臭名昭著的遠端控制木馬Poison Ivy（後面稱作PIVY）最近開始重新露出水面。並且出現了一些新行為。過去一年，已經發現PIVY為了種種企圖攻擊了許多亞洲國家。

Palo Alto Network的Unit 42最近釋出博文，一個被稱為SPIVY的新Posion Ivy變種正在攻擊香港活動家，它使用DLL旁載入（DLL sideloading），並且在操作方面與ASERT（Arbor’s Security Engineering & Response Team ）最近發現的至少活躍了12個月的變種有很大不同。

技術細節

ASERT捕捉到的PIVY變種與以前發現的相比出現了一些新的行為。樣本會釋放一個doc誘餌-通常在目標上會有清晰地提示，一個名為ActiveUpdate.dll的DLL和PIVY shellcode檔案Active.dat。ActiveUpdate.dll和Active.dat檔案在形如ActiveUpdate_ [0-9]{3}的資料夾中建立。

可執行檔案把rundll32.exe拷貝為ActiveFlash.exe，然後用這個新檔案執行DLL，通過在Window啟動目錄下建立.Lnk檔案實現自啟動安裝。ESET把這些樣本稱為“Win32/Korplug.I[F-I] variant”，或許是因為惡意軟體通過rundll32使用DLL旁載入技術載入釋放的DLL來執行它的惡意行為。這個惡意軟體從去年（或許更早）就開始部署了，在拷貝rundll32時使用了不同的可執行檔名和目錄名，但是，這篇文章只討論使用“ActiveUpdate”的變種子集。

PIVY樣本的執行流程圖

這些二進位制的編譯時間與第一次發現它們在外散播的時間聯絡緊密，與樣本在配置檔案中的一些活動ID（campaign ID）裡包含的時間戳項的聯絡也很緊密。

解密後的配置檔案也發生了輕微的變化，這樣就可以干擾網上公開的工具解析配置檔案資料。活動ID也不再是全部使用null填補，而是使用一個位元組的null加一個全為“x”字元的字串來填補，這樣就可以起到干擾一些指令碼的作用。此外，C2s也不再使用null填補，每個主機名後面都會包含一個null位元組，後面接著是一個類似於“0.1127.0.0.1127.0.0.100000”的字串。對於每個Command & Control (C2)伺服器，這個字串會有輕微的變化，以“1”開始的地方會在第二個C2時變成“2”，第三個會變為“3”，以此類推。這些值最後會出現在記憶體的某個地方，解析時不需要額外的東西只需要做一點微調就可以了。

在許多PIVY樣本中發現了名為webserver.servehttp[.]com的主機名，這篇文章中會涉及到其中一些。此外，這個主機名解析出來的IP，與早期發現的似乎與此無關的PIVY樣本中使用的fileshare.serveftp[.]com解析出的IP有重合。

 誘餌文件和目標資訊

發現許多PIVY樣本攻擊緬甸和其它一些亞洲國家。但是ASERT目前還不知道其確切的目標和傳播方法，文件和提交源提供了關於攻擊的動機和潛在目標的線索。前一部分描述的樣本-a7d206791b1cdec616e9b18ae6fa1548ca96a321-被發現於2015年12月後期攻擊緬甸，樣本的編譯時間戳是2015年12月2日，檔名裡的時間標記看起來是引用了2015年12月25日釋出的一篇報告，而檔案是在美國時間2015年12月24日傍晚首次看到的，這正好是緬甸的12月25日。釋放了名為“STEP Democracy Year 1 Acheivements_25112015.docx”的文件，該文件也被SHA1值為724166261e9c2e7718be22b347671944a1e7fded的樣本釋放為“Year1achievementsv2.docx”，但是這個樣本在與之相同的C2s上使用了不同的通訊金鑰。文件似乎是STEP民主倡議的分支，國際民主和選舉援助學會（International Institute for Democracy and Electoral Assistance，IDEA），在12月釋出的最終報告的草案。

IDEA是歐盟資助的專案-支援選舉程式和民主（Support to Electoral Processes and Democracy ）(STEP Democracy)的一部分，它的目標是在全世界支援民主。IDEA在緬甸最近選舉前後都與其協作，保證“和平，透明和可信的選舉”。這項工作的一部分是釋出類似於上面提到的報告和草案。在這裡，誘餌檔案的元資料包含一個“0IDEA”的公司名和一個“Sophia”的作者名-或許是組織中的某個現任成員，

最後一次編輯時間是2015年12月20日。文件的內容描述了關於緬甸民主選舉的一場辯論的細節。這個時間軸說明目標經歷了12月初發生的選舉，但是仍然關注有志於緬甸國內民主的個體。緬甸選舉後的目標好像是跟隨ASERT寫的“Uncovering the Seven Pointed Dagger”文章中提到的模式。在這裡看起來，攻擊者開始使用STEP組織的文章，利用選舉後的緬甸相關內容繼續開展魚叉攻擊。這些樣本使用的C2-jackhex.md5c[.]com-解析出的IP地址屬於103.240.203.0/22，而在Seven Pointed Dagger攻擊活動中也是這樣做的，這說明兩者存在可能的聯絡。“LURK0”Gh0st遠端管理工具和另外一個PIVY域名也同樣解析到了那個範圍裡的IP，這說明這個子網有發動針對性攻擊的嫌疑。

釋放的涉及緬甸民主程序的文件

同時最近也發現了許多關注經濟的文件，並且其中一個樣本也涉及到緬甸。這個樣本使用了“mm20160405”活動ID，釋放了名為“Chairman’s Report of the 19th ASEAN Regional Forum Heads of Defence Universities, Colleges, Instiutions Meeting, Nay Pay Taw, Myanmar.doc” 的檔案，其中提到了2015年9月在緬甸召開的東南亞國家聯盟(Association of Southeast Asian Nations,ASEAN)會議。這個樣本的時間與早些時候的樣本有點不同，好像是一個後續活動，因為惡意檔案的編譯時間戳是2016年3月25日，再加上活動ID裡的時間戳是2016年4月5日，以及首次發現在外散播的時間是2016年4月11日。配置檔案中的mutex-20150120-與前期釋放STEP計劃相關文件的樣本的mutex是同一個，但是這個mutex在其他許多使用“ActiveUpdate”目錄結構的PIVY樣本中也被使用，好像不是用於識別活動或者識別外面的使用相同版本的樣本之間的關係。這個樣本中使用的C2-admin.nslookupdns[.]com-解析到了118.193.218.0/24子網中包含的IP。與前面討論的樣本相同，ASERT觀察到了包括Nitol, Gh0strat以及其它使用“ActiveUpdate”的PIVY樣本在內的惡意軟體家族存在重疊。這個樣本的C2域名是news.tibetgroupworks[.]com，這明顯得暗示了目標動態，但是，沒有發現釋放誘餌文件，也沒有發現進一步的資訊幫助支援這個目標假定。

釋放的與緬甸的ASEAN會議相關的文件

繼續討論關於攻擊ASEAN的活動的話題，樣本31756ccdbfe05d0a510d2dcf207fdef5287de285釋放了名為“Robertus Subono-REGISTRATION_FORM_ASEAN_CMCoord2016.docx”的誘餌文件，它涉及到2016年3月28至4月1日在曼谷舉辦的東盟人道主義軍事協調會議。這個文件是印度尼西亞出席者的登錄檔，要發往泰國國防部郵箱。這個樣本的編譯時間是2016年3月10日，被ASERT在2016年3月20日首此發現，並且包含了一個有效的Google數字簽名。把意圖，會議的地點以及表格要發往的郵件地址和“modth”活動ID相結合，推測這個樣本的可能目標是泰國國防部。這個樣本使用的C2與前面的涉及緬甸ASEAN會議的樣本在很大程度上相重合-第一個C2使用80埠，而前面的樣本使用81埠，並且它們都是使用了相同的mutex和密碼。這個重合暗示了對ASEAN成員國及他們舉行的會議的持續攻擊。

31756ccdbfe05d0a510d2dcf207fdef5287de285樣本釋放的涉及泰國ASEAN會議的誘餌檔案

ec646c57f9ac5e56230a17aeca6523a4532ff472樣本釋放的“2016.02.29-03.04 -ASEM Weekly.docx”誘餌文件也很有趣，它不像其它兩個文件使用英文-谷歌識別出文檔中的語言為蒙古語。

ec646c57f9ac5e56230a17aeca6523a4532ff472釋放的涉及亞歐會議（Asia-Europe Meeting ，ASEM)的誘餌文件

f389e1c970b2ca28112a30a8cfef1f3973fa82ea釋放的誘餌文件1.docx，在沙盒中執行時奔潰，手工恢復出了一個韓文文件，惡意軟體的活動ID是kk31。這個文件看起來與外國的韓語學校有關，電話號碼說明從屬於韓國外交部，但是現在也不清楚其攻擊目標。

f389e1c970b2ca28112a30a8cfef1f3973fa82ea釋放的韓語誘餌文件

樣本f389e1c970b2ca28112a30a8cfef1f3973fa82ea釋放了一個名為“Commission on Filipinos Overseas & Dubai.doc”的誘餌文件，但是這個文件無論是在惡意軟體沙盒還是手動開啟都沒有正確渲染。VirusTotal顯示了一個來自菲律賓的樣本，這說明菲律賓是目標，並非阿拉伯聯合大公國的迪拜。這個樣本的C2s使用了webserver.servehttp[.]com，這在最近的許多樣本中也出現了，說明相同的攻擊者參與了這次攻擊活動。

結論

正如這篇文章和前面的幾篇文章中描述的，PIVY在持續進化，被用於無數的目標攻擊活動中-不像其它的惡意軟體家族，比如PlugX或者Dukes。這肯定不是PIVY的最後進化，ASERT會在發現他們時持續監視這些威脅。我要感謝ASERT的Curt Wilson幫助我研究文章中的一些問題。

原文出處：FREE510.COM