Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Gần đây, ANTIY Labs (Trung Quốc) phát hiện một cuộc tấn công APT nhắm vào các mục tiêu là các cơ quan của chính phủ Trung Quốc. Các shellcode cho phép gửi dữ liệu tùy thuộc vào chế độ Beacon được tạo ra từ hệ thống phát hiện xâm nhập trên nên tảng Cobalt Strike. Mã độc được ngụy trang giống như một phần mềm không độc hại, nó gửi các gói tin mỗi 60 giây một lần, và cũng có thể gửi dữ liệu thông qua trường Cookie. Tính năng của mô hình tấn công này được thiết kế để lẩn tránh sự phát hiện của các phần mềm bảo mật và đánh chặn tường lửa trên các máy chủ mục tiêu. Cuộc tấn công được đặt tên là “APT-TOCS ”.

Phân tích mẫu

APT-TOCS sử dụng “powershell.exe” thực hiện shellcode nhằm điều khiển máy chủ mục tiêu từ xa. Kẻ tấn công có thể sử dụng một số phương pháp tiêm mã script bằng cách khai thác các lỗ hổng an ninh. Tệp tin nhị phân sau (mẫu A) đã được sử dụng trong cuộc tấn công:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Mã của các script được nhúng trong mẫu PE này là hoàn toàn giống với một trong những shellcode script mà Antiy đã có, nhưng dữ liệu được mã hóa là khác nhau. Mẫu PE này được tải lên Virustotal ngày 02 tháng 05 năm 2015.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Mã độc sử dụng WinExec để thực thi phần mềm độc hại được nhúng:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Có thể thấy rằng tệp tin trên là mở đầu của cuộc tấn công. Tuy nhiên, việc thực thi và kiểm soát vẫn có thể được thực hiện mà không cần tệp tin này.

Phần chính của cuộc tấn công APT-TOCS dựa trên kịch bản dữ liệu được mã hóa (mẫu B) tải về bằng PowerShell. Hình dưới đây thể hiện mối quan hệ giữa các tệp tin trong cuộc tấn công:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Nội dung của mẫu B như sau (Đã lược bỏ nội dung Base64):

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Chức năng của đoạn mã trên là giải mã các nội dung đã được mã hóa trong Base64, giải nén với Gzip, dẫn tới module 1 và sử dụng PowerShell để thực thi.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Các chức năng của phần này là: Giải mã dữ liệu đã mã hóa bằng thuật toán Base64 và nhận được module 1, sau đó ghi dữ liệu để xử lý powershell.exe, và thực thi.

Các chức năng sau để kết nối mạng, tải về module 2 và thực thi bằng cách tải lên bộ nhớ. Sử dụng HTTP GET tới đường dẫn: http://146.0.43.107/hfYn.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Module 2 được thiết lập và thực thi bằng rundll32.exe.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Dữ liệu sẽ được ghi vào module 3:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Mặc dù module 3 bắt đầu với “MZ” nhưng không phải là một tệp PE. Mà là nội dung shellcode với chức năng là một backdoor.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Nhận và gửi dữ liệu:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Địa chỉ IP kết nối có được bằng cách giải mã “XOR 0x69”.

Các module backboor gửi yêu cầu GET đến các địa chỉ được chỉ định bằng cách sử dụng cookie với khoảng  60 giây mỗi lần.Thông tin gửi lên bao gồm: Mã kiểm tra, process  ID, Phiên bản hệ điều hành, địa chỉ IP, tên máy tính, tài khoản, ngay cả với các máy tính 64 bit. Sau đó, sử dụng hai thuật toán mã hóa RSA và Base64 để mã hóa và gửi đi.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Với mỗi Process ID khác nhau, gói dữ liệu được gửi đi mỗi lần là khác nhau. Các mã kiểm tra được tính thông qua process ID và thời gian khởi động tiến trình tình bằng mili giây. Thuật toán như sau:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Gói tin được mã hóa sử dụng trường cookie để gửi dữ liệu:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Phân tích công nghệ của cuộc tấn công

Tệp tin mẫu đầu tiên, mẫu A và mẫu B, đều sử dụng PowerShell. Tuy nhiên, không thể loại trừ khả năng rằng mẫu A không liên quan tới cuộc tấn công vì các dấu hiệu đồng nhất giữa các kịch bản. Có thể các mẫu này là một phần của chuỗi tấn công. Những kẻ tấn công có thể đã sử dụng những cách sau để khai thác và kiểm soát các máy mục tiêu: Kỹ thuật xã hội (Social enginering) email, file bunding, khai thác lỗ hổng hệ thống và ứng dụng, tấn công mạng nội bộ ngang hàng,…

Các chuyên gia phân tích tìm thấy mối liên hệ chặt chẽ của shellcod trong Module 1 với các mẫu sinh ra bởi công cụ Cobalt Strike.

Cobalt Strike là công cụ kiểm thử hệ thống dựa trên Metasploit. Phiên bản thương mại của nó tích hợp các chức năng sau: Quét dịch vụ, phát hiện lỗi tràn tự động, các cổng đa phương thức, các phần mềm gián điệp, tấn công lừa đảo trực tuyến, tấn công in vết và tấn công trình duyệt tự động.

Kết quả so sánh giữa module 1 và payload được tạo ra bằng cách sử dụng Beacon của Cobalt Strike, các dữ liệu khác nhau chỉ bao gồm như: Head data, tệp tin yêu cầu và địa chỉ IP.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Bên trái là module 1, bên phải là module được tạo ra bởi Beacon. Dưới đây là gói tin yêu cầu:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Với mẫu module 2 và các tệp tin có liên quan của Beacon, các lệnh của chúng gần như chính xác bao gồm cả mã hóa XOR, DLL hệ thống được tải xuống, địa chỉ hàm, phương thức gọi hàm. Cụ thể như sau:

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Hình dưới đây so sánh các yêu cầu được tạo ra bởi module 3 và Beacon. Ở đây có thể thấy cả hai đều sử dụng trường cookie để truyền dữ liệu, với các dữ liệu đều đã được mã hóa, và gửi 60 giây một lần.

Tấn Công APT Nhằm Vào Cơ Quan Chính Phủ Trung Quốc

Kết luận

Với nền tảng thử nghiệm xâm nhập tự động Cobalt Strike, có thể xâm nhập tường lửa, các phương pháp tiếp cận những kẻ tấn công sử dụng để kiểm soát máy chủ nhắm tới mục tiêu bí mật và không thể phát hiện. Từ các dấu vết trong quá khứ, ANTIY có cơ sở để tin rằng mối đe dọa đã hoạt động được 5 năm. Mà không bị phát hiện và ngăn chặn các cuộc tấn công độc hại cho đến bây giờ.

Trong cuộc tấn công này, mã độc có chức năng chống phát hiện và có thể che giấu bản thân. So với sự cố APT trong quá khứ, các cuộc tấn công APT trong trường hợp này không quá tốn kém, và những kẻ tấn công không chịu trách nhiệm phát triển mã nguồn. Với ứng dụng thương mại của nền tảng tấn công, những kẻ tấn công đã tiết kiệm chi phí của cuộc tấn công, loại tấn công này khó phát hiện khi phải đối mặt với cuộc tấn công được mô hình hóa như vậy.

conmaz