关于某黑客组织最近一次使用APT用ZeroT和PlugX瞄准政府目标的分析

摘要 ：本文主要研究黑客组织最近一次使用apt黑客工具对某政府目标组织实施分析的过程及其技术细节，通过分析过程我们可以了解黑客最新的攻击技术手段并以此思考在防御端可以加强的方面， 这个APT活动代表了攻击技术的变化，APT活动在来年将继续增加，需要我们继续投入更多的精力进行分析和防御以保障国家的信息安全

关键词： APT攻击；钓鱼邮件；远程访问木马

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2017）05-0049-02

1 概述

最近某黑客组织开始使用称为ZeroT的新下载程序安装PlugX远程访问木马（RAT），并添加了Microsoft编译的HTML帮助（.chm）作为鱼叉式网络钓鱼电子邮件中提供的初始droppers之一，他们使用上述木马病毒对欧洲某国的政府目标进行了攻击，通过杀毒软件公司我拿到了样本并对其进行了分析，了解了APT攻击行为的交付细节，并描述了与此团体相关联的策略，技术和过程（TTP）的其他更改。

2 行动过程

在以前的活动中，该组织使用钓鱼网络钓鱼电子邮件，邮件附件使用Microsoft Word文档并利用CVE-2012-0158或用URL链接到RAR压缩的可执行文件。 虽然这些行为模式中的一些仍然继续，在2016年6月的新样本中观察到攻击者使用一种新型的拖放器提供以前未知的恶意软件，暂时命名为“ZeroT”。具体来说，CHM文件20160621.chm释放了第一个已知的ZeroT样本。Microsoft HTML帮助文件格式（CHM）用于一种软件文档格式，可能由HTML页面和其他压缩文件组成。 这个特定的CHM包含HTM文件和可执行文件。 HTM文件包含向用户显示的文本，并引用可执行文件svchost.exe。因此，打开CHM具有运行可执行文件的效果（UAC对话框如图1所示）。

攻击者还继续发送钓鱼邮件，邮件中附带有含有CVE-2012-0158漏洞利用的附件，以此来攻击目标客户端。 这些文档是用MNKit工具构建的 例如，主题为“2017-2020年的联邦目标计划”的电子邮件包含附件“2017-2020.doc”，在2016年12月发送给一家航空公司。

在2016年下半年，还发现了许多包含了ZeroT的RAR文件和的RAR SFX（自解压可执行文件）。下表中是一些例子。从文字上看，攻击目标都是东欧方面的国家。

3具体技术细节分析

本节提供对ZeroT的技术分析，包括它的使用过程和混淆技术的分析。

3.1 UAC绕过和旁路调用

在分析中发现，许多ZeroT RAR SFX样本都包含一个名为Go.exe的文件，此文件用于绕过UAC保护。 此可执行文件含有一个PDB路径，通过名字我们可以猜到其目的是绕过UAC。

这个可执行文件使用了与旁路调用DLL和ZeroT有效载荷（稍后描述）中相同的混淆技术。 执行的时候，Go.exe修改图5所示的注册表项，以通过使用事件查看器[1]达到UAC绕过。

然后它执行eventvwr.exe，然后继续调用Zlh.exe以执行UAC 绕过漏洞。

Zlh.exe是一个合法的，签名的诺曼安全AS应用程序，用于旁路调用一个恶意的nflogger.dll DLL。加密的ZeroT有效载荷通常命名为NO.2.mui。旁路调用DLL并不总是使用相同的漏洞可执行文件，但它的功能总是相似的。 通常DLL没有被加壳。 这个恶意DLL通常使用相同的垃圾代码混淆：在真实指令之间插入假的API调用。 在ZeroT本身的多个函数中可以找到相同的混淆。

这个DLL没有其他显着的特性，因为它的功能像一个典型的恶意负载。 在将加密的有效负载加载到内存后，它将执行转移到位于文件开头的shellcode。 即使该过程类似于稍后的PlugX RAT侧载，但是shellcode和混淆技术没有什么共同点。 一旦加载到内存中，ZeroT shellcode不会出现任何类型的混淆，与PlugX不同。 这个shellcode负责解包加密和压缩的有效载荷。 如下面详细介绍的新的PlugX 释放器，这是使用RC4和RtlDecompressBuffer完成的。 在PlugX样本中，ZeroT的PE头部被篡改，特别是“MZ”和“PE”常数。 在一些PlugX版本上，“GULP”或“XV”常被作为替换“MZ”常数的标签。

3.2 ZeroT命令和控制协议

ZeroT通过HTTP与其命令和控制（C&C）端通信。 该恶意软件的所有请求都使用了假的User-Agent：“ Mozilla / 6.0（兼容； MSIE 10.0； Windows NT 6.2； Tzcdrnt / 6.0） ”，其中“ Tzcdrnt ”可能是“ Trident ”的错字。所有样本中，ZeroT发送第一条信息到index.php，并等待依l使用静态密钥的RC4加密响应：“（* ^ GF（9042&*”）。

在解密的初始服务器响应中，ZeroT需要几个URL，包括以“w：”为前缀的POST系统信息的位置和用“r：”前缀表示的任何阶段2有效载荷的下载位置。

接下来，ZeroT使用HTTP POST信标将有关受感染系统的信息传送到C&C。 第一个信标包含以下数据：“ Cn =%s&La =%s& ”其中Cn是计算机名称，La是本地IP地址。第一信标以明文发送，这可能是恶意软件作者的疏忽，因为在随后的POST信标被加密。 第一POST信标之后是另一个以下格式：“ Lg =%d&Pv =%d&Bu = %% s&Cn =%s&Cu =%s&Dn =%s&Ki =%s&La =%s&Me =%s& =“%s&； Ov =%s&Pt =%s&； Fl = %% d ”，使用以下密钥RC4加密：“s2-18rg1-41g3j_ .；”。 此POST发送基本指纹数据，包括计算机名称，系统语言，域信息和Windows版本。