中涉及到了互联网、软件开发等国际领导厂商，甚至包括了主流安全厂商。有关事件再次反馈出整个互联网体系的脆弱，相关案例说明，在网络世界中，不仅是那些普通用户与安全投入不足的中小企业缺乏保障，即使是有成熟的安全体系，严格的管理制度，成建制的安全投入的大型企业与机构，包括安全企业本身，也都难以保障自己的安全。
    在互联网的童年时代，系统攻防更多的集中于开放的服务端口，相对单一的防护和关注，能解决主要问题。而今随着主流操作系统本身的安全性的提升，安全威胁开始泛化到客户端的应用，不论是浏览、下载、聊天等网络网络行为，还是打开视频、音频等媒体文件、文档文件这样的本地交互，都可能是引入风险的过程，甚至包括编程环境对特定工程的编译、协议分析工具打开构造的数据包镜像，都会遭遇溢出。
    在过去的几年，主流操作系统和软件厂商为改进安全响应能力做出了巨大的努力，充分缩短了从漏洞发现到补丁推出的时间，但相关情况说明，将安全维完全系于第一时间打补丁，就意味着在漏洞曝光前的潜伏期内，掌握0Day漏洞的攻击者可以像相关入侵事件传言的那样畅通无阻。
    微软等厂商为了确保产品的稳定可靠，采用每月定时打补丁的整体策略，这是可以理解的，但对于类似“极光”等严重漏洞曝光后，微软打破模式，采用紧急单独发布补丁的应变态度更值得肯定。
    同时也需要关注的是，有关厂商面临庞大的用户基数带来的运维压力，导致厂商必须在补丁升级中考虑的负载均衡策略，但这也让用户从补丁出现到打完补丁的时间间隔变得更长，这使基于补丁文件的差异点分析溢出点，然后对尚未打补丁的用户进行攻击的1Day攻击可以大行其道。但相对对厂商的承载能力来说，如果让所有用户同时升级，则一方面可能面临带宽饱和、服务阻塞，结果所有用户都打不上补丁的情况出现；同时一旦补丁中有新的问题，则要承担更大的压力。这确实是两难的选择。
    而更困难的局面在于，目前的漏洞分析挖掘的注意点已经不集中于主流厂商，而开始普遍扩散。而缺少安全规范、不能承担安全响应体系投入的中小型软件开发和互联网服务商，势必沦为集体性重灾区。有限的开发人员或者无力解决安全漏洞、或者对攻击浑然不觉、或者在开发与修补间疲于奔命。而大量在攻击和木马方面的小众事件也会最终分散和耗尽安全厂商的应急和分析人力。而正如我们过去一年所看到的，一方面部分公众还根据传言猜忌着反病毒厂商是不是也编写病毒，而各个反病毒厂商却都默默承受着庞大的地下经济体系所构造的千万级别的样本压力。如此推演，这虽然仍然将是一个更多人渴望向往、趋之若鹜的互联网，但也会沦为一个从业企业到网民人人自危的互联网。
    作为安全厂商，我们期待公众和用户对于安全予以更多关注和投入，但我们深知如果更多用户的网络接入价值更多的被对安全的关注和投入抵消，那么网络产业的继续发展就会被阻塞。这正是安全厂商都积极的寻求让用户更小的投入获取更大的安全价值的原因。但无疑，仅靠安全厂商的力量，包括仅靠主流操作系统、设备和应用厂商的力量，都不足以拯救互联网可能在若干年后面对的安全困局。我们期待更广泛的协同、互动、合作、响应来遏制安全威胁的泛化。我们期待安全与丰富和精彩的内容与交互一样，成为互联网用户的基本体验。