黑狮行动：针对西班牙语地域的攻击活动分析

颁布功夫 2019-05-18

近期，GA黄金甲ADLab监测到一批疑似针对西班牙语地域确当局机构及能源企业等部门的定向攻击活动，黑客组织通过机关恶意Office Word文档并共同鱼叉邮件提议定向攻击，以“简历更新”作为钓饵文档向攻击指标植入间谍木马，从事谍报网络、远控监督及系统粉碎等恶意行动。我们将土耳其黑客的这次攻击行动称为“黑狮行动”。

通过对攻击者的行为和所用服务器有关信息的分析和追踪，确定该次攻击起源于一批隐秘多年的土耳其黑客组织-KingSqlZ黑客组织。该组织是一个民族主义色彩极度浓密的黑客组织，曾攻下其他国度的3千多个网站服务器，并高调的在被攻击网站上留下其组织的名称，随后隐没了多年。如今通过我们对”黑狮行动”的追踪再次挖出该黑客组织的活动迹象。本次攻击过程中，该黑客组织选取渗入伎俩攻下多台服务器并将其作为存放攻击代码的跳板。

2019年2月，我们发现了第一个攻击样本并将其参与到追踪清单中，直到近期已经发现了多起攻击，每次攻击都使用了分歧的攻击状态和免杀方式。从目前已有的攻击代码中我们发现了两款商用远程治理工具（RAT）：WARZONE和Remcos，其中WARZONE被杀毒厂商宽泛的鉴别为AVE_MARIA（由于RAT代码中存在该字符串因而被定名为” AVE_MARIA”），但是通过我们深刻的分析确定AVE_MARIA为远程治理工具WARZONE。本文中，我们将对黑客组织、攻击指标以及其所使用的攻击兵器进行深刻分析。

1威胁分析

1.1 攻击指标分析

从目前所获取的攻击样本和威胁谍报，能够看出本次攻击活动并没有大规模的进行，目前还处于攻击试探阶段，但是从其投放的钓饵文档能够单一简直定其攻击指标锁定在西班牙语系的国度。这些钓饵文档形如：“Curriculum Vitae Actualizado Jaime Arias.doc”（简历更新海梅阿里亚斯）、“Curriculum Vitae Actualizado Daniel Ortiz.doc”(简历更新丹尼尔奥蒂兹)、“Michelle Flores - Curriculum Actualizado.doc”(米歇尔弗洛雷斯-简历更新)、“Jose Trujillo.doc”(何塞特鲁希略)等等，它们均选取西班牙语来机关一个带恶意宏代码的简历文件。以此来对指标人力部门进行攻击，以诱使有关人员执行恶意代码进而从事间谍活动。

GA黄金甲·(中国区)官方网站

在我们分析这批钓饵文档时，还发现一个有趣的景象，那就是很多钓饵文档中蕴含了文档作者信息和最后一次保留者信息，并且这些信息均为类似财政部、信访局、SCG（Southern Connecticut Gas）等蹬纂当部门门有关的信息。通过我们现实测试发现，这些信息均会在文档批改后造成当前接见者office登陆账户名或者主机名，并且有心的人还能够对其进行肆意定造。我们拔取几个典型的样本并针对有关信息和逻辑关系做了如下梳理和推论：

我们通过创建内容功夫、最后批改功夫及攻击文档内部的逻辑关系推论出有关纪录应为攻击者保留�；谧詈侠硪约白钣锌赡艿拇�，我们以为攻击者可能是基于黑客组织内部规范，将文档的有关名称设置为攻击指标或有关行业信息，从而伪造成内部人士，在肯定水平上起到混合视听、荫蔽自身的主张。

由此我们能够看出这次行动的攻击指标为西班牙语系地域确当局或者公共服务部门，当然并不排除其有更多的指标，至少能够注定的是这次行动是一次带有政治主张的攻击活动。

1.2 黑客组织分析

在我们深刻分析恶意代码时，发现该次攻击的节造号令服务器是由上游黑客也即是恶意软件提供商所提供的，从这些节造号令服务器上是无法追踪到该次行动的背后组织，因而我们把重要精力聚焦于攻击的前几个阶段有关的域名。固然大部门域名均选取了隐衷�；�，无法找到有效的信息，但是我们却在其中一个强关联的样本中发现一个可突破的点。我们在其中一个RTF文档中内部发现了一个Excel文件，该Excel文件会通过执行宏来下载恶意代码。通过对该服务器的分析我们成功地找到了与黑客组织有关的线索。

GA黄金甲·(中国区)官方网站

在恶意代码存储蹊径的同目录，我们发现黑客组织所留下的一些信息，下图为其中一个文件纪录的信息：

该文件中蕴含了一些申明信息、黑客组织及其有关成员，并且所选取的说话为土耳其语，因而我们判定该组织正是已经活跃一时的KingSqlZ黑客组织。该服务器很有可能在被黑客组织节造后作为跳板机或资源服务器持续使用。此表通过恶意代码时分辨析法，我们进一步确定该次攻击来自于土耳其黑客。我们对RAT样本之前的PE文件及其他前期攻击环节有关的样本的编译功夫做了时分辨析（由于RAT样正本自于上游黑客，因而我们忽略了该类样本的时分辨析）。最后发现这些攻击样本的编译功夫在UTC功夫21:00至06:00区间内出现的频次极低。而假定以24:00至08:00作为睡眠功夫，攻击者所处的时区可能会在东3区（UTC+3）正负 1 幼时区间内，而土耳其时区为东三区正好切合。

在文件的纪录信息里还能够得知到该组织成员如F0RTYSEVEN , BlackApple , Pyske , HeroTurk , SadrazaM , MrDemonLord等，他们早期进行过疯狂的网络攻击活动，攻下的服务器高达3287个，而之后便神秘的偃旗息鼓，其twitter账号也终场了活动。

GA黄金甲·(中国区)官方网站

本次攻击活动起头于2019年，选取大量公共DDNS服务子域名作为C2来执行攻击，这其中的一些域名为2019年新注册的，使用的部门域名如下：

asdfwrkhl.warzonedns.com
casillas.hicam.net
casillasmx.chickenkiller.com
casillas.libfoobar.so
du4alr0ute.sendsmtp.com
settings.wifizone.org
wifi.con-ip.com
rsaupdatr.jumpingcrab.com

activate.office-on-the.net

到汇报撰写时，部门中央攻击阶段的域名已经失效，但RAT回连的C2依然在活跃。凭据我们目前对疑似攻击组织的把握和溯源分析，绘造黑客组织画像如下：

2攻击概述

这次事务的重要攻击活动功夫线如下所示:

GA黄金甲·(中国区)官方网站

其中，我们对2019年2月7日发现的“Curriculum Vitae Actualizado Jaime Arias.doc”文档进行了具体的分析，并相继捕获到关联文档“Curriculum Vitae Actualizado Daniel Ortiz.doc”和“Michelle Flores - Curriculum Actualizado.doc/ Jose Trujillo.doc”。

攻击者使用了API哈希、无文件攻击、WinrarSFX、AutoIt、C#混合和傀儡过程等技术来躲避检测并滋扰分析人员。其中，“Curriculum Vitae Actualizado Jaime Arias.doc”文档植入的木马起源最初无法确认，我们在其中发现了特点字符串“AVE_MARIA”,其与Cybaze-Yoroi ZLab钻研人员在2018年12月底披露的针对意大利某能源企业进行攻击的恶意软件类似度很高，部门安全钻研员和厂商由于没有成功的进行溯源便以此字符串做为该木马家族的名称。而我们经过关联溯源和同源性分析后发现，“AVE_MARIA”类恶意样本同RAT工具“WARZONE”RAT拥有高度一致性，因而将此类恶意家族定名更新为“WARZONE”。

后文将沉点就植入间谍木马的2个Office Word文档（“Curriculum Vitae Actualizado Jaime Arias.doc”和“Michelle Flores - Curriculum Actualizado.doc”）及其开释的文件进行具体分析。

3技术分析

3.1 早期攻击样本

这次攻击过程起头于一个携带恶意宏的DOC文档，黑客通过伪造成简历的投递邮件伎俩将此恶意文件发送给攻击指标，当指标用户失慎打开文档便成为了受害者。DOC文档运行后会启动恶意宏代码并从指定的服务器下载Etr739.exe，成功下载后当即执行。新过程通过Base64解码出另一个服务器地址，持续下载恶意代码hqpi64.exe至一时目录下。恶意法式hqpi64.exe就是Warzone RAT的开释器，其通过开释Warzone RAT来执行后续操作，如将explorer.exe作为傀儡过程守护、与节造端进行通讯等。

样本中的恶意代码大部门选取CRC32来加密敏感字串，同时在API挪用手法上选取了API Hash值动态获取函数地址和仿照系统急剧挪用两种方式。使用此类手法不只能在肯定水平上削减杀软静态扫描的检测，并且还不易被监测到API的挪用踪影。同时其使用纯加密Shellcode代码内存执行的方式加载其主题职能�？�，通过“无文件技术”提高自身荫蔽性，以此来躲避安全厂商查杀。其与C2服务器间的通讯数据也以CR4算法进行加密进而躲避IDS系统的检测。

样本整体执行流程如下：

GA黄金甲·(中国区)官方网站

(1)DOC文档

Doc文档为word文件，也是针对攻击指标执行的第一步攻击，黑客通过垂钓攻击、社工等伎俩糊弄攻击指标打开此文档让其中嵌入的恶意宏代码得以执行。我们使用提取工具获取到的宏代码如下图所示：

GA黄金甲·(中国区)官方网站

在AutoOpen函数中蕴含了一串混合过的cmd号令，经过解密后的代码如图所示：

GA黄金甲·(中国区)官方网站

这段代码获得执行后，会直接从此链接地址(http[:]//linksysdatakeys.se)下载恶意法式到“%Temp%\SAfdASF.exe”并执行。

(2)Payload

下一个Dropper的下载地址是被加密后保留在恶意法式SAfdASF.exe的资源中，加密的资源数据如下图：

GA黄金甲·(中国区)官方网站

该Payload先将上图中加密的数据通过Base64解码出下载链接地址“http[:]//www.gestomarket[.]co/hqpi64.exe”，而后把hqpi64.exe改名为2XC2DF0S.exe并保留在一时目录下。

GA黄金甲·(中国区)官方网站

(3)Dropper

在后续的解密以及执行的过程中，此Dropper会把一段Shellcode注入到explorer过程并在内存中解密出RAT实体使其不落地，最终通过无文件技术将RAT加载到内存中来执行。

逃避检测

此恶意法式在起头执行时，会通过大量的挪用printf函数打印垃圾代码和sleep函数来达到延时成效，这在肯定水平上可能躲避安全软件的监控。而其主题职能是将自身携带的shellcode解密并执行：

GA黄金甲·(中国区)官方网站

解密shellcode

如上图所示，恶意法式会在加载执行shellcode前进行解密。解密算法极度单一，将每个字节的值增长0x0c即可。

GA黄金甲·(中国区)官方网站

自界说的解密函数

经过沉沉下载并解密之后，那么这段解密后的Shellcode(PE Loader)代码具体味做些什么，下面我们来一窥到底。

PE Loader

此PE Loader在执行Shellcode的时辰使用了四个参数，经分析后我们将这4个参数内容所对应的具体职能整顿如下表所示：

序号	内容	职能
参数1	“FYBLV”	拷贝自身的目录名和文件名(需解密的资源名)
参数2	“BJU”	RAT远控文件(需解密的PE文件资源名)
参数3	“OPTYUPPABIVSUWNRXSNCTDW”	Key
参数4	0x01（固定数值）	未使用

该PE Loader首先在运行过程中进行了沙箱和指定过程的检测，以预防被自动化系统分析。并且凭据自带的资源数据来判定是否执行驻留本机的操作和注入体的选择。最后此PE Loader将最终选择的傀儡过程的空间架空，并把解密出的RAT�？橛成涞酱斯讨兄葱�(正本PE文件代码被置换)。

运行环境检测

该PE Loader在起头运行时，依然会进行沙箱和调试环境的检测，同时通过预先推算好的过程名哈希致反查找指定的过程。倒剽些检测前提中的肆意一条满足时，该恶意法式就不再持续执行，直接返回退出。

GA黄金甲·(中国区)官方网站

运行环境检测

操作资源数据

若是运行环境的检测全数通过，该PE Loader则加载名为“FYBLV”的资源数据，并从资源中取出后续要拷贝自身的文件夹名称和文件名的字串。而后以参数3作为分隔符，顺次取出其它的数据并保留在自界说的结构体中。资源中提取出的结构数据内容如下图：（图中标红的数值为保留在结构体中的8个成员数据）：

GA黄金甲·(中国区)官方网站

经过度析，结构体中每个成员的具体职能可参考下图：

GA黄金甲·(中国区)官方网站

开释与驻留

若是bIsCpySelf值为TRUE，那么该PELoader会将自己复造到C:\Users\SuperVirus\AppData\Roaming\ptdkuybasm\"目录下并把新文件定名为szPathName里保留的内容。接着在Windows的启动文件夹里创建一个.url的网页文件快捷方式，我们查看该PE Loader创建的快捷键属性，发现此快捷键的接见和谈体式为file:///，即指向的资源是本地推算机上的文件，而后面紧跟的蹊径就是复造从前新文件的全蹊径。通过此步骤令可实现开机自启动以达到持久节造主机的主张。

GA黄金甲·(中国区)官方网站

创建的快捷键属性

最后，该PE Loader凭据结构体中的dwFlag致反选择后续的RAT载体，所对应的RAT载体详见下表：

数据	过程名
0x01	C:\Windows\Microsoft.NET\Framework\v2.0.50727\RegAsm.exe
0x02	C:\Windows\Microsoft.NET\Framework\v4.0.30319\RegAsm.exe
0x03	C:\Windows\Microsoft.NET\Framework\v2.0.50727\MSBuild.exe
0x04	C:\Windows\Microsoft.NET\Framework\v4.0.30319\MSBuild.exe
0x05	C:\Windows\System32\svchost.exe
0x06	C:\Windows\System32\dllhost.exe
0x07	当前运行的自身过程

而在本样本中，此成员的值所对应的载体为当前运行的自身过程。

获取RAT并执行

在筹备好RAT的傀儡过程后，该PE Loader将结构体中的szKey值作为key，和名为”BJU”的资源传入解密函数。解密的算法仅为XOR运算，具体算法代码如下图：

GA黄金甲·(中国区)官方网站

接着，该PE Loader沉新创建新过程并将其设置为挂起状态。而后卸载此过程映像，并把在内存中解密出的新的PE头部，以及节数据顺次写入到挂起的过程中，最后批改OEP并启动运行。

GA黄金甲·(中国区)官方网站

(4) WARZONE RAT�？�

我们将此PE文件从内存中dump出来，通过度析和溯源后发现，该PE与国表某黑客论坛中售卖的WARZONE RAT同出一辙。由此我们揣摩，此处使用的RAT�？榭赡芪猈AREZONE RAT1.6版本，此版本为C++说话编写，重要职能蕴含远程桌面节造、键盘纪录、特权升级（UAC绕过）、远程WebCam、窃取凭证信息、Remote Shell、Offine Keylogger等等。下面我们会对RAT中的主题部门做简要介绍。

GA黄金甲·(中国区)官方网站

远控法式Warzone后盾界面

获取C&C地址

为了预防C&C被等闲发现或者批量提取，该木马将其加密后存放在“.bss”的资源节数据中。通过对解密函数的分析我们发现，这里选取了CR4算法。CR4天生一种称为密钥流的伪随机流，它是同明文通过异或操作相混合来达到加密的主张。解密时则使用密钥调度算法(KSA)来实现对大幼为256个字节数组sbox的初始化及代替。具体流程如下：

1）用数值0~255来初始化数组sbox。

GA黄金甲·(中国区)官方网站

2)当起头代替的时辰，获取硬编码在资源里的密钥，长度为0x32个字节。

(在资源数据中前0x32个字节是密钥，其余0x68个字节则是待解密的数据)

密钥和待解密数据

3）密钥流的天生是从sbox[0]到sbox[255]，对每个sbox[i]，凭据当前sbox值，将sbox[i]与sbox中的另一个字节置换，而后使用密钥进行代替。当数组sbox实现初始化之后，输入密码便不再被使用。

GA黄金甲·(中国区)官方网站

4）代替后的sbox数组中的数值如下图：

GA黄金甲·(中国区)官方网站

5）通过代替后的sbox和待解密的数据进行XOR运算后，最终得到服务器的host地址"asdfwrkhl.warzonedns[.]com"。

执行注入职能

当成功解密出C&C地址后，该木马则起头将一段Shellcode代码注入到傀儡过程中。在注入职能开启时，木马法式首先会凭据操作系统架构(64/32)来选择注入到cmd.exe或explorer.exe中。有关代码如下图所示：

GA黄金甲·(中国区)官方网站

接着，该木马使用远程线程的方式来注入主题职能Shellcode代码，并在启动远线程执行时，批改写入指标过程内存偏移的0x10E处为起头执行代码。

GA黄金甲·(中国区)官方网站

通过度析我们发现，这段注入代码的重要职能是利用傀儡过程来�；ropper(hqpi64.exe)。其会按时查抄Dropper是否处于运行状态，如被关关，则沉新启动。以此达到过程守护的主张。

GA黄金甲·(中国区)官方网站

过程守护职能

通讯和谈解析

1）衔接服务器

当成功注入到指标过程后，该木马则起头尝试与前文解密出的C2服务器进行衔接，并会凭据服务器返回的内容执行指定操作。

GA黄金甲·(中国区)官方网站

接管数据包的结构大体如下：

GA黄金甲·(中国区)官方网站

2）解密节造包

该木马首先将接管到的前0x0C个字节作为头部数据挪用自界说fn_Decrypt_CR4函数进行解密（密钥以明文方式硬编码在代码中）。成功解密后，取出偏移0x04处的DWORD数值作为是否持续执行以下贱程的判断前提（此DWORD数致凤保留着除去0x0C后，渣滓的数据长度）。

GA黄金甲·(中国区)官方网站

若前提切合，则该木马会再次挪用fn_Decrypt_CR4函数对整个数据（头部数据+追随数据）沉新进行一次解密。接着挪用自界说fn_Distribute函数，并取出数据中的OpCode来执行switch中分歧的操作。有关代码如下图所示：

GA黄金甲·(中国区)官方网站

3）执行节造指令

通过我们前面的分析能够看到，该木马节造指令中蕴含了大量用户隐衷信息的窃取职能。最终受害者的敏感数据信息，城市凭据远程服务器的指令回传给远程服务器。

节造指令职能

当远程服务器成功响应数据后，该木马就会凭据服务器返回的内容执行指定操作。部门节造指令职能如下表所示：

节造号令	指令职能
0x01~0x04	挪用自界说函数，并将执行了局回传服务器
0x02	上传过程列表
0x04	获取推算机逻辑磁盘信息
0x06	上传文件列表信息
0x08	下载节造号令中指定的文件
0x10	实现节造号令中指定的过程
0x0E	Remote Shell
0x10	取缔下载
0x12	获取Webcam Devices列表
0x14	Start Webcam
0x16	Stop Webcam
0x18	发送心跳包
0x1A	卸载客户端
0x1C	批改节造号令中指定的文件
0x1E	下载VNC�？�
0x20	窃取Google Chrome、Mozilla FireFox等浏览器和OutLook、Thunderbird、Foxmail邮箱中保留的凭证信息
0x22	下载节造号令中指定的文件链接并执行
0x24	凭据节造指令，切换两种方式来纪录键盘使用信息
0x26	使用全局新闻钩子，纪录键盘使用信息
0x28	Remote VNC装置
0x2A	测试本机的网络衔接职能
0x2C	断开远程服务器
0x38	未知测试
other	获取用户名，系统版本，GUID等信息

1）窃取凭证信息

窃取的信息蕴含Google Chrome、Mozilla Firefox等浏览器和Outlook、Thunderbird、Foxmail邮箱客户端保留的凭证信息等。

该木马获取有关凭证信息以及实现步骤如下表所示：

窃取的凭证信息	实现步骤
Google Chrome	读取\AppData\Local\Google\Chrome\User Data\Default\ Login Data数据库文件进行查问
Mozilla Firefox	读取配置蹊径下的signons.sqlite数据库，并通过nss3.dll解密
Outlook	遍历注册表Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles下子键进行鉴别并解密
Thunderbird	读取\AppData\Roaming\Thunderbird\Profiles目录下的数据库文件，并通过利用法式目录下的nss3..dll对存储的密码进行解密
Foxmail	读取邮箱目录下的\\Account\\Account.rec0文件并进行解密

a）提取Chrome凭证

Chrome浏览器保留用户登录信息的数据库文件为%AppData%\Local\Google\Chrome\UserData\Default\Login Data，该数据库是sqlite3的数据库，数据库中用于存储用户名密码的表为logins。logins表结构界说如下：

GA黄金甲·(中国区)官方网站

从该表中读取的内容是加密的，通过CryptUnProtectData函数对其进行解密便能够获取到明文数据。最后该木马将解密后的数据保留在名为”xxx.tmp”（”xxx“为Base64解码出的字串）的一时文件中。

GA黄金甲·(中国区)官方网站

b）提取Mozilla凭证信息

该木马首先检索和读取profile.ini配置文件，并提取关联的文件夹蹊径。接着利用nss3.dll来解密数据库signons.sqlite中被加密的内容，并通过SQL语句获取到主机名、被加密的用户名及密码，而后挪用nss3.dll中的导出函数对sqlite查问出的用户名和密码进行解密。最后同样的，将解密后的内容保留在名为”xxx.tmp”的一时文件中。

GA黄金甲·(中国区)官方网站

用户名和密码

c）OutLook凭证获取

电子邮箱OutLook的用户登录凭证通常会保留在注册表中，该木马通过枚举注册表Software\\Microsoft\\WindowsNT\\CurrentVersion\\Windows Messaging Subsystem\\Profiles下的所有子健，读取键名为下表中的数据好比password进行解密还原出明文的密码。最后将获取到的用户的Outlook登录凭证写入名为”xxx.tmp”的一时文件中。

GA黄金甲·(中国区)官方网站

获取Outlook邮箱的用户信息

d）Thunderbird凭证获取

同样，Thunderbird邮箱的凭证数据也是存储在数据库文件%AppData%\\Thunderbird\\Profiles中，该木马通过nss3.dll 的导出函数对贮存文件的密码进行解密。最后将解密后的数据保留在名为”xxx.tmp”的一时文件中。

GA黄金甲·(中国区)官方网站

e）FoxMail凭证获取

该木马在FoxMail的装置目录下查找Storage文件夹，接着遍历所有当前邮箱账户目录下的\Account\Account.rec0文件。此文件现实上就是用来存放账户有关信息的，加密后的密码就默认保留在这里。木马获取并解密此文件后便可窃取到Foxmail的凭证信息。

GA黄金甲·(中国区)官方网站

f）上传获取到的凭证信息

窃取完所有信息后，该木马则使用fn_Decrypt_CR4加密函数将文件内容做加密处置并将它们发送给远程服务器。

GA黄金甲·(中国区)官方网站

2）键盘纪录

a）离线键盘纪录（常驻）

GA黄金甲·(中国区)官方网站

当接受到的节造号令为为启用脱机键盘纪录时，此木马则使用钩子来实现键盘纪录职能。该钩子将捕获按键和窗口名信息保留在”C:\user\sss\AppData\Local\MicrosoftVision\”目录下，文件则以当前日期和功夫来定名。有关代码的实现如下图：

GA黄金甲·(中国区)官方网站

b）一时键盘纪录

当远程节造指令为开启键盘纪录时，该木马则通过Raw Input步骤来实时监控当前键盘的使用情况。接着将捕获到的键值进行判断并转化为字符值。同样的，这些字符值和窗口名信息保留在”C:\user\sss\AppData\Local\MicrosoftVision\”目录下，文件则以当前日期和功夫来定名。

GA黄金甲·(中国区)官方网站

按键和窗口名信息的获取

3）RemoteVNC装置

a）将新用户增长到”远程桌面用户”组

首先，该木马会挪用fn_Base64自界说函数，解码出后续必要增长的账户名和密码。并设定Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\SpecialAccounts\Userlist注册表值为0来暗藏新创建的账户。

GA黄金甲·(中国区)官方网站

增长并暗藏创建的新账户

接着，该木马将上文解码出的账户名和密码作为新用户参与到administor用户组中。这样便可使用非治理员用户来进行远程桌面登录。

GA黄金甲·(中国区)官方网站

将新账户参与治理员组中

b）更改远程桌面设置

该木马会批改注册表信息，实现打开远程桌面、多用户支持、更改用户登录和注销方式、使用急剧登录切换、以及设置远程”终端服务”的使用名为“RDPClip”等等操作。具体细节如下图所示（仅截取了部门步骤）：

GA黄金甲·(中国区)官方网站

通过度析我们发现，此RAT的远程桌面职能是通过特造的VNC�？槔词迪值�。并且在后续的更新版本中，还增长了HRDP�？槔词迪职挡卦犊刈烂�。该HRDP�？槭褂昧薌ithub上的rdpwrap项目，不仅能够在后盾登录远程推算机，并且创建的Windows账户还会自动暗藏。

4）权限升级（UAC绕过）

该木马的权限提升是利用了自动提升权限的合法利用法式”pkgmgr.exe”来执行DISP�？�。其职能代码实现是选取了Bypass-UAC框架，该框架能够通过挪用IFileOpertion COM对象所提供的步骤来实现自动提权。

该木马先将嵌入在资源数据中的PE文件在内存中加载并运行。而此PE文件现实上是一个加载器，其所做的事件则是将资源中的另一个PE伪造为“dismcore.dll”，而后将此dll复造到System32目录下，最后使用pkgmgr.exe执行伪造的恶意DLL。由于pkgmgr.exe是一个UAC白名单法式，所以它默认拥有治理员权限，且不会弹出UAC提醒框。部门代码如下图所示：

此恶意DLL的重要职能是获取注册表中的”Install”装置信息(Dropper的蹊径)并沉新启动拥有治理员权限的Dropper新过程。

GA黄金甲·(中国区)官方网站

5）未知测试

该木马尝试与远程服务器进行通讯，当衔接成功时则会向服务器发送”AVE_MARIA”字串作为记号。而后期待接管服务器返回数据，大幼为4个字节。若是接管成功，则开启新线程。

GA黄金甲·(中国区)官方网站

在新线程中，凭据远程服务器发送的指令，与新指定的C&C进行衔接。

GA黄金甲·(中国区)官方网站

由于接管数据无法获取，所以目前我们无法确定其正确用处，暂将其定名为未知测试。

3.2 最新攻击样本

我们在2019年3月26日捕获到了最新的关联文档“Michelle Flores - Curriculum Actualizado.doc”，其同样通过恶意宏启动攻击。文档首先通过Powershell剧本下载并执行PE文件“massive.exe”(C#编写并参与了大量混合)。之后蕴含了两个阶段，第一阶段“massive.exe”会从资源中解密出PE文件“DUMP1.exe”(C#编写)并加载。第二阶段则是“DUMP1.exe”开释自身并通过打算工作设置自启动，最后从资源中提取出Remcos RAT并以傀儡过程的方式加载运行，主题过程如下图：

GA黄金甲·(中国区)官方网站

阶段一：

“massive.exe”从资源中提取并解码出加密字符流，之后通过StrReverse函数将该字符流逆序分列，再经FromBase64String函数解码，最后通过自界说的解密函数method_0解密得到PE文件“DUMP1.exe”。

GA黄金甲·(中国区)官方网站

解密函数method_0如下图所示：

GA黄金甲·(中国区)官方网站

在经过逆序分列和Base64解码后的字符串（byte_0）中，前16位为解密密钥“0x28 0x49 0xf7 0x30 0xec 0x8d 0x500x80 0x94 0xaf 0x85 0xaa 0xa8 0xe7 0xc0 0x41”,之后为待解密密文。函数以16位为循环,将密钥同密文顺次进行按位异或，最终解密得到“DUMP1”文件并通过CallByName函数加载执行。

阶段二：

“DUMP1”文件同样选取C#编写，法式首先会睡眠50秒以躲避沙箱查抄，之后会检测调试器并将自身开释至“%ApplicationData%\riNpmWOoxxCY.exe”，接着创建schtasks.exe过程并增长打算工作“Updates\riNpmWOoxxCY”，从而实此刻登录账户时自启动，有关号令如下：

"C:\Windows\System32\schtasks.exe/Create/TN Updates\riNpmWOoxxCY/XMLC:\Users\super\AppData\Local\Temp\tmp925C.tmp"

之后，法式会从自身资源内解密出PE文件“DUMP2”，通过CreateProcess、WriteProcessMemory和SetThreadContext等函数，以挂起的方式加载一个新的过程，并最终以傀儡过程的方式写入并加载“DUMP2”。

GA黄金甲·(中国区)官方网站

经过度析，我们在“DUMP2”中发现了一些可疑字符串如：“Remcos”、“Remcos_Mutex_Inj”、“2.3.0 Pro”。

GA黄金甲·(中国区)官方网站

通过大量可疑信息我们确认此木马为Remcos RAT的客户端，且其使用的版本为2.3.0 Pro。以Remcos RAT免费版V2.4.3为例，服务端如图所示：

GA黄金甲·(中国区)官方网站

其免费版仅可增长一个C2衔接服务器，专业版则没罕见量限度。这次攻击中植入的木马是通过专业版天生且衔接至多个恶意C2，蕴含的C2地址提取如下：

casillas.hicam.net
casillasmx.chickenkiller.com
casillas.libfoobar.so
du4alr0ute.sendsmtp.com
settings.wifizone.org
wifi.con-ip.com
rsaupdatr.jumpingcrab.com

activate.office-on-the.net

Remcos RAT自2016年下半年起头在其官网和黑客论坛售卖，部门厂商曾对其进行过具体的技术分析，在此不做赘述，但这款木马的发现为我们寻找“Curriculum Vitae Actualizado Jaime Arias.doc”植入的未知木马起源提供了很好的溯源线索。

4恶意代码溯源与关联

4.1 恶意代码溯源追踪

前文曾提到，“Curriculum Vitae Actualizado Jaime Arias.doc”植入的木马中蕴含了“AVE_MARIA”特点字符串，且自2018年12月起头，“AVE_MARIA”类恶意样本在twitter、virustotal等平台越来越多的被发现。但多篇有关钻研文章均未指出其真事反源，杀毒厂商也宽泛的将其定名为AVE_MARIA，这引起了我们浓密的兴致。

我们尝试从多种角度去溯源木马以寻找线索，蕴含域名、IP、关联样本等等。其中在对关联样本“Michelle Flores - Curriculum Actualizado.doc”的分析中成功溯源到了商用软件Remcos RAT。我们分析了该软件的颁布渠路，发显熹不仅在官网进行销售，还在诸多黑客论坛如Hackforums上大量售卖。由此，我们猜测攻击人员很可能活跃在有关论坛并采办过多款商用软件，同时也将溯源沉点转向黑客论坛和暗网市场。

我们网络并分析了大量AVE_MARIA类恶意样本，发现大部门样本均通过warzonedns.com子域名进行恶意衔接和下载，追忆发显熹内容为黑客提供的DDNS服务。结合攻击人员的活动线索，我们成功追踪到Hackforums论坛上的可疑用户Solmyr。

GA黄金甲·(中国区)官方网站

Solmyr在论坛中提供了warzonedns.com域名的免费DDNS服务（IP动态绑定至子域名），使得用户能够等闲的将服务器IP绑定解析至warzonedns.com下的肆意子域名，使用示例如下：

GA黄金甲·(中国区)官方网站

这无疑给黑客提供了很好的藏身之所，与此同时我们发现Solmyr的另一个身份是WARZONE RAT的颁布者，该软件由于节造伎俩丰硕、技术职能壮大、迭代更新迅快，目前在Hackforums论坛中极度受迎接。

GA黄金甲·(中国区)官方网站

至此，我们有理由疑惑攻击者使用过该款商用远程治理工具。由于该软件关源且不提供免费版本，我们追忆到了WARZONE RAT流出的破解版本（V1.31），并将其与“Curriculum Vitae Actualizado Jaime Arias.doc”植入的木马样本进行同源性分析,以确定二者间的关联。

4.2 同源性分析

首先，我们在两种样本中均发现了特点字符串“AVE_MARIA”，并且针对两类样本的代码结构进行了比对，发现类似度极高。

GA黄金甲·(中国区)官方网站

其次，我们通过Bindiff进行了更为精确的对比，在去除部门API滋扰并比力分析了可信度高的函数后，发现大量函数齐全一样，占比达到80.16%，其余函数则可能由于版本原因略有差距，这也印证了二者间的强关联性。

GA黄金甲·(中国区)官方网站

另表,从传布功夫的角度分析,“AVE_MARIA”关联样本最初出现的功夫(2018年12月2日)略晚于WarzoneRAT在论坛的颁布功夫(2018年10月22日)，这也切合恶意代码传布的功夫逻辑。

凭据以上几点分析，我们以为两者拥有高度的一致性。从目前已知的情况看，WARZONE被杀毒厂商宽泛的鉴别为AVE_MARIA，而在深刻比对分析后，我们判定黑客组织使用的远控木马正是WARZONE RAT。因而能够将此类蕴含“AVE_MARIA”字符串的恶意样同宗族定名更新为“WARZONE”。

4.3 域名关联

我们观察到目前与DDNS服务warzonedns.com有关联的子域名总数共101个，部门截图如下：

GA黄金甲·(中国区)官方网站

这批域名均为warzonedns.com提供的免费子域名，且大部门关联至恶意样本，这批注大量黑客在滥用此类服务进行恶意攻击。

能够判断，Solmyr团伙作为WARZONE类恶意软件产业链的上游供给商，提供了蕴含免费域名服务、收费恶意软件及其它恶意利用技术等一系列服务，打包售卖给下游黑客使用。这次事务的攻击组织也为其下游客户，通过采办其部门服务，与自身的恶意代码组合利用来达到更佳的攻击成效，同时也能更好的暗藏自己的身份。

5总结

本文对本次攻击活动的攻击流程、有关的恶意代码、黑客布景等做了深刻的分析和钻研，从上文的分析中我们能够看出该黑客组织目前的攻击活动极度审慎，既没有大规模的攻击，也没有选取高成本的0day缝隙，同时，攻击活动功夫也极度短。这批注该攻击活动还处于初期，并对指标进行了一些试探性、针对性的攻击，也为后续的攻击做好筹备。此表通过对攻击活动的溯源，我们确定了该次活动背后的黑客组织，并凭据该黑客组织的活动汗青，发显熹民族主义色彩强烈，因而政治主张意图也较为显著。

当前利用宏进行网络攻击已经成为一种成本较低的攻击方式，因而也被大量的黑客组织所使用。黑客时时利用指标的一些幽微环节来进行此类攻击，拥有肯定的成功率，通过钓饵文档能够看出，本次活动针对的是当局机构的招聘部门，此类人群拥有相对较弱的安全意识，且由于工作中必要翻阅的简历量较多(如财政部门的简历量通常较大)，使得有关人员无法分辨假装得较好的恶意简历文件。再加上多阶段在线下载恶意代码的战术、无文件技术和打包加密技术的使用，从而大大提高了攻击的成功率。因而此类攻击必要有关部门提高警惕，加强系统架构中的短板防备。

IOC

MD5

99C82F8A07605DA4CCC8853C910F7CAF

048DCA20685ECD6B7DBDBF04B9082A54

DEF105A9452DEF53D49631AF16F6018B

1E19266FC9DFF1480F126BD211936AAC

262D9C6C0DC9D54726738D264802CCAD

B3C9F98DD07005FCCF57842451CE1B33

497566120F1020DBD6DF70DD128C0FFB

域名

linksysdatakeys[.]se

gestomarket[.]co

asdfwrkhl.warzonedns[.]com

casillas.hicam[.]net

casillasmx.chickenkiller[.]com

casillas.libfoobar[.]so

du4alr0ute.sendsmtp[.]com

settings.wifizone[.]org

wifi.con-ip[.]com

rsaupdatr.jumpingcrab[.]com

activate.office-on-the[.]net

7*24幼时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合多数据书生电子云子可信

司法申明

GA黄金甲

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠路系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系GA黄金甲

安全钻研

黑狮行动：针对西班牙语地域的攻击活动分析

关于GA黄金甲

解决规划

安全钻研

联系GA黄金甲

7*24幼时服务热线