E安全10月16日訊 戴爾旗下安全公司Secureworks事件響應(yīng)與反威脅單位（簡(jiǎn)稱(chēng)CTU）的研究人員們對(duì)BRONZE BUTLER威脅組織（或稱(chēng)Tick）相關(guān)活動(dòng)展開(kāi)調(diào)查，Secureworks公司稱(chēng)BRONZE BUTLER的行動(dòng)表明，其長(zhǎng)期以來(lái)一直試圖滲透日本企業(yè)以竊取知識(shí)產(chǎn)權(quán)及其它機(jī)密數(shù)據(jù)，相關(guān)入侵活動(dòng)還證明，該惡意集團(tuán)的入侵目標(biāo)主要集中在關(guān)鍵基礎(chǔ)設(shè)施、重工業(yè) 、制造業(yè)以及國(guó)際關(guān)系網(wǎng)絡(luò)層面。CTU研究人員懷疑該組織可能位于中國(guó)。

CTU研究人員將這一威脅組織的相關(guān)威脅情報(bào)劃分為兩大類(lèi)：戰(zhàn)略與戰(zhàn)術(shù)。各企業(yè)高管可利用對(duì)相關(guān)持續(xù)威脅的戰(zhàn)略評(píng)估結(jié)論判斷如何有效降低所在企業(yè)內(nèi)日常業(yè)務(wù)及關(guān)鍵資產(chǎn)所面臨的風(fēng)險(xiǎn)。計(jì)算機(jī)網(wǎng)絡(luò)維護(hù)人員則可利用此次事故響應(yīng)調(diào)查與研究中收集到的戰(zhàn)術(shù)信息作為指導(dǎo)，從而降低應(yīng)對(duì)該威脅組織相關(guān)活動(dòng)所投入的時(shí)間與精力。

CTU研究的鍵點(diǎn)

分析BRONZE BUTLER的行動(dòng)、目標(biāo)與能力，幫助CTU研究人員評(píng)估該組織位于中國(guó)境內(nèi)的可能性。該組織曾利用魚(yú)叉式釣魚(yú)攻擊、戰(zhàn)略性網(wǎng)絡(luò)入侵（簡(jiǎn)稱(chēng)SWC）以及一項(xiàng)零日漏洞對(duì)目標(biāo)系統(tǒng)實(shí)施入侵攻擊。在自網(wǎng)絡(luò)中提取目標(biāo)數(shù)據(jù)后，BRONZE BUTLER通常會(huì)刪除其活動(dòng)所留下的相關(guān)證據(jù)。不過(guò)其仍會(huì)盡可能保留對(duì)所入侵環(huán)境的持續(xù)訪問(wèn)能力，定期重新訪問(wèn)目標(biāo)站點(diǎn)，借以發(fā)現(xiàn)新的數(shù)據(jù)竊取機(jī)會(huì)。該威脅組織成員似乎有能力開(kāi)發(fā)并部署其專(zhuān)有惡意軟件工具。該組織的命令與控制（C&C）協(xié)議經(jīng)過(guò)加密，因此給網(wǎng)絡(luò)維護(hù)人員與事件響應(yīng)人員帶來(lái)了一定挑戰(zhàn)。

CTU研究發(fā)現(xiàn)的戰(zhàn)略性威脅情報(bào)

分析BRONZE BUTLER組織的指向、來(lái)源以及能力，將能夠確定哪些企業(yè)可能因此面臨風(fēng)險(xiǎn)。此類(lèi)信息能夠幫助各企業(yè)就相關(guān)威脅作出戰(zhàn)略性防御決策。

黑客組織瞄準(zhǔn)哪些內(nèi)容？

CTU分析結(jié)果表明，BRONZE BUTLER主要針對(duì)位于日本的企業(yè)機(jī)構(gòu)。該威脅組織曾經(jīng)以非法入侵與關(guān)鍵基礎(chǔ)設(shè)施、重工業(yè)、制造業(yè)以及國(guó)際關(guān)系相關(guān)的組織機(jī)構(gòu)的網(wǎng)絡(luò)體系。Secureworks分析師觀察到，BRONZE BUTLER曾提取以下幾類(lèi)數(shù)據(jù)內(nèi)容：

與技術(shù)與開(kāi)發(fā)相關(guān)的知識(shí)產(chǎn)權(quán)產(chǎn)品規(guī)格敏感性業(yè)務(wù)與銷(xiāo)售相關(guān)信息網(wǎng)絡(luò)與系統(tǒng)配置文件郵件信息與會(huì)議記錄

對(duì)于知識(shí)產(chǎn)權(quán)、產(chǎn)品規(guī)格以及企業(yè)信息的關(guān)注表明，該威脅組織正在積極收集其認(rèn)為可能對(duì)競(jìng)爭(zhēng)性企業(yè)具有實(shí)際價(jià)值的信息。而多樣的目標(biāo)設(shè)置則證明，BRONZE BUTLER很可能由多個(gè)具備不同優(yōu)先級(jí)考量的團(tuán)隊(duì)或者組織共同組成。

關(guān)于BRONZE BUTLER組織的歸因

以下特性使得CTU的研究人員們認(rèn)定BRONZE BUTLER很可能位于中國(guó)：

使用公開(kāi)發(fā)布于某中國(guó)開(kāi)發(fā)者網(wǎng)站上的T-SMB掃描工具在其xxmm后門(mén)的某一早期版本中，在安裝服務(wù)中使用中文字符BRONZE BUTLER的惡意軟件 Daserf 后門(mén)工具與來(lái)自中國(guó)的NCPH黑客組織之間存在記錄關(guān)聯(lián)，另外在中國(guó)國(guó)內(nèi)法定假日期間BRONZE BUTLER的活躍度水平有所下降

中國(guó)近年來(lái)經(jīng)濟(jì)迅猛發(fā)展，增長(zhǎng)速度飛快。英國(guó)前內(nèi)政部國(guó)務(wù)大臣麥克·貝茨勛爵表示，中國(guó)經(jīng)濟(jì)增長(zhǎng)奇跡令世界嘆服。

但仍有外媒認(rèn)為，中國(guó)的網(wǎng)絡(luò)間諜組織可能是受到中國(guó)雄心勃勃的經(jīng)濟(jì)增長(zhǎng)目標(biāo)的有力推動(dòng)，高度關(guān)注競(jìng)爭(zhēng)性經(jīng)濟(jì)體所掌握的知識(shí)產(chǎn)權(quán)與經(jīng)濟(jì)情報(bào)，且積極竊取可在國(guó)內(nèi)實(shí)現(xiàn)競(jìng)爭(zhēng)優(yōu)勢(shì)的信息。

然而，中國(guó)的基礎(chǔ)設(shè)施年支出已經(jīng)超過(guò)了美國(guó)和歐盟，擁有世界上最大的高速鐵路網(wǎng)——截止2016 年里程已達(dá)到約2萬(wàn)公里，是歐洲已建或在建高速鐵路總長(zhǎng)度的兩倍左右。此外，自2007年以來(lái)，中國(guó)機(jī)場(chǎng)的數(shù)量增加了62%，高速公路總長(zhǎng)增加了157%，集裝箱碼頭的數(shù)量增加了132%。而另一方面，《中國(guó)互聯(lián)網(wǎng)經(jīng)濟(jì)白皮書(shū)：解讀中國(guó)互聯(lián)網(wǎng)特色》顯示，中國(guó)已經(jīng)成為全球互聯(lián)網(wǎng)經(jīng)濟(jì)的先鋒，并與美國(guó)一起成為驅(qū)動(dòng)全球互聯(lián)網(wǎng)發(fā)展的雙引擎。

BRONZE BUTLER組織的網(wǎng)絡(luò)能力

BRONZE BUTLER曾使用多種廣泛公開(kāi)（包括Mimikatz與gsecdump）以及專(zhuān)用型（Daserf與Datper）工具。其似乎擁有充足的資源以長(zhǎng)時(shí)間不斷開(kāi)發(fā)并替換各類(lèi)專(zhuān)用工具。該組織開(kāi)發(fā)出可生成并利用加密 C&C 通信機(jī)制的遠(yuǎn)程訪問(wèn)工具及惡意軟件，從而提升了檢測(cè)與問(wèn)題緩解工作的復(fù)雜程度。另外，其組織成員亦能夠流利使用日語(yǔ)編寫(xiě)指向日本本土的釣魚(yú)郵件，并可在日語(yǔ)環(huán)境中成功開(kāi)展攻擊。

CTU分析結(jié)果表明，BRONZE BUTLER曾經(jīng)以購(gòu)買(mǎi)形式獲取到其 C&C 基礎(chǔ)設(shè)施當(dāng)中一部分方案。其基礎(chǔ)設(shè)施當(dāng)中的相當(dāng)一部分立足日本運(yùn)行，這可能是為了避免國(guó)際通信安全機(jī)構(gòu)的監(jiān)督與審查。該組織會(huì)定期更改各已入侵網(wǎng)絡(luò)的 C&C IP地址與域名，從而限制其基礎(chǔ)設(shè)施被列入黑名單的可能性。另外，該組織還通過(guò)訪問(wèn)已入侵網(wǎng)站補(bǔ)充自身運(yùn)營(yíng)基礎(chǔ)設(shè)施，BRONZE BUTLER可能曾經(jīng)具備專(zhuān)用基礎(chǔ)設(shè)施的信息獲取能力。

該組織已經(jīng)被證明有能力發(fā)現(xiàn)一款高人氣日本企業(yè)工具中存在的嚴(yán)重零日漏洞，而后通過(guò)掃描及利用這項(xiàng)漏洞無(wú)差別破壞日本國(guó)內(nèi)各面向互聯(lián)網(wǎng)的企業(yè)系統(tǒng)。該組織似乎首先建立初步立足點(diǎn)，而后有選擇地對(duì)目標(biāo)實(shí)施進(jìn)一步入侵。該組織會(huì)關(guān)注已入侵網(wǎng)絡(luò)的變化，并主動(dòng)嘗試通過(guò)修改工具及入侵方法以回避網(wǎng)絡(luò)維護(hù)人員的審查。在長(zhǎng)達(dá)5年時(shí)間內(nèi)，其始終成功潛伏在多套已入侵網(wǎng)絡(luò)當(dāng)中且始終未被察覺(jué)。

CTU研究發(fā)現(xiàn)的戰(zhàn)術(shù)性威脅情報(bào)

事件響應(yīng)行動(dòng)使CTU研究人員們得以深入了解BRONZE BUTLER在入侵期間所使用的工具與具體策略。

攻擊活動(dòng)使用工具調(diào)查

CTU研究人員們已經(jīng)觀察到BRONZE BUTLER利用以下獨(dú)有的工具方案。圖一所示為該威脅組織在2012年到2017年期間所使用的部分專(zhuān)屬工具。

圖一：BRONZE BUTLER所使用惡意軟件時(shí)間線。（來(lái)源：Secureworks）

Daser —這套后門(mén)具備遠(yuǎn)程shell功能，可用于執(zhí)行命令、上傳與下載數(shù)據(jù)、捕捉屏幕截圖以及擊鍵記錄。其采用RC4加密與自定義Base64編碼對(duì)HTTP流量進(jìn)行混淆。CTU研究人員們確定Daserf擁有兩個(gè)版本，分別在Visual C與Delphi中編寫(xiě)而成。編譯時(shí)間戳分析結(jié)果證明，Delphi版本屬于Visual C版本的后繼者。CTU還通過(guò)分析發(fā)現(xiàn)，以下注冊(cè)表項(xiàng)能夠證明計(jì)算機(jī)已經(jīng)受到Delphi版本Daserf的感染：Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ExplorerValue: MMID = Datper — BRONZE BUTLER之所以創(chuàng)建這套Delphi編碼RAT，可能是為了替代Daserf。Datper采用RC4加密配置以混淆HTTP流量。xxmm (亦被稱(chēng)為Minzen) — 此RAT有可能屬于Daserf的后繼者，其通過(guò)一次性加密密鑰實(shí)現(xiàn)AES加密HTTP通信機(jī)制。研究人員們發(fā)現(xiàn)，BRONZE BUTLER在其惡意活動(dòng)中表現(xiàn)出對(duì)Datper與xxmm的使用偏好。CTU研究人員還確定了xxmm的xxmm builder（詳見(jiàn)圖二），這表明該組織成員會(huì)根據(jù)目標(biāo)定制xxmm惡意軟件設(shè)置。

圖二：xxmm builder當(dāng)中的可定制設(shè)置。（圖片來(lái)源：Secureworks）

xxmm下載器(亦被稱(chēng)為KVNDM) — 這款簡(jiǎn)單下載器的代碼類(lèi)似于主xxmm的有效載荷。Gofarer — 這款下載器在其HTTP通信中使用“Mozilla/4.0+(compatible;+MSIE+8.0;+Windows+NT+6.1;+Trident/4.0;” User-Agent（詳見(jiàn)圖三）。

圖三：Gofarer HTTP GET請(qǐng)求。（圖片來(lái)源：Secureworks）

MSGet — 這款持久下載器利用機(jī)密傳遞點(diǎn)解析器（簡(jiǎn)稱(chēng)DDR）以下載并執(zhí)行其它惡意有效載荷。MSGet通常從其中的硬編碼URL處下載已編碼二進(jìn)制文件。在解碼之后，MSGet會(huì)將該二進(jìn)制文件保存為%TEMP%\msDGet — 這款簡(jiǎn)單下載器（詳見(jiàn)圖四）類(lèi)似于wget Web服務(wù)器檢索工具。

圖四：DGet使用情況。（圖片來(lái)源：Secureworks）

Screen Capture Tool — 這款工具能夠捕捉受害者系統(tǒng)中的桌面圖像（詳見(jiàn)圖五）。

圖五：Screen Capture Tool使用情況。（圖片來(lái)源：Secureworks）

RarStar — 這款定制化工具能夠?qū)AR歸檔文件以POST數(shù)據(jù)的形式上傳至特定URL處（詳見(jiàn)圖六）。RarStar會(huì)利用Base64與一套定制化XOR算法對(duì)POST數(shù)據(jù)進(jìn)行編碼。

圖六：RarStar HTTP POST請(qǐng)求。（圖片來(lái)源：Secureworks）

BRONZE BUTLER還曾經(jīng)利用以下公開(kāi)工具，但CTU的研究人員們發(fā)現(xiàn)該組織對(duì)其中大部分工具作出了修改。通過(guò)分析，研究人員確定其中曾使用多種打包工具、對(duì)源代碼進(jìn)行功能調(diào)整并加以重新編譯。

Mimikatz、Windows Credential Editor (簡(jiǎn)稱(chēng)WCE)、gsecdump — 這3款工具能夠從內(nèi)存中獲取密碼。T-SMB Scan — 這款SMB掃描工具最初發(fā)布于中國(guó)某程序共享網(wǎng)站（pudn）。BRONZE BUTLER刪除了其中的輔助信息功能。WinRAR — 這款工具能夠在后續(xù)操作解壓出其它工具，并對(duì)所提取數(shù)據(jù)進(jìn)行壓縮。

從黑客組織攻擊過(guò)程可以得到哪些啟發(fā)？

事件響應(yīng)行動(dòng)使得CTU研究人員能夠深入了解BRONZE BUTLER在入侵期間所采取的具體策略。

交付

BRONZE BUTLER利用魚(yú)叉式釣魚(yú)郵件與SWC入侵目標(biāo)網(wǎng)絡(luò)，且大多借助Flash。該組織曾經(jīng)利用包含F(xiàn)lash動(dòng)畫(huà)附件的釣魚(yú)郵件下載并執(zhí)行Daserf惡意軟件，亦利用Flash安全漏洞進(jìn)行SWC攻擊。

CTU研究人員們觀察到，BRONZE BUTLER利用各已入侵網(wǎng)站（通常位于日本及韓國(guó)）作為其攻擊基礎(chǔ)設(shè)施的組成部分。該組織也表現(xiàn)出了在攻擊活動(dòng)中入侵并利用大量網(wǎng)站的實(shí)際能力。由于在同一次攻擊活動(dòng)中能夠使用大量 C&C 服務(wù)器與多條IP地址，因此該組織似乎也在購(gòu)買(mǎi)服務(wù)器以攻擊基礎(chǔ)設(shè)施。BRONZE BUTLER曾經(jīng)面向不同目標(biāo)使用特定攻擊基礎(chǔ)設(shè)施，這證明其會(huì)對(duì)運(yùn)營(yíng)基礎(chǔ)設(shè)施進(jìn)行主動(dòng)分配，從而盡可能降低自身活動(dòng)被安全研究人員歸因的風(fēng)險(xiǎn)。

漏洞利用

在對(duì)2016年的入侵事件進(jìn)行調(diào)查時(shí)，Secureworks事件響應(yīng)人員發(fā)現(xiàn)，BRONZE BUTLER曾利用SKYSEA Client View（一款日本高人氣企業(yè)IT資產(chǎn)管理產(chǎn)品）中當(dāng)時(shí)尚未得到修復(fù)的遠(yuǎn)程代碼執(zhí)行漏洞（CVE-2016-7836）。SKY集團(tuán)于2016年12月21日正式公布此項(xiàng)安全漏洞，但受害者在SKYSEA Client View默認(rèn)日志（Ctlcli.log）中的條目顯示，至少自2016年6月以來(lái)，該黑客組織就已經(jīng)開(kāi)始利用這一漏洞。

圖七：SKYSEA Client View日志條目顯示出CVE-2016-7836漏洞利用情況。（圖片來(lái)源：Secureworks）

在將便攜式連接設(shè)備——例如LTE USB調(diào)制解調(diào)器——接入企業(yè)設(shè)備時(shí)，攻擊者即有機(jī)會(huì)利用此項(xiàng)漏洞。事實(shí)上，差旅及遠(yuǎn)程協(xié)作的日本員工經(jīng)常使用便攜式連接設(shè)備以接入互聯(lián)網(wǎng)及企業(yè)VPN。然而，其中部分設(shè)備會(huì)將互聯(lián)網(wǎng)服務(wù)供應(yīng)商的全局IP地址分配給接入的筆記本電腦。惡意攻擊者能夠利用這一漏洞來(lái)模擬管理控制臺(tái)，同時(shí)破壞筆記本電腦中的SKYSEA代理以使其暴露在互聯(lián)網(wǎng)之上。

BRONZE BUTLER會(huì)定期進(jìn)行互聯(lián)網(wǎng)掃描，旨在發(fā)現(xiàn)易受攻擊的主機(jī)。CTU研究人員們證實(shí)，一部分受到入侵的系統(tǒng)并沒(méi)有遭遇進(jìn)一步破壞或者橫向移動(dòng)。結(jié)果表明，該威脅組織可能會(huì)將惡意軟件部署到所有已發(fā)現(xiàn)的易受攻擊系統(tǒng)當(dāng)中，而后驗(yàn)證目標(biāo)系統(tǒng)與自身關(guān)注點(diǎn)之間的聯(lián)系，最終僅針對(duì)特定目標(biāo)執(zhí)行進(jìn)一步活動(dòng)。

安裝

惡意攻擊者利用多種依賴(lài)于可執(zhí)行文件、PowerShell腳本或者VBS/VBE腳本的定制化下載工具，包括Gofarer、MSGet以及xxmm下載器。這些下載器使用HTTP流量，以壓縮與編碼格式下載其它有效載荷（例如Daserf、Dapter或者xxmm），并通常會(huì)在文件解碼之后執(zhí)行下載完成的惡意軟件。

CTU研究人員識(shí)別出一款下載器程序中的代碼，如圖八所示。此代碼會(huì)在該可執(zhí)行文件末尾插入“0”字符以將該文件大小提升至50到100 MB，從而嘗試逃避反病毒軟件的檢測(cè)。在對(duì)BRONZE BUTLER攻擊進(jìn)行分析時(shí)，CTU研究人員們觀察到這種進(jìn)行主動(dòng)體積提升的文件確實(shí)能夠逃過(guò)多種反病毒工具的法眼。

圖八：用于提升有效載荷文件大小的下載器惡意軟件代碼。（圖片來(lái)源：Secureworks）

CTU研究人員們還觀察到，BRONZE BUTLER會(huì)在已入侵系統(tǒng)上將下載器源代碼下載至一個(gè)文件當(dāng)中（do.cs），而后將其編譯為可執(zhí)行文件（do.exe）。經(jīng)過(guò)解密的代理日志顯示，惡意攻擊者確實(shí)在已入侵系統(tǒng)上編譯定制化代碼（詳見(jiàn)圖九）。

圖九：解密代理日志顯示，已入侵端點(diǎn)上曾進(jìn)行定制化代碼編譯。（圖片來(lái)源：Secureworks）

利用命令與控制（簡(jiǎn)稱(chēng)C&C）通信

Daserf、Datper以及xxmm通過(guò)HTTP、加密命令以及數(shù)據(jù)同 C&C 服務(wù)器進(jìn)行通信，具體加密算法如表一所示。只要已入侵系統(tǒng)在代理定義的授權(quán)時(shí)間內(nèi)進(jìn)行通信，這些工具即可利用IE瀏覽器組件繞過(guò)代理身份驗(yàn)證服務(wù)器。

惡意軟件

HTTP 方法

加密算法

Daserf (Visual C)

POST

RC4

Daserf (Delphi)

GET (大型數(shù)據(jù)則使用POST)

RC4

Datper

GET (大型數(shù)據(jù)則使用POST)

RC4

xxmm

GET (大型數(shù)據(jù)則使用POST)

RC4AES外加一次性加密密鑰

表一：Daserf、Datper以及xxmm加密算法。

BRONZE BUTLER為每款工具配備特定的 C&C 服務(wù)器，同時(shí)會(huì)定期更改 C&C 服務(wù)器。該組織的 C&C 服務(wù)器中有很大一部分位于日本。代理日志（詳見(jiàn)表二）中的特定URL模式能夠揭露BRONZE BUTLER的具體活動(dòng)。

惡意軟件

URL模式

用戶(hù)-代理

Daserf

http://.gifhttp://.asphttp://.php?id=&=

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)Internet Explorer 多個(gè)版本

Datper

http://.php?=1http://.php?=2

xxmm

http://.php?t0=>&t1=&t2=&t3=&t6=http://.php?id0=&id1=&id2=id3=&id6=http://.php?idcard0=idcard1=

Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; SV1)

表二：與BRONZE BUTLER惡意活動(dòng)相關(guān)的URL模式。

BRONZE BUTLER在這些工具當(dāng)中利用遠(yuǎn)程訪?...