1??????? 概述

安天CERT近期發(fā)現(xiàn)APT組織Konni的攻擊活動(dòng)，結(jié)合誘餌文件內(nèi)容及以往的攻擊活動(dòng)推測(cè)，此次攻擊可能為針對(duì)韓國(guó)企業(yè)進(jìn)行的網(wǎng)絡(luò)攻擊。APT組織Konni的攻擊活動(dòng)最早可以追溯至2014年，并一直活躍至今。該組織長(zhǎng)期針對(duì)俄羅斯、韓國(guó)等國(guó)家進(jìn)行定向攻擊活動(dòng)，擅長(zhǎng)使用社會(huì)熱點(diǎn)話題作為誘餌對(duì)目標(biāo)進(jìn)行魚叉式網(wǎng)絡(luò)釣魚攻擊。

近期發(fā)現(xiàn)，Konni組織可能通過向目標(biāo)投遞與稅務(wù)相關(guān)的ZIP文件實(shí)施攻擊。在用戶打開ZIP文件內(nèi)的誘餌LNK文件時(shí)，執(zhí)行設(shè)置好的PowerShell指令，打開LNK文件內(nèi)包含的掩飾文檔以及壓縮包，執(zhí)行壓縮包內(nèi)的腳本文件，設(shè)置注冊(cè)表實(shí)現(xiàn)持久化機(jī)制，獲取目標(biāo)機(jī)的部分文件列表、進(jìn)程列表等基礎(chǔ)信息并回傳至服務(wù)端，最終下載后續(xù)載荷并執(zhí)行。

2??????? Konni攻擊活動(dòng)分析

表 2?1 ZIP文件

Konni組織可能通過釣魚攻擊的手法投遞稅務(wù)相關(guān)主題的ZIP文件，ZIP文件內(nèi)容如下表：

表 2?2 ZIP文件內(nèi)容

ZIP文件的內(nèi)容如下圖所示：

圖 2?1 ZIP文件內(nèi)容

表 2?3 LNK文件

上表中的LNK文件包含在ZIP文件內(nèi)，LNK文件指向攻擊者構(gòu)造的一段PowerShell代碼，該代碼用于解碼其中十六進(jìn)制編碼的數(shù)據(jù)并執(zhí)行，將這段PowerShell代碼提取出來如下所示。

圖 2?2 LNK文件指向的PowerShell代碼

解碼后的內(nèi)容用于釋放掩飾文檔???? ??(????? ????).hwp到LNK文件所在的目錄、刪除LNK文件、提取內(nèi)嵌的ZIP文件并將ZIP文件中的條目提取到%public%\documents目錄下，最終執(zhí)行start.vbs。

圖 2?3 釋放后續(xù)文件

LNK文件內(nèi)存儲(chǔ)的掩飾文檔及ZIP文件數(shù)據(jù)相連，數(shù)據(jù)結(jié)構(gòu)如下圖所示。

圖 2?4 LNK文件內(nèi)存儲(chǔ)的掩飾文檔及ZIP文件

LNK文件釋放的掩飾文檔正文內(nèi)容如下所示。

圖 2?5 ???? ??(????? ????).hwp?? 申明資料目錄（國(guó)稅征收法實(shí)施規(guī)則）

ZIP文件內(nèi)包含的條目及對(duì)應(yīng)文件的功能如下所示。

圖 2?6 ZIP文件內(nèi)包含的條目

表2-4 ZIP內(nèi)的文件及對(duì)應(yīng)功能

ZIP文件內(nèi)各文件之間的調(diào)用關(guān)系如下圖所示：

圖 2?7調(diào)用關(guān)系圖

start.vbs，該文件用于執(zhí)行78788188.bat文件。

圖 2?8 Start.vbs文件

78788188.bat，執(zhí)行流程如下：

1)?????? 判斷是否存在23965250.bat，如果存在23965250.bat，會(huì)將Start.vbs添加至注冊(cè)表RUN中實(shí)現(xiàn)開機(jī)自啟動(dòng)，執(zhí)行23965250.bat、27355145.bat后刪除23965250.bat文件。如果不存在23965250.bat，判斷是否存在upok.txt文件，如果upok.txt存在，執(zhí)行步驟2)；如果upok.txt不存在，執(zhí)行27355145.bat，該文件用于收集本地?cái)?shù)據(jù)并回傳至服務(wù)端，然后執(zhí)行步驟2)。

2)?????? 判斷是否存在pakistan.txt，如果存在pakistan.txt，刪除該文件并退出；如果不存在pakistan.txt，執(zhí)行步驟3)。

3)?????? 判斷是否存在temprun.bat，如果存在temprun.bat，刪除該文件，執(zhí)行步驟4)；如果不存在temprun.bat，直接執(zhí)行步驟4)。

4)?????? 執(zhí)行60937671.bat，該文件用于下載文件。傳遞參數(shù)http[:]//overseeby.com/list.php?f=%COMPUTERNAME%.txt、%~dp0SbJAZ.cab、1，下載SbJAZ.cab文件。如果第三個(gè)參數(shù)為0，會(huì)進(jìn)行加密傳輸。以上操作完成后，執(zhí)行步驟5)。

5)?????? 解壓SbJAZ.cab到當(dāng)前路徑下，而后刪除SbJAZ.cab并執(zhí)行temprun.bat。以上操作完成后，執(zhí)行步驟6)。

6)?????? 等待57秒，再次判斷是否存在pakistan.txt，如果不存在pakistan.txt，跳到步驟3)繼續(xù)執(zhí)行。若存在pakistan.txt，刪除該文件并退出。

圖 2?9 78788188.bat文件

23965250.bat，執(zhí)行流程如下：

1)?????? 調(diào)用60937671.bat，發(fā)送http請(qǐng)求，下載97157.zip文件，請(qǐng)求的網(wǎng)址為https[:]//naver.cloudfiles001.com/v2/read/get.php?hs=ln3&fj=bv8702。然后判斷下載是否成功，如果97157.zip文件存在，執(zhí)行步驟2)。如果該文件不存在，退出。

2)?????? 獲取壓縮包中的第一個(gè)條目的名字，如果該名字存在，以字符a作為密碼解壓97157.zip，而后刪除壓縮包，執(zhí)行步驟3)；若該名字不存在，直接刪除壓縮包并退出。

3)?????? 判斷壓縮包中的第一個(gè)條目對(duì)應(yīng)的文件是否存在。若存在，使用rundll32.exe執(zhí)行該文件的Run導(dǎo)出函數(shù)，等待60s；若不存在，等待60s，退出。此次操作將會(huì)循環(huán)執(zhí)行三次。

圖 2?10 23965250.bat文件

?

27355145.bat，執(zhí)行流程如下：

1)?????? 獲取C:\Users\%username%目錄下downloads、documents、desktop以及C:\Program Files中的文件及文件夾列表，并將其輸出到bat文件所在目錄對(duì)應(yīng)的cuserdown.txt、cuserdocu.txt、cuserdesk.txt、cprot.txt中。然后通過nslookup命令獲取myip.opendns.com、resolver1.opendns.com的域名解析地址，通過tasklist和systeminfo獲取進(jìn)程列表和系統(tǒng)信息，將他們分別輸出到對(duì)應(yīng)的ipinfo.txt、tsklt.txt、systeminfo.txt中，然后執(zhí)行步驟2)。

2)?????? 等待5秒后，調(diào)用28499076.bat，將其加密處理后上傳到http[:]//overseeby.com/upload.php地址。

圖 2?11 27355145.bat

28499076.bat，該文件內(nèi)部存在一個(gè)自定義的加密函數(shù)，獲取當(dāng)前時(shí)間作為密鑰。該文件的主要功能為加密27355145.bat生成的存放信息的txt文件，并將傳入的帶有計(jì)算機(jī)名稱的文件名在加密后，與key和加密后的txt文件一同上傳到指定的URL。在上傳成功后會(huì)刪除txt文件并在當(dāng)前目錄下新建一個(gè)upok.txt文件。

圖 2?12 28499076.bat

60937671.bat，主要功能用于下載文件，可根據(jù)傳遞的第三個(gè)參數(shù)來選擇是否進(jìn)行加密傳輸。若選擇加密傳輸，則會(huì)獲取當(dāng)前時(shí)間作為密鑰，并將其作為參數(shù)添加到URL中傳遞至服務(wù)端。

圖 2?13 60937671.bat

3??????? 關(guān)聯(lián)歸因

根據(jù)初始?jí)嚎s包內(nèi)的誘餌文檔以及腳本代碼的相似性進(jìn)行關(guān)聯(lián)，發(fā)現(xiàn)了幾個(gè)同為稅務(wù)主題的壓縮包，壓縮包內(nèi)同樣包含LNK文件，且LNK文件中的掩飾文檔與ZIP數(shù)據(jù)相連。將包含在LNK文件內(nèi)的ZIP內(nèi)容提取出來，發(fā)現(xiàn)內(nèi)部腳本的功能大致相同，部分文件在傳輸加密、變量命名和文件命名上存在不同。

對(duì)關(guān)聯(lián)到的所有文件進(jìn)行分析，壓縮包內(nèi)的惡意LNK文件及對(duì)應(yīng)域名列表如下所示：

表3-1 LNK文件對(duì)應(yīng)的hash、文件名及域名列表

其中最早發(fā)現(xiàn)的兩個(gè)文件的上傳、下載功能的腳本文件內(nèi)并無加密函數(shù)。

圖 3?1 早期攻擊活動(dòng)中用于文件上傳、下載的腳本

圖 3?2 之后捕獲到的攻擊活動(dòng)中用于文件上傳、下載的腳本

此次捕獲到的樣本中，存在從偽裝成韓國(guó)Naver公司相關(guān)的URL中下載文件的行為，具體URL如下表所示：

表3-2 URL列表

歸因分析：

誘餌文件類型均為HWP文件，為韓國(guó)常用的文檔格式。誘餌文件的文件名與內(nèi)容所用語言均為韓語，且誘餌文檔內(nèi)容為稅務(wù)相關(guān)內(nèi)容，與以往Konni組織的攻擊目標(biāo)相符[1]。

在代碼層面，仍沿用之前的腳本模式來進(jìn)行文件的調(diào)用、初步的信息收集、文件的上傳與下載，代碼結(jié)構(gòu)及內(nèi)容與以往攻擊活動(dòng)相似程度較高，部分內(nèi)容存在重疊。

圖 3?3 左側(cè)為本次攻擊活動(dòng)中的信息收集腳本，右側(cè)為以往攻擊活動(dòng)中的信息收集腳本[2]

圖 3?4 左側(cè)為本次攻擊活動(dòng)中用作文件調(diào)用和下載的腳本，右側(cè)為以往攻擊活動(dòng)中用作文件調(diào)用和下載的腳本[2]

?

4??????? 威脅框架映射

本次捕獲到的Konni組織疑似針對(duì)韓國(guó)企業(yè)的攻擊活動(dòng)共涉及ATT&CK框架中9個(gè)階段的15個(gè)技術(shù)點(diǎn)，具體行為描述如下表：

表4-1 本次Konni組織攻擊活動(dòng)的技術(shù)行為描述表

?

將涉及到的威脅行為技術(shù)點(diǎn)映射到ATT&CK框架如下圖所示：

圖 4?1 本次Konni組織攻擊活動(dòng)對(duì)應(yīng)的ATT&CK映射圖

5??????? 總結(jié)

根據(jù)捕獲的樣本內(nèi)容并結(jié)合已有情報(bào)來看，Konni組織從今年年初開始便以采用稅務(wù)相關(guān)主題的誘餌進(jìn)行釣魚攻擊。該組織繼續(xù)沿用以往的LNK攻擊手法，將惡意腳本文件添加到壓縮包內(nèi)并嵌入LNK文件中，待受害者打開LNK文件，執(zhí)行惡意腳本文件，下載后續(xù)載荷。相比于早些時(shí)間捕獲到的樣本，差別主要存在于腳本中新增的數(shù)據(jù)傳輸前的加密功能。

IoCs

參考資料

[1]??? ???? ?? ?? ????? ??? ?? ?? ?? ??

https://www.boannews.com/media/view.asp?idx=113686

[2]???? ??(Konni) APT ??, HWP ???? ??? 'Coin Plan' ?? ??

https://blog.alyac.co.kr/2543