近期中文钓鱼邮件攻击事件分析报告

时间 ：  2019年05月17日  来源：  安天应急响应中心

1、概述

---

        2019年2月起，安天CERT发现大量由境外IP向我国用户邮箱发送的钓鱼邮件，邮件主题涉及“发票”、“采购”、“订单”等关键字，并且在邮件中包含同样关键字的恶意附件。经分析，还发现了大量相关类似的钓鱼邮件，但多数以英文“invoice”为邮件关键字。我们认为，该类攻击事件可能是全球范围内进行的黑产活动，其针对不同国家的目标时可能会编写对应语言文字的钓鱼邮件。

        攻击者通过邮件传播恶意附件，最终载荷为.Net语言编写并进行混淆的“NanoCore”[1]远控木马。“NanoCore”是一款功能强大的远程控制程序（RAT），可以对目标主机的文件、屏幕、进程等进行操作，还支持扩展功能插件。该木马由美国阿肯色州的Taylor Huddleston编写并出售，该木马作者已于2018年2月被美国当局以创建和销售恶意软件罪判入狱33个月[2]。

2、攻击分析

---

2.1 攻击源（发件地址）

        针对国内的钓鱼邮件主要有两类，一类的邮件主题为：“****采购订单”，附件名：“采购订单.7z”；另一类的邮件主题为“确认_发票****”，附件名：“发票支付.7z”。攻击者主要使用juliet@goldwick.com.au和daniel@splashcad.com作为发件地址。通过分析这两个邮箱所属公司网站的注册信息及页面内容来看，两个公司网站均为合法网站，均归属澳大利亚。攻击者使用的这两个邮箱，很可能是通过盗用、假冒或入侵网站后利用的邮箱。

        goldwick.com.au是一家澳大利亚的珠宝批发商网站，目前网站运营正常。

        splashcad.com是一家经营CAD产品的公司，网站位置和注册信息均在澳大利亚，网站状态正常。

2.2 攻击目标

        该事件攻击的国内目标主要为电商平台、银行、高校等机构。其中收件人的邮箱地址基本是在网上公开过的邮箱，如公司的联系邮箱、客服邮箱、公开的个人邮箱等。这些邮箱疑似通过网页爬取而来，推测是大范围的撒网式攻击。

3、样本分析

---

        该事件相关邮件较多，邮件内容类似，投递的恶意载荷只是名称和哈希不同，其主要功能行为都完全一致，因此我们提取其中一个典型样本进行分析。

3.1 样本标签

表 3 1采购订单.exe样本标签

3.2 功能分析

        样本是一个.Net程序，它对部分字符串进行了混淆。程序入口点在MyApplication，其中调用了Form09，Form09中解密了资源文件w22B7azvmB2JvCA7N6HIBm8oMX….，该资源文件伪装成Bitmap格式。样本通过解密该资源文件，得到另一个.Net程序并执行，程序再次解密自身的资源文件，得到最终的NanoCore (1.2.2.0)版本的远控木马。。

图 3 1程序入口点MyApplication

图 3 2加密的资源文件

        解密并运行资源文件的具体流程如下：

图 3 3解密资源文件

        解密算法为循环异或固定key：

图 3 4解密算法代码

        从资源文件中提取出来的obj是一个.Net程序，原名CyaX.exe，样本标签如下：

表 3 2CyaX.exe样本标签

        CyaX.exe运行后，再次解密自身资源文件YI3KSdM，得到NanoCore远控木马的PE文件，之后通过解析PE文件格式，取得入口点并执行：

图 3 5 CyaX.exe反编译代码

        vjYpuWOAjMO8sjLffqr4ri2是对YI3KSdM解密后，得到的PE文件：

图 3 6 资源解密函数

        解密函数的算法与图3-4一样：

图 3 7解密算法与第一次解密相同

        对YI3KSdM解密后，就会得到Nanocore Client.exe远控木马， 它被作为参数层层传递，最终在以下位置对它进行PE解析，找到入口点执行。

图 3 8解密后的Nanocore木马

        最终的Nanocore程序代码经过完全混淆以对抗逆向分析。通过原始项目名称可以看到木马版本号为1.2.2.0，木马最终连接远程C2：194.68.59.60:717。

图 3 9解密后的NanoCore远控木马反编译代码

3.3 植入特征

        被植入此木马的机器会出现以下文件特征：

1.     在“%AppData%”目录下创建以本机GUID命名的文件夹，然后在该文件夹下创建两个子文件夹和几个文件。其中一个文件夹的命名随机生成，如“DHCP Manager”或“DSL Service”或“Manager”等，另一个文件夹为“Logs”。

2.     复制样本自身到的“DSL Service”文件夹下，重命名为“dslsv.exe”，并在注册表中添加启动项，设置该程序开机自启动。

图 3 10感染特征——衍生文件

3.     “Logs”文件夹下会生成以当前登录用户命名的子文件夹，在该文件夹下有一个伪装成Windows更新日志文件的 KB_xxxxx.log ，此文件用来记录用户键盘输入的数据信息。

图 3 11键盘记录存储文件

4.     定期尝试连接C2服务器194.68.59.60:717，连接成功后接收指令进行相应操作。

3.4 NanoCore RAT

        NanoCore是一个.Net framework 编写的RAT，首次出现于2012年，当前最新版本为1.2.2.0。NanoCore RAT的功能十分强大，它能够执行多种恶意操作，比如：文件操控、注册表编辑、进程控制、文件传输、远程命令执行、键盘记录、口令恢复等。

图 3 12NanoCore控制端界面

4、关联分析

---

        攻击者使用的C2服务器为194.68.59.60，通过关联分析发现新的样本和域名，经分析确认与此事件属于同一组织/行动所为，这些样本应为通用性全球范围传播的样本（英文文件名），从样本的生成时间和域名的解析时间可以看出该组织的攻击行动在持续活跃；从文件名称来看，其攻击活动可能是普适性（传统邮件钓鱼）而不是针对性的。

表4-1 相关域名

表4-2 相关样本

5、小结

---

        此系列攻击事件虽然与传统钓鱼邮件攻击手法类似，但其对国内的攻击目标单独构造了中文内容和文件名，且投递的样本是功能强大的远控木马，攻击成功后可能会产生严重威胁。同时需要我们警惕的是，不排除该事件可能像“乌克兰停电事件”[3]一样采用“黑色能量”作为后续攻击的前期预置环节，我方应予以重视，做好排查防范工作，谨防后续攻击。

附录一：参考资料

---

[1]. Stratosphere Lab：What do we know about NanoCore RAT? A review.

        https://www.stratosphereips.org/blog/2018/9/7/what-do-we-know-about-nanocore-rat-a-review

[2]. Bleepingcomputer：Nanocore RAT Author Gets 33 Months in Prison

        https://www.bleepingcomputer.com/news/security/nanocore-rat-author-gets-33-months-in-prison/

[3]. 安天：乌克兰电力系统遭受攻击事件综合分析报告

        https://www.antiy.com/response/A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage/

        A_Comprehensive_Analysis_Report_on_Ukraine_Power_Grid_Outage.html

[4]. Symantec：NanoCore: Another RAT tries to make it out of the gutter

        https://www.symantec.com/connect/blogs/nanocore-another-rat-tries-make-it-out-gutter

[5]. Palo Alto Networks：Operation Comando: How to Run a Cheap and Effective Credit Card Business

        https://unit42.paloaltonetworks.com/operation-comando-or-how-to-run-a-cheap-and-effective-credit-card-business/