【CTI】网络威胁情报培训案例学习之毒卷风行动

2014年8月，Fireeye的研究人员通过部署在全球的威胁探针发现了一起针对互联网基础设施提供商、媒体组织、金融服务公司和亚洲政府组织的攻击活动。 发起此次攻击活动的攻击组织利用合法的数字证书对其工具进行签名，并采用创新技术来隐藏其C2流量。

在2014年3月份，我们检测到恶意软件Kaba（又被称为 PlugX或SOGU）主动外联的域名和IP地址都是合法的白名单IoC。起初我们判断这是攻击组织让恶意软件进行“休眠”的行为，并没有过多地分析它。但是这些恶意样本在整个夏天都保持着这种奇怪的外联行为，这让我们感到疑惑。在对一个恶意样本进行分析之后，我们发现这个样本使用韩国首尔警察互助协会的合法证书进行签名，并且只与www.adobe.com和update.adobe.com进行通信。这显然没有道理，除非攻击组织能够控制adobe公司这两个域名，或者能将到达这两个域名的流量重定向到真实的C2服务器上。

经过对Kaba样本的进一步分析，我们发现这些样本的DNS解析请求都被配置为固定发送到Hurricane Electric服务商的216.218.130.2, 216.218.131.2, 216.218.132.2 和216.66.1.2几台DNS服务器上。出于好奇，我们试用了Hurricane Electric的服务。最终我们发现Hurricane Electric支持任何人免费注册，并且任何人都可以在上面编辑任何域名的解析记录，提供任何域名的解析服务。这意味着攻击组织可以利用Hurricane Electric的服务劫持任意域名的DNS解析。

据我们测试，我们发现在Hurricane Electric上至少有21个合法域名被此攻击组织劫持，除adobe.com域名外，他们还劫持了outlook.com域名。

使用谷歌DNS服务器得到的解析记录如下：

$ dig +short @8.8.8.8 www.outlook.comwww.outlook.com.glbdns2.microsoft.com.www-nameast.outlook.com.157.56.240.246157.56.236.102157.56.240.214157.56.241.102157.56.232.182157.56.241.118157.56.240.22

而使用Hurricane Electric的DNS域名服务器得到的解析记录如下：

$ dig +short @216.218.130.2 www.outlook.com59.125.42.167$ dig +short @216.218.131.2 www.outlook.com59.125.42.167$ dig +short @216.218.132.2 www.outlook.com59.125.42.167$ dig +short @216.66.1.2 www.outlook.com59.125.42.167$ whois -h asn.shadowserver.org ‘origin 59.125.42.167′3462 | 59.125.0.0/17 | HINET | TW | HINET.NET | DATA COMMUNICATION BUSINESS GROUP

在被动DNS数据库中，我们发现这个IP曾经被解析到多个恶意域名上

在2014年8月份，我们发现上述攻击组织还存在利用Google code服务进行攻击的活动。我们发现受害者从211.125.81.203下载自解压文件，该压缩包包含以下内容：

setup.exe是一个拥有卡巴斯基合法签名的文件，用于加载恶意软件PlugX（msi.dll和msi.dll.dat）。PlugX恶意软件运行后，会请求保存在Google code服务上的一个项目，地址：code.google.com/p/udom/

继而得到一个字符串：

“DZKSGAAALLBACDCDCDOCBDCDCDOCCDADIDOCBDADDZJS”

该字符串使用以下代码解密后，得到“222.122.208.10”，之后PlugX会通过UDP协议与这个IP地址进行通信。

def NewPlugx_C2_redir_decode(s):    rvalue = ""    for x in range(0, len(s), 2):        tmp0 = (ord(s[x+1]) – 0×41) << 4        rvalue += chr(ord(s[x]) + tmp0 – 0×41)    return rvalue

本文主要是为配合威胁情报系列课程，给读者提供一个关于白域名被劫持用于C2通信的案例。详细技术细节请阅读参考链接。