電影《古惑仔》中，我們常?？吹胶谏鐣F(tuán)體之間的暴力沖突。而在網(wǎng)絡(luò)空間里，你見過APT(高級持續(xù)性威脅)黑客組織互掐嗎?

??

[[131979]]

黑客組織Naikon

Naikon是活躍在中國南海地區(qū)的黑客組織，其主要目標(biāo)是菲律賓、越南、新加坡、馬來西亞等國的政府和軍方領(lǐng)導(dǎo)人。

當(dāng)然這次故事的主角就是黑客組織Naikon，而另外一個(gè)主角先留點(diǎn)神秘感，后面會詳細(xì)介紹。Naikon因其慣用的后門RARSTONE而著名，趨勢科技的研究員曾詳細(xì)介紹過。而Naikon這個(gè)名字則來源于后門中"NOKIAN95/WEB"字符串。

??

細(xì)數(shù)Naikon發(fā)動(dòng)過的攻擊活動(dòng)，最大的一起可能要數(shù)2014年的3月份了，導(dǎo)火索是馬航客機(jī)MH370事件。3月11日，Naikon對很多參與搜索失事客機(jī)的國家組織機(jī)構(gòu)展開了大規(guī)模滲透攻擊，以獲取MH370相關(guān)信息。被滲透的組織包括：

總統(tǒng)辦公室
軍方
內(nèi)閣秘書辦公室
國家安全委員會
檢察長辦公室
國家情報(bào)協(xié)調(diào)局
民航管理局
司法局
國家警察局
總統(tǒng)管理職員

Naikon向所有的目標(biāo)組織發(fā)送釣魚郵件，附件文件中被植入了CVE-2012-0158漏洞利用程序，當(dāng)然里面也肯定植入了Naikon的標(biāo)志性后門。

這種攻擊手段在許多組織上屢試不爽，但就有一個(gè)組織比較例外，他們對此郵件表示很是懷疑，展開了一系列的研究，于是就有了下面的反釣魚攻擊。#p#

第一幕：當(dāng)黑客收到釣魚郵件

如果你收到了一封來歷不明的郵件，你會怎么辦?

1.打開附件文檔?
2.不打開?
3.用Mac打開(因?yàn)镸ac不會中病毒)?
4.在Linux虛擬機(jī)上打開?

相信您可能會回答2、3、4中的一個(gè)，很少會有人選擇直接打開……估計(jì)會對此莫名郵件進(jìn)行分析的人則更少了。

不過這次的事件有些蹊蹺。當(dāng)Naikon像往常一樣群發(fā)釣魚郵件時(shí)，一個(gè)收件人不僅沒有直接打開，而是回復(fù)了一封郵件，回件內(nèi)容如下：你發(fā)的信息是真的?

??

從回件的內(nèi)容上看，他們是在向發(fā)件人確認(rèn)郵件信息的真實(shí)性?？上攵?，Naikon肯定百分之百的回答：當(dāng)然!Naikon毫不猶豫的稱郵件信息完全屬實(shí)，對其組織的內(nèi)部結(jié)構(gòu)也非常的熟悉，并稱他們在該組織的秘書處工作，受命發(fā)送這封郵件。

??

從Naikon的回件中可以看出：英語太渣了，這種水平完全騙不了人啊!#p#

第二幕：黑吃黑

“受害者”更加堅(jiān)定的決定不能打開這一文件，而且他們還決定要進(jìn)一步的了解攻擊者(此處氣氛開始有點(diǎn)不對……)

很快，“受害者”就向Naikon發(fā)送了一封電子郵件，內(nèi)容如下：好吧，那請查收附件。

??

附件中是一個(gè)帶有密碼的壓縮文件，同時(shí)可以繞過惡意程序掃描器的掃描。打開附件會發(fā)現(xiàn)里面包含了2個(gè)PDF文件和1個(gè)SCR文件。

??

令人大吃一驚的是，這個(gè)SCR文件居然是一個(gè)后門——而這正是“受害人”為Naikon精心準(zhǔn)備的!

"Directory of … Mar 31, 2014.scr"(md5: 198fc1af5cd278091f36645a77c18ffa)文件會釋放一個(gè)空白文檔和一個(gè)后門模塊(md5:588f41b1f34b29529bc117346355113f)。該后門會連接到philippinenews[.]mooo[.]com的命令服務(wù)器上。

后門會執(zhí)行以下操作：

下載文件
上傳文件
自我更新
自我卸載

#p#

黑客組織Hellsing

??

[[131980]]

上文中的“受害者”是一個(gè)名為Hellsing黑客組織，其使用的惡意程序叫做msger。這個(gè)組織的名字可能和日本的一部同名動(dòng)漫有關(guān)，動(dòng)漫講述的是對抗吸血鬼、食尸鬼等超自然生物的故事，可能該組織覺得這種行為和他們很像，故選擇了這個(gè)名字。

??

Hellsing APT組織活躍在亞太地區(qū)，主要目標(biāo)是馬來西亞、菲律賓和印度尼西亞。其攻擊活動(dòng)相對較小，所以不容易被察覺到。

據(jù)KSN的數(shù)據(jù)顯示，Hellsing的活動(dòng)范圍主要在：

馬來西亞——政府網(wǎng)絡(luò)
菲律賓——政府網(wǎng)站
印度尼西亞——政府網(wǎng)站
美國——外交機(jī)構(gòu)
印度
另外還有一些東盟的企業(yè)

Hellsing發(fā)送的釣魚郵件中均包含有惡意程序的壓縮文件，類似于反Naikon攻擊時(shí)發(fā)送的釣魚郵件。常用的附件名稱匯總?cè)缦拢?/p>

2013 Mid-Year IAG Meeting Admin Circular FINAL.7z
HSG FOLG ITEMS FOR USE OF NEWLY PROMOTED YNC FEDERICO P AMORADA 798085 PN CLN.zip
Home Office Directory as of May 2012.Please find attached here the latest DFA directory and key position officials for your referenece.scr
LOI Nr 135-12 re 2nd Quarter.Scr
Letter from Paquito Ochoa to Albert Del Rosario,the Current Secretary of Foreign Affairs of the Philippines.7z
Letter to SND_Office Call and Visit to Commander, United States Pacific Command (USPACOM) VER 4.0.zip
PAF-ACES Fellowship Program.scr
RAND Analytic Architecture for Capabilities Based Planning, Mission System Analysis, and Transformation.scr
Update Attachments_Interaction of Military Personnel with the President _2012_06_28.rar
Update SND Meeting with the President re Hasahasa Shoal Incident.scr
Washington DC Directory November 2012-EMBASSY OF THE PHILIPPINES.zip
ZPE-791-2012&ZPE-792-2012.rar
zpe-791-2012.PDF.scr

攻擊者慣用的壓縮文件格式為RAR、ZIP、7ZIP，其中配有密碼的7ZIP壓縮文件可以繞過Gmail上的安全防護(hù)功能。

每一個(gè)后門均有C&C服務(wù)器、版本號、活動(dòng)或者受害者身份標(biāo)識符，例如：

??

據(jù)卡巴斯基安全實(shí)驗(yàn)室對Hellsing使用的指令控制架構(gòu)分析顯示，它與其他的APT組織如PlayfulDragon、Mirage和 Vixen Panda有著一定得關(guān)聯(lián)。

火眼(FireEye)的安全研究員分析發(fā)現(xiàn)PlayfulDragon的Xslcmd后門(md5: 6c3be96b65a7db4662ccaae34d6e72cc)連接的C&C服務(wù)器位于 cdi.indiadigest[.]in:53，而Hellsing的某個(gè)后門(md5: 0cbefd8cd4b9a36c791d926f84f10b7b)連接的C&C服務(wù)器位于webmm[.]indiadigest[.]in。主機(jī)名顯然不一樣，但從一級域名中可以看出二者必定存在某種關(guān)系。

另外研究員還發(fā)現(xiàn)某個(gè)Hellsing后門(md5: a91c9a2b1bc4020514c6c49c5ff84298)會與webb[.]huntingtomingalls[.]com的服務(wù)器進(jìn)行通信，并且使用的是 Cycldek 后門專用協(xié)議。這是不是更加的證明了Cycldek和Hellsing有著說不清的關(guān)系。#p#

Hellsing的工具箱

Hellsing入侵了受害者的機(jī)器之后會繼續(xù)釋放其他的工具，用以進(jìn)一步的搜集信息或者執(zhí)行進(jìn)一步的活動(dòng)。

工具一：test.exe

??

該工具主要用于搜集信息，測試并尋找可用的代理服務(wù)器;另外該工具上還包含Hellsing的調(diào)試路徑(debug path)：

??

工具二：xrat.sys

xrat.sys是一個(gè)文件系統(tǒng)驅(qū)動(dòng)，也被稱之為 "diskfilter.sys"。2013年被廣泛應(yīng)用，之后可能是由于Windows 7驅(qū)動(dòng)簽名的要求就被攻擊者舍棄了。

??

工具三：xkat.exe

??

該工具擁有強(qiáng)大的文件刪除和進(jìn)程清理功能，而且還可清理并刪除競爭對手的惡意程序。

二進(jìn)制中包含的調(diào)試路徑(debug path)有：

e:\Hellsing\release\clare.pdb
e:\Hellsing\release\irene\irene.pdb
d:\hellsing\sys\irene\objchk_win7_x86\i386\irene.pdb
d:\hellsing\sys\xkat\objchk_win7_x86\i386\xKat.pdb
d:\Hellsing\release\msger\msger_install.pdb
d:\Hellsing\release\msger\msger_server.pdb
d:\hellsing\sys\xrat\objchk_win7_x86\i386\xrat.pdb
D:\Hellsing\release\exe\exe\test.pdb

#p#

視頻

總結(jié)

事件起因是黑客Naikon發(fā)送釣魚郵件攻擊，接著Hellsing APT組織實(shí)施反釣魚入侵——這類帶感的黑客互掐事件其實(shí)在現(xiàn)在并不少見。在過去，我們見過一些APT組織在從被害者那里竊取通訊錄的時(shí)意外誤傷到了別的組織。但是，從攻擊的時(shí)間和分析來看，最近這次事件看起來更像是一次APT-on-APT攻擊，而不是誤傷。

面對Hellsing上文中實(shí)現(xiàn)的攻擊手段，我們建議普通用戶采用以下安全措施：

1.不要打開可疑的郵件附件

2.格外小心加密形式的壓縮文件

3.如果不確定附件是否安全，最好在沙箱中打開

4.確保操作系統(tǒng)已更新到最新版本

5.及時(shí)更新第三方應(yīng)用程序，如Microsoft Office、Java、Adobe Flash Player和 Adobe Reader

卡巴斯基實(shí)驗(yàn)室檢測的 Hellsing 后門版本為：HEUR:Trojan.Win32.Generic, Trojan-Dropper.Win32.Agent.kbuj, Trojan-Dropper.Win32.Agent.kzqq 

參考鏈接

??https://securelist.com/files/2015/04/Indicators_of_Compormise_Hellsing.pdf??