e安全10月16日讯 戴尔旗下安全公司secureworks事件响应与反威胁单位（简称ctu）的研究人员们对bronze butler威胁组织（或称tick）相关活动展开调查，secureworks公司称bronze butler的行动表明，其长期以来一直试图渗透日本企业以窃取知识产权及其它机密数据，相关入侵活动还证明，该恶意集团的入侵目标主要集中在关键基础设施、重工业 、制造业以及国际关系网络层面。ctu研究人员怀疑该组织可能位于中国。
ctu研究人员将这一威胁组织的相关威胁情报划分为两大类：战略与战术。各企业高管可利用对相关持续威胁的战略评估结论判断如何有效降低所在企业内日常业务及关键资产所面临的风险。计算机网络维护人员则可利用此次事故响应调查与研究中收集到的战术信息作为指导，从而降低应对该威胁组织相关活动所投入的时间与精力。
ctu研究的键点
分析bronze butler的行动、目标与能力，帮助ctu研究人员评估该组织位于中国境内的可能性。该组织曾利用鱼叉式钓鱼攻击、战略性网络入侵（简称swc）以及一项零日漏洞对目标系统实施入侵攻击。在自网络中提取目标数据后，bronze butler通常会删除其活动所留下的相关证据。不过其仍会尽可能保留对所入侵环境的持续访问能力，定期重新访问目标站点，借以发现新的数据窃取机会。该威胁组织成员似乎有能力开发并部署其专有恶意软件工具。该组织的命令与控制（c&c）协议经过加密，因此给网络维护人员与事件响应人员带来了一定挑战。
ctu研究发现的战略性威胁情报
分析bronze butler组织的指向、来源以及能力，将能够确定哪些企业可能因此面临风险。此类信息能够帮助各企业就相关威胁作出战略性防御决策。
黑客组织瞄准哪些内容？
ctu分析结果表明，bronze butler主要针对位于日本的企业机构。该威胁组织曾经以非法入侵与关键基础设施、重工业、制造业以及国际关系相关的组织机构的网络体系。secureworks分析师观察到，bronze butler曾提取以下几类数据内容：
与技术与开发相关的知识产权产品规格敏感性业务与销售相关信息网络与系统配置文件邮件信息与会议记录
对于知识产权、产品规格以及企业信息的关注表明，该威胁组织正在积极收集其认为可能对竞争性企业具有实际价值的信息。而多样的目标设置则证明，bronze butler很可能由多个具备不同优先级考量的团队或者组织共同组成。
关于bronze butler组织的归因
以下特性使得ctu的研究人员们认定bronze butler很可能位于中国：
使用公开发布于某中国开发者网站上的t-smb扫描工具在其xxmm后门的某一早期版本中，在安装服务中使用中文字符bronze butler的恶意软件 daserf 后门工具与来自中国的ncph黑客组织之间存在记录关联，另外在中国国内法定假日期间bronze butler的活跃度水平有所下降
中国近年来经济迅猛发展，增长速度飞快。英国前内政部国务大臣麦克·贝茨勋爵表示，中国经济增长奇迹令世界叹服。
但仍有外媒认为，中国的网络间谍组织可能是受到中国雄心勃勃的经济增长目标的有力推动，高度关注竞争性经济体所掌握的知识产权与经济情报，且积极窃取可在国内实现竞争优势的信息。
然而，中国的基础设施年支出已经超过了美国和欧盟，拥有世界上最大的高速铁路网——截止2016 年里程已达到约2万公里，是欧洲已建或在建高速铁路总长度的两倍左右。此外，自2007年以来，中国机场的数量增加了62%，高速公路总长增加了157%，集装箱码头的数量增加了132%。而另一方面，《中国互联网经济白皮书：解读中国互联网特色》显示，中国已经成为全球互联网经济的先锋，并与美国一起成为驱动全球互联网发展的双引擎。
bronze butler组织的网络能力
bronze butler曾使用多种广泛公开（包括mimikatz与gsecdump）以及专用型（daserf与datper）工具。其似乎拥有充足的资源以长时间不断开发并替换各类专用工具。该组织开发出可生成并利用加密 c&c 通信机制的远程访问工具及恶意软件，从而提升了检测与问题缓解工作的复杂程度。另外，其组织成员亦能够流利使用日语编写指向日本本土的钓鱼邮件，并可在日语环境中成功开展攻击。
ctu分析结果表明，bronze butler曾经以购买形式获取到其 c&c 基础设施当中一部分方案。其基础设施当中的相当一部分立足日本运行，这可能是为了避免国际通信安全机构的监督与审查。该组织会定期更改各已入侵网络的 c&c ip地址与域名，从而限制其基础设施被列入黑名单的可能性。另外，该组织还通过访问已入侵网站补充自身运营基础设施，bronze butler可能曾经具备专用基础设施的信息获取能力。
该组织已经被证明有能力发现一款高人气日本企业工具中存在的严重零日漏洞，而后通过扫描及利用这项漏洞无差别破坏日本国内各面向互联网的企业系统。该组织似乎首先建立初步立足点，而后有选择地对目标实施进一步入侵。该组织会关注已入侵网络的变化，并主动尝试通过修改工具及入侵方法以回避网络维护人员的审查。在长达5年时间内，其始终成功潜伏在多套已入侵网络当中且始终未被察觉。
ctu研究发现的战术性威胁情报
事件响应行动使ctu研究人员们得以深入了解bronze butler在入侵期间所使用的工具与具体策略。
攻击活动使用工具调查
ctu研究人员们已经观察到bronze butler利用以下独有的工具方案。图一所示为该威胁组织在2012年到2017年期间所使用的部分专属工具。
图一：bronze butler所使用恶意软件时间线。（来源：secureworks）
daser —这套后门具备远程shell功能，可用于执行命令、上传与下载数据、捕捉屏幕截图以及击键记录。其采用rc4加密与自定义base64编码对http流量进行混淆。ctu研究人员们确定daserf拥有两个版本，分别在visual c与delphi中编写而成。编译时间戳分析结果证明，delphi版本属于visual c版本的后继者。ctu还通过分析发现，以下注册表项能够证明计算机已经受到delphi版本daserf的感染：key: hkcu\software\microsoft\windows\currentversion\explorervalue: mmid = datper — bronze butler之所以创建这套delphi编码rat，可能是为了替代daserf。datper采用rc4加密配置以混淆http流量。xxmm (亦被称为minzen) — 此rat有可能属于daserf的后继者，其通过一次性加密密钥实现aes加密http通信机制。研究人员们发现，bronze butler在其恶意活动中表现出对datper与xxmm的使用偏好。ctu研究人员还确定了xxmm的xxmm builder（详见图二），这表明该组织成员会根据目标定制xxmm恶意软件设置。
图二：xxmm builder当中的可定制设置。（图片来源：secureworks）
xxmm下载器(亦被称为kvndm) — 这款简单下载器的代码类似于主xxmm的有效载荷。gofarer — 这款下载器在其http通信中使用“mozilla/4.0+(compatible;+msie+8.0;+windows+nt+6.1;+trident/4.0;” user-agent（详见图三）。
图三：gofarer http get请求。（图片来源：secureworks）
msget — 这款持久下载器利用机密传递点解析器（简称ddr）以下载并执行其它恶意有效载荷。msget通常从其中的硬编码url处下载已编码二进制文件。在解码之后，msget会将该二进制文件保存为%temp%\msdget — 这款简单下载器（详见图四）类似于wget web服务器检索工具。
图四：dget使用情况。（图片来源：secureworks）
screen capture tool — 这款工具能够捕捉受害者系统中的桌面图像（详见图五）。
图五：screen capture tool使用情况。（图片来源：secureworks）
rarstar — 这款定制化工具能够将rar归档文件以post数据的形式上传至特定url处（详见图六）。rarstar会利用base64与一套定制化xor算法对post数据进行编码。
图六：rarstar http post请求。（图片来源：secureworks）
bronze butler还曾经利用以下公开工具，但ctu的研究人员们发现该组织对其中大部分工具作出了修改。通过分析，研究人员确定其中曾使用多种打包工具、对源代码进行功能调整并加以重新编译。
mimikatz、windows credential editor (简称wce)、gsecdump — 这3款工具能够从内存中获取密码。t-smb scan — 这款smb扫描工具最初发布于中国某程序共享网站（pudn）。bronze butler删除了其中的辅助信息功能。winrar — 这款工具能够在后续操作解压出其它工具，并对所提取数据进行压缩。
从黑客组织攻击过程可以得到哪些启发？
事件响应行动使得ctu研究人员能够深入了解bronze butler在入侵期间所采取的具体策略。
交付
bronze butler利用鱼叉式钓鱼邮件与swc入侵目标网络，且大多借助flash。该组织曾经利用包含flash动画附件的钓鱼邮件下载并执行daserf恶意软件，亦利用flash安全漏洞进行swc攻击。
ctu研究人员们观察到，bronze butler利用各已入侵网站（通常位于日本及韩国）作为其攻击基础设施的组成部分。该组织也表现出了在攻击活动中入侵并利用大量网站的实际能力。由于在同一次攻击活动中能够使用大量 c&c 服务器与多条ip地址，因此该组织似乎也在购买服务器以攻击基础设施。bronze butler曾经面向不同目标使用特定攻击基础设施，这证明其会对运营基础设施进行主动分配，从而尽可能降低自身活动被安全研究人员归因的风险。
漏洞利用
在对2016年的入侵事件进行调查时，secureworks事件响应人员发现，bronze butler曾利用skysea client view（一款日本高人气企业it资产管理产品）中当时尚未得到修复的远程代码执行漏洞（cve-2016-7836）。sky集团于2016年12月21日正式公布此项安全漏洞，但受害者在skysea client view默认日志（ctlcli.log）中的条目显示，至少自2016年6月以来，该黑客组织就已经开始利用这一漏洞。
图七：skysea client view日志条目显示出cve-2016-7836漏洞利用情况。（图片来源：secureworks）
在将便携式连接设备——例如lte usb调制解调器——接入企业设备时，攻击者即有机会利用此项漏洞。事实上，差旅及远程协作的日本员工经常使用便携式连接设备以接入互联网及企业vpn。然而，其中部分设备会将互联网服务供应商的全局ip地址分配给接入的笔记本电脑。恶意攻击者能够利用这一漏洞来模拟管理控制台，同时破坏笔记本电脑中的skysea代理以使其暴露在互联网之上。
bronze butler会定期进行互联网扫描，旨在发现易受攻击的主机。ctu研究人员们证实，一部分受到入侵的系统并没有遭遇进一步破坏或者横向移动。结果表明，该威胁组织可能会将恶意软件部署到所有已发现的易受攻击系统当中，而后验证目标系统与自身关注点之间的联系，最终仅针对特定目标执行进一步活动。
安装
恶意攻击者利用多种依赖于可执行文件、powershell脚本或者vbs/vbe脚本的定制化下载工具，包括gofarer、msget以及xxmm下载器。这些下载器使用http流量，以压缩与编码格式下载其它有效载荷（例如daserf、dapter或者xxmm），并通常会在文件解码之后执行下载完成的恶意软件。
ctu研究人员识别出一款下载器程序中的代码，如图八所示。此代码会在该可执行文件末尾插入“0”字符以将该文件大小提升至50到100 mb，从而尝试逃避反病毒软件的检测。在对bronze butler攻击进行分析时，ctu研究人员们观察到这种进行主动体积提升的文件确实能够逃过多种反病毒工具的法眼。
图八：用于提升有效载荷文件大小的下载器恶意软件代码。（图片来源：secureworks）
ctu研究人员们还观察到，bronze butler会在已入侵系统上将下载器源代码下载至一个文件当中（do.cs），而后将其编译为可执行文件（do.exe）。经过解密的代理日志显示，恶意攻击者确实在已入侵系统上编译定制化代码（详见图九）。
图九：解密代理日志显示，已入侵端点上曾进行定制化代码编译。（图片来源：secureworks）
利用命令与控制（简称c&c）通信
daserf、datper以及xxmm通过http、加密命令以及数据同 c&c 服务器进行通信，具体加密算法如表一所示。只要已入侵系统在代理定义的授权时间内进行通信，这些工具即可利用ie浏览器组件绕过代理身份验证服务器。
恶意软件
http 方法
加密算法
daserf (visual c)
post
rc4
daserf (delphi)
get (大型数据则使用post)
rc4
datper
get (大型数据则使用post)
rc4
xxmm
get (大型数据则使用post)
rc4aes外加一次性加密密钥
表一：daserf、datper以及xxmm加密算法。
bronze butler为每款工具配备特定的 c&c 服务器，同时会定期更改 c&c 服务器。该组织的 c&c 服务器中有很大一部分位于日本。代理日志（详见表二）中的特定url模式能够揭露bronze butler的具体活动。
恶意软件
url模式
用户-代理
daserf
http://.gifhttp://.asphttp://.php?id=&=
mozilla/4.0 (compatible; msie 8.0; windows nt 6.0; sv1)internet explorer 多个版本
datper
http://.php?=1http://.php?=2
xxmm
http://.php?t0=>&t1=&t2=&t3=&t6=http://.php?id0=&id1=&id2=id3=&id6=http://.php?idcard0=idcard1=
mozilla/4.0 (compatible; msie 8.0; windows nt 6.0; sv1)
表二：与bronze butler恶意活动相关的url模式。
bronze butler在这些工具当中利用远程访�...