安天发布：潜伏的象群——越过世界屋脊的攻击

释放双眼，带上耳机，听听看~！

1概述在过去五年间，中国所遭遇到的“越过世界屋脊”的网络攻击从未停止过。在这些此起彼伏的攻击行动中，安天此前称之为“白象”（WhiteElephant）的组织最为活跃，从2012年到2013年，安天陆续捕获了该攻击组织的多次载荷投放，并在2014年4月的《中国计算机学会通讯》和9月的中国互联网安

1 概述

在过去五年间，中国所遭遇到的“越过世界屋脊”的网络攻击从未停止过。在这些此起彼伏的攻击行动中，安天此前称之为“白象”（White Elephant）的组织最为活跃，从2012年到2013年，安天陆续捕获了该攻击组织的多次载荷投放，并在2014年4月的《中国计算机学会通讯》和9月的中国互联网安全大会对此事件进行了披露，同年8月，安天形成报告《白象的舞步——HangOver攻击事件回顾及部分样本分析》[1]，在后续的分析中将此次攻击命名为“白象一代”。2015年年底，安天发现“白象”组织进一步活跃，并于2016年7月释放了储备报告《白象的舞步——来自南亚次大陆的网络攻击》[2]，披露了“白象”组织的第二波攻击“白象二代”。而此时“白象二代”的主要攻击方向已经由巴基斯坦转向中国，并且相较之前的攻击能力有了大幅提高，其攻击手段和影响范围也远大于“白象一代”。在“白象”组织被广泛曝光后的一段时间内，似乎偃旗息鼓，但到今年下半年，该组织再次活跃，而其相关行动是在经历了数个月准备后实施的。从我们掌握的信息来看，“白象”并不是某国唯一的攻击组织和行动，包括“阿克斯”（Arx）组织、“女神”（Shakti）行动及“苦酒”（BITTER）行动，同样与之有关。这些组织和行动，具有相似的线索和特点，并且其中大部分攻击目标为中国。我们将这一系列网络攻击组织和行动称为——“象群”。

图 1 1 “象群”活动时间轴

结合安天自身及友商对来自南亚某国攻击事件的分析和总结，安天绘制了“象群”活动时间轴。从时间轴可以看出，来自南亚某国的系列网络攻击自2012年至今从未间断活动。经过分析，安天工程师认为南亚某国的攻击反映了其背后国家的战略阶段及战略目标的转变，亦体现了对手在网络空间的持续投入。虽然各组织利用不同的攻击手法和形式，却都试图在网络空间窃取机要信息，威胁目标国的关键基础设施体系。而这一系列攻击，尤其是针对我国的网络攻击行动，也让我们看到来自地缘利益竞合国家与地区的网络攻击，是如此频繁、直接，挥之不去，严重威胁着我国的教育、军事、科研等关键领域，特别是严重地威胁我国的科技安全。这是此前我们关注度不够的，外方窃取我方科研成果加速自身发展的问题逐渐浮出水面。虽然对APT事件的曝光可以在短时间内促使对手偃旗息鼓，但并不能治本。同时有效防御是战略能力的基本盘，只有建立起综合协同的体系化防御能力，才能成为网络空间强国的基石。

2 “白象”（WhiteElephant）组织：卷土重来的活跃攻击

2.1 “白象”组织介绍

“白象”组织来自南亚某国，自2012年以来持续针对中国、巴基斯坦等国进行网络攻击，长期窃取目标国家的科研、军事资料。安天对该组织活动进行了长期地分析和研究，在2014年和2016年先后两次披露该组织针对我国的网络攻击活动，其中发布的《白象的舞步-来自南亚次大陆的网络攻击》报告，详细地分析了行动的攻击流程和手法，梳理绘制了攻击组织的基础设施图谱。同时基于技术证据和资源线索对该组织进行画像和溯源，成功定位了攻击行动所涉及的组织机构及部分人员的履历信息。

在2016年安天披露该组织行动之后，该组织在一段时间内未进行活动。2017年9月，安天再次发现两起该组织针对我国的网络攻击行动，尤其是一些恶意网站以“中国和某国边境对峙”事件为诱饵，传播恶意载荷，并且该组织已准备和实施相关行动有数月之久。

整体来看，“白象”组织最新行动的攻击手法与上一轮攻击波基本一致，依旧是以往常用的“仿冒钓鱼站”、“1day改良”、“代码加密”等手段和技术，相关恶意载荷也能被部分安全软件检出。这表明，该组织的行动能力可能还处于广泛撒网、择弱者进行攻陷的水平。然而也不能忽视另一种可能，即这一攻击行动与近期中方“重返洞朗地区”事件相关，由于未经充足准备匆忙发起网络攻击行动，故而手法和技术能力有限。

2.2 攻击手法及特点分析

过去“白象”组织通常采用鱼叉式钓鱼邮件进行攻击，大部分邮件被插入恶意链接，之后攻击者通过精心构造的诱饵内容诱导受害者打开链接，而一旦打开就会下载带有漏洞的恶意文档。

2017年 “白象”组织的最新活动则通过仿冒诱饵网站进行攻击，通过伪造一些官方网站如邮箱网站，诱导用户输入账户及密码。除此之外，还有通过向热点事件网站挂载恶意代码的方式，以更新的名义诱导用户下载执行恶意载荷。

2.2.1 鱼叉式钓鱼攻击

鱼叉式钓鱼攻击是“白象”组织以往行动的主要攻击方式，也是APT攻击中最常见的攻击方式。与普通的钓鱼邮件不同，鱼叉式钓鱼攻击不会批量发送恶意邮件，而只针对特定公司、组织的成员发起针对性攻击，具体的攻击手法又分为两种：

1. 在邮件中植入恶意附件，诱导受害者打开附件文件；

2. 在邮件正文中插入恶意链接，诱导受害者点击链接。一旦受害人点击链接就会跳转到恶意链接，该链接或是挂马网站，或是恶意文件下载地址。

在“白象二代”行动中使用的手法主要是第2种，因为该方式在邮件中不存在附件，更容易规避安全软件的检测。链接相对附件来说也更容易骗取用户的信任，邮件内的链接都是利用第三方域名跳转，多数以t.ymlp52.com为跳转域名。

图2-1展示了针对中国高校教师的钓鱼邮件，其正文内容关于南海问题，邮件的最后诱导受害者点击链接查看“完整版报告”。一旦用户点击该链接就会下载恶意文档。该文档使用CVE-2014-4114漏洞，利用PPS格式自动播放的特点，来实现文档打开则漏洞即被触发的效果。

图 2 1 鱼叉式钓鱼邮件

邮件内容大意为：

中国与东南亚的关系：

中国南海，更有张力和挑战（2016年五月报告）

在2016年年初，多个国家关注中国南海争议。以美国为首的多个国家对中国进行了言辞强烈的谴责，中国强烈谴责美国的行动和军事部署。

北京仍然有决心解决有争议的问题，尤其是习近平主席在2015年9月期间提出中国在南海无意搞军事化，紧张情绪并没有蔓延，美国，中国会议增多的迹象向东南亚各国政府表明、华盛顿没有、北京也没有寻求对抗。在此背景下，这些国家的政府对中国挑战其在中国南海权益的答复仍然是衡量为主。过去，他们常常减少面对中国时的自信，展示了对中国的一些批评，变得更愿意以阻止中国，并与美国更紧密地联系起来……

2.2.2 网站钓鱼攻击

“白象”组织的最新活动中使用了网站钓鱼攻击方式。安天发现攻击组织设计了仿冒的网易邮箱对我国相关人士进行钓鱼攻击。在最近的“重返洞朗事件”期间还发现该组织构建了以“中国和南亚某国边境对峙”为诱饵的钓鱼网站，试图诱导目标对象访问，从而执行其恶意载荷，其目标对象为我国关注边境问题的相关人群。

图 2 2 相关内容钓鱼网站（来源：微步在线）

2.2.3 入侵网站作为C&C

“白象”组织还使用了入侵网站作为C&C的方式来实施攻击。该组织的部分C&C地址是一些正常的网站，安天工程师分析认为，有可能该组织入侵了这些网站，将自己的C&C服务控制代码放到它们的服务器上，以此来隐藏自己的IP信息。同时这种方式还会使安全软件认为连接的是正常的网站，而不会触发安全警报。

图 2 3 可能被入侵的网站

图 2 4可能被入侵的网站

2.2.4 模块化与组合作业

在“白象一代”的攻击行动中，采用了模块化与组合作业的攻击方式。安天工程师们发现了大量相关样本，这些样本采用不同的编译器（含版本）编译。其中有5个样本投放至同一个目标，4号样本是初始投放样本，其具有下载其他样本功能；3号样本提取主机相关信息生成日志文件；5号样本负责上传；6号样本采集相关文档文件信息；2号样本则是一个键盘记录器。这些样本间呈现出模块组合作业的特点。

图 2 5样本的组合模块作业方式

2.3 攻击载荷分析（“白象组织”2017样本）

2.3.1 恶意文档

在 “白象”组织最新的攻击行动中，该组织使用了CVE-2014-4114 、CVE-2017-0199、Office DDE渗透攻击，以及宏代码和内嵌OLE诱导点击等手段传播恶意载荷。

2.3.1.1 CVE -2014-4114漏洞利用

该样本是自动播放的Microsoft PowerPoint文件，双击即自动播放。样本利用CVE-2014-4114 漏洞，使用PowerPoint作为攻击载体，使计算机在加载OLE PACKAGE时，当遇到INF文件，则调用C:\Windows\System32\InfDefaultInstall.exe 去执行嵌入在PPS文件中的INF文件，从而将嵌入在PPS文件中的恶意代码运行在被攻击者的计算机上。

图 2 6 样本运行显示的诱饵内容

在之前对该漏洞的分析中，使用7zip对样本解压，在目录ppt/embeddings下得到两个文件，在文件中可以得到IP地址或可执行文件。

图 2 7 目录ppt/embeddings下得到的两个文件

嵌入在oleObject1.bin中的恶意文件，最终将释放到系统TMP临时文件夹。

图 2 8 嵌入PPS文件中的INF文件

图 2 9 嵌入在PPS文件中的可执行文件

通过C:\Windows\System32\InfDefaultInstall.exe执行INF文件来执行恶意代码“System.exe”。

图 2 10 INF文件内容

图 2 11 执行恶意代码

2.3.1.2 CVE-2017-0199漏洞利用

CVE-2017-0199是2017年4月的一个Office漏洞，该漏洞利用Office OLE对象链接技术，将包含的恶意链接对象（HTA文件）嵌在文档中，通过构造响应头中content-type的字段信息，最后调用mshta.exe将下载到的HTA文件执行。早期的漏洞利用方式是通过RTF格式嵌入链接文档，触发漏洞来执行HTA代码。而“白象”组织使用的是另外一种漏洞利用方式，通过PPSX格式文档在slide1.xml.rels中添加script标志，将链接插入。SCT文件是一个内嵌VBS代码的XML网页文件，VBS代码会下载其他恶意载荷执行。

图 2 12 slide1.xml.rels文件

网页文件内容如下，通过VBS脚本调用PowerShell下载执行其他文件。

图 2 13 SCT文件内容

图 2 14 下载执行恶意载荷

2.3.1.3 DDE方式利用

DDE（Dynamic Data Exchange），最早可以追溯到1987年，它可以与一个由其他基于Microsoft Windows程序所创建的文档建立一条动态数据交换链接（当更新DDE域时，DDE域会插入新的信息，链接文档将能够查看到该信息）。通过“DDEAUTO”关键字新建域代码，可以构造自动执行域代码的文档。“白象”组织最新活动通过这种方式构造嵌入PowerShell命令的文档，一旦该文档被打开，受害用户点击更新链接后则会触发PowerShell命令，进而下载其他恶意载荷执行。