APT组织-Icefog:一个斗篷和三把匕首的传说（2）

在上一章中我们给大家介绍了Icefog的具体攻击手法还有使用的工具，如果对上一章有兴趣的同学可以点此进行查看《APT组织-Icefog:一个斗篷和三把匕首的传说（1）》

后续工具
攻击者后面要传送很多工具到受害机器上.我们发现的工具有各种功能，比如转存windows用户凭证,Outlook和IE存的密码,还有收集系统信息.
在其中的一个服务器上，我们看到一个文件夹中有很多工具,尽管打算书执行成功的时候

被截断成0
这些工具特征如下:

除了这些,一些其他的工具.比如,在一个受害机器上，我们观察到攻击者利用内核exp,通过java程序提升权限.不过我们不知道这个是不是内核0day，因为攻击者用完后删除了这些程序.
命令和控制服务器

调查期间，我们发现很多的icefog的命令和控制服务器.其中大多数部署在共享主机上.但是一些重要的部署在专用服务器上.
这些命令和控制服务器的一个重要的特性就是”点击和运行”攻击者搞个恶意软件，然后用这个软件来攻击受害机器.感染完后，和受害机器保持联系.共享主机会在一个月或者两个月消失，并且C&C消失.
多数情况下,攻击者已经知道自己想要的是什么.文件名快速确定后，传送到C&C,然后受害机器就被弃之.
根据C&C名称，我们可以确认2011-2013年间,很多icefog活动还在继续.
从上面的时间轴上，我们可以看出攻击者2013年的活动比往年要频繁,尽管可能先前的
木马失效了.不过，这张表只能代表攻击者活动的一小部分.
C&C服务器基础设施
我们确认了四种C&C服务器,类型”1″,”2″,”3″,”4″.还有第五种，被用作Icefog-NG,这个服务器被用作windows桌面程序.
类型1的服务器可以让攻击者通过浏览器来控制受害者.这个服务器后端用ASP.NET写的.
类型2的服务器是一个虚拟的，定制的代理服务器，处于攻击者和受害者之间.用ASP写的，并且使用非常简单.这个更好,因为它隐藏了攻击者的身份.攻击者可以通过一个控制
工具来控制受害者.
类型3的服务器似乎只是用来做实验的，并且只有两个基本功能:查看和更新.它具体的用途我们也没有发现，并且我们没找到连接了这种服务器的恶意软件.
类型4的服务器和类型3的服务器差不多.Icefog C&C服务器不需要web服务，它直接在5600端口监听.

我们主要分析类型1的服务器,它是被攻击者使用最多的.
看一下类型1的服务器登录界面:

命令控制脚本有一个有意思的注释”shiyan11111111111″.页面标题是”尖刀三号”.

对军事粉丝来说,”尖刀三号”和”三尖刀”，三尖刀是中国一种古代的兵器.
类型1的界面是用ASP.NET写的，提供了非常方便的界面来管理受害机器:

控制面板实际上是一个Visual Basic.NET web程序，有以下结构:

应用程序使用原生的文件系统存偷取的数据,日志和暂存文件.下面是对C&C程序使用的
目录的简要描述:

ok: 可以显示上次受害机器在线时间的心跳文件 downloads: 接受攻击者的指令，获取受害机器上的文件 uploads: 会传送到受害机器上的文件 order: 包含会被执行的命令的文件 result: 包含命令执行结果的文件 info： 包含受害机器系统信息的文件 logs: 可以被攻击者删除的操作日志文件 files: 包括js,css和图片这些会被用在web界面的文件

也许最有意思的部分是类型1的C&C面板含有攻击者操控受害机器的完整过程.这个过程被保存成一个加密的日志文件，位于logs目录下.除了这个,服务器还记录了对受害机器命令的结果.
下面,我们看到攻击者把一个USB里文件拷到”c:tempmslog”,这个USB连接到一台韩国windows系统上.拷完以后，把这些文件再上传到C2服务器上.

另一个示例中，我们看到他们完成类型1的感染后，紧接着上传并运行类型2的后门.

有意思的是，现在的Icefog-NG C&C程序看起来和Icefog web UI非常相似.用了同样的多tab布局，连tab的标题都是一样额.我们想Icefog-NG是用来代替Icefog bot和基于web
的控制面板.

Icefog-NG设计的更加简介和高效.数据还是存储在本地文件系统中，设置连文件名都和先前的Icefog版本一样.这是一个Icefog-NG C&C程序的用户界面截图.

和其他的基于web的Icefog程序一样，这个c&c程序也需要验证操作者.但是在web版本中，验证远程用户是比较容易的，但是在这个桌面程序中，这个验证机制很容易被过,因为帐号和密码在二进制文件中硬编码了.
这是Icefog-NG C&C软件的”受害者”面板:

让人蛋疼的是只有你的分辨率高于1280×1024,Icefog-NG才能用.即使在标准分辨率1024×768,下，不是所有的控件都能适应屏幕.这个程序是用Microsoft Visual Studio MFC AppWizard创建的.我们分析的样本是在2013五月编译的，但是那个项目很像是在2012年创建的，因为在”关于程序”消息框是这么说的.
感染数据和统计
命令控制服务器包含很多攻击者对受害机器操作的日志.这些日志用了简单的xor操作加密了，只要你知道日志位置和名称，就很容易解密.这是一个已经解密的log文件:

这些日志文件有时可以帮助确认攻击的目标.
在我们的研究过程中，我们发现很多起对针对朝鲜，台湾和日本的攻击.攻击很多针对国防工业承包商,如Lig Nex1和Selectron Industrial公司,造船业，如DSME Tech，Hanjin HeavyIndustries,电信工业，如Korea Telecom，媒体，如Fuji TV和Japan-China Economic Association.

发现信息
研究时,我们sinkhole 13个攻击者使用的域名:

>>spekosoft.com >>kechospital.com >>unikorean.com >>pasakosoft.net >>chinauswatch.net >>msvistastar.com >>defenseasia.net >>pinganw.org >>kevinsw.net >>avatime.net >>shinebay.net >>securimalware.net - 在钓鱼攻击中使用 >>appst0re.net - MacFog的命令控制

这些域名全都被定向到Kaspersky Sinkhole服务器95.211.172.143上了.
在检测期间，我们观察到很多来自受害机器的连接，这些机器位于韩国，日本，台湾，法国和一些其他的国家.
对于windows系统的机器，我们有以下统计:

研究中发现中招次数分布百分比

中招人数分布

中招的ip分布百分比

中招ip数

对于mac os用户，我们有以下发现:

中招ip分布百分比

中招ip数

总地来说，我们观察到超过4500个IP感染了Macfog,超过430个受害主机.
对于windows系统机器，在六个国家,我们接受到大约200个独一无二的ip的连接.
应该注意的是，从所有图片看出，这些发现的域名只提供一个受感染机器的一小部分，特别是那些先前感染的机器由于一些未知原因又不受感染了.新的攻击变得更难追踪了，因为新的C&C域名不是那么容易发现.
受害机器的地理分布也很重要.虽然我们看到很多的连接来自中国，但这个并不就是说这个组织的目标在中国.因为我们发现的macfog样本很多分布在中国的论坛,网友(特别是能读懂中文的)网友），不论来自哪里都能被感染.我们相信攻击者做这些的主要目的只是测试一下恶意软件在不同环境下的效果.这就能解释为什么作为C2的域名被废弃了–用来测试的受害机器对攻击者来说没有多少价值.
更加可靠的结果来自攻击特定目标时用到的C&C服务器,钓鱼样本和其他我们收集到的数据,分析这些，我们得到Icefog的主要目标是在韩国和日本.
攻击者的IP
由那些监控基础设施的IP，我们估计攻击者至少在三个国家
>中国(受害机器连接最多)
>朝鲜
>日本
更多的信息在我们提交给政府的报告中可以得到.(联系[email protected])
恶意软件
“MSUC.DAT”类型2后门有一个ASCII字符串:”Yang.ZC Wang.GS Zhan.QP Ma.J Li.X Hu.HXU”.

Icefog类型2后门 loader with md5″be043b0d1337f85cfd05f786eaf4f942″,在C2域”infostation.com”发现以下
调试路径信息:

“C:Usersyang.zcDesktop代码片调用程序 4ReleaseUCCodePieceGo.pdb”

注意到”Yang.zc”在两个字符串都出现了.
语言使用
C&C后端控制脚本中有一个”control.aspx”页面标题是”尖刀三号”.

ASPX服务端的脚本有很多中文的信息和代码注释:

攻击者后面使用的一个文件是中文名:windows版本号.txt.jpg
访问命令控制用户界面但是登录没有通过验证的话，页面会被重定向到”sohu.com”:

>>40yuan.8.100911.com >>625tongyi.com >>9-joy.net >>agorajpweb.com >>appst0re.net - Kaspersky实验室发现 >>bigbombnews.com >>chinauswatch.net - Kaspersky实验室发现 >>cloudsbit.com >>cnnpolicy.com >>dabolloth.com >>dancewall228.com >>dashope.net >>daxituzi.net >>defenseasia.net - Kaspersky实验室发现 >>disneyland.website.iiswan.com >>dosaninfracore.com >>dotaplayers.com >>electk.net >>esdlin.com >>fruitloop.8.100911.com >>gamestar2.net >>gangstyleobs.com >>globalwebnews.net >>icefog.8.100911.com >>infostaition.com >>kakujae.com >>kansenshu.com >>kevinsw.net - Kaspersky实验室发现 >>kechospital.com - Kaspersky实验室发现 >>kimjeayun.com >>koreanmofee.com >>kreamnnd.com >>krentertainly.net >>lexdesign152.net >>mashuisi.net >>minihouse.website.iiswan.com >>msvistastar.com - Kaspersky实验室发现 >>mudain.net >>namoon-tistory.com >>newsceekjp.com >>nk-kotii.com >>msvistastar.com - Kaspersky实验室发现 >>mudain.net >>namoon-tistory.com >>newsceekjp.com >>nk-kotii.com >>yahoowebnews.com >>zhpedu.org

恶意软件的路径

>>%TEMP%scvhost.exe >>%TEMP%svohost.exe >>%TEMP%msuc.dat >>%TEMP%order.dat >>%TEMP%cmd1.dat >>%TEMP%tmpxor.dat >>%SYSTEMROOT%msld.exe >>%SYSTEMROOT%wdmaud.drv >>%PROGRAM FILES%Internet Explorersxs.dll >>my_horse_mutex_jd2_new >>my_horse_mutex_jd2_923 >>myhorse_macfee >>horse_for360 >>myhorsemutexjd3_wm_1226 >>myhorsemutex >>myhorse_qianfu001 >>myhorse_ie001 >>myhorse_ie_001

用户代理字符串(HTTP流量)

>>“MyAgent” >>“mydownload”

E-MAILS帐号
老的”2011″Icefog使用发送邮件的帐号:

>>[email protected] >>[email protected] >>[email protected] >>[email protected] >>[email protected] >>[email protected]

>>122.10.87.252 >>113.10.136.228 >>103.246.245.130

注:由于共享主机,屏蔽Icefog C2的这些IP可能会导致一些错误.这些ip是一些专用服务器的ip.
卡巴斯基检测到的Icefog后门和相关工具的名称

>>Backdoor.ASP.Ace.ah >>Backdoor.Win32.Agent.dcjj >>Backdoor.Win32.Agent.dcwq >>Backdoor.Win32.Agent.dcww >>Backdoor.Win32.CMDer.ct >>Backdoor.Win32.Visel.ars >>Backdoor.Win32.Visel.arx >>Exploit.MSWord.CVE-2010-3333.cg >>Exploit.MSWord.CVE-2010-3333.ci >>Exploit.MSWord.CVE-2012-0158.ae >>Exploit.MSWord.CVE-2012-0158.az >>Exploit.MSWord.CVE-2012-0158.bu >>Exploit.MSWord.CVE-2012-0158.u >>Exploit.Win32.CVE-2012-0158.j >>Exploit.Win32.CVE-2012-0158.u >>Exploit.WinHLP.Agent.d >>Trojan-Downloader.Win32.Agent.ebie >>Trojan-Downloader.Win32.Agent.gxmp >>Trojan-Downloader.Win32.Agent.gzda >>Trojan-Downloader.Win32.Agent.gznn >>Trojan-Downloader.Win32.Agent.tenl >>Trojan-Downloader.Win32.Agent.vigx >>Trojan-Downloader.Win32.Agent.vkcs >>Trojan-Downloader.Win32.Agent.wcpy >>Trojan-Downloader.Win32.Agent.wqbl >>Trojan-Downloader.Win32.Agent.wqdv >>Trojan-Downloader.Win32.Agent.wqqz >>Trojan-Downloader.Win32.Agent.xrlh >>Trojan-Downloader.Win32.Agent.xsub >>Trojan-Downloader.Win32.Agent.xyqw >>Trojan-Downloader.Win32.Agent.yavh >>Trojan-Downloader.Win32.Agent.yium >>Trojan-Dropper.Win32.Agent.gvfr >>Trojan-PSW.Win32.MailStealer.j >>Trojan-Spy.Win32.Agent.bwdf >>Trojan-Spy.Win32.Agent.bxeo >>Trojan.PHP.Agent.ax >>Trojan.Win32.Genome.ydxx >>Trojan.Win32.Icefog.*

总结
这篇paper介绍了APT组织Icefog,这个组织的目标在韩国和日本.攻击在2011年开始,攻击规模逐年扩大.基于受害机器，分析出攻击者主要对一下机构比较感兴趣:

军事
大众媒体和电视
造船和海上业
计算机和软件
研究公司
电信业
卫星运营商

尽管相对来说不是很复杂，但是攻击者已经成功的沦陷了上面机构的一些目标,造成韩国很多的受害主机.
Icefog攻击者有windows和Mac OS X平台的木马.对于Mac OS X后门,安全解决方案大都不能检测出来,这种后门在全世界范围内已经感染了很多机器.”点击并且执行”的特性使得这个木马不同寻常.但是在其他情况下,受害机器受感染持续几个月甚至几年,并且数据一直在被盗取,Icefog攻击者非常清楚他们需要从受害者那里需要什么.
一旦需要的信息获取到了，受害机器就不管了.在过去的几年，我们观察到APT攻击的数量持续增长,这种攻击对各种类型的目标都很实用.
在将来，我们估计有针对性的APT小型组织数量会增加,特别是网上雇佣兵这种做点击操作的人.
预防这种攻击的建议(对windows用户和mac os x都适用)

更新java到最新版本,如果你不用Java的话，卸载掉
更新windows和office到最新版本.
更新所有第三方软件,如Adobe Reader.
不要轻易点击连接和陌生人发的附件
windows用户可以安装Microsoft EMET 4.0,一个帮助预防hacker的工具

目前，我们没看到Icefog用到了什么0day.为了防御攻击，AEP(Automatic ExploitPrevention)和DefaultDeny技术非常有效.

注：本文为91ri.org团队原创翻译，可能文章中部分内容翻译的并不是很恰当，欢迎大家留言斧正，虽然距离卡巴将这个分析报告发布已经过去一段时间了，但我们还是认为有必要将文章翻译成中文让部分e文不好的同学阅读参考。

同时我们团队目前在招募新同学，主要需要的是对：渗透测试，代码审计，逆向，密码学等方向有研究，并由能力撰写原创文章的同学，有兴趣的可以联系我们的客服妹子QQ：1536747797

团队福利多多，但暂时不公布，我们不希望是冲着福利而来的，我想加入一个团队最重要的是你能在团队中学到东西并交到志同道合的朋友，你们觉得呢？：）

日币奖励：

本文为译文，首发91ri.org，根据本站积分规则给予日币奖励共4枚。有兴趣加入团队的同学可以查看“加入我们”。