Mandiant 托管防御服務(wù)產(chǎn)品以主動(dòng)威脅搜尋計(jì)劃而被人們所熟知，旨在保護(hù)客戶免受繞過(guò)傳統(tǒng)檢測(cè)機(jī)制的高級(jí)威脅參與者工具、策略和技術(shù)的侵害。2022 年 7 月，在一家媒體行業(yè)公司的主動(dòng)威脅搜尋工作中，Mandiant Managed Defense 揪出了被 UNC4034 組織所利用的新一輪網(wǎng)絡(luò)釣魚(yú)活動(dòng)。

（來(lái)自：Mandiant Blog）

Mandiant 認(rèn)為 UNC4034 與朝方的幾個(gè)組織有重疊，其通過(guò) WhatsApp 即時(shí)通訊服務(wù)與受害者建立了聯(lián)系，并引誘其下載惡意 ISO 包。

然而 Mandiant Intelligence：Staging Directories 檢查發(fā)現(xiàn)（通過(guò)搜索寫(xiě)入常用目錄的異常文件），其明面上有提到虛假的工作機(jī)會(huì)、但實(shí)質(zhì)上是利用 PuTTY 來(lái)部署 AIRDRY.V2 木馬后門(mén)。

官方原版 / 惡意修改版 PuTTY 的數(shù)字簽名對(duì)比

PuTTY 是一款開(kāi)源的 SSH 與 Telnet 客戶端，最初線索顯示器下載了名為 amazon_assessment.iso 的檔案文件。

而從 Windows 10 開(kāi)始，系統(tǒng)已能夠通過(guò)雙擊自動(dòng)加載虛擬光驅(qū)。與 RAR 等其它格式相比，這減少了查看嵌入文件所需的工作量。

通過(guò) Mandiant Managed Defense 對(duì)主機(jī)展開(kāi)深入調(diào)查，可知 UNC4034 通過(guò)電子郵件向受害者忽悠可提供在亞馬遜工作的機(jī)會(huì)而建立聯(lián)系。

隨后該組織會(huì)利用 WhatsApp 與之通信并傳送 amazon_assessment.iso 文件，且里面有個(gè)可執(zhí)行文件（PuTTY.exe）和一個(gè)文本文件（Readme.txt）。

原版 PuTTY / 惡意樣本中的 .data 部分

隨著惡意 PuTTY 在目標(biāo)主機(jī)上被執(zhí)行，受害者的機(jī)器也被植入了后門(mén)，Mandiant 識(shí)別其為 AirDry 的一個(gè)變種。

盡管 Mandiant Managed Defense 早在 7 月 5 日就調(diào)查到了入侵，并在潛在的后門(mén)部署前控制住了主機(jī)。

但更早的 6 月 27 日，VirusTotal 就已經(jīng)發(fā)現(xiàn)了同名的 PuTTY 可執(zhí)行文件。

此外 Mandiant 發(fā)現(xiàn)了第二個(gè)名為 amazon_test.iso 的 ISO 存檔，可知其于 6 月 17 日被 VirusTotal 數(shù)據(jù)庫(kù)給收錄。

類(lèi)似構(gòu)造的惡意軟件，最終都是為了加載 AirDry.V2 后門(mén)這個(gè)有效載荷。釣魚(yú)手段方面，攻擊者加裝自己是亞馬遜的招聘評(píng)估人員。

通過(guò)分析 ISO 鏡像中的文件，可知兩者帶有相同的木馬化 PuTTY 可執(zhí)行文件、以及位于自述文件中的服務(wù)器端 IP 地址。

每個(gè)樣本中包含的惡意代碼，會(huì)將嵌入式有效載荷寫(xiě)入磁盤(pán)并啟動(dòng)，但不同樣本還可能將木馬插入到代碼中的不同位置。

比如 VirusTotal 檢出的樣本，就看到了被插入 ssh2_userauth_process_queue 函數(shù)中的惡意代碼（源文件在 putty-0.77sshuserauth2-client.c）。

執(zhí)行惡意樣本時(shí)的 PuTTY 圖形界面

與公鑰或鍵盤(pán)交互等其它驗(yàn)證方法不同的是，該代碼位于負(fù)責(zé)執(zhí)行密碼驗(yàn)證的函數(shù)部分。一旦用戶建立連接并輸入他們的賬密，惡意代碼就會(huì)被執(zhí)行，而無(wú)論身份驗(yàn)證的結(jié)果到底如何。

此外兩個(gè)樣本中丟棄和執(zhí)行有效負(fù)載的惡意代碼部分幾乎相同：

合法的 Windows 可執(zhí)行文件 C:WindowsSystem32colorcpl.exe 被復(fù)制到了 C:ProgrAMDataPackageColor 這個(gè)新目錄。

嵌入的有效負(fù)載則被寫(xiě)入了 C:ProgramDataPackageColorcolorui.dll，期間可觀察到如上圖所示的劫持與命令啟動(dòng)。

接下來(lái)被執(zhí)行的 colorcpl.exe 二進(jìn)制文件則來(lái)自 C:WindowsSystem32cmd.exe /c start /b C:ProgramDataPackageColorcolorcpl.exe 0CE1241A44557AA438F27BC6D4ACA246 。

不過(guò)在 VirusTotal 的示例中，cmd.exe 并未用于啟動(dòng) colorcpl.exe —— 因?yàn)?Windows API 函數(shù) WinExec 會(huì)執(zhí)行上述命令。

兩種情況下，傳遞過(guò)來(lái)的 colorcpl.exe 命令行參數(shù)，都與 Windows 可執(zhí)行文件的合法功能無(wú)關(guān)。相反，每個(gè)參數(shù)都被惡意的動(dòng)態(tài)鏈接庫(kù)所使用。

先是通過(guò) schtasks.exe 為 C:ProgramDataPackageColorcolorcpl.exe 建立持久性，然后借助名為PackageColor 的計(jì)劃任務(wù)，在每天上午 10:30 執(zhí)行該二進(jìn)制文件。

至于 colorui.dll 樣本，檢測(cè)發(fā)現(xiàn)它是由商業(yè)軟件保護(hù)程序 Themida 打包的。

解壓后的樣本，包含了揭示其用途（ShellCodeLoader）的嵌入式文件路徑 ——

W:DevelopaToolShellCodeLoaderApplibressl-2.6.5cryptocryptlib.c

—— 兩個(gè)樣本都包含了一個(gè)名單 DAVESHELL 的相同 shellcode 有效負(fù)載。

然后使用基于 XOR 的自定義算法和動(dòng)態(tài)生成的密鑰對(duì)有效負(fù)載進(jìn)行解密可得如上圖所示的字符串。

Mandiant 指出，包含的該密鑰，也可作為一種反分析機(jī)制 —— 若缺少正確的密鑰，則執(zhí)行 DLL 時(shí)不會(huì)觸發(fā)任何重要的操作。

（舉報(bào)）