概述
Confucius别名魔罗桫、Confucius、APT-Q-40。
该组织的命名最早出自国外安全厂商Palo Alto Networks在2016年发布的分析报告,在该报告中,Palo Alto Networks披露了一个印度攻击组织的攻击活动,该组织攻击活动最早可追溯至2013年,其擅长使用鱼叉式钓鱼邮件、水坑攻击以及钓鱼网站,配合丰富的社会工程学手段对中国、巴基斯坦、孟加拉国等印度周边国家政府、军事、能源等领域开展以窃取敏感资料为目的的攻击活动。该组织在早期攻击活动中,曾借助具备留言互动功能的国际知名网站(例如Quora,类似我国的知乎),在公开的留言中夹带经过加密编码处理的木马远控服务器地址。该组织使用的木马被植入受害主机后,可从这类公开留言中获取内容,解密还原真正远控服务器地址。因此,木马在受害主机的首次网络访问行为会被视为正常的网页请求,而攻击者却可以借助这些国际知名网站持续更换远控地址或下发其他指令。Palo Alto Networks在相关恶意代码连接的一个Quora页面中,发现攻击者张贴的内容有“Confucius says”字样,即“孔夫子说”,或“子曰”,于是把这个组织称为Confucius。可见攻击者持续攻击中国过程中,也对中国的文化进行了研究。
1.样本对比
白泽安全实验室在进行日常APT Hunting工作时,发现Confucius组织似乎又开始活跃,仅2023年8月28日的Hunt就捕获到了19个新的MessPrint样本。经过分析发现该样本为2023年2月份的v6.1.0版本,对比1月份披露的v3.1.0版本进行了如下更新:
1、更新了加密算法和密钥,疑似为免杀操作;
2、更新了C2控制指令的明文格式;
3、移除了日志记录功能;
4、移除了部分指令;
5、更新反分析技术。
1.1 样本基本信息
表2-1 样本的基本信息
1.2 样本对比
1.2.1 版本信息对比
从代码同源性角度分析,MessPrint后门在运行后会创建命名的互斥量(新样本使用了“v6.1.0”作为互斥量名,而上一版本使用了“version31.0”),分析人员认为这个互斥量字符串是用于标识当前后门版本的,旧版本中的命名字符串疑似开发人员将“3.1.0”误写为了“31.0”。如图2-1和2-2所示:
图 2-1 新样本创建互斥量“v6.1.0”
图 2-2 历史样本创建互斥量“v31.0”
1.2.2 指令功能对比
分析人员通过对样本通信过程中的流量进行模拟捕获后发现,v6.1.0相较v3.1.0版本在C&C下发指令的明文格式及功能上做了如下更新:
表 2-2 版本功能对比
1.2.3 对抗技术更新
- 新增反沙箱技术
样本运行后会检测父进程是否为“C:ProgramDataWindows Securityconsent.exe”,如果不是则会退出该进程,该操作可以避免在沙箱中运行时被检测到。图2-3为样本在执行过程中调用API获取父进程名的操作。
图2-3 样本解密出的父进程字符串
- 更新反分析技术
MessPrint的v3.1.0版本使用了堆栈数据填充来进行反分析,而v6.1.0版本则去掉了这种操作,如图3-7所示,这使得样本的功能的流程图发生了很大变化,如图 2-4所示。除此之外,新版本在指令循环的关键功能处保留了旧版本中使用C++异常处理机制以对抗动态调试的功能,图 2-5为该功能的部分代码展示。
图 2-4 样本功能流程图
图 2-5 使用C++异常处理对抗动态调试
1.2.4 加密算法更新
1.2.4.1 更新异或key
新版本在对自身需要的字符串进行解密的过程中修改了旧版本的异或key为0x13,最终的加密过程并未变化,依旧为经过异或后再进行Base64编码。
1.2.4.2 更新Base64编码算法
MessPrint的作者更新了Base64编码算法,如图2-6所示,左侧为v6.1.0版本,右侧为v3.1.0版本,疑似在对过往的Base64编码算法进行免杀操作。更新后的算法中,会将异或完的缓冲区最后一个字节“0x00”也当作是需要编码的内容进行运算,这就导致分析人员在逆向推理过程中出现结尾的不可见字符“0x13”如图3-10所示。
图 2-6 更新的Base64编码算法
图 2-7 逆向推算过程中出现的不可见字符“0x13”
1.2.5 通信特征
由于MessPrint的版本进行了更新,C2与受害者之间的通信细节也发生了改变,不过使用的协议依旧为TCP。受害机的上线信息虽然包含主机用户名、mac信息、系统信息,但是其交互的过程做了更新,其过程如下:
1、向C2发送上线基本信息;
2、接收C2下发的“exit”信息;
3、向C2发送进程信息;
4、向C2发送杀软信息
此外在新版本的其它通信阶段的特征也已经被白泽网络安全实验室掌握,我们的高级威胁流量检测系统——“白泽旗”已经完全可以对MessPrint木马做到准确分析告警处理。
2.总结
根据各大厂商的报告,以及本次对两个窃取信息样本的分析,我们发现Confucius组织使用的木马开发者仍在积极的进行开发,且该开发人员将自己喜欢的特殊的字符作为数据分隔。从加密算法以及数据整理上来看,并没有什么特别的手法。不过通过历史Hunting数据展现出来使用大量的钓鱼手法来看,其拥有强大的“社会工程学”攻击手段以及技术。就半年来v6.1.0版本的对抗技术来看,Confucius也在积极地尝试隐藏自己,阻止分析人员对其进行逆向工程及溯源。近期Confucius的大量样本被捕获也需要引起安全人员的重视。
3.IOCs
- 样本MD5:
0e361b5b569710740b06f8a3fa9a6235
e7d15fae30eab461f4db8b08ae6606de
800dbef0cb088a35eef9d9de25ab59d4
c8783feb89adda9643d035b6f4778107
23b49dab9c30cbbc9b60b1742c16ed7e
2fcf7a4aa01bc6e82d2cca0d48c8df8c
dd07e131d17f3b839c4602456bcc4a7b
a17623297b5acd07eb631c30f83b01af
d2890118e1fa1ef5e93d45845715263a
c205ca1ece59e373a507dfd6e40dbd8c
5e302d6308d0b16ee2c8372b3035784c
bb776da7a52ce7a3d15ed280a64178cd
649435ed78dd27da5923566bb659ba43
484517bfdc302a91ab52a9d2b9bf88b3
a464676149dc14a881fca2752f911357
978cf3dae7cfcf968e5d242e362d406d
3f80c5120607423561e7ddb6b4c51cce
45f7b808d0faa65cac469005f31ffadd
fab141075192898d0fe523b972d2f455
- C2域名/IP:
23[.]82.140.22:28761
192[.]229.211.108:28761
192[.]229.221.95:28761
转载来源:https://mp.weixin.qq.com/s/VCGI3FtR4LwXpWzf5EuLIA
图片来源网络侵权可联系删除