首頁 > 安全研究 > 研究報告 > 攻擊與威脅分析

警惕:近期針對電子元器件行業的攻擊活動分析

發布時間 2021-09-13

一、概述


近期,啟明星辰ADLab捕獲到多起針對電子元器件企業的釣魚郵件攻擊活動,攻擊目標涉及多家電子元器件行業的上市公司或上下游供應商,包括天馬微電子股份有限公司(中國深圳)、弘憶國際股份有限公司(中國臺灣)、questcomp(美國加利福尼亞)、axitea(意大利米蘭)等。攻擊者以“Dretax.inc-Ryan Osborn -INV -034708182958- 2021.24.08”、“Dretax.inc-Alissa Chung -INV -420511295810- 2021.24.08”等虛假的發票單據為郵件標題發起魚叉式釣魚攻擊并進一步向目標設備植入Dridex木馬,攻擊中利用了宏隱藏、多層Loader混淆加密、API動態獲取、API向量異常處理調用等多種技術手段對抗分析,同時其回連的網絡基礎設施均采用CDN和P2P代理節點來規避追蹤與檢測。


Dridex是一款以竊取銀行賬戶憑證為目的,集僵尸、竊密木馬、郵件蠕蟲、勒索軟件等眾多功能于一體的綜合性蠕蟲病毒,由于其擁有復雜的P2P控制機制、多層代理、快速變異、內外網雙渠道感染、RSA-AES通信加密等特點,受攻擊企業一旦中招,可能引起內網擴散感染并進一步造成失泄密、遭受勒索攻擊、生產線停擺等嚴重的后果。


隨著《數據安全法》的正式實施,全行業、全領域都會受之影響,需要建立完善的數據安全策略。電子元器件及半導體行業作為我國“十四五”大力發展的戰略新興產業,是支撐當前經濟社會發展和保障國家安全的戰略性、基礎性和先導性產業,其產業鏈安全穩定意義重大。黑客組織一旦通過網絡攻擊入侵到相關企業內部,一方面會嚴重威脅到我國自主可控的產業鏈安全和數據安全;另一方面也可能因勒索攻擊、生產線中斷等造成巨大的經濟損失。因此,啟明星辰ADLab提醒有關單位、企業務必重視此類網絡攻擊活動并及時進行安全防范。


二、攻擊威脅分析


2.1 電子元器件企業頻遭網絡攻擊

此次攻擊活動瞄準了電子元器件行業的相關企業,我們觀察到,近年來電子元器件進入“漲價期”,同時疫情的爆發又加速打破了產業鏈的供需平衡,造成電子供應鏈產品供不應求,價格瘋漲。一些黑客組織以此為契機,頻頻針對電子元器件行業展開網絡攻擊從而牟取高額利益,我們統計了近一年來電子元器件行業遭受網絡攻擊的部分安全事件如圖1所示。


電子元器件行業遭受網絡攻擊事件.jpg


圖1 近一年電子元器件行業遭受網絡攻擊事件


可以看到,針對電子元器件行業的攻擊方式主要集中在加密數據勒索、數據泄漏勒索、拒絕服務攻擊勒索(導致生產線停工)等。2020年7月,全球領先的晶圓大廠X-FAB發布公告稱其遭到網絡攻擊,導致所有IT系統和其6個生產基地均停止工作;8月SK海力士、LG電子遭到Maze勒索軟件攻擊,導致部分職員的大量資料泄露,且SK海力士被黑的文件中還包括與蘋果、IBM等客戶公司的存儲芯片價格協商郵件;9月,以色列芯片巨頭TowerJazz突然遭受網絡攻擊,導致部分系統服務器和制造部門暫停運轉,迫于生產線停工的壓力,其向黑客支付了數十萬美元的“保釋費”,以換取黑客對服務器停止攻擊;12月,富士康母公司鴻海集團位于墨西哥的工廠遭遇勒索軟件“DoppelPaymer”攻擊。黑客竊取并加密了部分文件數據,并要求公司支付1804枚比特幣以獲取解密工具(按照當天市價高達3450萬美元);今年3月,全球知名電腦制造商宏基遭遇REvil勒索軟件攻擊,并被索要5000萬美元贖金(約3.3億人民幣),創下最高勒索軟件贖金記錄。今年8月,我們發現黑客組織又在蠢蠢欲動,開始針對多家電子元器件企業發起釣魚郵件攻擊活動。后文也將針對此次攻擊活動進行深入的分析和介紹。


2.2 此次攻擊目標


啟明星辰ADLab通過對此次攻擊活動進行溯源與分析關聯,整理出部分攻擊者使用的釣魚郵件,郵件信息見表1。


釣魚郵件.jpg


表1 郵件信息


在進一步分析后,我們發現攻擊者使用了定制的釣魚郵件模板進行發票類釣魚郵件的自動化生成和攻擊,并針對郵件中涉及發送人、發票序號、發票日期等內容進行了隨機化處理。其中,發件人的郵箱后綴被精心偽裝成與發票、訂單相關的內容,例如payment.dretax.com、invoice.dretax.com、order.dretax.com、mail.dretax.com,郵件標題與附件名也均通過公司名(Dretax.inc)、INV(invoice縮寫,譯為發票)、日期、編號(隨機生成)、發件人名(隨機生成)等進行組合偽裝,釣魚郵件如圖2所示。


釣魚郵件-圖示.png


圖2 釣魚郵件


此次攻擊涉及的目標均為電子元器件行業的相關公司,包括天馬微電子股份有限公司、弘憶國際股份有限公司、questcomp、axitea等,由于黑客并沒有以特定國家為攻擊目標,所以我們認為這是一起廣泛針對電子元器件行業的攻擊行動,黑客組織的核心目標可能是竊取電子元器件公司的機密數據或技術資料,同時可能進一步通過加密數據勒索、數據泄漏勒索、鎖定系統勒索等手段來牟取更多的經濟利益。此次活動涉及的部分攻擊目標信息如表2所示。


攻擊目標.jpg


表2 攻擊目標信息


三、技術分析


在此次攻擊活動中,攻擊者將帶有惡意附件的釣魚郵件投遞至電子元器件企業員工,一旦釣魚計劃成功,惡意宏會釋放并執行VBScript腳本,該腳本是一個下載器,嘗試通過聊天軟件Discord的CDN服務下載黑客托管的惡意DLL文件,同時會釋放另一個VBScript腳本來加載該惡意DLL。加載的DLL實則為Dridex木馬Loader,其使用了多層打包的方式進行下發,在內存中經過2次解密釋放Loader后最終從C&C服務器下載執行Dridex木馬,并進一步連接至Dridex的P2P代理網絡執行惡意操作。


下圖展示了此次攻擊活動完整的流程: 


攻擊流程圖.jpg


圖3 攻擊流程圖


3.1 誘餌郵件投遞


攻擊者偽裝了多封以Dretax公司(美國西薩克拉門托)會計人員為發件人的釣魚郵件,郵件主題均與“發票信息”有關,以圖4郵件為例,收件人為我國天馬微電子股份有限公司名為“panpan_cao”的員工。郵件正文中簡單描述了發票信息及開具發票的會計部門的聯系方式,并提示保留所附的發票。


 釣魚郵件.png


圖4 釣魚郵件


郵件附件是一份偽裝的8月發票單,從誘餌文檔打開后的內容(如圖5)來看,Excel表格僅包括一張圖片,內容大意為:“此文檔是由Microsoft office excel的早期版本創建,請啟用宏選項以顯示文檔內容”。一旦受害者被誘騙啟用宏選項,惡意宏代碼便會立即執行。


惡意郵件.jpg


圖5 惡意的郵件附件

3.2 惡意宏代碼執行


宏代碼被隱藏在工作簿的表格當中,默認打開Excel只能看到表Sheet1(表Macro1被隱藏),當點擊“啟用宏”后,由于表的狀態被隱藏仍無法看到,可以通過右鍵單擊主表選項卡取消隱藏選項。


代碼執行圖.png


圖6 取消隱藏的工作表


此時可以在表Macro1中看到惡意宏代碼,該惡意代碼被混淆后拆分至多個表格中存儲。與常見的宏代碼隱藏方式不同,此類隱藏技術無法在VBAProject中看到宏代碼,能夠在一定程度上干擾安全分析。


將xlsm文件解壓縮,同樣可以在其中\xl\macrosheets\sheet1.xml的位置發現該隱藏的惡意宏代碼。


隱藏代碼.jpg


圖7 隱藏的宏代碼


攻擊者將惡意代碼以10進制字符的形式存儲在單元格內(每個字符存儲在獨立的單元格中),實際執行時通過Excel的CHAR()函數轉換為字符串代碼后再進一步加載,從而達到混淆和對抗安全檢測的目的。將腳本去混淆后,代碼的整體調用邏輯如圖8所示。


代碼調用邏輯.jpg


圖8 代碼調用邏輯


惡意代碼會創建“C:\ProgramData\veqxg.sct”文件,并將J162至S604單元格內的數值內容(如圖9)轉化為CHAR值后寫入其中,然后通過命令EXEC (MSHTA C:\ProgramData\veqxg.sct)執行veqxg.sct文件。


惡意代碼.png


圖9 惡意代碼(每個字符存儲在獨立的單元格中)

3.3 惡意“sct”文件執行


veqxg.sct文件實則為VBScript腳本,該腳本會在同目錄下釋放下一階段的VBScript腳本vaBlOKVbTNVXMTWIJcdR.sct,之后從服務器下載后續的惡意代碼vaBlOKVbTNVXMTWIJcdR.dll,如果下載成功,則通過vaBlOKVbTNVXMTWIJcdR.sct腳本執行后續的惡意DLL。


veqxg.sct腳本.jpg


圖10 veqxg.sct腳本

下載鏈接如表3所示:


惡意DLL下載鏈接.png


惡意DLL下載鏈接

vaBlOKVbTNVXMTWIJcdR.sct腳本會進一步通過rundll32.exe 執行惡意DLL(參數為CPGenRandom),經過分析,該惡意DLL是Dridex木馬的Loader,下文我們將對Dridex木馬及其Loader進行具體的分析和介紹。



腳本信息.png


圖11 vaBlOKVbTNVXMTWIJcdR.sct腳本


3.4 Dridex木馬分析


此次的Dridex使用了多層打包的方式進行下發,第一層Loader執行后,會使用shellcode在內存中解密出第二層Loader來執行,第二層Loader再去攻擊者控制的C&C服務器下載Dridex木馬。這兩個Loader使用了動態函數獲取和向量異常處理來調用系統函數,從而躲避安全軟件的查殺和干擾安全人員的分析。以下是詳細分析:


3.4.1 第一層Loader分析

該Loader的代碼經過了整數運算操作混淆,其同時還使用了動態函數調用的技術來執行系統API,以增加靜態分析的難度,下圖是該Loader在IDA中的部分偽代碼:


Loader導出函數偽代碼.png


圖12 Loader導出函數偽代碼


我們結合動態調試分析,發現該Loader的目的是在內存中解密執行一個PE文件。這個過程通過兩階段的shellcode完成:


第一階段的shellcode被加密保存在該Loader的.rdata段,Loader執行后,將.rdata段的shellcode解密后寫到.data段,然后動態調用VirtualProtect函數將.data段的對應shellocde屬性修改為可讀可寫可執行,如下圖所示:


shellocde.png


圖13 修改.data段的內存屬性為可讀可寫可執行


之后,loader就去執行.data段的shellcode代碼,如下圖所示:


 data字段.png


 圖14 執行.data段的shellcode代碼


shellcode的開始是一段解密代碼,其負責將第二階段的shellcode解密出來(循環異或解密shellcode),如下圖所示:


 解密第二階段的shellcode.png


 圖15 解密第二階段的shellcode


解密完成后,shellcode再動態調用VirtualAlloc函數申請一段內存,將解密后的第二階段shellcode寫入到目標內存,之后跳轉到第二階段的shellcode去執行,如下圖所示:


執行第二階段的shellcode.png


 圖16 執行第二階段的shellcode


第二階段的shellcode執行后,會動態調用VirtualAlloc函數申請內存,將加密數據寫入該內存后,再解密執行,解密執行的payload為一DLL文件,如下圖所示:


內存中解密出的DLL文件.png


 圖17 內存中解密出的DLL文件


3.4.2 第二層Loader分析


該DLL同樣是一個loader,其目的是從遠程服務器下載下一階段的Dridex木馬。該DLL同樣使用了動態函數調用的方式進行函數調用,只有當需要調用目標函數時,惡意代碼才會使用FS寄存器檢索對應函數的實際地址,然后利用int3異常調用目標函數,如下圖所示:


利用int3異常調用目標函數.png


 圖18 利用int3異常調用目標函數


這種函數調用的原理是,當程序發生異常的時候,一共有兩種處理異常的方式。一種是SHE(Structured Exception Handling),另一種是VEH(Vectored Exception Handling)。該DLL使用了VEH的方式調用目標函數:在運行的開始,惡意代碼會注冊一個VEH處理程序(如下圖所示),當CPU為INT3引發異常時調用異常處理程序以對目標函數進行調用。


函數異常.png


 圖19 注冊異常處理函數

該DLL內置有3個C&C服務器地址,如下表所示:


DLL內置有3個C&C服務器地址.png


該DLL會嘗試逐個和這些C&C服務器進行連接,一旦連接建立成功,DLL就會調用HttpSendRequestW函數向C&C服務器回傳目標環境的加密數據(如下圖所示),之后該DLL會從C&C服務器下載下一階段的Dridex木馬執行。


回傳的加密數據.png


 圖20 向C&C回傳的加密數據


3.4.3 Dridex核心木馬


由于我們在分析的時候,第二層Loader當前未能將Dridex核心馬下載下來執行,但是通過溯源發現當前Loader正是Dridex V4所使用的Loader,本身Dridex核心馬并未發生較大變化,其最主要攻擊能力主要體現在其強度而靈活的插件技術上。新的攻擊中所采用的惡意誘餌文檔及Loader隨著黑客組織的更替而不斷進化。本文將不再對Dridex的具體技術進行剖析,只對Dridex的基本功能和特點進行簡要的介紹。如需深入了解Dridex木馬,可仔細閱讀我們的另外一篇深度分析報告《躲在P2P蠕蟲網絡背后的幽靈:Dridex蠕蟲新型變種探秘》,我們在報告中對Dridex V4所采用的攻擊手法,技術手段,通信機制等等做了全面而深入的分析。


Dridex又名Bugat、Cridex、Feodo,于2014年首次出現,是目前全球活躍的技術最先進的銀行木馬之一,從出現以來,其一直在不斷更新和演變,直到目前為止仍十分活躍。該木馬的主要目標是竊取受害者主機的銀行憑證。和這次攻擊一樣,其通常通過魚叉式釣魚郵件的方式進行傳播。除了竊取銀行憑證,Dridex通常還會下載其他的惡意模塊,目前已知的功能模塊有VNC模塊、屏幕截圖模塊、代理模塊、中間人模塊、鍵盤記錄模塊、憑證竊取模塊、Web注入模塊、內網感染模塊、郵件傳播模塊、沙箱檢測模塊等。


Dridex的攻擊目標遍布世界各地,如:中國、美國、德國、法國和加拿大等。以下是Dridex近幾年的一些攻擊事件:


2014年7月,Seculert公司的安全研究員發現Dridex竊取了至少5萬個郵箱的登錄賬號和密碼信息列表,此時Dridex主要以感染德國和波蘭為主,其他感染過的國家有奧地利、美國、瑞士、英國、意大利、荷蘭等。


2015年5月,Dridex開始將js腳本文件作為郵件傳播附件進行大面積傳播,該js腳本文件用于下載Locky勒索軟件執行。


2015年8月,相關安全機構分析統計,在2015年間不到一年的時間里,Dridex已經入侵了橫跨27個國家的成千上萬家企業,并且已經導致英國2千萬英磅(當時合3050萬美元)以上的經濟損失,以及美國1千萬美金的經濟損失。


2015年8月14日,FBI聯合安全廠商搗毀了Dridex服務器并逮捕了一名Dridex幕后操控者。


2016年2月4日,Dridex發生了一次戲劇性事件,那就Dridex蠕蟲病毒后端服務器疑被白帽子入侵,所有下載的模塊被替換成了Avira殺毒軟件。


2016年9月6日,安全研究人員發現新的Dridex變種開始用于竊取虛擬貨幣如比特幣錢包。


2017年4月,Proofpoint研究人員觀測到數百萬次Dridex蠕蟲攻擊,其攻擊手法與從前的攻擊相似,同樣通過郵件攜帶附件的形式進行瘋狂的傳播,只是新的攻擊中添加了通過ZIP打包的vb腳本文件、PDF文件和可執行的PE文件。


2017年5月10日,Dridex蠕蟲變種使用了原子注入技術發動攻擊,以躲避安全產品的查殺。


2017年12月12日,前英國銀行員工植入Dridex蠕蟲幫助兩位黑客洗錢,擔任洗錢黑客的私人信托經理,利用偽造的身份證件開設了多達105個賬戶,匯款與轉賬超過250萬英鎊。


2018 年 12月,摩爾多瓦國民Andrey Ghinkul,又名“ smilex ”( 2017年2 月,從塞浦路斯引渡到美國)因分發Dridex惡意軟件被判刑。


2019 年 6 月,攻擊者利用Spelevo 的漏洞利用工具投遞銀行木馬Dridex。


2019年12月,美國當局指控兩個俄羅斯公民(Maksim V和Igor Turashev)部署Dridex惡意軟件,兩人在10年內竊取超過了1億美元。


2020年12月期間,攻擊者投遞仿冒亞馬遜免費亞馬遜禮品卡的釣魚郵件


2021年8月,攻擊者針對多家電子元器件企業發起釣魚攻擊活動,包括天馬微電子股份有限公司、弘憶國際股份有限公司、questcomp、axitea等。


四、總結


此次攻擊主要瞄準電子元器件企業的員工,并且涉及到我國企業的數據安全,需要引起廣大企事業單位足夠的警惕。結合Dridex木馬的歷史活動跡象,其背后的攻擊者以竊密、勒索等方式圖謀經濟利益的可能性較大。Dridex在經歷多年的發展進化后,已經形成了集蠕蟲、僵尸、竊密木馬、勒索軟件、P2P代理于一身的混合型蠕蟲病毒。該蠕蟲同時具備內外網擴散、正反饋的閉環感染、C&C服務器及通信流量隱藏、對抗分析、快速變異、模塊化等高級能力,對于中招企業具有極大的危害性。


鑒于Dridex僵尸網絡長期通過釣魚郵件以及OfficeVBA宏進行攻擊的慣用手段,我們建議企事業單位不定期為員工舉辦安全教育培訓,提升員工的安全防范意識。務必做好郵件系統的防護,注意不要隨意打開未知來源的電子郵件(尤其是帶有附件的電子郵件)。如有需要可通過打開Office文檔中的:文件-選項-信任中心-信任中心設置-宏設置,禁用一切宏代碼執行。一旦系統或服務器出現異常行為,及時報告并請專業人員進行排查,以消除安全隱患。

上一篇 下一篇