TransparentTribe黑客组织对印度国防学院发起攻击 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2021-06-07

TransparentTribe黑客组织对印度国防学院发起攻击

一．背景

TransparentTribe APT组织，又称ProjectM、C-Major，是一个来自巴基斯坦的APT攻击组织，主要攻击手段是通过鱼叉式钓鱼邮件对印度政府、军事、金融等目标发起攻击。该组织的活动最早可以追溯到2012年并在2016年3月首先被proofpoint公司披露。透过对该黑客组织的长期威胁情报的追踪，我们发现该黑客组织于近期发动了一场针对印度国防学院学员的鱼叉式钓鱼邮件攻击，该攻击以提供内部图书馆账号为诱饵，诱骗用户启用宏代码，并通过宏代码下载恶意的后门木马。

二．攻击活动分析

1．攻击流程：

2．宏模块分析：

该演示文稿打开后，提示要启用宏代码，这时文档是无内容显示的。

启用宏后，在很明显的位置上有一个Logo，Logo下方则写着国防学院而其它文字内容主要是提供某些网络图书馆共用账号。

经过维基百科查询后发现，该Logo是属于印度国防学院的，该学院位于新德里，是国防服务培训学院，为人员的战略学习的座位最高国防服务和公务员事务。只有少数精挑细选的一星级国防官员和印度政府联合秘书级公务员参加。该学院在国家和国际安全事务上为印度政府提供战略领导，并在国防事务上充当智囊团，并且在树立印度国防观方面发挥着非常重要的作用。

该钓鱼文稿与其它的文稿不同采用了非标宏代码，使用VBA编辑器无法找到其宏代码，但可以通过OelTools将宏代码提取出来。

将宏代码进行整理，并复制到新的PPT中调试，首先是通过Auto_Open函数在启用宏代码的同时自动执行函数体内的函数。

该函数主要为释放木马文件，首先会获取系统目录然后拼接成为完整目录，并建立名为Maltimedia文件夹。

随后判断系统版本是否为win7，如果是win7就将标志位置1。

将窗口text控件的代码，除去P后转换为wardhmrias.zip。

以下为win8以上系统逻辑与上述相同，释放的是textbox2中的数据。

调用unaddeeip解压文件，释放wardhmrias.exe到当前目录。

Unaddeeip内部调用win系统自带的模块解压。

最后调用Shell对象运行木马。

第二个Call主要是释放迷惑文件。

在用户文件夹建立Mdtmedia的文件夹，并将窗口2中textbox的数据释放到当前文件夹，创建一个名为powerpoint.zip的文件。

调用unaddeeip解压文件，并调用Presentations.Open打开当前释放的PPT文件。

最后有一个函数没有被调用，但是经过分析该函数的作用是将Excel中的数据读取并自动生成PPT中的内容，推测是攻击者自动生成时留下的代码。

3．Crimson RAT

该次内置的RAT与上次攻击的同属于一个家族，主要逻辑也基本相同，同时也有.net3.5/2.0和.net4.0版本，通过宏判断系统版本进而释放不同版本的木马。

上次笔者分析了.net2.0的版本，这次我们以.net4.0版本为主来进行分析。该Rat是与之前一样，是窗口程序通过Form1类创建窗口。

调用InitializeComponent方法初始化窗口。

设置窗口属性是否显示，以及关闭窗口消息相应函数和主消息回调。

3.1FormClosing回调：

延时150毫秒后，调用wardhmriasload_atpp方法。

wardhmriasload_atpp方法首先获取Rat运行的路径和名称并判断Rat的运行路径与名称是否一致，如果不一致则调用WriteAllBytes函数将Rat重命名写入当前运行目录，随后调用wardhmriasset_rdun方法。（这里与之前版本的Rat不同，之前的Rat没有判断路径名称是否一致，这里的写法显然是修复特定环境下的BUG）

wardhmriasset_rdun方法向注册表写入自启动。

3.2Load回调：

设置窗口相关的属性，延迟后调用调用wardhmriasdo_stadrt方法。

wardhmriasdo_stadrt方法内部，使用定时器线程定时去调用wardhmriaslookup_codnr方法,延迟时间为31280毫秒，定时器间隔为37420毫秒。

wardhmriaslookup_codnr方法内部调用了wardhmriasIPSrFI方法。

wardhmriasIPSrFI方法内部，首先调用wardhmriasserverIPtD方法获取了C&C服务器地址。

值得注意的是wardhmriasdefaudltP默认是有一个C&C地址，但该地址并未使用，而是被上述的IP地址取代，推测是为了应付一些自动提取IOC的软件或者初级分析人员的干扰选项。

随后会尝试连接到C&C服务器：185.136.169.155:8761。

当发生错误时，会进入异常流程，异常流程会调用wardhmriaspodrts_sdwitch方法更换端口并重新发起连接。

wardhmriaspodrts_sdwitch方法通过硬编码的端号进行更换。

这里与之前的Rat不同的地方是，这个没有异常处理处理程序，不会将失败的信息向C&C发送。如果成功连接后将调用wardhmriassee_spyo方法进行处理。

由于笔者分析时，该C&C服务器以关停，故无法获取其返回的命令格式，以及相关数据，但可以通过内置的部分指令以及功能来获取其对应的恶意行为，该Rat的服务端是由Web进行控制的。从Rat中可以分析到首先获取服务端返回的数据。

然后将数据赋值给<>c__DisplayClasse结构并对其进行拆分/判断。

接着就是一个巨型的switch，通过switch进行不同命令的分发，并且兼容多个版本的服务端，也就是多种命令实际上是同一个功能。

由于该Rat的功能较多，为避免文章过于冗长下面仅列取部分Rat的功能代码。wardhmrias-puatsrt命令之前分析过，是写入开机自启功能。

wardhmrias-enadpo命令，用来结束指定进程。

wardhmrias-ruanf命令，用来创建指定的进程。

另外在Form1中发现了几个没有被调用的函数，该函数是将xml文件内容给DataTable对象。

这个则是将CSV文件内容给list对象。

三．攻击活动TTP

组织代号 TransparentTribe，ProjectM，C-Major，Gorgon Group组织来源巴基斯坦攻击地域印度攻击目标印度国防学院攻击目的窃取机密资料入侵方式鱼叉式钓鱼邮件诱饵类型宏代码诱饵内容虚假登录资料特马家族 Crimson RAT漏洞利用暂无逃逸手段执行延时，窗体隐匿代码，多端口，非规则宏代码

四．关联&溯源

从该Rat编译时间以及被上传至VT时间来看，该次的Rat属于前一个版本，从代码风格和异常处理中也能看出来该次的Rat是比较简陋的，由于Rat内部大量的函数名称和命令被重新命名过，也有可能是2个部门公用了一套Rat框架，也有可能是出于免杀的目的，但出于免杀的目的似乎有些牵强，修改这些字符串的工作量不小且有更好的办法去免杀

对该IP地址进行溯源追踪，发现该IP位于法国,大东部大区,斯特拉斯堡，不过遗憾的是该IP隶属于IDC服务器没有什么价值，通过VT对其IP进行样本关联，也仅仅关联到了本次使用的样本。

五．总结

通过对该黑客组织的多次样本分析，可以看出该黑客组织内部应该有多个部门公用一套Rat通讯框架自研部分代码的质量参差不齐，从Rat编译的时间来看多数时间均为0点左右，且发动攻击的频次偏高，可见该黑客组背后所在的政治势力迫切的希望从网络战场获利。

六．IOC

SHA-256：(1) 2f8e2c8300b7854ff204375f5116854cee7c4ef11f9b080dce89713867fd7066(2) 5dcb736bf556729b30654fe97da034c1ccd7471f7587cb82dc33f4aef2248b9c(3) d228c1186003ae37e6c9e26222782291fa97580a254e77f290b46c2376b712e4C&C:(1) 185.136.169.155