APT15代码库2020的演变

Ke3chang小组,也称为APT15,是一个据称由中国政府支持的小组,其目标是跨越多个大洲的各个知名实体。例子包括袭击欧洲各部印度大使馆英国军事承包商。该小组的活动可以追溯到2010年,据了解,该小组拥有大量的自定义工具,这些工具通常是针对其特定目标量身定制的。 5月中旬,我们从VirusTotal中识别了三个最近上传的样本,它们与旧的APT15植入物共享代码。由于文件后门系列“ Ketrican”和“ Okrum”中功能的合并,我们将这个新的样本系列命名为“ Ketrum”。 我们认为该手术是最近才进行的。下面我们对这些样本进行技术分析,并解释APT15的代码库在过去一年中的发展。 总览 我们发现的三个样本似乎是ESET研究人员在2019年记录的Ketrican和Okrum后门的混合物。功能已从这两个恶意软件家族合并而来,为该组创建了不同的RAT类。我们决定将这种恶意软件称为“ Ketrum”。 我们发现的新样本延续了Ke3chang小组的策略,即使用基本后门来控制受害者的设备,以便操作员可以连接到该设备并手动运行命令以进行进一步的操作。 在开始技术分析之前,我们能够使用Intezer Analyze将这些二进制文件连接到Ke3chang :
从PE时间戳记和VirusTotal上传日期来看,所有这三个样本都联系了同一台C2服务器,并且似乎已在两个不同的时间段内使用:
SHA256s Name VirusTotal Date PE Timestamp C2 Family
a142625512e 5372a172859 5be19dbee23 eea50524b48 27cb64ed5aa eaaa0270b RavAudio64.exe 2019-12-03 7 Jan 2010 menu.thehuguardian[.]com Ketrum1
271384a078f 2a2f58e14d77 03febae8a28c 6e2d7ddb00a3 c8d3eead 4ea87a0c0 2020-05-16 13 May 2020 www.thehuguardian[.]com Ketrum2
aacaf0d4729 dd6fda2e452 be763d209f9 2d107ecf24d 8a341947c54 5de9b7311 2020-05-17 13 May 2020 www.thehuguardian[.]com Ketrum2

表1

C2已于2019年底注册,这使我们相信第一个PE时间戳已被篡改,而后两个时间戳至少接近实际的编译日期。 同样重要的是要注意,C2已在中国注册并于5月中旬停止运营。 两全其美 我们记录了后门之间的一些有趣的区别:
Ketrican Okrum Ketrum1 Ketrum2
Identify installed proxy servers and use them for HTTP requests
Special folder retrieval using registry key[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]
The response from the server is an HTTP page with backdoor commands and arguments included in the HTML fields
Backdoor commands are determined by a hashing value received from C2
Communication with the C&C server is hidden in the Cookie and Set-Cookie headers of HTTP requests
Impersonate a logged in user’s security context
Create a copy of cmd.exe in their working directory and use it to interpret backdoor commands
Usual Ke3chang backdoor functionalities – download, upload, execute files/shell commands and configure sleep time
Screenshot-grabbing functionality

表2

KETRUM 1 Ketrum 1示例已于2019年12月上载到VirusTotal。如果可以获取SeDebugPrivilege,此版本将自身注册为“ WMI Provider Host”服务;否则,它将在启动目录中创建一个条目。 如上表所示,此示例包含了Okrum的许多功能,但是,它放弃了更高级的Okrum功能,例如通过导出提供反射注入以及使用散列来接收命令ID。 过去,APT15使用IWebBrowser2 COM接口来管理其网络通信。这次,Ketrum开发人员放弃了这项技术,使用了简单的HTTP API:
有趣的是,此示例还合并了一个抓屏命令。 KETRUM 2 Ketrum 2似乎是为简约而设计的。如表2所示,许多功能已被删除。 与Ketrican变体不同,Ketrum植入物不再试图削弱系统的安全性。在以前的植入物中,Powershell用于此目的。有趣的是,字符串仍然保留在Ketrum 2中,该字符串引用了此已删除的功能-可能是复制粘贴中的意外遗留:
二进制文件中还包含其他一些有趣的未使用文件名,例如“%s \ adult.sft”和“%s \ Message”。 该恶意软件首先收集基本系统信息以跟踪受感染的端点,然后将其与系统信息的哈希值一起发送到C2服务器:
所有传入和传出的有效负载均通过RC4加密和base64编码进行馈送。RC4加密使用一个不寻常的密钥:
这些实际上是MD5和SHA1算法中使用的常数。Ketrum开发人员很可能打算使研究人员混淆该功能的反转。 然后从响应中的HTML中提取命令:
该后门仅支持有限数量的命令,这是Okrum和Ketrican后门的典型特征。与Ketrum 1不同,Ketrum 2不支持抓屏。这是可能的后门命令列表:
Command ID Description
1 Adjust sleep time
2 Execute a shell command
3 Upload a file
4 Download a file
5 Execute a file
7 (there is no 6) Execute a shell command with adjusted sleep time
8 Adjust execute shell sleep time
9 Download “Notice” file to working directory – * it is unclear how this is used

表3

代码重用 除了底层实现和系统API的使用之外,这两个Ketrum样本都类似于以前的Ke3chang工具的布局。即使在两个Ketrum示例中,用于实现相同功能的低级API之间也存在差异。例如,在整个系列中使用不同的API来实现文件上传功能。读取文件时,通常使用0x20000的常量值:
                   Ketrum 1                                                         Ketrum 2
                         Ketrican 2018 Okrum 根据FireEye和ESET的报道,Ke3chang恶意软件群集可能是由多个团队开发的,而Ketrican / Okrum的开发人员与Ketrum的开发人员属于一个不同的团队,尽管相关。这可以解释高层和流程的相似性,也可以解释底层的差异。 结论 Ke3chang的众多工具(例如Okrum,Ketrican,TidePool,Mirage,Ketrum等)都具有相同的目的,提供或采用针对特定目标量身定制的一些技术或功能。我们可以将这些工具归类为BS2005恶意软件,并且每次操作以不同版本分发。但是,通过以不同的名称命名所产生的区别对于跟踪小组的运营和不同的开发周期很有用。 Ke3chang的组工具与FireEye的第一个Ke3chang报告中报告的工具没有太大差异。该小组继续修改其代码,并在其各种后门中切换基本功能。该策略已在该小组中使用了多年,目前尚无迹象表明它将偏离这种作案手法。 自小组成立以来,信息安全领域已有许多改进,但是,令人惊讶的是,这并未反映在小组坚持在其工具中使用相同的旧TTP的持久性。 IOCS 271384a078f2a2f58e14d7703febae8a28c6e2d7ddb00a3c8d3eead4ea87a0c0 aacaf0d4729dd6fda2e452be763d209f92d107ecf24d8a341947c545de9b7311 a142625512e5372a1728595be19dbee23eea50524b4827cb64ed5aaeaaa0270b thehuguardian [。] COM 45.56.84 [。] 25
0 0 vote
Article Rating

未经允许不得转载:x-sec » APT15代码库2020的演变

赞 (1) 打赏

This site uses Akismet to reduce spam. Learn how your comment data is processed.

0 Comments
Inline Feedbacks
View all comments

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏

0
Would love your thoughts, please comment.x
()
x