事件背景
2017年6月， 360威脅情報中心發現了一份可疑的利用漏洞執行惡意代碼的Word文檔，經過分析后，我們發現這有可能是一起針對巴基斯坦的政府官員的APT攻擊事件，釋放出來的載荷會收集受害者的鍵盤記錄和重要軟件密碼、文檔等。本文檔對并對此次攻擊事件的攻擊鏈條進行梳理，并對使用的木馬相關技術進行分析。
樣本分析
漏洞利用Dropper

該文檔所利用的漏洞為CVE-2015-2545（關于該漏洞的分析已經有不少詳細分析的資料，這里就不再贅述），當受害者點開該文檔時，會加載EPS文件從而觸發漏洞，這里攻擊者使用的漏洞利用代碼是已經在野外流傳很久的成熟利用，這套利用的特點是通過shellcode注入explorer進程下載木馬文件，但shellcode后附加一個DLL文件以利用CVE-2015-2546權限提升漏洞得到系統最高權限。
注入explorer.exe的代碼如下：

explorer.exe中下載載荷的代碼如下：可以看到下載地址為http://tes[.]sessions4life[.]pw/quiz/WelcomeScrn.exe

CVE-2015-2546權限提升DLL部分代碼：

WelcomeScrn.exe

這是個downloader，功能非常簡單，直接連接到內置網址http://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe ，下載并執行文件。

DefenderReference.exe

DefenderReference.exe通過HTTP協議與服務器通信的竊密木馬，被執行起來后，會先完成一些初始化的工作，釋放并加載WER167893459067.dll后創建以下目錄：
%Local%\SharedFiles\Log
% Local %\ SharedFiles \Sys
% Local %\ SharedFiles \Temp
% Local %\ SharedFiles \WinAero
% Local %\ SharedFiles \WinDataShots
% Local %\ SharedFiles \WinInternetData
% Local %\ SharedFiles \WinLog
% Local %\ SharedFiles \WinRM
然后終止cmd.exe、PATHPING.EXE、TRACERT.EXE、net.exe、systeminfo.exe進程,并判斷自身進程啟動路徑是否為% Local %\ SharedFiles \Sys，如果不是，則將自身拷貝到% Local %\ SharedFiles \Sys\ DefenderReference.exe，釋放MSOBuild.exe、AdminNewDll.dll、AdminServerDll.dll等文件，最后啟動MSOBuild.exe
 


MSOBuild.exe

這個文件其實還是個downloader，在初始化和檢查執行環境（虛擬機、沙箱、調試）后，訪問http://docs.google.com/uc?id=0Bx9cf6a5Mapaa3g4MlI4T244SlU&export=download,獲取C&C的地址185.109.144.102
接著下載以下配置文件：
hxxp://185[.]109.144.102/DistBuild/getAllFiles.php(指明需要下載的組件)
http://185[.]109.144.102/DistBuild/getExecutables.php (指明要執行的組件)
http://185[.]109.144.102/DistBuild/getExtensions_doc.php (指明關心的文檔類型文件后綴名)
http://185[.]109.144.102/DistBuild/ getExtensions_nondoc.php (指明關心的非文檔文件類型)
http://185[.]109.144.102/DistBuild/getExtensions_rmdrive.php (指明要執行的組件)

接著下載配置文件中指定的組件，再一一啟動這些組件：

下表是木馬的各個組件信息：
經過以上分析，我們發現這個木馬家族有以下功能：上傳/下載文件、執行指定文件、鍵盤記錄、屏幕截圖、感染U盤、發送感染電腦位置信息等，竊取的文件列表如下：
.doc .docx .ppt .pps .pptx .ppsx .xls .xlsx .pdf .inp .vcf .txt .jpg .jpeg .bmp .gif .png?www.myhack58.com .avi .wmv .mp4 .mpg.mpeg .3gp .mp3 .wav
并且該木馬可以通過在線獲取新插件的形式迅速方便地擴展更多的功能。木馬的代碼清晰、結構嚴謹，受控端通過HTTP請求與控制服務器通信，訪問不同的php頁面代表執行不同的功能，可能是高度定制的專用木馬，或者是專門出售的商業間諜木馬。
下面介紹該木馬比較有特色的地方：
1. 不同的組件都通過調用同一個AdminServerDll.dll來完成具體功能，高度模塊化。例如MSOBuild.exe和DefenderReference.exe中，分別獲取AdminServerDll.dll的不同導出函數，然后調用這些導出函數，程序里只有基本的邏輯而沒有具體的功能實現，下面左邊是MSOBuild.exe,右邊是DefenderReference.exe


其中AdminServerDll.dll是主要的功能模塊，其每一個導出函數對應一個功能，可以從導出函數名知道其功能，如下：



2. 通信控制：
受控端通過HTTP請求與控制服務器通信，通過訪問不同的php頁面與控制端交互：


經過整理后的路徑如下：

3. 檢查VM、沙箱和調試
通過特權指令檢查Virtual PC和VMWare：


通過dll來識別Sandboxie和是否調試：

擴展與關聯分析
使用360威脅情報中心的威脅情報平臺（http://ti.360.com）對樣本連接的C&C地址（185.109.144.102）做進一步關聯，我們發現了更多的信息。

其中有幾個樣本引起了我們的注意：
1. MD5：a6c7d68c6593b9dd2e9b42f08942a8b0，文件名：isi_report_of_2016.rar
這個樣本是一個郵件附件，解壓后為Name of Facilitators revealed.scr，這個其實是一個sfx自解壓文件，點擊后會將explorerss.pub改名為explorerss.exe，注冊啟動項并執行，然后打開Pakistan army officers cover blown.pdf迷惑受害人。


而explorerss.exe是由python打包成exe的，功能是竊取指定文件內容并上傳到hxxps:// 185[.]109[.]144[.]102/browse.php?folder=%s&%s中。將其中的python代碼還原后，部分代碼如下：

2. MD5：872e7043ee8490db6e455942642c2c86 文件名：Current vacancies.doc
這個樣本利用CVE-2012-0158釋放一個downloader，downloader會下載執行hxxp://185[.]109[.]144[.]102/DistBuild/DefenderReference.exe，之后的流程就和前面分析的一樣，就不再多說了，值得注意的是文檔的內容。顯示為聯合國招聘文件，這明顯是對安全相關人員投遞的郵件，有明顯的政治動機：
3. MD5: 1b41454bc0ff4ee428c0b49e614ef56c文件名：Ramadan Mubaraq.rtf
這個樣本所利用的漏洞為CVE-2017-0199，olelink的地址為http://138[.]197[.]129[.]94/logo.doc

從以上的分析和其他關聯到的樣本中，我們注意到一些有趣的事情：這些樣本應該都是通過郵件附件的形式傳遞的，并且使用office Nday漏洞或者社工手段引誘目標點開；從文件名、文檔內容來看，都是對政治領域的相關人員進行的釣魚郵件投遞。綜合多個樣本的來源信息，這很有可能是一起針對巴基斯坦政府人員的定向攻擊事件。
IOC