2.追蹤與溯源

2.1 緣起

2020年8月中旬，啟明星辰ADLab監測到一封題為“電子轉賬付款賬單”的惡意郵件，該郵件以“美國銀行”的名義發起釣魚郵件攻擊，其附件為一個excel表格文件(圖1為本次攻擊的一個郵件樣本，目標為美國阿拉巴馬州亨茨維爾市公共事業公司“Huntsville Utilities”)，通過多級代碼跳轉最終向目標植入Remcos RAT，以竊取目標主機的機密信息。在初步分析后,除了零散的樣本信息外，我們沒有在公開情報和私有情報庫中找到任何與攻擊及攻擊背后的黑客組織相關的信息。通過對基礎設施的關聯分析，發現該黑客組織與多次物聯網攻擊有著緊密的關系，因此我們決定對本次攻擊活動及其背后的攻擊團伙進行一次摸底。我們很快關聯到8月初另外幾起相同手法的攻擊，這幾起攻擊偽裝成了“美國大通銀行”和“美國富國銀行”向金融機構“ENGS”投放攻擊代碼（圖2）。

圖2 偽裝成大通銀行的釣魚郵件

為了還原“海毒蛇”攻擊活動的全貌，我們對其活動的線索進行全面地收集和分析，發現了他們使用的大量基礎設施、定向攻擊樣本、使用的漏洞以及攻擊物聯網設備所使用的一些攻擊武器，并進一步挖掘出了該組織的組成成員。

2.2 基礎設施分析與溯源

在追蹤黑客的初期，我們首選黑客使用的幾個典型控制命令服務器進行分析，從定向攻擊的幾個樣本中提取的基礎設施來看，用于控制Remcos RAT的服務器“boyflourish.myq-see.com”解析到了IP為“79.134.225.32”的這臺主機。同時，我們發現另外一個解析到該IP地址的黑客域名“rapture666.myq-see.com”，該域名是黑客另外一批Remcos RAT的控制命令服務器。由于黑客對使用的域名都做了隱私保護，因此從域名注冊信息上無法進一步得到溯源線索。但黑客域名“rapture666.myq-see.com”所控制的這批木馬文件讓我們進一步找到了黑客的另外一個服務器“plaitt.com”，該服務器主要用于托管惡意代碼。我們通過解析域名“plaitt.com”得到另外一個IP地址“104.219.248.49”，并通過該IP地址關聯到了成百上千個域名，這些域名當前都同時唯一解析到“104.219.248.49”。起初，我們以為這些域名可能與黑客有關，但經過我們查證后發現這些域名均是正常域名，這些域名綁定的網站分布于“房地產公司”、“社區銀行”、“網站設計公司”和“購物網站”等多個行業，也包含一些個人站點，部分域名信息如表1。

通過對IP地址“104.219.248.49”的驗證，確認其只是一個CDN服務的中轉地址。黑客組織在域名服務商“NameCheap（見圖3）”上注冊了“plaitt.com”域名并購買了CDN服務，利用NameCheap的CDN服務來隱藏黑客組織的存儲服務器。圖4是其目前仍使用的一個注冊自NameCheap的惡意文件托管服務器地址，該地址托管了黑客的木馬中轉器、惡意腳本文件以及竊密程序。

圖4 目前仍存活的惡意文件托管服務器

至此，使用以上方法我們已經無法找出更進一步的線索，但是我們得到了更多樣本和黑客的活動時間信息。因此，我們轉而對8月份攻擊活動的另外兩個存儲服務器（IP:185.172.110.210 和185.172.110.214）進行分析，并找到了“海毒蛇”對這兩臺服務器的使用記錄，表格2為我們整理出來的惡意代碼上傳記錄。

從表2中我們可以看出，“海毒蛇”組織長期保持著對物聯網攻擊的興趣，他們在過去一年時間里持續使用Gafgyt、Mirai等物聯網僵尸以獲取物聯網攻擊資源。從物聯網僵尸的上傳記錄來看，他們至少從2019年6月（這個時間應該會更早，因為我們并不能看到該黑客組織的所有基礎設施的使用記錄)開始就利用Gafgyt、Mirai等物聯網僵尸入侵物聯網設備，以構建僵尸網絡。2020年7月，使用OneDrive云存儲空間作為媒介向目標投放AgentTesla竊密木馬。2020年8月，開始利用釣魚郵件向各企業投放Remcos RAT木馬。這期間這些服務器同時依然存放著黑客的物聯網攻擊代碼以供活躍的僵尸程序使用。

為了掌握更多的信息，我們加大了對該組織使用的物聯網僵尸的收集，關聯出1384個該組織使用的攻擊樣本，并通過ADLab物聯網自動化分析平臺對這些樣本進行自動化分析，進一步關聯出了100多個C&C服務器。分析結果表明，該組織以往幾年常常利用華為HG532系列路由器漏洞CVE-2017-17215、愛爾蘭公司“Eir”的D1000調制解調器TR064服務漏洞CVE-2016-10372、Realtek路由器漏洞CVE-2014-8361、D-Link Devices HNAP SOAPAction-Header命令注入漏洞CVE-2015-2051、D-Link DSL-2750B 系統命令注入漏洞等主流的物聯網設備漏洞攻擊并控制設備。圖5是某個樣本的攻擊代碼片段。

圖5 樣本使用的物聯網漏洞

我們對這些樣本的活躍數量和活躍時間進行關聯統計，繪制了物聯網僵尸活躍時間分布圖，見圖6。從這批樣本的攻擊時間來看，至少從2018年1月開始，攻擊者就開始利用Gafgyt、Mirai組建物聯網僵尸網絡，然后利用組建好的僵尸網絡進行DDoS攻擊牟利。2019年3月攻擊開始活躍，2019年10月出現了一個小高峰，攻擊的最高峰則出現在2020年8月。

攻擊者通過弱口令爆破或者漏洞利用成功攻擊路由器、調制解調器等物聯網設備后，使用shellcode下載shell腳本，再通過shell腳本下載基于多個系統平臺的Gafgyt、Mirai木馬程序感染目標設備，進而利用這些木馬組建龐大的物聯網僵尸網絡。如圖7，攻擊者曾在2020年6月利用Gafgyt變種向HooToo路由器（包含有遠程命令執行漏洞CVE-2018-20841）發起過持續一個月的網絡攻擊活動。

圖7 利用Gafgyt攻擊HooToo路由器

2020年7月前后，攻擊者擴展了攻擊活動，其在惡意文件托管服務器上增加了新的目錄用于存放AgentTesla木馬，然后利用OneDrive云存儲空間傳播并向攻擊目標投放該木馬（見圖8）。

圖8 利用OneDrive云存儲空間傳播AgentTesla木馬

緊接著在2020年8月前后，也就是我們在8月中旬發現的這起攻擊事件前后，該攻擊者又開始利用魚叉式網絡釣魚郵件向商業公司投放帶有漏洞利用（CVE-2017-0199、CVE-2017-8570）或惡意宏代碼的誘餌文檔，進而向目標投放Remcos RAT木馬。

“海毒蛇”黑客組織持有大量惡意域名和用于托管惡意文件的虛擬主機等網絡基礎設施，我們對掌握的該黑客組織持有的142個基礎設施資源進行了地理位置分布統計，發現它們主要分布在21個國家和地區，其中分布較為密集的國家為荷蘭、美國、加拿大、俄羅斯和德國，尤以“荷蘭”和“美國”最為密集，分別是55個和31個，圖9是我們繪制的海毒蛇黑客組織基礎設施全球分布圖。

圖9 海毒蛇黑客組織基礎設施全球分布圖

從攻擊目標上看，“海毒蛇”組織是以獲取經濟利益為目的，因此其攻擊目標應該是不限制的。雖然其同時瞄準了物聯網設備，但從使用的惡意代碼上來看，應該主要以構建僵尸網絡為目的，最終也是以提供攻擊服務為目標，所以具體攻擊目標是不受限制的。但是，近期開始活躍的定向攻擊看起來是有一定目標導向的，比如上文提到的攻擊者偽裝成美國銀行和美國大通銀行發起的定向攻擊,因此這里我們主要以此類攻擊為主進行攻擊目標的確定。通過對近期攻擊事件的分析，我們得到了31種不同的誘餌文檔。這些誘餌文檔的攻擊目標主要集中在金融機構、政府事業單位、精密儀器、酒店與旅游等相關實體。

攻擊目標包含著名的商業金融公司“ENGS”、政府事業機構“Huntsville Utilities”，精密儀器設計公司“PrecisionConnector Design (Pcd)”等等。攻擊使用的誘餌文檔大多以“保密協議”、“預算表”、“付款通知”、“采購訂單”、“訂單確認”、“住客名單”、“發票”和“匯款”等命名，使用了包含英語、德語、波蘭語、保加利亞語、羅馬尼亞語、葡萄牙語、加利西亞語、意大利語、西班牙語以及馬耳他語等十多種語言，可以說攻擊者的攻擊目標遍布全球。誘餌文檔的內容有如酒店訂單圖片、行政客戶預訂時間表、預算圖片，也有故意模糊化以誘使目標用戶啟用宏查看更清晰的圖片。圖11是我們繪制的攻擊目標語種分布圖，從圖中可以看到占比最大的分別是英語、葡萄牙語和西班牙語。

圖11 攻擊目標語種分布圖

2.4 黑客組織溯源

由于黑客的基礎設施基本都做了隱私保護和CDN防護，在沒有更進一步的數據和線索的情況下無法更深入地去深挖黑客組織。因此，我們希望從惡意代碼入手來挖掘線索，尋找突破口，然后通過黑客對惡意代碼的操作時間來做時區定位分析，確定黑客所在區域。

首先，該組織投放的誘餌文檔是我們首要關注的，這些誘餌文檔一般都是由黑客組織內部人員制作和分發。在惡意代碼分析過程中，我們發現很多誘餌文檔（大部分都是excel或者word文檔）的創建者都來自同一個人——“Eng Moha”。一般情況下，誘餌文檔的創建者都是黑客偽造的，但如果黑客未做這方面的考慮，該名稱就會是黑客主機的用戶名。起初我們也沒太注意這個信息，直到我們在其中一款惡意代碼上發現實際有效的證據。該名稱位于惡意代碼中未被清除的PDB路徑中（見圖12），該路徑中明確指示了制作該惡意代碼的計算機用戶名，那么可以肯定“Eng Moha”就是“海毒蛇”黑客組織的關鍵成員。同時，我們還通過其他手段印證了該組織在制作、升級、修改和發布誘餌文檔時，幾乎都沒有做誘餌文檔的隱私數據處理。

圖12 惡意代碼中未被清除的PDB路徑 

編譯時間也暗示我們該黑客是在2020年7月21日生成的該惡意代碼，并在接下來的時間構建了一套完整攻擊方案。接下來我們將“Eng Moha”作為重要線索來追蹤并得到了一批更廣泛的攻擊樣本，通過分析確認這些樣本采用的攻擊手法和本次攻擊非常相似。更重要的是我們在這批樣本中找到了該黑客組織的其他成員（“mnb joker”、“Lye Gomes”、“ Joselio Bonin”、“Emanoel Brito”和“aSmarany”等）。

這一系列攻擊文檔大部分都由“Eng Moha”創建，最早可追溯到2015年6月。通過創建時間溯源推斷“Eng Moha”制作了最初的攻擊模板文件，然后將模板文件分發給其他成員，這些成員會對惡意文件進行配置并傳播出去。我們為什么會將他們認定為同一組織的成員呢？主要有以下三個原因：

（1）這些誘餌文檔都是向攻擊目標投放Remcos RAT和AgentTesla木馬程序；

（2）他們都使用了高度一致的多階段嵌套下載技術和極為相似的加密和混淆腳本來投遞木馬；

（3）這些誘餌文檔被某個黑客創建的時間和被其他成員修改的時間非常接近。比如：攻擊文件“Ostatnia notatka.docx”是“Eng Moha”在2020/4/1 4:07創建的一個包含有漏洞（cve-2017-0199）的docx誘餌文檔，而一分鐘后，該文檔就被“mnb joker”編輯修改；另外一個攻擊文件的文件信息顯示“mnb joker”在2019/8/8 18:13創建一個包含惡意宏代碼的ppt文檔，一天后該文檔又被“Joselio Bonin”編輯。類似地我們找到了至少有5個黑客之間存在類似這樣的關系，如表3。

表3 黑客關聯關系

經驗表明，如果這個幾名黑客屬于不相干的組織關系或者產業鏈的上下游關系，他們操作同一個惡意代碼的時間不會如此接近，最短時間甚至只差幾分鐘，同時攻擊手法也不會如此相似，因此我們推斷這幾個關聯出來的黑客屬于同一個組織，并且他們都是“海毒蛇”組織的成員。同時可以肯定的是，“Eng Moha”是該黑客組織負責漏洞利用和惡意代碼編寫的工程師，他為組織提供攻擊代碼，而其他成員負責維護基礎設施、定制誘餌文檔和攻擊工具、分發和投放惡意代碼等工作（見圖13）。

圖13 黑客成員協作關系圖

更進一步的證據是，我們此后還發現這些黑客成員曾經使用同一個C&C服務器地址“gritodopovo.com.br”來控制惡意代碼，當該C&C被曝光后，他們開始使用不同的經過隱私保護的域名作為C&C。此外，我們還發現這樣的C&C服務器地址也曾經被APT組織Gorgon使用過，或許他們之間存在著某種關聯，而且通過時區定位法發現他們同屬于一個時區，但是我們依然沒有證據證明兩個組織之間的關系，因為他們的攻擊目標和使用的武器差異都比較大?；蛟S他們之間存在某種程度上的合作，那么極有可能“海毒蛇”組織和“Gorgon”APT組織一樣位于巴基斯坦，后續我們會通過時區定位法來確定其所屬的國家。（注：“Gorgon”APT組織是一個被認為來自巴基斯坦的攻擊組織，在過去的2年里，該組織成員針對英國、西班牙、俄羅斯和美國的政府部門發動了一系列攻擊）。

為了進一步確定“海毒蛇”組織所在的區域，我們對黑客的活動時間做了一個時區定位分析。首先我們盡可能多地收集了黑客基礎設施上的文件創建時間、修改時間以及所有誘餌文檔的原始時間，然后祛除日期信息保留時分秒信息，并將留取的時間數據歸化成為UTC時間（見圖14）。

圖14 黑客活動時間分布

圖15 黑客時區映射圖

單純通過時區定位法，我們是無法更進一步確認“海毒蛇”組織所在的具體國家的，但是從他們與來自巴基斯坦的“Gorgon”APT組織共用過同一個基礎設施上來看，“海毒蛇”組織似乎位于巴基斯坦的可能性更大，我們此后還將持續跟蹤，希望能夠找到進一步的證據。

3.最新攻擊案例分析

在此次攻擊活動中，“海毒蛇”黑客組織使用了新型的惡意代碼隱身技巧來隱藏惡意代碼。在以往的此類攻擊中，攻擊者大多將惡意代碼或數據存放在excel電子表格的單元格內容中隱藏顯示，或者隱藏到VBA工程中的用戶控件里，也有黑客將惡意代碼放入文檔的內建屬性中。而在本次攻擊中，黑客將惡意代碼加密存放在了電子表格空白單元格的批注內容里，這種惡意代碼隱藏方式在此類攻擊中還是首次出現。惡意代碼執行后，會通過多階段的嵌套下載和解密執行來向受害者主機植入Remcos RAT木馬。攻擊過程中下載的多個中間文件都進行了代碼變形、數據加密和垃圾數據填充，這樣處理后的文件能在很大程度上繞過Web應用防火墻、入侵檢測系統等網絡安全設備的檢測。

我們將最新攻擊的整個流程繪制成如圖16所示：攻擊者將帶有惡意附件的釣魚郵件發送給美國阿拉巴馬州亨茨維爾市公共事業公司“HuntsvilleUtilities”的員工，釣魚成功后，附件中的惡意宏代碼便會執行；惡意宏代碼執行后會解密執行一個Powershell腳本，該腳本是一個下載器，其會從遠程服務器下載一個惡意VBS文件；VBS文件執行后，同樣會解密執行一個Powershell腳本，該腳本也是一個下載器，其會從遠程服務器下載一個后綴為“.jpg”的惡意文件；該惡意文件并不是一個jpg格式的圖片文件，而是經過字符變形和垃圾代碼填充的Powershell腳本文件，該腳本文件執行后，會解密出內嵌在其中的兩個PE文件并執行它們。這兩個PE文件一個是RemcosRAT木馬，一個是用C#編寫的經過混淆的Dll注入器文件，負責把Remcos RAT木馬注入到“RegAsm.exe”進程中執行?？梢钥吹?，攻擊者使用了多階段的嵌套下載和解密執行將木馬植入到了受感染主機上，木馬上線后會從攻擊者控制的C&C服務請求指令來執行惡意操作。

圖16 惡意攻擊流程圖

3.1 誘餌郵件投遞

此次攻擊始于一封將來源偽裝成“美國銀行”的釣魚郵件（見圖17），此郵件是發送給美國阿拉巴馬州亨茨維爾市公共事業公司“HuntsvilleUtilities”的員工的。整個郵件看起來像是一個付款通知賬單郵件：郵件以“美國銀行美林付款通知”為主題，“電子轉賬付款賬單-00130820”為誘餌文檔名稱，正文中簡單描述了賬單的支付方式和需要支付的金額，在郵件的末尾還提示這封郵件是發送給該公司的應收賬款部門。

圖17 釣魚郵件

該誘餌文檔被偽裝成該公司8月份的付款通知賬單，從誘餌文檔打開后的內容（如圖18所示）可以看到，整個excel表格僅包括一張圖片，圖片中的文字大意為：要想看到被保護的內容，需要啟用宏選項。一旦受害者被誘騙啟用了宏選項，惡意宏代碼便會立即執行。

3.2 惡意宏代碼執行

惡意代碼被加密保存在誘餌文檔excel表格的D500單元格的批注中（見圖19）。在以往的此類攻擊中，攻擊者大多將惡意代碼或數據存放在excel電子表格的單元格內容中隱藏顯示,或者隱藏到VBA工程中的用戶控件里，也有黑客將惡意代碼放入文檔的內建屬性中。而在本次攻擊中，攻擊者將惡意代碼加密存放在了電子表格空白單元格的批注內容里，這種惡意代碼隱藏方式在此類攻擊中還是首次出現。

圖19 以文檔批注形式存放的惡意代碼

惡意宏代碼執行后，會首先使用“.ActiveSheet.Range("D500").Comment.Text”函數讀取D500單元格批注里面的惡意代碼，然后調用自定義的“Reverse”函數逆序排列該惡意代碼，最后調用自定義函數“eZoKg”啟動Powershell進程執行該惡意代碼（見圖20）。

圖20 惡意宏代碼

最后執行的惡意代碼是圖21所示的一個Powershell腳本，不過該腳本執行的命令做了字符混淆處理。腳本在執行時先是將混淆過的字符串轉換成字符數組，然后調用Reverse函數逆序排列該字符數組，再將逆序后的字符數組拼接成字符串，后面的操作是將字符串中的填充字符‘&’去掉再轉化成16進制編碼。經過這樣的幾步處理，執行命令就被還原出來了（見圖22），從圖22中我們可以看到該Powershell腳本實際上是一個下載器，它會從遠程服務器http://185.172.110.214/dkhh/venus.vbs上下載一個VBS文件來執行。

圖22 還原后的執行命令

3.3惡意VBS文件執行

托管在遠程服務器的VBS文件的部分內容見圖23，可以看到該文件經過了字符混淆和代碼加密。

圖23 VBS文件

VBS文件經過字符去混淆和代碼解密，最終執行的Powershell見圖24，我們可以看到這段Powershell也是一個下載器。其先是使用ping google.com的方式確定自身所在的受感染主機能夠正常聯網，然后調用Net.WebClient.DownloadString函數從遠程服務器“http://185.172.110.214/dkhh/wit.jpg”上下載一個名為“wit.jpg”的文件。

我們抓包得到的“wit.jpg”文件的部分內容見圖25?？梢钥吹轿募祿涍^了字符變形和混淆處理，這在很大程度上能夠繞過Web應用防火墻、入侵檢測系統等網絡安全設備的檢測，同時也增加了安全研究人員的分析成本。

圖25 抓包得到的服務器返回的惡意代碼

3.4 惡意“jpg”文件執行

名為“wit.jpg”的文件并不是一個jpg格式的圖片文件，而是經過字符編碼和加密混淆后的Powershell腳本文件。圖26是該腳本文件還原后的部分內容，我們可以看到，經過混淆和變形后的可執行PE文件數據是以字符串的形式存儲在腳本代碼中的。腳本執行后會解密出內嵌在其中的兩個PE文件并執行它們。這兩個PE文件一個是Remcos RAT木馬，另一個是C#編寫的經過混淆的Dll注入器文件，其會將Remcos RAT木馬注入到“RegAsm.exe”進程中執行，我們下文將對Remcos RAT木馬進行分析說明。

圖26 還原后的Powershell腳本文件

3.5 Remcos RAT木馬分析

自2016年在暗網上的地下黑客社區開始出售以來，Remcos RAT非?；钴S，基本上每個月都會發布兩個左右的新版本。其具有鍵盤記錄、屏幕記錄、調用攝像頭和麥克風進行錄像錄音、遠程執行Shell命令、遠程執行腳本、上傳文件以及下載文件等功能。該工具由一家名為BreakingSecurity的公司發行出售，圖27是Remcos RAT的官網界面。通過公開的信息可以發現，其已被黑客頻繁地使用在各種攻擊活動中。

圖27 Remcos RAT的官網界面

此次攻擊活動釋放的Remcos RAT版本為Remcos Professional 2.6.0(見圖28),該版本發布于2020年7月10日，目前Remcos RAT官網上最新的版本為2.7.1，發布于2020年9月14日。

圖28 Remcos RAT的版本信息

Remcos RAT木馬將其“工作”需要用到的配置信息包括C&C服務器地址、網絡通信加密的key、互斥對象名、licence編號，以及和截屏、錄音操作等相關的其他信息，使用RC4算法加密存儲在其PE資源名為“SETTINGS”的數據塊中（見圖29）。數據塊由三部分組成，分別是key的長度、key和密文數據，圖29中第一個字節0x66為key的長度，緊接著被選中藍底的數據為key，最后是密文數據。

圖29 資源中加密存儲的配置信息

Remcos RAT木馬運行后會提取并使用RC4算法解密這些配置信息，圖30是RemcosRAT木馬提取SETTINGS數據的代碼部分。

圖30 提取SETTINGS數據的代碼部分

RC4算法中sbox的初始化操作代碼見圖31。

圖31 RC4算法的sbox初始化操作代碼

解密出來的配置信息如圖32所示，配置信息包括C&C服務器地址“boyflourish.myq-see.com:46617”、網絡通信加密的key“C4C3E3D83BE2B509C679E52AD999FFF8”、互斥對象名“Buddha-UL8D7Q”、licence編號“DCB9C483DA3351BB8231C303CAA1CA0F”以及和截屏、錄音操作等相關的一些其他信息。

圖32 解密出來的配置信息

Remcos RAT木馬會創建互斥體對象“Buddha-UL8D7Q”（互斥對象名稱來自上面解密出的配置文件），以保證受感染主機當前只運行一份自身的實例（見圖33）。

圖33 創建互斥體

Remcos RAT木馬會啟動鍵盤記錄線程來竊取受感染主機的鍵盤輸入信息和剪切板數據。木馬將竊取的這些信息保存在本地文件“%Appdata%\remcos\logs.dat”中。在以前的有些版本中logs.dat文件是加密的，不過在此次我們分析的這個版本中log.dat文件沒有加密，數據的記錄格式和之前的版本基本類似（如圖34），木馬后續會將收集到的這些記錄日志發送到C&C服務器。

圖34 記錄日志文件內容

Remcos RAT木馬會收集受感染主機設備信息用于上線。收集的設備信息包括：受感染主機的用戶名、CPU信息、操作系統名稱、鍵盤記錄日志完整路徑、木馬的完整路徑和版本等等（如圖35所示），木馬會將收集到的以上信息加密發送到攻擊者控制的C&C服務器進行上線，通信使用的加密算法為同為RC4，密鑰為“C4C3E3D83BE2B509C679E52AD999FFF8”（來自前文解密出的配置文件）。

圖35 收集感染主機信息上線

成功上線后，木馬則等待C&C服務器下發控制指令以執行惡意功能。木馬解析C&C服務器控制指令的代碼片段見圖36。這些控制指令的功能包括執行文件管理、進程管理、鍵盤記錄、屏幕記錄、調用攝像頭和麥克風進行錄像錄音、遠程執行Shell命令、遠程執行腳本、上傳下載文件，注冊表操作、安裝卸載遠控等,我們將主要的控制命令和功能描述列在表4中。

圖36 木馬解析控制指令的代碼片段

表4 C&C服務器的控制命令和功能描述

可見，一旦Remcos RAT被成功植入到目標主機，其背后的黑客便可完全控制這臺主機，對其進行監控、數據竊取甚至是破壞活動。

4.總 結

本文中，我們對“海毒蛇”組織使用的基礎設施、攻擊武器、活動歷史等信息進行了全面而深入的分析，并結合活動時間分析以及時區分析等方法對該組織的成員及其所屬國家進行溯源追蹤，發現了其中的六名黑客成員并分析了該組織與“Gorgon”APT組織之間的關系，最后我們對最近出現的一次攻擊進行了詳細的逆向分析。

從我們分析的結果來看，“海毒蛇”組織持有大量惡意域名和用于托管惡意文件的虛擬主機等網絡基礎設施，同時還利用物聯網僵尸控制大量的物聯網設備，其同時具備APT攻擊和物聯網攻擊的特性。在最近的這次攻擊活動中，黑客還定制了大量的具有迷惑性的誘餌文檔來捕獲目標?！昂６旧摺苯M織善于使用加密和變形的惡意腳本來躲避Web應用防火墻、入侵檢測系統等網絡安全設備的檢測，其惡意腳本通過多階段的嵌套下載和解密執行，以從遠程服務器下載更多的惡意程序執行。

魚叉式釣魚具有定制化、精準化的特性，且具有很強的迷惑性，一旦員工不慎點擊了釣魚郵件，就可能會對企業帶來嚴重的后果。黑客可以將竊取到的數據轉售謀利，或者利用這些數據進行更進一步的攻擊活動。除此之外，攻擊者還可以使用魚叉式釣魚攻擊部署惡意軟件來劫持計算機，將目標計算機所在的網絡變成可用于DoS攻擊的龐大僵尸網絡。建議企事業單位不定期為員工舉辦安全教育培訓，提升員工的安全防范意識。務必注意不要隨意打開未知來源的電子郵件，特別是帶有附件的電子郵件。如有需要，可通過打開office文檔中的：文件-選項-信任中心-信任中心設置-宏設置，來禁用一切宏代碼執行。并做好郵件系統的防護工作，督促員工及時更新系統和office應用補丁。如果發現系統或服務器出現異常，應當及時報告并請專業人員進行排查，以消除安全隱患。

IOC:

啟明星辰積極防御實驗室（ADLab）

ADLab成立于1999年，是中國安全行業最早成立的攻防技術研究實驗室之一，微軟MAPP計劃核心成員，“黑雀攻擊”概念首推者。截止目前，ADLab已通過CVE累計發布安全漏洞近1100個，通過 CNVD/CNNVD累計發布安全漏洞900余個，持續保持國際網絡安全領域一流水準。實驗室研究方向涵蓋操作系統與應用系統安全研究、移動智能終端安全研究、物聯網智能設備安全研究、Web安全研究、工控系統安全研究、云安全研究。研究成果應用于產品核心技術研究、國家重點科技項目攻關、專業安全服務等。