工控网首页
>

新闻中心

>

业界动态

>

海德薇Hedwig黑客组织分析报告(精简版)

海德薇Hedwig黑客组织分析报告(精简版)

2016/1/11 10:54:53

前言

 

2015年,是中国网络安全值得记录的一年,许多网络安全重大事件都将落脚点定格在了2015年。从网络安全峰会召开,到乌镇全球互联网大会落幕;从习总书记开启中美网络安全高层对话,到工信部推出《中国网络安全法征求意见稿》,都注释着2015年是一个不平凡的年份。

据统计,2015年国内外漏洞组织发布的各类漏洞数量高达数十万个,我国用户正面临着严峻的网络安全形势。在攻击技术野蛮生长的背景下,黑客组织的攻击手段悄然发生变化,特别是近年来兴起的已知威胁和未知威胁的组合攻击,一些有技术特点的黑客组织渐渐被我们发现。

不同于其它分析报告采用的分析方法,本报告并未简单地将某次攻击本身的前后过程、追踪溯源展开纵向分析,而是尝试从一个新的角度,对攻击和威胁进行分析与展示。我们通过大量的数据和样本积累,采用聚类分析方法,从漏洞利用方法、攻击行为特点、窃密技术手段等方面进行相似度分析,在大量的攻击行为和数据中,提炼出行为一致性的特征,从而判定为海德薇(Hedwig)组织。我们希望从这个不同的维度分析和展示海德薇组织攻击行为及过程,能够引起广大用户的关注,我们愿意为广大用户提供及时有效的技术支撑,协助用户完成黑客攻击的威胁分析,帮助用户降低网络威胁带来的连锁损失。

【关键词】 海德薇  Hedwig  一致性  恶意代码  木马 攻击

概述

2012年5月至今,我国一些科研单位、装备制造等国家敏感单位频繁遭受黑客攻击,这些攻击的绝大部分目的是窃取机密数据,它们所采用的技术手段、木马复杂度和回传数据手段等高度相似。

在持续四年的监控时间里,我们捕获相似的恶意攻击重复次数高达500次以上,2015年呈现大范围蔓延的态势。

这些攻击手段所使用的漏洞类型高度同源,采用的攻击方法相同,窃取并回传数据的目标区域、邮箱相似。

我们通过聚类分析方法,结合对攻击样本编码信息的破译,发现攻击者采用的攻击方式、逃逸技术,以及攻击源和目标的分布都存在高度的相似性和同源性,并且在回传的数据中验证了系同一组织的痕迹,符合同一组织的行为特征,我们将其命名为海德薇(Hedwig)。

我们捕获到海德薇组织使用的窃密木马300多个,这些木马可以窃取30多种应用的敏感信息,包含用户高度隐私的敏感信息。海德薇组织使用的窃密木马具有一定的伪装性,采用了多种逃逸技术手段,可以成功躲避安全产品、沙箱等新技术手段的检测。

观测数据显示,海德薇组织至少入侵了27个网站,自行注册了70余个域名,这些黑客服务器遍布16个不同的国家,同时,组织控制的肉鸡(傀儡机)数量遍布29个国家,其中将近一半的主机位于中国。

海德薇组织是一个攻击潜伏周期长、攻击手段独特、攻击目标明确、分工明确,高度组织化、专业化的境外黑客组织。

本报告共分两个部分,分别为《分析篇》和《技术篇》,全面阐述海德薇组织的威胁。

分析篇

第一章 海德薇(Hedwig)浮出水面

众所周知,全球的黑客组织很多,“匿名者”(Anonymous)黑客组织应是世界最大的黑客组织,组织内参与行动的有数千名成员,曾在2010年12月攻击威士网站、万事达网站和支付网站PayPal,此外,还有一些黑客组织陆续被曝光,譬如Phantom Squad曾在圣诞节攻击微软 Xbox Live 和 PSN 平台,黑客组织SkidNP在2015年计划攻击 Steam 和《我的世界》服务器等等,这些黑客组织的特点是以炫耀自身技术能力为目的,行事高调。相比较于这一类的黑客组织,另一类行事低调,以破坏或窃取数据为目标的黑客组织更应该引起我们的关注,而本报告要披露的海德薇组织就是后者的代表。

海德薇组织的浮现最早可回溯到2012年的一封邮件,这封邮件带有漏洞利用攻击的特征。此后持续的四年间,同类攻击在我国的各大网络信息中心频繁出现,涉及国计民生的重要核心领域,是这些攻击的重点对象。

我们从攻击的细节和漏洞利用的特点,从几个关键节点上可见一斑:

  • 2012年5月的一天,我们截获到一封可疑的电子邮件,该邮件包含一个附件,附件名为“发票”。经过分析,这是利用CVE-2010-3333漏洞的rtf文件,其包含的payload可以从某恶意网站上下载木马并执行。

  • 2012年至2015年的三年间,我们又陆续截获到类似的攻击样本。这些样本利用的漏洞都是CVE-2010-3333,样本包含的payload功能也与之前基本一致,唯一差异是木马将下载地址做了改变。

  • 2015年4月6日,我们又截获到类似的攻击样本,内容和“打折信息、新产品介绍、购买合同支付订单、刷卡信息、发文、人事任免、工资单、购物合同”相关。但利用的是CVE-2012-0158漏洞,样本包含的payload可以从漏洞文件自身解密出PE文件并执行。从攻击利用的漏洞、使用的附件类型、包含的加密信息上初步判定属于同一类攻击。

  • 2015年5月29日,我们截获到利用CVE-2012-0158漏洞的样本文件中,被添加了很多垃圾数据,这些数据能干扰杀毒软件对文件的解析,可以躲避杀毒软件的查杀。经过分析,这些添加的垃圾数据也出现了高度相似的情形。

  • 我们在三个月的陆续监测中发现,样本所使用的攻击手段对防病毒软件具有很强的免杀能力。同时发现样本payload共有两种形式:第一种与2012年一致,即从恶意网站上下载木马执行;第二种与2015年4月新发现的一致,即从漏洞文件自身解密出PE文件并执行。

  • 2015年8月,我们截获到一些附件为压缩包的攻击样本,压缩包内一般都包含一个单体的可执行程序,攻击方式开始趋于多样化。

  • 2015年9月18日,我们截获到首个利用CVE-2015-1641漏洞攻击的样本。经过分析后发现其payload功能与2015年4月发现的利用CVE-2012-0158的样本完全一致。

  • 2015年10月12日,我们在国内多个国家单位,截获到一个相同文件名的利用CVE-2015-1641漏洞的攻击样本,标识该类攻击进入高峰期。虽然文件内容不同,但根据攻击目的地址分析显示,是针对我国特定目标实施的攻击。

  • 2015年10月25日,我们截获了一些附件为脚本的样本,脚本使用了强加密混淆技术,具有免杀特性,防病毒软件无法检测,其功能是从恶意网站上下载可执行文件并执行。

  • 2015年12月,我们发现攻击样本类型出现多样化,攻击者使用了多种文件类型对目标进行攻击。

小结:回溯海德薇组织的发现过程,我们从最初截获的带有CVE-2010-3333 漏洞附件的恶意邮件开始,他们所使用的漏洞CVE-2010-3333、CVE-2012-0158以及CVE-2015-1641都是高度同源,在我们持续监测到的500多次攻击中,这些攻击样本被变形改造成新型恶意样本,但其编码内核、payload功能高度相似。

这封邮件还突破了防火墙、防垃圾邮件网关、入侵防御产品的攻击检查,我们在提取这些恶意样本的代码编写规则、代码生成特性等指纹信息后,发现了这些恶意样本高度重叠和相似,尤其在漏洞利用方法、攻击行为特点、窃密技术手段上,都具有高度的一致性,同时还具备一定的标准化和程序化攻击的特点。

正是这些线索,为我们揭开海德薇组织的神秘面纱提供了重要的支撑,最终我们利用技术手段进入海德薇组织的服务器和邮箱系统,并根据其所窃取的数据集中分析,最后将这个组织命名为“海德薇(Hedwig)”。

第二章 海德薇(Hedwig)攻击行为相似度分析

   经过我们对持续四年捕获到的恶意代码的植入过程、漏洞利用方法、使用的木马、以及回传数据进行分析后,确认是由同一个黑客组织所为。这个组织攻击手段明确、持续时间长、一致性内容多,其特点鲜明。

2.1恶意代码植入相似度分析

在海德薇组织所发起的攻击中,大约91.2%的攻击方式是鱼叉攻击。所谓鱼叉攻击,即攻击者将木马程序作为电子邮件的附件,并命名一些具有诱惑力的名称,引诱受害者打开附件,当主机感染精心编写的木马后,即成为受控网络的一员。

海德薇(Hedwig)使用的钓鱼邮件中,一般会包含一个或多个以“打折信息、新产品介绍、购买合同支付订单、刷卡信息、发文、人事任免、工资单”等为文件名的附件,邮件内容往往以商品促销打折信息、内部公文、切身利益相关为切入点,但实际上,这些附件均包含了Office漏洞或其他危险的可执行文件、脚本文件。

 

 

根据监测,在这些鱼叉攻击中,黑客使用了多种类型的文件作为载体进行攻击,如下图:

 

在这些攻击样本中,我们发现大部分是利用前面所述的几种文件漏洞进行攻击。同时也发现了其他一些攻击手段,如:利用加密手段混淆的宏进行攻击,利用加密混淆的脚本进行攻击,欺诈诱骗点击攻击等。

 

经过分析发现,Office类的rtf文件是漏洞利用攻击的重灾区;doc(x),xls(x)等文件类型则多使用加密混淆的宏作为攻击手段,宏的主要目的是从网上下载恶意文件并直接运行,由于Office对于宏的启用有明显的提示,黑客会在文档里面写一段语言诱使用户打开并运行宏代码。

海德薇(Hedwig)经常使用欺诈点击方式诱使用户点击文档里面包含的可执行文件,如下图

另外,海德薇(Hedwig)还使用各种加密混淆过的脚本作为附件进行攻击,这些脚本的主要目的是从恶意网站下载恶意文件并执行。例如我们截获到的一个加密过的vbs,其解密之后主要功能包括避开主流杀毒软件以及下载恶意文件到本地执行。

 

2.2利用漏洞相似度分析

在使用文件漏洞进行攻击的样本中,我们发现样本所利用的漏洞,以及内嵌的Shellcode都高度同源。样本利用的漏洞主要有三个:CVE-2010-3333、CVE-2012-0158、CVE-2015-1641。其包含的shellcode主要有两种,一是从恶意网站上下载可执行文件并执行;二是从自身解密出可执行文件并执行。

我们发现,无论哪种shellcode,在不同的漏洞样本中存在高度同源性,甚至是不同年份捕获的样本都存在相同的shellcode。

2.3窃密木马相似度分析

在鱼叉攻击中,海德薇(Hedwig)组织利用漏洞释放出的木马存在高度同源性。其中79.3%属于Zeus VM木马家族,14.1%属于HaweyeKeylogger木马家族,另外6%属于其他家族。

使用最多的Zeus VM和HaweyeKeylogger这两种木马的主要功能均是窃取目标机器的各种敏感信息,包括各种浏览器软件保存的密码信息、各种FTP软件保存的密码信息、各种邮件客户端保存的密码信息、虚拟货币的相关密码信息等等,其覆盖的应用多达30多项。

最后,海德薇(Hedwig)组织通过程序化攻击部署,完成对主机的彻底控制。

 

2.4回传数据相似度分析

根据分析,两类窃密木马主要使用TCP协议、FTP协议以及邮件协议三种方式回传敏感数据。这些数据由被控制的主机源源不断地向黑客服务器上传,并存储到数据库中,有的还以“用户名-机器识别码-IP”的格式进行规范化处理和保存,一些高度敏感的信息就这样被保存到了黑客的服务器中。

我们还发现,在不同年份发现的样本所指向的攻击目标和攻击源都存在一定的相似度,同时,接近一半的攻击目标指向了中国。

 

攻击源方面,在全世界各地均有分布,但位于美国的攻击源最多。

 

第三章 海德薇(Hedwig)攻击技术特点分析

3.1逃逸技术分析

经过对截获样本的技术分析,我们发现无论是在躲避防病毒软件的静态检测、主动防御技术,还是针对沙箱环境、调试环境的对抗以及与C&C服务器的回传数据上,都运用了逃逸技术。

  躲避杀毒软件的静态和动态检测:海德薇(Hedwig)通过在恶意样本中添加大量的垃圾数据或混淆代码干扰杀毒软件对漏洞文件的解析,从而躲避杀毒软件检测,另外,其核心木马还采用C#,VB等语言编写的PELoader作为外壳,保护其具有窃密功能的核心代码不被杀毒软件检测到。

  沙箱或虚拟机逃逸技术:在ZeusVM家族的样本中还比较多的使用了反虚拟机、反沙箱以及反调试等技术。

  图片隐藏恶意代码技术:为了躲避网络安全产品的检测,实现对被控主机的深度控制,海德薇(Hedwig)会随时变换C&C服务器,真正的C&C服务器地址一般不会直接写在木马本体里。在木马连接真正的C&C服务器之前,先去云端下载一个配置文件,而这个配置文件的相关信息却隐藏在一个图片中。

 

在这样的图片末尾一般都会隐藏着一段表面看上去使用base64编码的信息。实际上这段数据经过base64解码之后,再经过RC6算法解密才可得到真实的C&C服务器信息。

3.2程序化攻击

我们发现,海德薇(Hedwig)组织采用了大量的程序化攻击的手段。从2012年5月到最近截获到的样本隐含的信息中,利用相同漏洞的样本在结构上完全相同,而利用不同漏洞的样本所包含的shellcode功能完全相同,这显示黑客有一套比较成熟的漏洞生成工具可批量生成漏洞文件。在木马推送过程中,海德薇组织也采用了批量分发的软件工具。

海德薇(Hedwig)使用的木马在网络上都能找到相关的木马生成工具;从窃密木马最终回连的C&C服务器上来看,各服务器也具有一定共性,其核心源代码也是由程序化编码编译出来的。

总结

虽然,在持续四年的监测过程中,我们通过对攻击手段、攻击源头分布、代码编译等内容的梳理,以及对这些持续攻击的恶意样本的代码植入手段、利用漏洞、窃密木马、回传数据四个维度的相似度技术分析,定位出海德薇(Hedwig)这个组织,但是,这个组织的攻击仍可能对我国重点单位进行渗透,并且很有可能会出现新的形式或变种活跃于各个行业的用户网络中。对此,我们对这些攻击手段做了详细的技术解构,请参看《技术篇》,希望通过此份完整的分析报告,能够引起广大用户足够重视。

我们确信,海德薇组织还将利用大量散发邮件方式,引诱用户下载,通过两个核心木马,达到控制主机、网络的目的。这是一个组织严密、分工明确、程序化程度高、持续时间久的黑客组织。在此我们建议,如您的邮件中出现内容为“打折信息、新产品介绍、购买合同支付订单、刷卡信息、发文、人事任免、工资单、购物合同”的相关信息,并且发件人为陌生人,对于它们所附带的附件或邮件,一定要谨慎打开。

我们愿意与广大用户一起应对海德薇组织的威胁,我们希望凭借在检测技术上的积累,以及黑客技术研究上的优势,为广大用户提供及时有效的技术支撑和帮助。

投诉建议

提交

查看更多评论
其他资讯

查看更多

未来十年, 化工企业应如何提高资源效率及减少运营中的碳足迹?

2023年制造业“开门红”,抢滩大湾区市场锁定DMP工博会

2023钢铁展洽会4月全新起航 将在日照触发更多商机

物联之星五大榜单揭榜!中国物联网Top100企业名单都有谁-IOTE 物联网展

新讯与肇庆移动圆满举办“党建和创”共建活动暨战略合作签约仪式