xHunt：針對科威特的網路攻擊分析

2019 年 10 月 29 日
筆記

在2019年5月至6月期間，發現有以前未知的工具被用於針對科威特的運輸和航運組織。

攻擊活動中已知的第一目標是科威特一家運輸和航運公司，在這家公司里，攻擊者安裝了一個名為Hisoka的後門工具。此外工具被下載到系統中，以便執行後期攻擊滲透。所有這些工具都是由同一研發人員開發。目前已經收集了幾種不同的工具，其中一種可以追溯到2018年7月。

收集工具包括後門工具Sakabota、Hisoka、Netero和Killua。這些工具不僅將http用於執行命令和控制（c2）通道，還使用dns隧道或電子郵件與c2通訊。除了上述後門工具外，還發現名為gon和eye的工具，它們提供後門訪問和命令執行的功能。

攻擊綜述

2019年5月19日，在科威特運輸和航運部門的系統上發現了一個名為inetinfo.sys的惡意文件。inetinfo.sys是hisoka的後門的變體。

在通過Hisoka訪問系統的兩小時內，攻擊者r部署了另外兩個名為gon和eye的工具。gon工具允許參與者掃描遠程系統上的開放埠、上傳和下載文件、截圖、查找網路上的其他系統、遠程執行命令以及創建rdp會話，工具如圖1所示。

攻擊者在遠程登錄到系統時使用eye工具作為保護，該工具可以殺死攻擊者創建的所有進程，並在用戶登錄時移除其他標識。

在收集到的數據集中進行搜索，能夠確定同該組織針對的第二個目標也是科威特運輸和航運業中的組織。2019年6月18日至30日期間，攻擊者安裝了Hisoka工具。其中包含文件名netiso.sys，v0.9版。

6月18日，發現此文件通過SMB協議從內部帳戶傳輸到另一個系統。之後，一個名為otc.dll的文件被以同樣的方式傳輸。otc.dll文件是一個名為killua的後面工具，允許攻擊者通過使用dns隧道通訊。基於字元串比較，可以看出由同一個開發人員同時開發了killua和hisoka。

6月30日，攻擊者使用第三方從內部賬戶將文件複製到網路中的其他系統上，傳輸了另一個Hisoka v0.9文件，然後在30分鐘內傳輸兩個不同的Killua文件。

基於電子郵件C2

在分析中確定了Hisoka的兩個不同版本，特別是v0.8和v0.9，它們都安裝在兩個科威特組織的網路上。兩個版本都包含允許攻擊者控制目標系統的命令集。在這兩個版本中，攻擊者可以通過使用http或dns隧道和伺服器進行通訊。然而，v0.9增加了基於電子郵件的c2能力。

基於電子郵件的C2通訊功能依賴於Exchange Web服務（EWS），攻擊者通過Exchange伺服器上的合法帳戶與Hisoka通訊。同時，Hisoka惡意軟體和攻擊者通過創建電子郵件草稿交換數據。使用電子郵件草稿以及相同的合法交換帳戶進行通訊，將不會檢測到出站或入站收到的電子郵件。

為了啟用基於電子郵件的C2通道，攻擊者執行命令：–E EWS，並提供如下數據：

<username>；<password>；<domain for exchange server>；<exchange版本（2010 2013）>

為了啟動通訊，Hisoka創建一個初始電子郵件草稿，通知攻擊者它已經準備好接收命令。初始電子郵件草稿包含主題「present」，郵件正文為空，在「to」欄位中有一個電子郵件地址，該地址的標識符是目標系統的唯一標識符（在我們的測試中為「abcdef」）。圖2顯示了Hisoka通過OutlookWeb登錄帳戶查看初始草稿電子郵件。

要發出命令時攻擊者將登錄到同一帳戶，並創建主題為「project」的草稿和精心編製的消息正文，其中包含加密字元串的命令。

通過分析程式碼確定了此郵件正文的結構，電子郵件必須包含字元串和base64編碼的密文。

攻擊者將對每個字元使用83（0x53）xor操作並進行base64編碼來加密命令。圖3顯示了用於測試C2通道的電子郵件草稿，該C2通道發出命令c-get c: windows temp test.txt，Hisoka將解析該命令並將其視為上傳文件的命令，路徑為c: windowstemptest.txt。