【腾讯反病毒实验室】深度剖析APT28最新作品

近日，MacOS平台首次出现了XAgent的病毒样本。XAgent家族是由俄罗斯知名黑客团队APT28开发的间谍软件，具备反调试，键盘记录，下载文件和加密通信等恶意能力，在各种主流操作系统中都有样本出现，在近年来的黑客入侵事件中扮演了重要的角色。本文首先对APT28的背景进行解读，从技术角度深度分析该间谍软件，从挖掘出的病毒特征证实该样本出自APT28之手。最后提供了YARA规则用于判定此类病毒。

本文由腾讯反病毒实验室出品，该实验室2017年一月份开源恶意软件分析工具HaboMalHunter，将会作为腾讯首个在安全领域开源的项目登上Black Hat Conference，敬请关注。

官方开源地址：

https://github.com/Tencent/HaboMalHunter

（点击文末阅读原文，直接访问该项目）

1. APT28解读

APT28被证实是俄罗斯政府支持的组织[4]，该组织由经验丰富的开发人员和黑客组成，主要收集国防和地缘政治方面的情报，该组织相关攻击时间最早可以追溯到 2007 年。APT28间谍活动主要针对美国、欧洲和前苏联国家，包括政府和军事单位、国防机构、媒体以及与俄罗斯当局持不同政见者。

1.1 攻击方法

通过分析APT28之前所使用的恶意软件(Sofacy和XAgent)，能够体会到这个黑客组织的在技术上的强大之处。例如在针对格鲁吉亚内务部的APT攻击中[5]，首先该黑客组织使用了鱼叉式攻击，使用带有下载器(Sofacy)的Excel文档作为附件进行第一阶段撒网式的攻击，为了增加迷惑性，文件名称，内容和邮件主题都含有真实的格鲁吉亚驾驶证ID信息。当用户误点了附件之后，利用Office 漏洞释放下载器，接着下载器收集基础信息然后加密回传给C&C服务器，等待后续指令。值得主意的是，回传信息使用的信道，可能是HTTP,也可能是邮件SMTP协议，并且邮件的标题也包含驾驶证信息，这样做为了掩人耳目，试图躲避网络监控和分析。当C&C服务器分析受害者的价值之后，才决定是否展开第二轮攻击(XAgent)。同样也是为了减少攻击所使用的漏洞利用技术，加密通信技术等遭到泄露。

除了常见的隐藏手段，APT28制作的病毒，还将配置信息(C&C服务器)加密保存在注册表中。这样即使获取了病毒文件，也无法和后端服务器通信，增加了分析研究的难度。另一方面，XAgent系列病毒在Windows, Linux, Android甚至iOS平台上均有发现，开发如此高质量的间谍软件，需要各个操作系统的专业知识，所以有理由推测APT28是一个组织严密，分工细致的黑客团队。

1.2 恶意行为

根据从本次样本中挖掘出的逆向信息，该样本属于间谍软件,如下表所示，该样本具备，键盘记录，进程注入，窃取密码多种恶意行为。

1.3 黑客事件

2014年，乌克兰总统选举期间，乌克兰选委网站的网络投票遭受黑客攻击，包括入侵系统、窃取数据、ddos攻击，以及尝试用假选举结果篡改网站内容。乌克兰官员披露，在之后的调查中，发现了APT28组织使用的恶意软件。

2015年，法国电视台TV5Monde遭到大规模网络攻击，攻击者入侵了电视台的广播传输渠道，删除重要数据，破坏重要的硬件设施。短短几分钟内，TV5Monde的12个频道全部瘫痪。之后的事件调查发现，此次的攻击行为与黑客组织APT28有关。

此外，APT28还在2016年入侵了世界反兴奋剂组织的数据库，窃取了运动员的医疗数据，并在网上公布了部分运动员的医疗档案，披露了美国等国家数位高水平运动员豁免使用禁药的事件。

近期，俄罗斯黑客介入美国总统选举的报告被披露，矛头直指黑客组织APT28。报告声称APT28入侵了民主党全国委员会的邮箱服务器，导致了大量邮件被公开。全美媒体对公开的邮件进行了大量的报道，扩大了攻击的效果。

2. 技术分析

通过对MacOS平台上XAgent样本的深入分析，发现该样本具备反调试，盗取密码，下载文件和加密通信等多种能力，总结出该病毒的功能模块信息如下。

2.1 静态分析

首先本次分析的XAgent样本属于MacOS平台上的二进制可执行格式即Mach-O格式，其在VirusTotal中的基本情况如下：

从基本信息来看，该样本近期才被发现，后续的分析也能够印证其应该处于开发的初级阶段，不排除后续升级的可能。静态分析主要从字符串特征，代码逆向等方面进行。

2.1.1 字符串特征

病毒文件中包含的可见字符，是病毒静态特征的重要来源，也会大量用于病毒判别规则中。从结果中可以得出如下信息：病毒尝试访问浏览器(Firefox)和通讯录(TCC.db),开发者用户名(kazak)和该病毒的工程名(XAgentOSX),恶意行为函数名(executeShellCommand)和C&C服务器域名(apple-iclods.org)。

alices-iMac:~ root# strings -n 8 -a ./XAgent.macho.bin | sort | uniq

/Applications/Firefox.app/Contents/MacOS
/Library/Application Support/com.apple.TCC/TCC.db
/Users/kazak/Desktop/Project/XAgentOSX/XAgentOSX/Source/Boot/Boot.mm
<font size=4 color=red><pre>Error take screenshot</pre></font>
executeShellCommand:

http://apple-iclods.org/

injectRunningApp

2.1.2 代码逆向

通过代码逆向发现，病毒使用Object-C编写。由于篇幅的限制，这里只展现一些有趣的细节：下图的反编译结果展现了样本提取Firefox密码的SQL语句。

2.2 动态分析

动态分析以MacOS Sierra 10.12 为环境，会重点关注反调试机制，文件I/O和网络通信等方面。

2.2.1 反调试机制

在动态调试过程中，发现病毒触发了自删除行为。如下汇编代码展示了这一技术，其中sysctl系统调用，传入了CTL_KERN参数，如果检测到了调试器，病毒会调用remove()函数，将自身删除。

2.2.2 文件I/O

通过对文件I/O行为进行监控，发现该样本试图对日志(Logging)、网络(CFNETWORK_DIAGNOSTICS)、用户界面(SystemAppearance)、键盘布局(AppleKeyboardLayouts)等关键文件进行访问和操作。

  UID    PID COMM          FD PATH   
    0    346 XAgent  -1 /Library/*/Logging/Subsystems/com.apple.defaults.plist 
　　0    346 XAgent   4 /usr/share/icu/icudt57l.dat 
　　0    346 XAgent  -1 /System/*/CFNETWORK_DIAGNOSTICS 
　　0    346 XAgent   4 /System/*/SystemAppearance.car 
    0    346 XAgent   4 /System/*/AppleKeyboardLayouts-L.dat 
    0    346 XAgent   4 /var/db/mds/messages/se_SecurityMessages 
    0    346 XAgent  -1 /var/root/Library/Cookies/XAgent.binarycookies

2.2.3 网络监控

首先分析样本发起的DNS查询，可以得到5个C&C服务器信息,而且反汇编的结果也提供了交叉验证。在特征规则中这些域名信息会被整理成判定规则。

其次，根据反汇编的结果，我们主要从HTTP协议进行分析。如下图所示，样本使用{watch,search,results,open,close}等命令同C&C服务器进行通信。其中参数都是经过RC4加密后,然后base64编码的。比较遗憾的是，这些请求均没有得到服务器的响应。

通过网络分析，可见该样本只接收数据上报，对于普通的客户端不会进行回复，符合间谍软件的定位。

至此对于该病毒的分析已经告一段落，可以看出该病毒具备较多的恶意能力，同时后台服务器的策略做的非常周密。不足之处是，对于Object-C代码混淆和关键字符串混淆做的不够完善，所以猜测该样本处于开发阶段，后续会持续进化。

3. 特征规则

经过上一节的病毒分析过程，我们掌握了该样本的静态和动态特征，本节会先介绍该样本被判断为XAgent的原因，然后介绍该样本的判定规则。

3.1判定原因

首先直接原因是样本中出现了体现作者和样本项目名称的源代码路径信息。XAgentOSX直接提示该样本属于MacOS平台上的XAgent家族。

/Users/kazak/Desktop/Project/XAgentOSX/XAgentOSX/Source/Boot/Boot.mm

其次，根据Google发布的Windows和Linux平台上的XAgent报告[3]，我们可以找到该样本和其他平台上的样本的共同点。

如下图所示，报告中分析的URL格式和该样本一致。

而且，该样本也使用了HTML做为日志格式。同报告中披露的日志格式一致。并且对字体和颜色的设置也是相同的。

、

综合这两方面的原因，可以确定该样本是APT28团队制作的MacOS平台上的XAgent间谍软件。

3.2 判定规则

根据前面静态分析的结果，提取了如下YARA规则对MacOS平台上的XAgent病毒进行判别。此条YARA规则可以分为三个部分，首先判断Mach-O的文件头，其次提取关键的字符串信息，例如keylog,项目名称和通讯录文件名等。最后是该样本试图访问的C&C服务器的IP或者域名，对于C&C服务器,只要满足其一即可。

 rule MacOS_XAgent
{
    meta:
        Date    = "2017/02/21"
        Description = "MacOS XAgent APT28"
    strings:
        $s0 = "keylog_spec_key"
        $s1 = "encryptedUsername"
        $s2 = "com.apple.TCC/TCC.db"
        $s3 = "kazak/Desktop/Project/XAgentOSX"
        $s4 = "Error take screenshot"
        $cc0 = "23.227.196.215"
        $cc1 = "apple-checker.org"
        $cc2 = "apple-iclods.org"
        $cc3 = "apple-search.info"
        $cc4 = "apple-uptoday.org"
        $mach = {CF FA ED FE} // Mach-O
    condition:
        $mach in (0..4) and all of ($s*) and 1 of ($cc*)
}