前言

在疑似APT攻击事件的跟踪过程中，遇到过很多难题。多数情况是，这次，它不是你的显在对手，我们不会获得足够多的线索，却偏偏想要满足好奇的欲望，经典的人生三问，用来描述你的对方再恰当不过。我在《阿善师的告白》中听到一句话：凡走过必留下痕迹。这里，我将整理一起疑似APT攻击的事件的探讨，期待真相一步步浮出水面。

北京时间2018年12月12日，我们看到野外出现一份名为<Terminals.xls>的样本使用了最新披露的Adobe Flash Player漏洞：CVE-2018-15982，该漏洞影响Flash Player 32.0.0.101之前的多个版本。由于披露时间不到一周，所有一手样本都值得引起警觉。

该样本文档显示的内容是一份海事卫星设备(Inmarsat IsatPhone)清单。样本触发漏洞后，连接远程服务器获取下发指令。

静态分析

样本内容列举了多个模块、价格和数量信息。海事卫星电话常用于船舶与船舶之间、船舶与陆地之间的通信，包括语言通话、数据传输和文件传真。

样本内嵌Flash文件，Flash文件中以明文的形式嵌入恶意指令。

<putty2.exe>后门程序将自己设置持久化之后立即连接C2接收下一阶段指令执行。

整理样本中存在的潜在信息：

Path： C:\Users\User\AppData\Local\Temp\Excel8.0\ShockwaveFlashObjects.exd
Path： C:\Program Files\Microsoft Office\Office16\EXCEL.EXE
Path： c:\CVE-2018-15982_PoC.swf
URL： http://190.2.145.149/putty2.exe
PE-Compiler-Stamp：Tue Dec 11 13:06:20 2018 (UTC+8)
XLS-Saved： 12/10/2018 5:13 PM (UTC+8)

溯源追踪

1. 根据C2追溯

根据C2服务器IP地址190.2.145.149，小编并未关联到其它恶意样本。在获取到样本的第一时间，该IP地址上还存在另一个可执行文件：putty.exe(MD5:54CB91395CDAAD9D47882533C21FC0E9)，归属远程登录工具。

根据whois信息显示，IP地址归属一家荷兰的ISP服务提供商。

该ISP服务提供商WorldStream公司主页显示其提供可靠的托管服务。

从IP的历史记录中，小编找到一条非常重要的线索。teamkelvinsecteam于2018年11月25日在RaidForums论坛于 「Leaks」、「Databases」板块公布了该IP存在允许列目录。该用户截图上传了详细的文件列表并备注文件包含：可疑的恶意软件、Email备份和pst文件等等。

IP在7月份搭建了Web集成环境，从9月开始存在压缩文件陆续上传，直至11月22日，文件汇总约逾百G。许多文件直指阿联酋国家石油公司(ENOC)的职员邮件备份。

在这份<Terminals.xls>漏洞文档公开之后，RaidForums论坛的teamkelvinsecteam很快删除了< [Emails] Emirates National Oil Company>这篇帖子。在删除前，小编翻阅了所有评论，大致的留言有：需要联系方式、索取解压密码、期望获得邮件备份以及允许列目录已失效等等。

从缓存中小编截取了两份评论，包含teamkelvinsecteam留下自己的联系邮箱：vipsuscriptionkelvinsecurityv1@protonmail.com。

2. 根据代码特征追溯

从获得<putty2.exe>样本伊始，小编很快提取样本关键特征和历史样本进行比对。很遗憾的是，小编对历史样本进行比对，对新增样本进行监控，以及多次使用Intezer进行分析，均未能匹配到关联样本。ps.图中最下方，使用Intezer获得与<putty2.exe>唯一的关联样本，经过小编确认，是某位安全研究人员上传的<putty2.exe>的内存dump(MD5:24F7E3422B1DB69289D47F1025DB1598)。

小编对<Terminals.xls>文档提取特征比对历史样本，匹配到十多个疑似样本，分析之后，没有得到有效证据和此次事件所属组织产生强关联。

他们是谁

由于小编在访问IP的时候，只能查看到XAMPP的初始配置页面。首先需要怀疑文件列表的真实性。此处小编并不打算对「Leaks」和「Databases」主题做过多探讨，但是从teamkelvinsecteam的行为记录来看，这些邮件备份文件是存在的。

1. 受害者信息

从公开信息确认其中一名疑似受害者Fardin Malahi的职务为阿联酋国家石油公司人力资源部主管。

2. 攻击者身份

老实说，到目前为止关于攻击者身份或者隶属组织小编并没有指向性的结论。我们看看安全社区的讨论：威胁情报分析师Drunk Binary认为<Terminals.xls>是APT34(也称：OilRig)组织的钓鱼文档。但是根据之后的讨论，FireEye的研究人员Andrew认为暂不能定性。

根据德国Nextron Systems公司的APT检测产品THOR检测显示<putty2.exe>后门程序归属APT34、APT33组织。从它的规则编写时间来看，除非有内部未公开披露的详实证据命中目标，否者小编认为可以参考，暂不可信。

安全报告呢？在近期ClearSky公司发布的一份安全报告中，约存在2-3页对该事件的详尽描述。在报告中ClearSky认为存在迹象表明，Oilrig组织最有可能在9月或10月渗透进入ENOC网络并部署了横向移动工具。

在其公开报告中，整个关于这一事件的描述都被涂抹覆盖。

回到样本本身，关于该组织为什么要在深度渗透ENOC网络之后，还要重启如此重要的网络基础设施，利用最新的Flash漏洞疑似发起鱼叉攻击。是他们最想要的没有得手还是更换攻击目标？当然可以猜想的故事有很多。但是确定的是，本次利用<Terminals.xls>钓鱼文档发起的攻击时段很短，无论PE编译时间还是文档最后保存时间是否可信，它们都是在最近几天得以准备，迅速发起攻击，然后迅速失效。

尾声

还有更多资料吗？在小编思考等待这些日子中似乎就这么多了。有的资料由于最开始没有备份下来以至在此漏掉许多。至于新的样本，近日野外出现一份和<Terminals.xls>具有相同内容相同特征，但是仅仅利用漏洞弹出计算器的样本<Terminals2.xls>(MD5:954CA41B7367191180A44C7221BB462A)，小编对样本分析之后决定不作过多参考，因为只需对<Terminals.xls> 修改几个明文字符便能完成。

其实无论弹计算器的是谁，我们总会知道，在一个半月之后，原始样本并没有被忘记。根据对话和安全报告，大厂早已关注这次事件。

从内容显示的相关行业和泄漏文件直指目标，或多或少我们可以总结出攻击组织的兴趣点在于中东地区能源行业。其攻击手法似乎包含网络渗透和鱼叉钓鱼，具备反追查意识，使用新款木马后门，具有一定技术实力背景和多人员分工协作构成犯罪组织特征。

从公开历史网络攻击拓扑图看，中东地区事务牵涉众多。唯愿早日结束纷争。

IOCs

MD5

A51A86A773B7134C2D43BAFC2931E6A4

94715ED2A09A88BE026E8B2BA7C0F9B0

24F7E3422B1DB69289D47F1025DB1598

954CA41B7367191180A44C7221BB462A

28145CE332718337AF59ACA2469784A9

94296CCDD83161D7FB87645591B3D3AF

IP

190.2.145.149

附录

http://190.2.145.149/abdul.khaliq.rar

http://190.2.145.149/ahmed.salem.rar

http://190.2.145.149/ammary@enoc.com.pst

http://190.2.145.149/anishkam@enoc.com.pst

http://190.2.145.149/anvar.helal.rar

http://190.2.145.149/anwar.hussain.rar

http://190.2.145.149/badir@enoc.com.pst

http://190.2.145.149/cstoradmin.rar

http://190.2.145.149/deebu@enoc.com.pst.zip

http://190.2.145.149/faiz.muhammad.rar

http://190.2.145.149/fardin.malahi@enoc.com.pst

http://190.2.145.149/fqahtani@enoc.com.zip

http://190.2.145.149/frederik@enoc.com.pst.zip

http://190.2.145.149/frits@enoc.com.pst.zip

http://190.2.145.149/husamal@enoc.com.pst

http://190.2.145.149/jeevananthan.rar

http://190.2.145.149/mark.burling@eppcouae.com.rar

http://190.2.145.149/marwan.mohd@enoc.com.pst

http://190.2.145.149/matthew.ranson.rar

http://190.2.145.149/sgaladari.pst

http://190.2.145.149/sum.chee.rar

http://190.2.145.149/T.rar

http://190.2.145.149/taleb@enoc.com.pst

*本文作者：小河西村安全研究所，转载请注明来自FreeBuf.COM