APT組織blacktech的PLEAD惡意軟體分析

原創： piku Yoake 合天智匯

翻譯文章

原文鏈接為

https://blog.jpcert.or.jp/2018/06/plead-downloader-used-by-blacktech.html

前言

在過去的一篇文章中，我們介紹了APT組織BlackTech使用的TSCookie惡意軟件。據悉，該組織還使用了其他類型的惡意軟件“PLEAD”。PLEAD有兩類——RAT（遠程訪問工具）和Downloader(下載程序)。RAT的命令運行基於C＆C服務器提供。（請參閱https://www.lac.co.jp/lacwatch/people/20180425_001625.html瞭解更多信息）另一方面，PLEAD Downloader的下載模塊與TSCookie在內存上運行的方式如出一轍。

本文詳細介紹了PLEAD下載器的工作流程。

PLEAD Downloader的工作流程

首先PLEAD Downloader從某些站點下載經過RC4加密的模塊。圖1顯示了從服務器下載的加密文件的示例。

下載文件的前20h是用於解碼文件的RC4密鑰。解碼後，您可以找到模塊（以下稱為“PLEAD模塊”），C＆C服務器，加密密鑰等。圖2是解密文件的示例。

PLEAD下載程序加載PLEAD模塊（包含在解密數據中）並執行它。該模塊不會保存為文件，只會存在於內存中。以下部分將介紹PLEAD模塊的詳細信息。

PLEAD模塊

PLEAD模塊基於C＆C服務器提供的命令運行。與C＆C服務器之間的通信採用RC4加密，然後使用LZO進行壓縮。RC4加密密鑰是由其自身生成的密鑰和從C＆C服務器發送的密鑰的組合。圖3描述了PLEAD模塊執行的通信流程。

PLEAD模塊首先與C＆C服務器共享RC4密鑰。下面是在通信開始時發送的HTTP GET請求的示例。Cookie標頭包含加密的RC4密鑰。在Cookie標頭中發送的數據中，“D”和“E”互換。有關數據格式，請參閱附錄A中的表A-1和A-2。

1. GET
2. /
3. index
4. .
5. php
6. ?
7. id
8. =
9. 1577061168
10. HTTP
11. /
12. 1.1
13. Cache
14. -
15. Control
16. :
18. no
19. -
20. cache
21. Accept
22. :
24. *
25. /*
26. Pragma: no-cache
27. Cookie: 800809D6411C6E2629001900A92309EB26192117C5A59F306E207A8993A2F20121FC3B42B6DF693838
28. User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
29. Host: [host name]
30. Connection: Keep-Alive

用於數據加密的RC4密鑰長度為32字節，分為5個塊（4字節* 4 + 16字節* 1）。密鑰中的第一個塊（圖3中的Key1）包含在PLEAD模塊的配置中。在HTTP GET請求中將第二個和第三個塊（Key2和3）設置為0。第四個塊（Key4）是隨機生成的，並在URL中的“id”之後插入。第五個塊（Key5）基於Key4值生成。

首先發送的數據包含Key2值。使用該值，接收方服務器會加密Key3值並將其發送到C＆C服務器。數據格式在附錄A的表A-3和A-4中描述。這樣，生成RC4密鑰並用於隨後的通信。

下面是解碼數據的Python腳本的一部分。

1. def
2. decode
3. (
4. key1
5. ,
6. key2
7. ,
8. key3
9. ,
10. key4
11. ,
12. data
13. ,
14. lzo_header
15. ):
16. rc4_key
17. =
18. key1
19. +
20. pack
21. (
22. "III"
23. ,
24. key2
25. ,
26. key3
27. ,
28. key4
29. )
31. for
32. i
33. in
34. xrange
35. (
36. 4
37. ):
38. key4
39. =
40. ROR
41. (
42. key4
43. +
45. 1
46. ,
48. 5
49. )
50. rc4_key
51. +=
52. pack
53. (
54. "I"
55. ,
56. key4
57. )
58. dec
59. =
60. rc4
61. (
62. data
63. ,
64. rc4_key
65. )
67. try
68. :
70. return
71. lzo
72. .
73. decompress
74. (
75. lzo_header
76. +
77. dec
78. )
80. except
81. :
82. sys
83. .
84. exit
85. (
86. "[!] Lzo decompress error."
87. )

共享RC4密鑰後，PLEAD模塊使用HTTP POST請求發送有關受感染主機的信息。數據格式與附錄A中的表A-1所示相同。

1. POST
2. /
3. index
4. .
5. php
6. ?
7. id
8. =
9. 2852129559
10. HTTP
11. /
12. 1.1
13. Content
14. -
15. Type
16. :
17. application
18. /
19. x
20. -
21. www
22. -
23. form
24. -
25. urlencoded
26. Accept
27. :
29. *
30. /*
31. User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
32. Host: [host name]
33. Content-Length: [data size]
34. Connection: Keep-Alive
35. Cache-Control: no-cache
36. [data]

數據本身包含受感染主機的主機名，操作系統版本，IP地址，用戶帳戶名。圖4是解碼數據的示例。

之後，將從C＆C服務器發送命令。PLEAD模塊可以執行以下功能。

• 洩露文件列表
• 任意shell命令執行
• 上傳/下載文件
• 文件操作 （有關命令的詳細信息，請參閱附錄B中的B-1）

結論

正如我們之前所描述的，該組織一直在使用各種惡意軟件對日本境內進行攻擊。由於這次攻擊活動可能還會繼續，JPCERT將密切關注相關消息。

附錄C中我們列出了本文中描述的樣本的哈希值。最近確認的一些C＆C服務器也列在附錄D中。請確保您的設備都沒有訪問這些主機。

附錄A PLEAD模塊通信數據

附錄B PLEAD模塊命令

附錄C樣本的SHA-256哈希值

PLEAD

• bc2c8cc9896cdd5816509f43cb5dca7433198251d754a997a70db7e8ed5cca40
• a26df4f62ada084a596bf0f603691bc9c02024be98abec4a9872f0ff0085f940
• 2ddb2030ab3373b9438102b541aa4623b7dfee972850dcef05742ecbe8982e22
• eec3f761f7eabe9ed569f39e896be24c9bbb8861b15dbde1b3d539505cd9dd8d

PLEAD模塊

• 23f554cc5bea9d4ccd62b0bbccaa4599f225ebce4ad956a576cc1a9b2a73dc15

附錄D C＆C服務器列表

em.totalpople.info

office.panasocin.com

gstrap.jkub.com

woc.yasonbin.info

210.71.209.206

閱讀更多 合天網安實驗室 的文章

關鍵字: Mozilla 通信 惡意軟件