1. 概述。
蔓越莓花,又名"bitter"、"apt-c-08"、"t-apt-17"和"苦象",经常对南亚周边和孟加拉湾国家发动网络攻击,主要针对巴基斯坦和中国。 其攻击目标主要包括第一部门、核工业、能源、国防、军工、造船、航空和航运业,其主要意图是窃取敏感信息。 该组织从2024年开始活跃,近年来长期发布攻击组件,完成对目标设备的控制,一般攻击流程如下,以CHM文档等恶意文档作为攻击入口,诱使用户打开执行,从而调用xxxMSI 和其他软件** 后续攻击组件。 通过长期跟踪和样本搜寻,冠城安全分析师主动发现了10个BITTER组织最常用的攻击组件WMRAT样本,发现它们具有以下特征:
每个样本的整体执行逻辑和通信协议没有改变,仍然使用大端通信。
每个样本的通信数据格式没有改变,是四字节的标识控制码+四字节长度+数据控制指令。
每个样本的字符串加密和通信加密都是移位加密,不同样本使用的密钥不同。
每个样本发送的心跳数据和心跳时间各不相同,发送的心跳数据大多如下"x"、"-"、"0"、"1"、"."多个元素的组合。
控制指令数量从9条增加到14条,功能比以前更完整,部分样本存在复用行为。
与 2022 版本相比,添加了网络连接测试。
可以看出,每个样本的休眠特性、数据格式和在线数据包没有变化,但不同样本在网络连接测试、使用的关键情况、心跳数据包和控制指令方面存在差异,攻击的发展趋于成熟。 下面将从这两个方面进行详细分析。
二、基本情况
本分析中分析的10个WMRAT样品的基本信息如下:
3.共同特点。
休眠。 示例运行后,将多次调用 sleep 函数以将程序置于睡眠状态,以尝试绕过沙盒检测,这是所有示例通用的。
数据格式。 每个样本使用自定义的TCP通信协议,通信数据包具有一定的结构,发送的数据使用三向发送功能发送,同时使用三向RECV功能。
首次发送或接收的数据是控制码或识别码第三次发送的数据长度是第二次发送和接收第三次是实际传输的数据,服务器发送控制命令,客户端返回被盗数据,并以全字节(+密钥)的形式对传输进行加密。
上线包。 TCP连接成功后,示例获取三个设备信息的计算机名称、用户名和系统版本,并上传到C2,数据在“||”中间使用。符号拼接。 每个样本的在线数据包格式保持不变,即四字节识别码+四字节数据长度+在线数据。
第四,差异化性能。
网络连接测试。
示例连接测试之间存在差异,总共使用了三个网络连接测试,包括 Microsoft、百度和英特尔。
关键更改。 某些示例使用的字符串加密密钥和通信加密密钥之间存在差异,示例使用的字符串加密密钥为0xxx2e、0x31和0x2d,使用的通信加密密钥为0xxx13。 在 2023 年 2 月之前,样本字符串加密和通信加密使用了相同的加密密钥,之后不再使用相同的密钥,因此即使攻击者获得了样本字符串加密的密钥,也无法轻易推断出密钥用于后续通信,增加了破解的难度。
心跳包。 每个样本发送的心跳数据和心跳时间各不相同。 发送的大多数心跳数据是"x"、"-"、"0"、"1"、"."通过几个元素的组合,心跳时间的精度从开头的整数变为浮点数,心跳包的格式为四字节标识符+四字节长度+数据,数据在样本中是硬编码的。 其中,最新透露的样本连接将每150次成功045秒向服务器发送心跳报文,如下图所示:
控制命令。 在2024年公布的样品中可以看出,指令少,功能不完善,非功能指令多,遥控器方案仍处于研发阶段。 与2024年的旧样品相比,最新样品中的控制指令数量有所增加,从最初的9条增加到14条,功能也比以前更加齐全,远程控制程序的开发更加成熟。 对样本进行汇总后发现,使用的控制指令有四种类型,如下表所示。
表5 四种控制命令
模拟服务器发出 lstcts 命令,获取计算机名、用户名、磁盘使用情况等信息,如下图所示
图 11 控制指令流量。
图12 数据解密
5. 测试。 ENS加密威胁智能检测系统可以检测**中列出的所有WMRAT样本,以最新暴露的样本为例,检测结果如下图所示。
图13 冠城观云(ENS)加密威胁智能检测系统检测结果。
6. 总结。
在蔓藤花纹的远程控制程序中"wmrat"从多个样本的分析中可以看出,组织在不断开发攻击,逐步完善功能,但样本的整体执行逻辑没有改变,通信中使用的加密方法相对简单,功能仍以文件搜索和上传为主。 在流量端,攻击**使用TCP协议进行通信,自定义加密格式无限灵活,因此进一步提高了这种加密流量检测的难度。 冠城安全团队将长期跟踪满陵华组织的动向,使用自定义加密技术密切跟进最新威胁,并随时更新预案以应对。