APT30非常擅長(zhǎng)執(zhí)行長(zhǎng)期的網(wǎng)絡(luò)攻擊活動(dòng)，并且從2005年開始，這個(gè)黑客組織就一直成功地維護(hù)著相關(guān)的攻擊工具，攻擊策略和基礎(chǔ)設(shè)施。

木馬的主要攻擊目標(biāo)是位于東南亞和印度的組織機(jī)構(gòu)，我們懷疑這個(gè)網(wǎng)絡(luò)間諜活動(dòng)是一次地區(qū)性的攻擊活動(dòng)。通過分析木馬，我們發(fā)現(xiàn)這次間諜活動(dòng)已經(jīng)持續(xù)了數(shù)十年，受攻擊的目標(biāo)大多是政府和商業(yè)組織;黑客想要竊取這些組織所掌握的地區(qū)性政治，經(jīng)濟(jì)和軍事情報(bào)。

我們把這個(gè)黑客小組叫做APT30。他們之所以可怕不是因?yàn)樗麄冇心芰Πl(fā)動(dòng)長(zhǎng)期的間諜活動(dòng)，或者是地區(qū)性攻擊行動(dòng);而是因?yàn)樗麄冎辽購(gòu)?005年開始，就一直成功地維護(hù)著相關(guān)的攻擊工具，制訂著攻擊策略，并隱藏著基礎(chǔ)設(shè)施。

我們通過分析APT30，大致地了解了這個(gè)小組的入侵行動(dòng)，確定了他們是怎樣在不改變作案方法的情況下，持續(xù)性地滲透某一地區(qū)的大量組織機(jī)構(gòu)。根據(jù)我們對(duì)木馬的研究，我們估測(cè)了APT30小組的運(yùn)作方式：他們首先合作確定目標(biāo)的優(yōu)先級(jí)，并根據(jù)計(jì)劃開發(fā)木馬。他們的主要任務(wù)是從目標(biāo)手中竊取大量的敏感信息，攻擊目標(biāo)可能包括政府的機(jī)密網(wǎng)絡(luò)，以及其他通過正規(guī)途徑無法訪問的網(wǎng)絡(luò)。雖然并不是只有APT30在嘗試侵染隔離網(wǎng)絡(luò)(air-gapped networks)，但是他們卻早在2005年時(shí)，就考慮到了這種方案，遠(yuǎn)遠(yuǎn)地領(lǐng)先于其他的黑客組織。

根據(jù)APT30的行動(dòng)計(jì)劃和維護(hù)能力，以及他們的地區(qū)性目標(biāo)選擇和攻擊任務(wù)，我們有理由相信這個(gè)黑客組織的背后有國(guó)家的支持，在本文中，我們沒有研究是行動(dòng)的幕后推手，而是全面分析了這個(gè)黑客小組的發(fā)展計(jì)劃。

0x01 關(guān)鍵發(fā)現(xiàn)

APT30持續(xù)開發(fā)并改進(jìn)著一系列的集成工具，并且他們?cè)谶@10年中重復(fù)使用了一些基礎(chǔ)設(shè)施，由此可見，他們的任務(wù)是長(zhǎng)期的。在這一套工具中包括下載器，后門，中央控制器，幾個(gè)可以感染移動(dòng)設(shè)備和隔離網(wǎng)絡(luò)的組件。APT30常常是自己注冊(cè)DNS域名，然后用作木馬的C2域名。我們發(fā)現(xiàn)，有些木馬中的惡意域名已經(jīng)使用了很多年。

APT30的工作流程是有結(jié)構(gòu)、有組織的。由此推斷，這個(gè)黑客組織的各個(gè)小組之間互有合作;并且使用的木馬開發(fā)方法也是一致的。這個(gè)黑客組織(或者說是支持他們的開發(fā)者)有系統(tǒng)地記錄并跟蹤著木馬的版本開發(fā)。木馬中應(yīng)用了互斥量和事件，來確保在給定時(shí)間中，只有一個(gè)木馬是運(yùn)行中的。木馬的版本信息儲(chǔ)存到了二進(jìn)制中。木馬在C2通信時(shí)會(huì)檢查版本，這樣木馬就能時(shí)刻更新到最新的版本。

APT30使用了BACKSPACE后門，也就是“Lecna”。我們通過分析這個(gè)后門的控制器軟件，發(fā)現(xiàn)黑客會(huì)安排目標(biāo)的優(yōu)先級(jí)，也有可能會(huì)變換目標(biāo)。BACKSPACE的C2通信過程分為兩個(gè)階段：首先受害設(shè)備會(huì)聯(lián)系一個(gè)初始的C2服務(wù)器來判斷自己是否連接到黑客的主控制器。由于控制器本身使用了一個(gè)GUI，所以黑客可用通過這個(gè)GUI來安排主機(jī)的優(yōu)先級(jí)，給受害設(shè)備添加注釋，并設(shè)置警告，確定某些主機(jī)的上線時(shí)間。最后，控制器太初一個(gè)新的對(duì)話框，提示當(dāng)前“用戶”登錄。

這個(gè)黑客組織的主要目的是竊取政府的敏感信息。APT30使用的木馬都具備竊取敏感信息的能力(例如特定的文件類型)，在某些情況下，木馬也會(huì)感染可移動(dòng)設(shè)備，然后以此作為跳板，感染其他的隔離網(wǎng)絡(luò)。某些木馬具備“隱藏”模式，能長(zhǎng)期休眠在受害主機(jī)上。

APT30的主要目標(biāo)是持有大量政府類情報(bào)的組織機(jī)構(gòu)。其中多數(shù)受害組織位于東南亞。他們?cè)诠糁惺褂昧舜罅康纳鐣?huì)工程方法，由此說明，這個(gè)黑客組織比較感興趣的方面包括：地區(qū)政治、軍事和經(jīng)濟(jì)問題、領(lǐng)土爭(zhēng)端問題的記者。

0x02 APT30:長(zhǎng)期發(fā)展

域名	域名注冊(cè)日期	早期樣本的編譯日期	近期樣本的編譯日期
km-nyc.com	2004年3月11日	2005年3月11日	2014年5月11日
km153.com	2007年8月30日	2007年9月4日	2014年5月11日

我們分析了ATP30使用的木馬和域名的注冊(cè)時(shí)間，結(jié)果發(fā)現(xiàn)，這個(gè)黑客組織已經(jīng)運(yùn)營(yíng)了10多年。我們現(xiàn)在已知APT30最早在2004年注冊(cè)了相關(guān)的域名，而最先使用這些域名的木馬是在2005年編譯的。

一般來說，黑客組織注冊(cè)的惡意域名都只會(huì)使用幾年，然后棄用。但是，APT30注冊(cè)的某些域名已經(jīng)使用了5年，截止到2014年末，他們還在使用著早期注冊(cè)的一些域名。

比如BACKSPACE木馬(md5 哈希b2138a57f723326eda5a26d2dec56851)是在2005年3月11日，00:44:47編譯的。這個(gè)樣本使用的C2域名是www.km-nyc[.]com。近期在2014年11月5日,05:57:26編譯的BACKSPACE木馬 (md5 hash 38a61bbc26af6492fc1957ac9b05e435).也把這個(gè)域名用做了一個(gè)二級(jí)域名。

在這么長(zhǎng)的行動(dòng)歷史中，APT30只使用了有限的工具和后門。其中一個(gè)原因可能是，既然以前的方案都成功了也就沒有必要指定新的方案和計(jì)劃。雖然，在這么多年中，APT30也使用了一些其他的支持工具(如用于部署后門的投放器、下載器)，但是他們的主要工具卻沒有改變過：也就是BACKSPACE后門和NETEAGLE后門，以及用于感染可移動(dòng)設(shè)備的工具(SHIPSHAPE,SPACESHIP, 和FLASHFLOOD)，在隔離網(wǎng)絡(luò)上竊取數(shù)據(jù)。

雖然，很多其他的黑客組織會(huì)選擇最新的、更靈活的具有更多功能的工具。但是，APT30選擇長(zhǎng)期投資和開發(fā)一套工具。這就說明APT30(或者說給他們提供工具的開發(fā)者)有能力修改他們的源代碼，使之適應(yīng)當(dāng)前的需求和目標(biāo)環(huán)境。第一版BACKSPACE后門最早可以追溯到2005年，現(xiàn)在黑客還在使用BACKSPACE系列的后門?？赡苁且?yàn)锽ACKSPACE本身的框架非常靈活，也可以進(jìn)行模塊開發(fā);所以能夠被多次修改開發(fā)出多種變體。

APT30在執(zhí)行長(zhǎng)期任務(wù)時(shí)，使用的都是已有的工具。

FireEye已經(jīng)識(shí)別了兩個(gè)主要的BACKSPACE代碼分支(“ZJ”和“ZR”)，這兩個(gè)代碼的編譯命令都略有不同。此外，雖然BACKSPACE的安裝方式(如EXE程序，DLL文件，以及可以解壓出DLL文件的EXE)和維護(hù)方法(如，利用Startup文件夾中的捷徑(.link)文件，作為DLL服務(wù)文件)有很多，并且也會(huì)新增一些其他功能，但是核心功能都是一致的。

NETEAGLE后門的編譯時(shí)間最早是在2008年，最近的編譯時(shí)間是2013;這個(gè)后門的優(yōu)化和修改模式都是類似的，其中有兩個(gè)主要的變體的開發(fā)模式也是類似的(我們稱之為“Scout” 和“Norton”)。如同BACKSPCE，不同的NETEAGLE變體具體的部署和功能也有可能不同，也可能會(huì)有附加的功能和優(yōu)化，但是核心功能都是一致的。

APT3一直都是在修改已有的工具而沒有，這點(diǎn)表明APT30的任務(wù)是長(zhǎng)期一致的，所以他們只需要修改自己的工具就能勝任長(zhǎng)期的任務(wù)。

[[134025]]

0x03 專業(yè)的開發(fā)工具：APT30的開發(fā)方法具有一致性和組織性

除了APT30長(zhǎng)期使用的工具，在多數(shù)情況下，其他工具的作用可能不同，但是開發(fā)特征都具有一致性。這些工具都具有精密的版本管理系統(tǒng)，也會(huì)使用相同的版本檢測(cè)方法和更新方法;這樣就能保證在同一時(shí)間中只有一個(gè)工具在受害設(shè)備上運(yùn)行。由此可見，APT30的行動(dòng)非常緊湊，效率也很高。

BACKSPACE, NETEAGLE, SHIPSHAPE和SPACESHIP都保有內(nèi)部的版本號(hào)，并能檢查版本號(hào);如果版本不是要求的版本，木馬就會(huì)自動(dòng)更新。我們懷疑某些木馬的版本字符串中還描述了木馬的其他屬性。例如，一個(gè)BACKSPACE (“ZRLnk”)變體的版本字符串中，前兩位表示的就是木馬的版本號(hào)。下一個(gè)字符可能說明的是圖標(biāo)類型和漏洞文檔的類型(如“p”代表的 是Acrobat Reader / PDF文件，“w”代表的是Microsoft Word)。最后，下一個(gè)字符可能說明木馬使用了捷徑(.lnk)文件來維持木馬。

表1-ZRLnk的歷史版本

[[134026]]

APT30有可能是自己開發(fā)工具，也可能有開發(fā)者在支持他們

根據(jù)版本號(hào)，我們發(fā)現(xiàn)BACKSPACEH后門的”ZJ”變體具有最長(zhǎng)的修改歷史。我們對(duì)55個(gè)ZJ樣本進(jìn)行了分析，版本涵蓋了1.2到20.50，時(shí)間跨度有8年(編譯時(shí)間從2005年到2012年)。

除了版本控制，APT30還采用了相同的方法來管理多數(shù)木馬(BACKSPACE, SHIPSHAPE, SPACESHIP, 和FLASHFLOOD)的執(zhí)行，并保證一段時(shí)間中只運(yùn)行一個(gè)木馬，這樣做可能是為了降低木馬被檢測(cè)到的幾率?；コ饬亢褪录拿绞揭灿幸?guī)律，多數(shù)名稱中都包含‘Microsoft’ 或 ‘ZJ’ 。木馬在執(zhí)行時(shí)會(huì)創(chuàng)建互斥量，用來確保在這段時(shí)間中只能運(yùn)行這個(gè)木馬。事件和互斥量的命名方式是一樣的，事件是為了給木馬和相關(guān)的線程發(fā)送信號(hào)，進(jìn)行退出。

木馬的版本劃分說明木馬的開發(fā)環(huán)境具有鮮明的機(jī)構(gòu)和良好的管理。同樣，在一段時(shí)間中只運(yùn)行一個(gè)木馬，說明這個(gè)黑客組織是相當(dāng)專業(yè)的。我們推測(cè)這些黑客更傾向在受害設(shè)備上安裝最新版的工具。我們還判斷他們可能會(huì)大規(guī)模地開展行動(dòng)，希望從木馬的自動(dòng)管理中收益。

雖然我們目前還沒有發(fā)現(xiàn)其他的黑客使用了任何本文中提到的這些工具，但是我們不能保證這些工具專屬于APT30.這些工具在不斷地更新中任然沒有改變核心功能，說明APT30掌握有可用的開發(fā)資源，能用于修改和定制自己需要的木馬。也就是說，APT30要么是自己負(fù)責(zé)工具的開發(fā)，要么就是其他的開發(fā)者在專門支持他們。

表2-進(jìn)程執(zhí)行和版本控制中使用的互斥量和事件

[[134027]]#p#

0x04 為了平衡隱秘性和規(guī)模性，木馬的C2通信分為了兩個(gè)階段

BACKSPACE后門和NETEAGLE后門使用了兩個(gè)階段的C2服務(wù)器。后門首先與 階段1的C2位置通信，通常是一個(gè)或多個(gè)C2域名。與階段1 C2的交互是完全自動(dòng)的;也就是說，階段1 C2不支持黑客與受害主機(jī)之間進(jìn)行任何交互通信。BACKSPACE和NETEAGLE都會(huì)使用HTTP請(qǐng)求與階段1 C2交互，請(qǐng)求URI下載包含基礎(chǔ)指令和信息(包括階段2的C2位置)的文件，或者是下載并執(zhí)行額外的二進(jìn)制。受害主機(jī)可能會(huì)提示階段2 C2(如傳輸關(guān)于受害主機(jī)的數(shù)據(jù))，只有接收到指令需要這樣操作的主機(jī)才會(huì)創(chuàng)建完整的連接到BACKSPACE控制器。一旦木馬連接到了控制器，黑客就能直接操作受害主機(jī)。

黑客利用這種分階段方法，混淆了自己與受害人之間的關(guān)聯(lián)。這樣他們就能方便的管理大量的受害人;新感染的主機(jī)可以自動(dòng)與階段1 C2服務(wù)器交互，直至黑客選中了特定的主機(jī)進(jìn)行階段2的交互。

下表中列出了BACKSPACE樣本(md5 哈希6ee35da59f92f71e757d4d5b964ecf00)可能請(qǐng)求的URI，以及每個(gè)文件的目的。完整的URI格式是hxxp:////, 其中是木馬指定的C2域名;不同樣本的路徑名稱也一般不同(/some/ or/ForZRLnk3z/in the examples below);是請(qǐng)求指定的文件。

表3-BACKSPACE在第一階段 C2通信時(shí)使用的URI

[[134028]]

圖1-受害主機(jī)與階段1和階段2 C2服務(wù)器的交互

[[134029]] [[134030]]

0x05 APT30的全能后門控制系統(tǒng)

給目標(biāo)指定優(yōu)先級(jí)，黑客輪流攻擊

通過檢查管理BACKSPACE 后門程序的GUI控制器，能推斷出APT30執(zhí)行了哪些其他的攻擊活動(dòng)。FireEye分析了三個(gè)BACKSPACE的控制器軟件-網(wǎng)絡(luò)神鷹遠(yuǎn)程控制系統(tǒng)(該系統(tǒng)在樣本中的版本信息中稱作“NetEagle Remote Control System”;在“相關(guān)”對(duì)話框中稱為網(wǎng)絡(luò)神鷹遠(yuǎn)程控制系統(tǒng))。盡管我們分析的副本分別在2010，2011和2013年編譯的，但是工具的描述文件還是能說明最原始的控制器軟件是在2004年編譯的。

BACKSPACE控制器是發(fā)展良好且功能全面的GUI工具。該控制器有主菜單項(xiàng)，包括“系統(tǒng)”，“網(wǎng)絡(luò)”，“文件”，“遠(yuǎn)程”和“攻擊”操作，還包括“相關(guān)”對(duì)話框。與控制器相連的受害主機(jī)的信息會(huì)在底端窗格中展示出來，其中包括主機(jī)名稱，內(nèi)部和外部IP地址，系統(tǒng)運(yùn)行時(shí)間和OS版本及其語言。

[[134031]]

0x06 APT30使用的工具進(jìn)行版本檢查并嘗試自我更新

[[134032]] [[134033]]

建立遠(yuǎn)程控制

階段一C2服務(wù)器中的兩個(gè)文件(dizhi.gif 和 connect.gif)能夠管理階段二C2服務(wù)器(比如，BACKSPACE控制器)的通信。BACKSPACE受害者電腦將檢索dizhi.gif，并通過HTTP POST將受害者電腦的信息傳遞至階段二中的IP地址和dizhi.gif明確指定的端口。該受害者信息可用于填充GUI控制器(見Figure 4)。然而，BACKSPACE客戶端不能在默認(rèn)情況下與BACKSPACE控制器建立交互式連接，因?yàn)檫@樣，階段二C2服務(wù)器被暴露的風(fēng)險(xiǎn)就會(huì)增加。

當(dāng)有威脅發(fā)起者想要通過受害主機(jī)建立遠(yuǎn)程控制時(shí)，他會(huì)上傳一個(gè)包括受害主機(jī)名和主機(jī)ID號(hào)碼的通知文件(如connect.gif)至階段二C2服務(wù)器。受害者主機(jī)會(huì)解析服務(wù)器檢索的connect.gif文件，若文件中有他們的主機(jī)名和主機(jī)ID號(hào)碼，他們就會(huì)與BACKSPACE控制器(使用dizhi.gif中的數(shù)據(jù))相連。

dizhi.gif 和 connect.gif都是由BACKSPACE控制器基于用戶定義的配置設(shè)置而生成的，且能自動(dòng)上傳至階段一C2服務(wù)器。這意味著其能管理受害者電腦，降低配置錯(cuò)誤的風(fēng)險(xiǎn)，甚至能允許相對(duì)不熟練的操作者來管理C2的基礎(chǔ)設(shè)施和受害主機(jī)。

下面的屏幕截圖表明了這兩個(gè)文件的配置選項(xiàng)，包括用于連接階段一服務(wù)器的FTP證書，文件路徑，文件名及備用的階段二C2服務(wù)器。這些相同的配置設(shè)置能夠“修復(fù)”BACKSPACE二進(jìn)制中為相關(guān)字節(jié)，自定義BACKSPACE木馬。 相似的，第二個(gè)對(duì)話框允許威脅發(fā)起者指定聯(lián)系階段二C2服務(wù)器/BACKSPACE控制器的端口(位于dizhi.gif中)。第一個(gè)端口用于通過HTTP POST傳遞受害者數(shù)據(jù)。第二個(gè)端口用于與BACKSPACE控制器建立交互式連接。第三個(gè)用于操作位于控制器和受害者機(jī)器之間的反向連接后門。

[[134034]] [[134035]]

BACKSPACE控制器-后門通訊

BACKSPACE控制器用改進(jìn)的HTTP協(xié)議與受害主機(jī)上的BACKSPACE用戶進(jìn)行通信。受害主機(jī)向HTTP POST格式下的控制器發(fā)送數(shù)據(jù)。當(dāng)該控制器接受到數(shù)據(jù)時(shí)，它就會(huì)忽略其他的HTTP頭，只解析Content-Length 值和主體數(shù)據(jù)。這時(shí)也不會(huì)有確認(rèn)信息反饋給后門。

在下面的格式中，BACKSPACE控制器能偽裝成Microsoft IIS 6.0服務(wù)器中的一個(gè)響應(yīng)，給BACKSPACE用戶發(fā)送遠(yuǎn)程命令信息。與控制器相似，BACKSPACE用戶只能解析Content-Length領(lǐng)域和儲(chǔ)藏在主體中的遠(yuǎn)程命令，并忽略其他HTTP頭。

目標(biāo)優(yōu)先級(jí)和警報(bào)

BACKSPACE控制器允許威脅發(fā)起者更進(jìn)一步地管理受害主機(jī)，主要通過用注釋標(biāo)識(shí)個(gè)人主機(jī)，給受害者機(jī)器指定優(yōu)先級(jí)(“普通”，“重要”，“非常重要”)，以及當(dāng)受害主機(jī)上線時(shí)，設(shè)置一個(gè)警報(bào)通知威脅發(fā)起者。#p#

0x07 APT30確定目標(biāo)的優(yōu)先級(jí)：“不同”“重要”“非常重要”。

[[134036]] [[134037]] [[134038]]

執(zhí)行自定義任務(wù)

BACKSPACE控制器包括一個(gè)“自動(dòng)執(zhí)行自定義任務(wù)”(下方標(biāo)注)的菜單項(xiàng)，它可以發(fā)送“O”命令，該命令受BACKSPACE后門的多種變體支持。當(dāng)后門接收該命令時(shí)，會(huì)在受害主機(jī)($LDDATA$\和 %WINDIR%\$NtUninstallKB900727$) 上，根據(jù)事先定義好的路徑上傳數(shù)據(jù)至控制器。在自動(dòng)模式下(與手動(dòng)上傳文件或目錄相反)，這個(gè)特殊的命令用來檢索受害電腦上的被盜數(shù)據(jù)。APT30(特別是SPACESHIP 和FLASHFLOOD)用其他工具發(fā)現(xiàn)的路徑常用于針對(duì)目標(biāo)性的隔離電腦和網(wǎng)絡(luò)。

在“自動(dòng)執(zhí)行自定義任務(wù)”菜單項(xiàng)下面是“GOTO自定義路徑”的自定義選項(xiàng)。當(dāng)選擇它時(shí)，該菜單項(xiàng)也指導(dǎo)操作員用默認(rèn)狀態(tài)下事先定義好的路徑(FLASHFLOOD的某些版本會(huì)用到)：

版本控制和自動(dòng)更新

像許多APT30用過的工具，BACKSPACE控制器也執(zhí)行版本檢查并試圖自我更新。開始執(zhí)行時(shí)，該控制器把一個(gè)版本文件((NetEagleVer.txt)和更新過的二進(jìn)制(NetEagle.exe)傳遞至下一個(gè)HTTP請(qǐng)求。

[[134039]] [[134040]]

硬盤序列號(hào)認(rèn)證

BACKSPACE控制器中有一種檢查，能確?？刂破髦荒茉谝咽跈?quán)的機(jī)器上運(yùn)行?？刂破靼驯镜刂鳈C(jī)硬盤序列號(hào)與控制器二進(jìn)制中經(jīng)過硬編碼的45個(gè)序列號(hào)做比較，直到互相匹配才停止比較。這意味著控制器開發(fā)者想要限制控制器的分配和使用。開發(fā)者能為他們自己編寫控制器;那么出售時(shí)，有內(nèi)置限制的控制器就輪流出售，這樣開發(fā)者就要持續(xù)編寫、再向其他人出售自定義版本。如果大部分APT30使用的惡意軟件(APT30惡意軟件之間及其與控制器之間)具備緊湊的一體化性質(zhì)，而且控制器能使用APT30域名進(jìn)行自我更新檢查，APT30(或一個(gè)與之緊密相聯(lián)的開發(fā)者小組)就更有可能創(chuàng)建一個(gè)供他們自己使用的控制器。

APT30實(shí)行輪流工作制

APT30 POSSIBLY WORKING ON SHIFTS 分析BACKSPACE控制器時(shí)，我們?cè)诳梢浦部蓤?zhí)行(PE)資源部分識(shí)別了一個(gè)對(duì)話框。該對(duì)話框包含一個(gè)有“請(qǐng)輸入您的值班員代號(hào)”的登錄提示，英文表示為“Please enter your attendant code”。盡管在我們分析的樣本中禁用這個(gè)功能，這個(gè)工具能追蹤多個(gè)操作員的工作軌跡。

[[134041]]

BACKSPACE控制器(可能早在2014年就被編寫了，但仍然能與去年編譯的BACKSPACE變體相互兼容)的歷史反映了隨著時(shí)間的推移，工具得以發(fā)展，且能通過一個(gè)相對(duì)簡(jiǎn)單的界面，促進(jìn)與受害主機(jī)的相互作用。這個(gè)工具能支持大量受害主機(jī)的交互活動(dòng)，還能允許操作員進(jìn)行過濾、優(yōu)先化和預(yù)警，另外能管理他或她的受害者，這表明了這些操作已經(jīng)能證明這些特性了?？刂破饔邢嗤陌姹究刂坪妥晕腋绿匦?，該特性是由APT30用其他惡意軟件發(fā)現(xiàn)的。此外，嵌入BACKSPACE控制器的序列號(hào)檢查暗含著一個(gè)非常有限的分配工具，它只用于用戶選擇的號(hào)碼。最后，“助手”對(duì)話框表明控制器本身就是在高度組織化的環(huán)境中使用的。所有這些因素都與一個(gè)威脅小組有關(guān)，這個(gè)威脅小組長(zhǎng)期存在，且有組織、結(jié)構(gòu)化的開發(fā)資源;隨著時(shí)間的推移，它也能管理和追蹤大量隱藏的受害者;且有實(shí)現(xiàn)組織目標(biāo)的工作能力。

0x08 APT30的主要任務(wù)：出于政治利益竊取數(shù)據(jù)

基于我們對(duì)APT30目標(biāo)活動(dòng)和工具的了解，由于他們對(duì)經(jīng)濟(jì)利益不感興趣，所以其目標(biāo)應(yīng)該是竊取數(shù)據(jù)。APT30并沒有把容易貨幣化(例如，信用卡數(shù)據(jù)、個(gè)人身份信息或銀行轉(zhuǎn)賬憑證)的受害者和數(shù)據(jù)定為攻擊目標(biāo)。相反，他們的工具能夠識(shí)別和竊取文件，這些文件中包括利益文件，它們可能存儲(chǔ)在隔離網(wǎng)絡(luò)中。

BACKSPACE后門和NETEAGLE后門都支持一系列指令功能，能夠允許黑客操縱受害者主機(jī)上的文件：可以讀取和寫入文件、根據(jù)指定文件名或?qū)傩运阉魑募?、刪除文件以及將選中文件上傳到控制器。雖然這些命令對(duì)功能完整的后門來說并不典型，但是BACKSPACE的某些命令更為專業(yè)，能夠?qū)⑽募獢?shù)據(jù)(如，文件名、文件大小、屬性以及MAC time)返回到控制器。元數(shù)據(jù)傳輸使得BACKSPACE能夠向服務(wù)器發(fā)送更少的數(shù)據(jù)，黑客根據(jù)發(fā)送結(jié)果確定要上傳的文件——這兩種技術(shù)都會(huì)導(dǎo)致網(wǎng)絡(luò)傳輸數(shù)據(jù)的減少，但這幾乎不會(huì)引起注意。

SHIPSHAPE、SPACESHIP和FLASHFLOOD是三個(gè)不同的惡意軟件，具有不同的功能，這三個(gè)軟件會(huì)共同感染可移動(dòng)硬盤、進(jìn)入其他系統(tǒng)(包括可能存在的隔離系統(tǒng))并且竊取利益文件。這些工具經(jīng)常(在互斥鎖、事件和他們用的注冊(cè)表項(xiàng)中)涉及到一些術(shù)語，如：“Flash”、“Ship”、“ShipTr”和“ShipUp”，就好像這些工具是用來在電腦和可移動(dòng)硬盤之間“運(yùn)輸”數(shù)據(jù)的。我們發(fā)現(xiàn)了一個(gè)SPACESHIP變體，它在通常顯示為“ShipTr”的地方使用了“LunDu”, 該惡意軟件可能是用來從隔離網(wǎng)絡(luò)中將所竊取的文件“輪渡”到可移動(dòng)硬盤或者到聯(lián)網(wǎng)主機(jī)的，這樣一來，這些數(shù)據(jù)就可以被攻擊者刪除了。除此之外，惡意軟件經(jīng)常在一些地方使用縮寫“LD”，如，在SHIPSHAPE文件(l dupver.txt)中，在某些SPACESHIP版本用于存儲(chǔ)所盜取數(shù)據(jù)的文件夾\$LDDATA$中，以及在含有盜取數(shù)據(jù)的擴(kuò)展名為.ldf的編碼文件中。

這三個(gè)工具的功能不同，但有所互補(bǔ)：

SHIPSHAPE用于將文件復(fù)制到插在主機(jī)上的可移動(dòng)硬盤內(nèi)，這些文件來自受SHIPSHAPE感染電腦上的特定路徑。SHIPSHAPE會(huì)查找可移動(dòng)硬盤上的現(xiàn)有文件和文件夾并將其隱藏。然后，它將可執(zhí)行文件復(fù)制到可移動(dòng)硬盤，復(fù)制后的文件名和文件夾名同原來一致，但是增加了 一個(gè).exe擴(kuò)展名。SHIPSHAPE修改了主機(jī)設(shè)置以隱藏文件擴(kuò)展名，所以，可執(zhí)行文件看起來和原始文件相同。在Windows資源管理器中查看時(shí)，可移動(dòng)硬盤中的內(nèi)容會(huì)正常顯示：

[[134042]]

APT30識(shí)別并竊取文件，尤其是識(shí)別和竊取存儲(chǔ)在隔離網(wǎng)絡(luò)中的文件。

但是，從命令行查看驅(qū)動(dòng)器內(nèi)容時(shí)會(huì)顯示文件的兩種設(shè)置：

[[134043]]

如果某用戶試圖在受感染的驅(qū)動(dòng)器中“打開”一個(gè)文件，取而代之的將是執(zhí)行一個(gè)惡意軟件的副本。

SPACESHIP被認(rèn)為是由SHIPSHAPE復(fù)制到可移動(dòng)硬盤的惡意軟件，大概是為了將SPACESHIP傳輸?shù)礁綦x電腦。SPACESHIP用于搜索受害者電腦以獲取特定文件(根據(jù)文件擴(kuò)展名或最后修改時(shí)間)。與搜索條件匹配的文件會(huì)被壓縮、編碼，并復(fù)制到受感染主機(jī)的指定位置。當(dāng)可移動(dòng)硬盤插入受感染的電腦時(shí)，位于指定位置的編碼文件會(huì)復(fù)制到可移動(dòng)硬盤。

FLASHFLOOD負(fù)責(zé)從插入電腦的可移動(dòng)硬盤中復(fù)制文件到受感染電腦的硬盤驅(qū)動(dòng)器，大概是為了將隔離系統(tǒng)中的文件移動(dòng)到聯(lián)網(wǎng)電腦中以使這些文件從受害者網(wǎng)絡(luò)中刪除。FLASHFLOOD將為指定文件(根據(jù)文件擴(kuò)展名或最后修改時(shí)間)掃描受感染系統(tǒng)以及任何插入的可移動(dòng)硬盤，并運(yùn)用和SPACESHIP相同的壓縮和編碼方式將這些文件復(fù)制到指定位置。FLASHFLOOD可能也會(huì)記錄有關(guān)受害者主機(jī)的其他信息，如：系統(tǒng)信息和用戶Windows通訊簿中的數(shù)據(jù)。

0x09 APT30的攻擊目標(biāo)主要是東南亞

APT30經(jīng)常將其目標(biāo)瞄向東南亞和印度。我們發(fā)現(xiàn)，APT30的目標(biāo)為國(guó)家政府、十個(gè)行業(yè)的區(qū)域公司以及報(bào)道區(qū)域事務(wù)和政府問題的媒體人員。根據(jù)APT30的確認(rèn)目標(biāo)及其受害者，組織似乎對(duì)東南亞區(qū)域政治、經(jīng)濟(jì)和軍事問題、爭(zhēng)議領(lǐng)土有關(guān)的話題很感興趣。這讓我們認(rèn)為APT30的目的是為政府提供東南亞和印度主要政府以及企業(yè)實(shí)體的情報(bào)。

我們通過大量資料來了解APT30的預(yù)定目標(biāo)。我們的資料包括：來自FireEye用戶的APT30惡意軟件警告、網(wǎng)絡(luò)釣魚誘餌文件內(nèi)容和預(yù)定收件人、200多個(gè)APT30惡意軟件樣本以及APT30的操作時(shí)間和基礎(chǔ)設(shè)施。我們還注意到，我們通過自己的產(chǎn)品檢測(cè)的APT30惡意軟件中，大約96%試圖破壞位于東亞的客戶端。

[[134044]]#p#

0x10 APT30跟蹤東南亞國(guó)家聯(lián)盟(東盟，ASEAN)的成員

該組織對(duì)與東盟有關(guān)的機(jī)構(gòu)和政府十分感興趣，尤其是在東盟召開官方會(huì)議期間。東盟是一個(gè)重要的區(qū)域性組織，其各成員國(guó)之間倡導(dǎo)在政治、經(jīng)濟(jì)、教育和社會(huì)問題方面團(tuán)結(jié)與協(xié)作。目前，東盟有10個(gè)成員國(guó)：印度尼西亞、馬來西亞、菲律賓、新加坡、泰國(guó)、文萊、越南、老撾、緬甸和柬埔寨。

以東盟為主題的基礎(chǔ)設(shè)施和自定義工具

APT30已為C2注冊(cè)了以東盟為主題的域名，并且編譯了竊取數(shù)據(jù)的惡意軟件，該惡意軟件專用于東盟事件。APT30很可能試圖攻擊東盟成員以竊取信息，這些信息有利于深入了解區(qū)域的政治和經(jīng)濟(jì)。

域aseanm[.]com——好像是模仿的東盟的合法域(www.asean.org (http://www.asean.org/))——首次注冊(cè)是在2010年三月。FireEye識(shí)別了100多個(gè)BACKSPACE惡意軟件變體，這些變體的C2都使用域aseanm[.]com，其中含有東盟共同體重大事件的編譯日期。下表為BACKSPACE樣本的編譯次數(shù)，這些樣本的C2也都使用aseanm[.]com，通常與東盟事件有關(guān)：

[[134045]]

最近，大量BACKSPACE樣本的出現(xiàn)提高了我們的評(píng)估質(zhì)量，被編譯的惡意軟件用于以重大東盟問題為中心的攻擊運(yùn)動(dòng)。87個(gè)最新BACKSPACE樣本使用C2域aseanm[.]com，這些樣本的編譯日期集中在2013年1月和4月的一段時(shí)間。有35個(gè)樣本的編譯日期為2012年12月31日、2013年1月4日和2013年1月5日;2013年1月1日，東盟新秘書長(zhǎng)Le Luong Minh執(zhí)政，任期五年。相似地，有61個(gè)樣本編譯于2013年4月22日和23日;2013年4月24日-25日，第22屆東盟峰會(huì)在文萊召開。

2013年1月和4月，東盟峰會(huì)期間利用了自定義惡意軟件

黑客自定義惡意軟件，這能夠很好地說明其打算獲取給定目標(biāo)訪問權(quán)限的意圖;這表明，黑客共同努力以攻擊受害者，而不是采取“撒網(wǎng)并祈禱”(“spray and pray”)的方針。2013年1月和2013年4月，APT30將自定義惡意軟件用于特定運(yùn)動(dòng)來攻擊東盟成員，或攻擊與東盟國(guó)家關(guān)系密切或利益息息相關(guān)的國(guó)家。

APT30創(chuàng)建了自定義BACKSPACE “ZJAuto” (互斥鎖 MicrosoftZjAuto)，“ZJ Link”(互斥鎖MicrosoftZjLnk)，以及“ZJ Listen” (互斥鎖ZjListenLnk)變體。這些惡意軟件樣本有兩種自定義方式：(1)BACKSPACE C2 通訊中修改后的URL可能代表東盟國(guó)家代碼，(2)自定義數(shù)據(jù)盜竊和通信功能

修改后的URL

其中一個(gè)自定義位于指定的URL，用于BACKSPACE C2通信。BACKSPACE對(duì)其大部分的C2使用HTTP，并從第一階段的C2服務(wù)器檢索了大量文件，每個(gè)文件都有惡意軟件的附加說明。典型的C2 URL格式是http:////，此處，是第一階段C2的位置，是一個(gè)目錄名稱，可能不同樣本的目錄名稱有所不同，是要下載的文件(如：dizhi.gif)。

2013年1月和4月BACKSPACE樣本使用的名稱大概暗示出，惡意軟件最初打算攻擊的國(guó)家(紅色標(biāo)記出)如下表所示：

[[134046]]

支持?jǐn)?shù)據(jù)竊取的自定義惡意軟件

唯一確定的BACKSPACE “ZJ Auto”變體在2013年1月4日和5日編譯完成，在攻擊運(yùn)動(dòng)中獨(dú)樹一幟。該 BACKSPACE變體合并了記錄的兩項(xiàng)附加功能。第一， “ZJ Auto”將搜索利益相關(guān)文件的一系列指定文件路徑，并將發(fā)現(xiàn)的文件上傳到第二階段C2服務(wù)器：

%WINDIR%\$NtUninstallKB900727$

%WINDIR%\$NtUninstallKB885884$

\Outlook Express\data

\Outlook Express\data

** path.ini**文件中的指定自定義路徑

此外， BACKSPACE的 “ZJ Auto”變體還并入了自定義命令 “{” (0x7B)。當(dāng)惡意軟件接收到來自控制器的該命令時(shí)，將把指定路徑中的所有文件上傳到第二階段C2服務(wù)器，然后從本地驅(qū)動(dòng)器中將其刪除。

相似地， 幾乎所有“ZJ Link”變體都在2013年1月或2013年4月完成了編譯，并且對(duì)攻擊運(yùn)動(dòng)的影響無可替代。 “ZJ Link”變體增加了命令 “^” (0x5E)和 “(“ (0x28)。 “^”將文件下載到指定目錄CSIDL_TEMPLATES并對(duì)文件進(jìn)行重命名。 “(“檢測(cè) 受“ZJ Link”感染的電腦是否能夠與2180端口和443端口的指定主機(jī)進(jìn)行通訊。 “ZJ Link”與另一獨(dú)特變體 “ZJ Listen”合作。“ZJ Listen”變體偵聽位于相同端口(2180和443)上的入站連接;這是唯一一個(gè)能夠確定日期的變體，用于接收來自外部源的C2指令，因?yàn)樗磳?duì)建立一個(gè)出站連接到C2服務(wù)器。“ZJ Listen”可以安裝于獨(dú)立的LAN，無需直接與互聯(lián)網(wǎng)連接，而 “ZJ Link”可安裝于一個(gè)可上網(wǎng)的普通電腦。 “ZJ Link”可接受來自BACKSPACE第二階段C2服務(wù)器的標(biāo)準(zhǔn)指令，并且能夠在斷網(wǎng)情況下，將指令和響應(yīng)轉(zhuǎn)發(fā)給受 “ZJ Listen”感染的電腦。

APT30使用了大量誘餌文件，這些文件的內(nèi)容一般會(huì)涉及到東南亞，印度以及周邊地區(qū)的安全和民主問題。根據(jù)釣魚郵件中添加的誘餌文件附件，一般就能推斷黑客的出攻擊目標(biāo)。因?yàn)楹诳鸵话銜?huì)根據(jù)目標(biāo)的喜好，來修改文件中的相關(guān)問題，以此來誘惑目標(biāo)點(diǎn)擊附件，從而感染目標(biāo)。

APT30利用重大的政治交接事件作為釣魚郵件的內(nèi)容，感染重要的政治人士

在2014年夏天，F(xiàn)ireEye檢測(cè)到APT30使用釣魚郵件攻擊了一名地區(qū)客戶。這個(gè)誘餌文件的主題是東南亞的以此重大政權(quán)更替。在這個(gè)釣魚郵件中植入了一個(gè)后門(攻擊前一天編譯)，ATP30利用這個(gè)后門可以入侵受害人的計(jì)算機(jī)，從而獲取關(guān)于本國(guó)不安定因素和政權(quán)交替的情報(bào)。這類情報(bào)屬于高度機(jī)密的政府類情報(bào)。

電魚郵件的收件人列表顯示，這份郵件發(fā)送給了30多個(gè)用戶，這些用戶都在受攻擊掛架的財(cái)政部門，政府防御部門工作。APT30機(jī)會(huì)攻擊專業(yè)賬戶也會(huì)攻擊個(gè)人賬戶(Gmail，Hotmail)。這份釣魚郵件的內(nèi)容都是用目標(biāo)國(guó)家的語言編寫的，郵件的主題翻譯過來就是“外國(guó)記者對(duì)政權(quán)交替的反應(yīng)”。很顯然，從事國(guó)家安全的官員和領(lǐng)導(dǎo)、民主人士和公共媒體會(huì)對(duì)這個(gè)話題很感興趣。這個(gè)釣魚郵件的發(fā)送人來自一個(gè)政府部門，有可能是這個(gè)部門的賬戶被竊取了，或者是黑客把發(fā)送人賬戶偽裝成了這個(gè)部門的賬戶。

多個(gè)誘餌文件的主題都涉及不同國(guó)家的軍事關(guān)系

APT30把不同國(guó)家的軍事關(guān)系用做了誘餌文件的主題。這樣做的目的可能是為了攻擊那些持有雙邊關(guān)系情報(bào)的目標(biāo)。APT30使用了一份合法的學(xué)術(shù)期刊作為其中一份誘餌文件的內(nèi)容，這篇學(xué)術(shù)期刊的內(nèi)容是針對(duì)印度國(guó)防和軍事物資的誘餌文件

[[134047]] [[134048]]

類似的，已經(jīng)有APT30的誘餌文件的內(nèi)容都涉及印度國(guó)防與軍事物資問題。尤其是有許多_網(wǎng)絡(luò)釣魚攻擊_spear phishing subjects 都針對(duì)印度航空母艦和海洋監(jiān)測(cè)進(jìn)程。在 Figure 20中出現(xiàn)的誘餌文件與印度首次獨(dú)立進(jìn)行航空母艦的實(shí)際建設(shè)和發(fā)射有關(guān)。

誘餌文件并不是APT30針對(duì)印度組織的唯一證據(jù)。在印度， Virus Total的用戶已經(jīng)向服務(wù)器提交了APT30惡意軟件，表明印度研究人員也在印度的組織中發(fā)現(xiàn)了APT30的可疑活動(dòng)。 FireEye也識(shí)別了APT30惡意軟件的警報(bào)，主要的印度用戶有：

一個(gè)印度航空航天防御公司

一個(gè)印度電信公司

還有一個(gè)循環(huán)出現(xiàn)的APT30誘餌文件，它與受爭(zhēng)議的地區(qū)有關(guān)，包括不丹和尼泊爾。

APT30針對(duì)進(jìn)行負(fù)面報(bào)道的記者

我們研究發(fā)現(xiàn)，APT30不僅關(guān)注東南亞和印度，還針對(duì)報(bào)道腐敗、經(jīng)濟(jì)、人權(quán)問題的記者。黑客組織之前針對(duì)過新聞工作者，現(xiàn)在也經(jīng)常如此，以便更好了解事件進(jìn)展，預(yù)測(cè)負(fù)面報(bào)道，左右公共信息。

我們一個(gè)從事傳媒行業(yè)的客戶于2012年10月收到了一條標(biāo)題為 “2012年10月29日MFA新聞發(fā)布會(huì)全部記錄”的釣魚郵件，APT30同時(shí)將此釣魚郵件發(fā)給了全球大型新聞媒體的五十多個(gè)記者，受害人中既有官方工作賬戶，也有個(gè)人電子郵件賬戶。這些記者報(bào)道的主題總的說來可分為6類，按出現(xiàn)次數(shù)粗略排序如下：

1 經(jīng)濟(jì)狀況 2 高科技報(bào)告 3 腐敗問題 4 對(duì)異議分子的報(bào)道、人權(quán)問題 5 海洋爭(zhēng)端 6 防衛(wèi)相關(guān)話題

APT30試圖詆毀記者和媒體，這也是對(duì)媒體不提供正面報(bào)道的一種懲罰。比如，紐約時(shí)報(bào)和彭博資訊對(duì)腐敗問題進(jìn)行負(fù)面報(bào)道之后，其記者都曾在獲取簽證時(shí)遇到麻煩。

黑客向受害者投放的釣魚郵件偽裝的都十分巧妙.他們是如何辦到的呢? 通過觀察我們發(fā)現(xiàn),黑客的伎倆可能是這樣的:首先他們大概從公開發(fā)布的新聞中獲得了感興趣目標(biāo)的信息,然后以受害者朋友的身份來發(fā)送釣魚郵件.

已經(jīng)證實(shí)的APT30目標(biāo)國(guó)家及可能目標(biāo)國(guó)家

已經(jīng)證實(shí)的APT30目標(biāo)國(guó)家(印度,泰國(guó),韓國(guó),沙特阿拉伯,馬來西亞,美國(guó),越南)

[[134049]]

可能成為APT30 目標(biāo)的國(guó)家(尼泊爾,印尼,不丹,文萊,菲律賓,緬甸,新加坡,老撾)

[[134050]]

0x11 總結(jié)

網(wǎng)絡(luò)間諜有明確的目標(biāo)，堅(jiān)持不懈，又有著充足的資源。APT30只是他們的一個(gè)縮影。在我們看來，黑客組織要考慮操作的時(shí)機(jī)，又要優(yōu)先處理目標(biāo)，他們的工具還可以侵染隔離網(wǎng)絡(luò)，對(duì)敏感數(shù)據(jù)(比如政府網(wǎng)絡(luò)數(shù)據(jù))興趣十足。研究一下網(wǎng)絡(luò)間諜篩選、跟蹤病毒的方式，不難看出，這一組織內(nèi)部合作協(xié)調(diào)，管理得當(dāng)。我們所遭遇的黑客組織中APT30可以說是元老級(jí)，運(yùn)營(yíng)時(shí)間已有十年之久。它也有明確區(qū)域瞄準(zhǔn)優(yōu)先權(quán)，這種黑客組織為數(shù)不多。我們對(duì)APT30的研究證實(shí)了許多猜想：網(wǎng)絡(luò)間諜依靠網(wǎng)絡(luò)收集近鄰的信息，同時(shí)也在更大范圍內(nèi)收集全球信息。APT30并不注重竊取寶貴的商業(yè)知識(shí)產(chǎn)權(quán)亦或前沿科技，而是旨在獲取鄰近的東南亞地區(qū)的敏感數(shù)據(jù)。

 在曝光APT30的過程中，我們希望各組織能增強(qiáng)風(fēng)險(xiǎn)意識(shí)，提升自我防御能力。APt30目標(biāo)性很強(qiáng)，因此區(qū)域內(nèi)各組織機(jī)構(gòu)應(yīng)加強(qiáng)防護(hù)，保護(hù)信息資產(chǎn)不為對(duì)網(wǎng)絡(luò)間諜所用。