poison ivy：評估損害和擷取情報...fireeye, inc. poison ivy：評估損害和擷取情報 5...

Poison Ivy：評估損害和擷取情報

來源：FireEye Labs

作者：James T. Bennett Ned Moran 與 Nart Villeneuve

FireEye, Inc. Poison Ivy：評估損害和擷取情報 1

目錄

執行摘要 2

簡介 3

技術分析 4

擷取情報 13

Poison Ivy 樣本分析 13

結論 31

關於 FireEye 31


執行摘要

遠端存取工具 (RAT) 在 IT 安全性領域中十分常見，對於駭客而言，這算是一種輔助工具。但若輕忽了這種常見的惡

意軟體，代價可能甚高。儘管 RAT 在許多人眼中只是「初學者」(Script Kiddies)用來惡搞的軟體，但實際上，許多

周密的網路攻擊仍是以 RAT 作為樞紐。

使用者只需具備基本技術知識即可使用 RAT，隨意存取已遭入侵的電腦。其過程看似簡單 — 攻擊者只要動一動滑

鼠即可直通目標網路，竊取資料和智慧財產。但事實上，在巧妙運用未知的 (零時差) 軟體缺陷與社交工程的協同攻

擊中，RAT 常扮演關鍵要件的角色。

正當安全性專業人員認為已擺脫威脅時，RAT 本身可能已悄然引起目標性攻擊，一般稱之為進階持續威脅 (APT)。不同於以機動方式進行網路犯罪的惡意軟體 (通常由受害機器的殭屍網路所執行)，RAT 必須要真的有人在攻擊發起

端操控。

本報告聚焦於 Poison Ivy (PIVY)，此 RAT 已發行八個年頭，但儘管已歷經這麼久的時間，且在 IT 安全性領域廣為熟

知，卻仍深受愛用。FireEye® 搭配研究結果發行了 Calamine，這是一組免費工具，可協助組織偵測及檢查其系統

是否受到 Poison Ivy 感染。

Poison Ivy 曾用於好幾個著名的惡意軟體活動，其中最惡名昭彰的，是發生在 2011 年的 RSA SecurID 資料入侵。

同年，一項稱為 Nitro 的協同攻擊也利用 Poison Ivy 對化學公司、政府機構、國防公司與人權團體發動攻擊。

此外也有數個運用 Poison Ivy 的網路攻擊活動仍在持續中，包括：

• admin@338 — 此活動起始於 2008 年，主要以金融服務業為攻擊目標，但其行跡也見於電信、政府和國防等

部門。

• th3bug — 此活動在 2009 年初次被偵測到，其攻擊目標遍及多種產業，主要為高等教育與醫療保健領域。

• menuPass — 同樣現蹤於 2009 年，此活動有可能源自中國，以美國境內和境外的國防公司為攻擊目標。

Poison Ivy 為何仍是最廣為使用的 RAT 之一，原因並不難瞭解。RAT 可透過眾所熟知的 Windows 介面來操控，而

提供許多方便好用的功能：鍵盤輸入記錄、螢幕擷取、視訊擷取、檔案傳輸、密碼竊取、系統管理、流量轉送等。

此外，由於 Poison Ivy 的運用面極廣，安全性專業人員難以透過運用 RAT 的攻擊循線追蹤出特定攻擊者。

我們期望能以 FireEye Calamine 套件消除部分的匿名特性。這項可讓組織輕鬆監控 Poison Ivy 行為與通訊的套件

包含下列元件：

• PIVY 回呼解碼工具 (ChopShop 模組)

• PIVY 記憶體解碼工具 (Immunity Debugger PyCommand 指令碼)

ChopShop1 是由 MITRE Corporation 針對網路型通訊協定解碼器而最新開發的架構，可讓安全性專業人員瞭解由

操控端點的實際操作員所發出的實際命令。FireEye PIVY 的 ChopShop 模組可將 Poison Ivy 網路流量解密。

1 ChopShop 可從 https://github.com/MITRECND/chopshop 下載取得。


另一方面，PyCommand 則是可將 Immunity Debugger 的工作自動化的 Python 指令碼；Immunity Debugger 是對惡意軟體二進位檔進行逆向工程時常會用到的工具。2 FireEye PyCommand 指令碼可從受感染的端點上傾印

執行中 PIVY 程序的設定資訊，進而提供更多關於威脅發動者的資料。

FireEye 依循 BSD 兩條款授權 (BSD 2-Clause License)3，將 Calamine 工具廣泛分享給全球的資安社群，包括商

業與非商業用途。這些工具可從下列位置下載取得：

• https://github.com/fireeye/pycommands

• https://github.com/fireeye/chopshop

安全性專業人員可追蹤 PIVY 伺服器活動，而找出下列事證指標：

• 用於命令與控制 (CnC) 的網域與 IP

• 攻擊者的 PIVY 程序 Mutex

• 攻擊者的 PIVY 密碼

• 用於惡意軟體植入程式中的啟動器程式碼

• 惡意軟體活動的時間表

本報告將說明 Calamine 如何將這些與其他事證連結起來。此事證在與多個呈現相同識別特性的攻擊相關聯時，

特別能發揮效用。將這些基本詳細資料與整體性的情報相結合，將有助於呈現威脅攻擊者的輪廓，並提升 IT 防禦能力。

Calamine 或許無法阻止頑強的使用者利用 Poison Ivy 發動攻擊。但它可讓這些攻擊者的犯行難以輕易得逞。

簡介

Poison Ivy 是一項可由其官方網站 (www.poisonivy-rat.com) 免費下載的遠端存取工具。這項工具於 2005 年首次

發行，自 2008 年的 2.3.2 版後即未曾變更。Poison Ivy 具有多項與大部分的 Windows 型 RAT 相同的功能，包括鍵

盤輸入記錄、螢幕擷取、視訊擷取、檔案傳輸、系統管理、密碼竊取與流量轉送。

Poison Ivy 廣泛的使用性以及易於使用的功能，使其成為各類罪犯常用的工具。但最引人注目的，恐怕是它在許多

著名的目標性 APT 攻擊中所扮演的角色。

這些 APT 鎖定特定目標，利用 RAT 而得以持續潛伏在目標的網路中。它們會四處擴散，且只要攻擊者發出指令，

就會提升系統權限以擷取機密資訊。4,5 由於某些運用在目標性攻擊中的 RAT 使用面極廣，因此要判斷某項攻擊是否

屬於更廣泛的 APT 活動，常不是容易的事。此外，要識別惡意流量，以判斷攻擊者在破壞後所進行的活動以及評估

整體損害，也同樣很棘手 — 這些 RAT 通常在初次入侵後即會加密其網路通訊。

2 Immunity Debugger 可從 http://debugger.immunityinc.com/ 下載取得。

3 如需 BSD 兩條款授權 (BSD 2-Clause License) 的詳細資訊，請參閱 Open Source Initiative 的範本 (http://opensource.org/licenses/BSD-2-Clause)。

4 Joe Stewart。「Sin Digoo 事件。」2012 年 2 月。

5 Nart Villeneuve。「目標性攻擊的趨勢。」2011 年 10 月。


在 2011 年，也就是最新版 PIVY 發行的三年後，攻擊者利用 RAT 破壞了資安公司 RSA，並竊取關於其 SecureID 驗證系統的資料。該項資料後續又運用在其他攻擊中。6 RSA 攻擊與中國的威脅發動者有關，且在當時可說是極精

密的手法。此攻擊入侵零時差弱點，並以 PIVY 作為承載。7,8 這並不是單獨事件。此活動可能在 2010 年即已展開，

有其他多家都遭到入侵。9

PIVY 在發生於 2011 年、名為 Nitro 的活動中也擔任要角；此活動鎖定的目標為化學公司、政府機構、國防公司與

人權團體。10,11 Nitro 在隔年 (2012 年) 仍持續活躍，攻擊者利用 Java 中的零時差弱點部署了 PIVY。12 就在不久

前，PIVY 成為 Internet Explorer 中某項零時差入侵的承載，用來對美國政府網站和其他各種網站的訪客發動名為

「策略性網頁入侵」的攻擊。13

利用 RAT 發動攻擊時，必須真的有 APT 攻擊者進行直接而即時的操作。這項特性與犯罪軟體 (著重於網路犯罪的惡

意軟體) 有顯著的差異；採用犯罪軟體時，罪犯可隨心所欲地對其在遭破壞的端點上植入的殭屍網路發出命令，並

使這些端點執行特定工作以遂行其目的，例如垃圾郵件轉送。相對而言，RAT 則個人化得多，並且可能意味著您所

面對的是對您的組織特別感興趣的威脅發動者。

技術分析

建置與植入

Poison Ivy 建置套件可讓攻擊者自訂及建置其本身的 PIVY 伺服器，並以行動程式碼的形式傳遞至遭入侵的目標 (通常採用社交工程)。此伺服器一旦在目標端點上執行後，即會連接至安裝在攻擊者機器上的 PIVY 用戶端，使攻擊者

得以掌控目標系統。

PIVY 伺服器程式碼可視攻擊者設定方式，透過多種方式在目標端點上執行。在最常見的設定中，PIVY 伺服器會將

其程式碼分成兩個部分：

• 初始化與維護程式碼

• 網路程式碼

初始化與維護程式碼會插入已在執行的 explorer.exe 程序中。根據攻擊者對網路程式碼的設定方式，此程式碼

會啟動隱藏的網頁瀏覽器 (系統的預設瀏覽器)，並將本身插入該程序中。接著，網路程式碼會從遠端下載 (以攻擊

者的 PIVY 用戶端作為 Shellcode) 其執行特性與功能時所需的其他程式碼和資料。新的程式碼會在目標端點上執行

於目標程序的環境中。PIVY 的所有全域變數、設定詳細資料和功能指標都會以 C-style struct (資料結構) 儲存，

而此結構也會插入至目標程序中的 PIVY 網路程式碼與「初始化與維護」程式碼內。

6 eWeek。「Northrop Grumman，透過複製的 RSA SecurID Token 入侵 L-3 通訊。」2011 年 6 月。

7 RSA FraudAction Research Labs。「攻擊剖析。」2011 年 4 月。

8 CNET。「使用 Excel 中的零時差 Flash 入侵攻擊 RSA。」2011 年 4 月。

9 Brian Krebs。「RSA 攻擊者還襲擊了哪些人？」2011 年 10 月。

10 Eric Chien 與 Gavin O＇Gorman。「Nitro 攻擊：竊取化學業機密。」2011 年 10 月。

11 GovCERTUK Computer Emergency Response Team。「目標性電子郵件攻擊警示。」2011 年 10 月。

12 Symantec。「目標性攻擊活動中使用的 Java 零時差入侵。」2012 年 8 月。

13 Yichong Lin。「DoL 水坑式攻擊使用 IE 零時差入侵。」2013 年 5 月。


圖 1：PIVY 伺服器設定詳細資料報告至 PIVY 用戶端

這項顯著特性的副作用是，在逆向查看程式碼的分解碼時，會將每個 CALL 指令與全域變數位址參照為登錄的位

移。插入 explorer.exe 中的程式碼尤其如此；不同於大部分插入軟體中的惡意程式碼，此程式碼會分別就個別

的函數插入—各自有其本身的記憶體區域，並在其 struct 中填入適當的函數指標。若啟用了「持續性」PIVY 選項，則也會將 watchdog 執行緒插入 explorer.exe 中，而在 PIVY 伺服器程序被目標的作業系統意外終止時自

動加以重新啟動。PIVY 的鍵盤輸入記錄功能若已啟用，也會插入 explorer.exe 中。

圖 2：資料與函數參照為 ESI 登錄所指向之 struct 的偏移


圖 4：explorer.exe 中的持續性執行緒可輕易從 Process Explorer 中刪除

圖 3：在 explorer.exe 的個別記憶體區域中插入的函數


命令與控制通訊協定

Poison Ivy 具有複雜的自訂 TCP 網路通訊協定。此通訊大多會使用具有 256 位元金鑰的 Camellia 密碼進行加

密。14 此金鑰衍生自攻擊者在建置 PIVY 伺服器時所提供的密碼。此密碼 (預設為“admin＂) 可用純文字或十六進

位 ASCII 格式提供。此密碼會補零至 32 位元組 (256 位元)。金鑰會在 TCP 工作階段開始時以「詢問/回應」演算法

受到驗證。PIVY 伺服器會將隨機產生的 256 位元組資料傳送至 PIVY 用戶端，而用戶端會使用金鑰加密資料，再將

其傳回給 PIVY 伺服器進行驗證。PIVY 通訊間所傳送的資料在加密之前，多半也會使用 Microsoft 的 LZNT1 壓縮演

算法進行壓縮15 (PIVY 會透過 Windows RtlCompressBuffer API 使用此演算法)。此通訊協定執行時，會以在開頭

處附加下列 32 位元組加密標頭的區塊傳送加密資料：

struct PI_chunk_header {

int command_id; int stream_id; int padded_chunk_size; int chunk_size; int decompressed_chunk_size; long total_stream_size; int padding;};

PI_chunk_header 結構的編排方式如下：

command_id — 此成員可識別與區塊資料相關的 PIVY 功能。

stream_id — 此成員可識別此流量所對應的資料流。PIVY 的通訊協定支援在同一時間傳送多個資料流。

padded_chunk_size — Camellia 是 16 位元組區塊密碼，因此會在標頭與資料區塊中執行補零動作。

chunk_size — 區塊可組合成可包含任何內容的資料流，例如傳輸的檔案、要執行的 Shellcode、螢幕擷取點陣

圖檔案或原始資料。

decompressed_chunk_size — 若此大小與 chunk_size 不同，則會使用 LZNT1 壓縮區塊。

total_stream_size — 此成員會指定要為相關的 command_id 傳送的總資料大小。

padding — 此成員會指定補零動作 (補至 32 位元組)。

14 若想進一步瞭解 NTT 建立的密碼，請參閱 https://info.isl.ntt.co.jp/crypt/eng/camellia/intro.html 。

15 如需此壓縮方法的詳細資訊，請參閱 http://msdn.microsoft.com/en-us/library/jj665697.aspx 。


256 位元組詢問要求

256 位元組加密詢問回應

4 位元組 little endian 長度指標 — 0x15d0 for v2.3.2 for v2.3.0

加密 Shellcode

4 位元組 little endian 版本號碼

4 位元組 little endian 長度指標

加密 Shellcode

圖 5：PIVY 初始通訊協定

圖 6：具有標頭的 PIVY 資料區塊

標頭

資料區塊

標頭

資料區塊

標頭

資料區塊

組合資料

解密與解壓縮


Calamine ChopShop 模組

FireEye Poison Ivy 解碼器會檢查每個 TCP 工作階段的開端是否有 PIVY 詢問/回應序列。如果有，此模組會嘗試使

用一或多個以引數形式提供的密碼來驗證回應。如果未提供密碼，則會嘗試使用預設密碼 “admin＂。

您可以提供純文字格式或十六進位 ASCII 格式的單一密碼。若要使用多個密碼，您可以指定以行分隔密碼的文字檔。若解碼器可根據提供的密碼識別有效的初始 PIVY 流量，則解碼器會將其餘的一或多個流量解碼。若要使用 FireEye ChopShop 模組，您必須安裝 CamCrypt；此為 Camellia 加密程式庫的開放原始碼實作所適用的 Python 包裝函

式。16 大部分的 PIVY 功能都涵蓋於此模組中。

註解：若 PIVY 流量未對應於任何提供的密碼，則無法解碼。所幸，萬一您遭到破壞的端點感染了 PIVY 或 PIVY 伺服器程式碼，您將可輕易找出自訂 PIVY 密碼，如「使用 Calamine PyCommand 指令碼找出 PIVY 密碼」一節所

說明。

Calamine ChopShop 使用注意事項

Calamine ChopShop 提供下列功能與選項：

• 使用 -f 選項時，傳入或傳出 PIVY 伺服器的檔案將會儲存至磁碟。

• 使用 -c 選項時，網路攝影機、鍵盤輸入記錄與單一螢幕擷取畫面將會儲存至磁碟。音訊擷取可儲存為可使用 SoX 等工具輕易轉換為 .wav 檔案的原始資料。17 解碼器可列印採樣率、通道與位元資料。

• 可顯示檔案與登錄搜尋的詳細資料和結果。

• 可顯示任何具現化之網路轉送的詳細資料。

• 可顯示使用中的連接埠清單。

此模組在某種程度上支援解碼 Windows 檔案清單、登錄、服務、程序、裝置與已安裝的應用程式清單。在 PIVY 流量解碼期間，此模組的預設輸出會列出已提出要求清單，並在情況允許時特別指出所列出的機碼或目錄。此時會

列出目錄清單，但不會顯示檔案詳細資料。以 -1 選項叫用模組時，所有傳回的清單資料都會以原始格式儲存至檔

案，如同 PIVY 用戶端所顯示：由字串和說明這些字串的二進位資料所組成的內容。若您想瞭解所列項目的詳細資

料，建議您對原始檔案傾印執行字串工具。

若出現了無法辨識的命令，或是您想擴充此解碼器的功能，建議您使用 -d 選項。此選項會以雙向列出所有標頭與

組合資料流的十六進位傾印，以利分析及建置其他剖析功能。

16 CamCrypt 可從 https://code.google.com/p/camcrypt/ 取得。

17 SoX 可從 http://sox.sourceforge.net/ 取得。


使用 Calamine PyCommand 指令碼找出 PIVY 密碼

有許多攻擊者會保留預設密碼“admin＂。在此情況下，您將可立即開始使用此解碼器。然而，攻擊者通常會選擇

建立唯一密碼，以強化安全性。但只要您能夠存取受 PIVY 感染的端點或 PIVY 伺服器執行檔，您就能輕易擷取密

碼。您可以透過多種方式擷取密碼，視您的環境與偏好而定。

如果您偏好使用記憶體傾印，數位鑑識專家 Andreas Schuster 發佈了適用於 PIVY 的絕佳 Volatility 外掛程式，可

供您使用。18 PIVY 大多數的有用設定資料 (包括密碼) 都可由 Volatility 傾印，如 Volatility 專案頁面所說明 (http://code.google.com/p/volatility/source/browse/trunk/contrib/plugins/malware/poisonivy.py?r=2833)。

如果您已設定惡意軟體分析環境，您將可快速簡便地使用 Immunity Debugger 的 Calamine PyCommand19 指令碼。

若要使用 PyCommand，請遵循下列步驟 (這些步驟可能隨情況而不同)：

1. 將 Immunity Debugger 附加至 PIVY 所插入到的程序中 (若 PIVY 未插入，則附加至 PIVY 程序本身)。

2. 在傳送與連接函數上設定中斷點。

3. 繼續執行。

4. 等候執行中斷。

5. 執行直到傳回為止，然後退出函數。

6. 執行 PyCommand。

7. 查看記錄以取得設定詳細資料。

損害評估

若要有效評估攻擊所造成的損害，您必須重建攻擊者的活動。根據攻擊者的善後清理程度，單靠主機鑑識可能無法

完整重建其活動。但若收集了 PIVY 網路活動，則可使用 Calamine ChopShop 模組設法重現這項資訊。

在下列範例中，我們設定了測試環境，並執行攻擊者在其使用 PIVY 破壞系統並準備四處擴散後通常會執行的命

令。接著，我們使用 Calamine ChopShop 模組重建先前執行過的作業。

18 Volatility 外掛程式可從 https://www.volatilesystems.com/default/volatility 取得。

19 Corelan Team。「開始撰寫 Immunity Debugger PyCommand：我的速查表。」2010 年 1 月。


防禦者的檢視攻擊者的檢視

Starting ChopShopInitializing Modules ...Initializing module ‘poisonivy_23x’

Transferred files will be saved..Screen/Cam/Audio/Key captures will be saved..Running Modules ...[2013-07-03 06:46:29 PDT] Poison Ivy Version:2.32[2013-07-03 06:46:30 PDT]*** Host Information***PI profile ID:malIP address: 192.168.0.12Hostname:BLUEWindows User:adminWindows Version:Windows XPWindows Build: 2600Service Pack:Service Pack 3

[2013-07-03 06:46:36 PDT] *** Shell Session ***Microsoft Windows XP [Version 5.1.2600](C) Copyright 1985-2001 Microsoft Corp.

C:\>[2013-07-03 06:46:42 PDT] *** Shell Session ***ipconfig

[2013-07-03 06:46:43 PDT] *** Shell Session ***

Windows IP Configuration

Connection-specific DNS Suffix . : IP Address. . . . . . . . . . . . : 192.168.0.15 Subnet Mask . . . . . . . . . . . : 255.255.255.0 Default Gateway . . . . . . . . . : 192.168.0.1

C:\>

[2013-07-03 06:47:23 PDT] inbound file C:\gsecdump.exe [2013-07-03 06:47:46 PDT] saved PI-extracted-inbound-file-1-gsecdump.exe..

[2013-07-03 06:47:46 PDT] *** Shell Session ***gsecdump.exe -a > hash.txt0043B820info:you must run as LocalSystem to dump LSA secrets

[2013-07-03 06:47:46 PDT] *** Shell Session ***

C:\>


防禦者的檢視攻擊者的檢視

[2013-07-03 06:47:54 PDT] *** Directory Listing Sent *** AUTOEXEC.BAT boot.ini CONFIG.SYS gsecdump.exe hash.txt IO.SYS MSDOS.SYS NTDETECT.COM ntldr pagefile.sys[2013-07-03 06:48:02 PDT] outbound file C:\hash.txt [2013-07-03 06:48:02 PDT] saved PI-extracted-outbound-file-2-hash.txt..

[2013-07-03 06:48:57 PDT] *** Screen Capture Sent ***PI-extracted-file-3-screenshot.bmp saved..[2013-07-03 06:49:03 PDT] *** Remote Desktop Session ***[2013-07-03 06:49:03 PDT] *** Remote Desktop Session ***Shutting Down Modules ... Shutting Down poisonivy_23xModule Shutdown Complete ...ChopShop Complete

圖 7：範例 PIVY 命令與檢視 (左側為防禦者，右側為攻擊者)

在初次破壞後，「攻擊者」發現了新的目標端點，而執行下列動作：

• 執行某些基本命令 (例如 ipconfig)，以收集該端點的網路資訊

• 上傳密碼傾印工具 gsecdump (可從 http://www.truesec.se/sakerhet/verktyg/saakerhet/gsecdump_v2.0b5 取得)

• 將密碼雜湊傾印至端點上的某個檔案

• 從端點下載包含密碼雜湊的檔案 (以在離線狀態下破解目標的密碼)

• 擷取目標桌面的螢幕快照


擷取情報

行動 (campaign) 是指一段時間內的一系列攻擊，最能適當說明 APT 活動 (activity)。一個行動內的每項個別攻擊

可分成下列階段：20,21,22

• 事前勘查

• 入侵

• CnC

• 四處擴散

• 滲透 (或在目標上執行的其他惡意動作)

在前述每個階段中，都有機會可找出關於對手的威脅情報。一段時間後，安全性專業人員即可取得事證並加以分

析，以研判攻擊是否構成以惡意軟體為基礎的間諜活動。

要進行此評估，必須瞭解攻擊的下列要件：

• 慣用的時機與目標

• 入侵與惡意軟體

• 網路基礎架構

• 攻擊者在受害網路內 (包括竊取的資料) 的活動範圍

• 目標群體的特性

此評估所需要的不只是惡意軟體分析。它必須同時對入侵的技術與情境層面進行分析，並進行競爭性假設分

析。23,24 這些都是很重要的步驟，因為調查者的觀察必定會有疏漏之處 — 受限於不夠瞭解攻擊波及的地域性和產業

類別，或攻擊在某些階段中進行惡意軟體活動的詳情。

Poison Ivy 樣本分析

針對此分析，我們收集了 194 個在 2008 到 2013 年之間用於目標性攻擊的 Poison Ivy 樣本。我們擷取出 22 個不同

的密碼與 148 個 Mutex。我們也對應出 CnC 基礎架構，其中包含 147 個網域與 165 個 IP 位址。

我們分析了這些樣本，以進一步瞭解攻擊者的工具、策略與程序 (TTP)，並探究其間的活動關聯，讓防禦者更能妥善

保護其網路。除了根據技術指標 (例如擷取自樣本的密碼與 CnC 資訊) 建立樣本的叢集外，我們也盡可能分析了情

境指標，例如攻擊者偏好的目標以及社交工程中所使用的誘餌。

20 SANS 電腦鑑識。「資安情報：定義 APT 活動。」2010 年 6 月。

21 SANS 電腦鑑識。「資安情報：攻擊網路擊殺鏈。」2009 年 10 月。

22 Richard Bejtlich。「入侵的事件階段。」2009 年 6 月。

23 Richard Bejtlich。「不只是惡意軟體分析。」2010 年 1 月。

24 Jeffrey Carr。「Mandiant APT1 報告有重大分析瑕疵。」2013 年 2 月。


使用的 TCP 連接埠 PIVY 樣本計數

443 157

80 104

8080 22

8000 12

1863 7

PIVY 程序 Mutex PIVY 樣本計數

)!VoqA.I4 14

K^DJA^#FE 4

KEIVH^#$S 3

%1Sjfhtd8 3

2SF#@R@#! 3

表格 1：PIVY 變體在 APT 攻擊中使用的一般 TCP 連接埠

表格 2：用以發動 APT 攻擊的 PIVY 變體中常見的程序 Mutex

每個 PIVY 伺服器 (攻擊者傳送至目標的惡意軟體) 經設定皆可使用任何 TCP 連接埠連接至多個 CnC 伺服器。因

此，一個 PIVY 樣本嘗試以不同的 TCP 連接埠連接至多個 CnC 伺服器，是可預期的情形。但最常用於目標性攻擊

中的其實是與 Web 流量相關聯的連接埠 — 尤其是 443，此為 SSL 加密 Web 流量所使用的 TCP 連接埠。

Port 443 成為首選的原因有二。第一，周邊防禦功能必須允許出埠流量通過此連接埠，使用者才能存取合法的 SSL 加密網站。其次，由於連接埠 443 上的流量會加密，因此 PIVY 的加密流量得以混入一般網路活動中。(但有許多可

識別通訊協定的周邊防禦功能都可偵測出 PIVY 流量，並加以標示)。


PIVY 密碼 PIVY 樣本計數

admin 38

keaidestone 35

menuPass 24

suzuki 14

happyyongzi 13

表格 3：用以發動 APT 攻擊的 PIVY 變體中常見的 PIVY 密碼

攻擊者可在建置時設定 PIVY 程序 Mutex 名稱。25 雖然有些攻擊會使用預設 Mutex )!VoqA.I4，但大多仍會為每

個攻擊分別建立自訂 Mutex。在此樣本集內的 147 個 Mutex 中，有 56 個設計為一次性的使用。

如果攻擊者在建置時建立了唯一密碼，而不是使用 PIVY 的預設值“admin＂，該自訂密碼即成為辨識度最高的指

標。雖然威脅發動者有可能隨著時間變更其使用密碼，但我們發現他們在重要階段通常會使用相同的密碼。發動者

所使用的密碼與 CnC 資料整合後，即成為具有辨識度的指標，可用來建立相關活動的叢集。

叢集

為了對 PIVY 樣本集內的特定 APT 行動 (campaign) 建立活動 (activity) 的叢集，我們首先依一般 CnC 基礎架構

為 PIVY 樣本分組。我們使用被動式 DNS，為解析出來的一般 IP 位址所使用的網域名稱建立叢集。由於攻擊者可能

會指向不一定由其控制的 IP 位址 (或指向被動式 DNS 資料中其他可能變異的帳戶)，以暫駐其網域，因此我們加入

了其他擷取自樣本的指標，例如 PIVY 密碼、Mutex、行動「標示/代碼」26 與啟動器資訊。27 透過我們的資料集，

我們聚焦在後續攻擊中使用的 PIVY 密碼所識別出來的三個不同 APT 行動與對應的威脅發動者上：

• admin@338

• th3bug

• menuPass

以上各行動會在對應的章節中詳細說明。

25 Mutex 是用於程序間同步處理的 Windows 物件。惡意軟體常利用此物件來確保受感染的系統上同一時間只會執行一個惡意軟體例項。

26 活動標記/代碼通常是威脅發動者所指定的字串，此字串常會納入為惡意軟體通訊的一部分，並 (或) 內嵌在惡意軟體二進位檔中。此字串可用來識別要對一組特定數量的目標 (通常依產業分類) 發動的目標性攻擊活動，讓威脅發動者可持續進行有組織的攻擊。

27 啟動器是指特別建置用來承載其他惡意軟體的惡意軟體 (承載)，其建置方式通常是先將承載解密，再將其插入目標端點上的主機程序中。


為了估算時間點 (可能使用樣本的時機)，我們使用擷取自 PIVY 樣本的可攜式執行檔 (PE) 編譯時間，以及每個樣本

首次出現在惡意軟體分析服務 (如 VirusTotal) 中的日期。這些 APT 活動從 2008 到 2013 年持續作用。

行動 1：admin@338

admin@338 威脅發動者的資料集包含下列項目：

• 21 個 Poison Ivy 樣本

• 3 個密碼

• 43 個 CnC 伺服器

我們最早的 admin@338 PIVY 樣本出現在 2009 年 12 月 27 日。但我們認為此行動在 2008 年 1 月 7 日即已開始，

使用的是其他 PIVY 密碼 (key@123 和 gwx@123)。此一持續性活動大多以金融、經濟與貿易政策為目標，但我

們在 ISP/電信、政府和國防部門也發現顯著的活動。

APT 群組每年發動的 PIVY 攻擊次數

0 10 20 30 40 50 60 70

2009

2008

2010

2011

2012

2013admin338

menupass

thebug

圖 8：用以發動 APT 攻擊的 PIVY 變體中常見的 PIVY 密碼


圖 9：admin@338 APT 群組攻擊百分比 (依產業別)

圖 10：admin@338 APT 群組所發動的魚叉式網路釣魚電子郵件範例

7%

7%

金融、經濟與貿易政策

製造能源

工程科技

顧問衛星

國防媒體

ISP/電信教育

政府

州與地方政府

智庫

41%

6%

6%

3%

3%

3%

6%

3% 6%

3% 3%3%

攻擊媒介

此行動的慣用攻擊媒介為魚叉式網路釣魚電子郵件。這些電子郵件依設計會使用與目標有關的內容，誘使目標開啟

內含惡意 PIVY 伺服器程式碼的附件。

雖然在圖 10 中，電子郵件訊息內文的字元集為中文 (字元集 GB2312)，但入侵之後所開啟的魚叉式網路釣魚電子郵

件與誘騙文件通常會是英文內容。28

28 Wikipedia。「GB 2312。」2013 年 2 月。


圖 12：admin@338 APT 群組所使用的誘騙附件內容

惡意改裝

此活動利用改裝的 Microsoft Word 文件 (CVE-2012-0158)、29 Adobe Acrobat PDF (CVE-2009-4324)30 與 Microsoft 說明檔 (.HLP) 將 PIVY 放置到目標上。

圖 11：admin@338 APT 群組所發動的魚叉式網路釣魚電子郵件中的 GB2312 編碼

入侵時所開啟的誘騙文件通常包含在情境上與魚叉式網路釣魚電子郵件的文字和預定目標的權益有關的內容。這些

文件會是合法的英文文件，但已經過改裝。

叢集

除了 PIVY 密碼 admin@338 以外，我們也使用被動式 DNS 資料長期觀察 CnC 伺服器所解析成的 IP 位址，以建立

個別攻擊的叢集。我們在各個 PIVY 樣本中找出了 admin@338、key@123 與 gwx@123 的共同 IP 位址。

29 美國國家標準與技術研究院 (National Institute of Standards and Technology)。「CVE-2012-0158 的弱點摘要。」2012 年 4 月。



圖 13：admin@338 APT 群組的叢集智慧 (以 Maltego Radium 產生)

我們可觀察下列關聯，以找出 PIVY 密碼 key@123 與 admin@338 的連結：

• key@123 樣本 808e21d6efa2884811fbd0adf67fda78 與 219.76.208.163 有直接的關聯。

• admin@338 樣本 8010cae3e8431bb11ed6dc9acabb93b7 中的兩個 CnC 網域 www.webserver.dynssl.com 與 www.webserver.freetcp.com 解析為相同的 IP 位址 (219.76.208.163)。

我們可觀察下列關聯，以找出 PIVY 密碼 gwx@123 與 admin@338 的連結：

• gwx@123 樣本 0323de551aa10ca6221368c4a73732e6 與 CnC 網域名稱 microsofta.byinter.net、microsoftb.byinter.net、microsoftc.byinter.net 和 microsofte.byinter.net 有關聯。這些網域名稱分別解析為 113.10.246.30、219.90.112.203、202.65.220.64、75.126.95.138、219.90.112.197、202.65.222.45 與 98.126.148.114。

• admin@338 樣本 8010cae3e8431bb11ed6dc9acabb93b7 與 CnC 網域 www.webserver.fartit.com、www.webserver.freetcp.com 和 www.webserver.dynssl.com 有關聯。

• www.webserver.fartit.com 解析為 113.10.246.30、219.90.112.203、202.65.220.64 與 75.126.95.138，而與 gwx@123 的 IP 位址重疊。

• www.webserver.freetcp.com 解析為 113.10.246.30、219.90.112.203、202.65.220.64、75.126.95.138、219.90.112.197 與 202.65.222.45，而與 gwx@123 的 IP 位址重疊。

• www.webserver.dynssl.com 解析為 113.10.246.30、219.90.112.203、75.126.95.138、219.90.112.197 與 202.65.222.45，而與 gwx@123 的 IP 位址重疊。

這項資料可指出這些攻擊的威脅發動者之間的關係 — 在大部分的情況下，它們至少會有共同的 CnC 基礎架構。

除了歷史 DNS 解析外，PIVY 程序 Mutex 也會顯示 PIVY 密碼 gwx@123 與 admin@338 之間的關係。


雖然 gwx@123、wwwst@Admin 與 admin@338 樣本的 Mutex 並不相同，但 Mutex 中的字元選擇卻呈現了類

似的格式。

行動 2：th3bug

th3bug 威脅發動者的資料集包含下列項目：


• 2 個密碼

• 9 個 CnC 伺服器

我們最早的 th3bug PIVY 樣本出現在 2009 年 10 月 26 日。此一持續性活動的目標遍及多種產業，但似乎以高等教

育和醫療保健部門作為主要攻擊目標。

圖 14：以密碼與 Mutex 連結 admin@338 PIVY 樣本

3%

17%

教育

媒體衛星

國防控制系統

州地方政府航太

國防化學

ISP/電信政府

製造

能源

金融服務

24%

3%5%

3%

4%

5%

7%

5%

12%

5%

7%

圖 15：th3bug APT 群組攻擊百分比 (依產業別)


圖 16：th3bug APT 群組的初始感染媒介範例

後門程式 RAT背景連線通訊至

dd.tc.ikwb.com:443

水坑式：入侵中文網站• 包含具有 src=http://www.{removed}.net/brm/dd.js 的內嵌指令碼

入侵宗教網站• 包含內嵌 JS 函數 doWrite()、setCookie()• 設定 ‘Evils=Somethingbbbb’ Cookie• 根據瀏覽器版本而選擇的入侵 (CVE-2013-1288、 CVE-2013-0422、CVE-2011-3544)• 轉送至其中之一 – src=http://www.{readacted}.ne t/bfm/ie.html – src=http://www.{readacted}.ne t/bfm/java.html• 根據瀏覽器語言 (en,ch)/java 版本的 ROP• 下載並執行 dd.exe 以聯繫遭到入侵的視訊銷售網站

遭到入侵的視訊銷售網站• dd.exe 可透過 404 之類的頁面取得第 2 階段承載• 第 2 階段承載會進行 Base64 編碼和加密使用變動 XOR 金鑰

• 將解密的承載插入 iexplorer.exe 中

31 Thoufique Haq 與 Yasir Khalid。「在以中國異議人士為目標的水坑式活動中發現 Internet Explorer 8 入侵。」2013 年 3 月。

攻擊媒介

不同於本報告所說明的其他兩種行動 (admin@338 與 menuPass)，th3bug 似乎不以魚叉式網路釣魚作為散佈 PIVY 的途徑。屬於 th3bug 的攻擊會利用策略性網頁入侵來感染目標。此方法對於目標更是不加挑選，因此可能會

同時攻擊差異性更大的目標。

我們在 FireEye 部落格中列載了最近的 th3bug 策略性網頁入侵。31

在下列範例中，th3bug 活動的一或多個發動者入侵了多個為預定目標提供服務的網站。攻擊者在遭到破壞的網站

上使用插入的 JavaScript，將目標重新導向至放置了第 1 階段啟動器/下載程式行動程式碼的 Internet Explorer 入侵。此下載程式接著擷取並安裝了 PIVY RAT 變體。


惡意改裝

在相關活動中，th3bug 使用了多種不同的 Java 與 Internet Explorer 入侵，包括 (CVE-2013-0422)32、(CVE-2013-1347)33 與 (CVE-2011-3544)34。

圖 17：th3bug APT 群組所使用的 ROP 入侵程式碼範例

圖 18：th3bug APT 群組的叢集智慧

叢集





有多個不同的威脅發動者使用了預設 PIVY 密碼 admin，因此很明顯地，所有具有 admin 密碼的 PIVY 樣本都無

法連結至 th3bug。但事證顯示，攻擊者初次使用預設密碼，是在決定進行 th3bug 之前。我們可以根據下列關

聯，將至少一個具有 admin 密碼的 PIVY 樣本連結至 th3bug 活動：

• 樣本 8002debc47e04d534b45f7bb7dfcab4d 與具有 PIVY 密碼 admin 的 kr.iphone.qpoe.com 有關聯。

• 網域 kr.iphone.qpoe.com 在 2012 年 1 月 12 日解析為 180.210.206.96。

• 網域 nkr.iphone.qpoe.com 在 2012 年 1 月 3 日解析為 180.210.206.96。

• 網域 nkr.iphone.qpoe.com 在 2011 年 12 月 23 日解析為 101.78.151.179。

• 網域 e.ct.toh.info 在 2012 年 6 月 12 日解析為 101.78.151.179。

• 樣本 55a3b2656ceac2ba6257b6e39f4a5b5a 與具有 PIVY 密碼 th3bug 的 ct.toh.info 有關聯。

我們發現，連結至 th3bug 的相異 PIVY 樣本數，比連結至 admin@338 和 menuPass 活動的相異 PIVY 樣本數

少。此差額可能是由兩個因素所導致。

第一，th3bug 可能未發動大量攻擊。反之，它每年只執行少量的策略性網頁入侵攻擊。第二，th3bug 執行其 PIVY 的傳送。因此，為了取得第二階段 PIVY 伺服器承載，必須即時執行攻擊。

圖 19：th3bug APT 群組的部分叢集智慧 (放大)


行動 3：menuPass

menuPass 威脅發動者的資料集包含下列項目：


• 8 個密碼

• 61 個網域

• 74 個 IP 位址

我們最早的 menuPass PIVY 樣本出現在 2009 年 12 月 14 日。此樣本 (b08694e14a9b966d8033b42b58ab727d) 與 js001.3322.org 中具有密碼 xiaoxiaohuli (中譯：「小小狐狸」) 的控制伺服器有關聯。根據我

們發現的事證，menuPass 的威脅發動者主要似乎是以美國與他國的國防公司作為攻擊目標。

國防

ISP

顧問/工程

航太

重工業

政府

46%

9%

9%

3%

18%

9%

9%

圖 20：menuPass APT 群組攻擊百分比 (依產業別)


攻擊媒介

menuPass 行動主要似乎是以魚叉式網路釣魚將承載傳送至預定目標。圖 21 中的電子郵件顯示一般的 menuPass 魚叉式網路釣魚嘗試。

圖 21：menuPass APT 群組所發動的魚叉式網路釣魚電子郵件範例

圖 22：menuPass APT 群組所使用的改裝巢狀 EXE 範例

當 menuPass 的攻擊者在其活動中使用其他 RAT 時，似乎會使用 PIVY 作為其主要的持續性機制。

惡意改裝

menuPass 活動使用改裝的 Microsoft Word 文件 (CVE-2010-3333)35 與包含執行檔的 ZIP 檔案，將 PIVY 直接放置

在其目標上。圖 22 顯示附加於 menuPass 魚叉式網路釣魚電子郵件的 ZIP 檔所傳送的數個執行檔。

檔案名稱

編譯時間

MD5

Strategy_Meeting.exe 2012-06-11 04:41:31

8d6b6e023b4221bae8ed37bb18407516

Background Consent Form.exe

2012-05-13 22:13:07

8d769c63427a8ce407d17946702c7626

Doha_Climate_Change_Conference-November_2012.exe

2012-11-13 07:19:03

001b8f696b6576798517168cd0a0fb44



叢集

menuPass 攻擊者多半會將啟動器偽裝成使用文件/檢視架構的 Microsoft Foundation Class 程式庫應用程式36。

此啟動器中封裝了 PIVY 伺服器複本，後續將會解壓縮，並在無效呼叫 FindFirstFile API 之後在記憶體中短暫執行。

在我們針對 menuPass 而收集的 155 個樣本中，有 81 個是具有文件類別的 MFC 應用程式。而在這 81 個 MFC 啟動器中，有 64 個使用 CBricksDoc 類別名稱。我們也發現下列名稱：

• CMy20130401Doc

• CShellCodeDoc• CMy20130401Doc• CPiShellPutDo• CCrocodileDoc• CMy20130401Doc• CStatePattern_GameDoc• CPiShellPutDoc• CPIVCDoc• CMy1124Doc• CLightGameDoc• CPiShellPutDoc

有些樣本被封裝至擷取自網頁的專案中，然後重新設定作為啟動器。

menuPass 活動最常用的 PIVY 密碼為 keaidestone (用於 35 個樣本中)，其次為 menuPass (24 個樣本)。威

脅發動者也會在相同的活動中使用下列 PIVY 密碼：

• suzuki• happyyongzi• admin• smallfish• XGstone• xiaoxiaohuli• fishplay

36 Microsoft。「類別庫概觀。」 2013.


圖 23：menuPass APT 群組的部分叢集智慧 (放大 keaidestone)

圖 24：menuPass APT 群組的部分叢集智慧 (放大 menuPass)

60.10.1.0/24 無類別網域間路由選擇 (CIDR) 區塊中有許多 IP 的代管網域使用於 menuPass 活動中。我們可

觀察此相同 /24 CDIR 區塊中的下列關聯，以找出 keaidestone 密碼與 XGstone 密碼之間的關聯：

• IP 60.10.1.120 代管網域 apple.cmdnetview.com。

• 樣本 d8c00fed6625e5f8d0b8188a5caac115 與具有密碼 XGstone 的 apple.cmdnetview.com 有關聯。

• IP 60.10.1.115 代管網域 autuo.xicp.net。

• 樣本 b1deff736b6d12b8d98b485e20d318ea 與具有密碼 keaidestone 的 autuo.xicp.net 有關聯。

• 樣本 b1deff736b6d12b8d98b485e20d318ea 與 d8c00fed6625e5f8d0b8188a5caac115 也共用 CBricksDoc 啟動器。

• 08709f35581e0958d1ca4e50b7d86dba 的編譯時間為 2012 年 7 月 20 日，並且與具有密碼 keaidestone 的 tw.2012yearleft.com 有關聯。此樣本也使用 CBricksDoc 啟動器。

• 2012yearleft.com 由 [email protected] 在 2012 年 2 月 13 日登錄。 • 網域 cmdnetview.com 同樣也由 [email protected] 在 2012 年 2 月 13 日登錄。


我們也可藉由觀察 60.10.1.0/24 CDIR 區塊中的關聯，找出 keaidestone 密碼與 smallfish 密碼之間的

關聯：

• 網域 dedydns.ns01.us 解析為 60.10.1.121。

• 樣本 e84853c0484b02b7518dd683787d04fc 與具有密碼 smallfish 的 dedydns.ns01.us 有關

聯，並且使用 CBricksDoc 啟動器。

我們可觀察 60.10.1.0/24 CDIR 區塊中的關聯，以找出 keaidestone 密碼與 happyyongzi 密碼之間的

關聯：

• 網域 maofajapa.3322.org 解析為 60.10.1.121。

• 樣本 cf8094c07c15aa394dddd4eca4aa8c8b 與具有密碼 happyyongzi 的 maofajapa.3322.org 有關聯。

觀察下列關係，可將密碼 suzuki 連結至 keaidestone：

• 樣本 410eeaa18dbec01a27c5b41753b3c7ed 與具有密碼 suzuki 的 send.have8000.com 有關聯。

• 網域 have8000.com 在 2012 年 2 月 13 日透過電子郵件 [email protected] 進行登錄。

• 相同的電子郵件 [email protected] 也在相同日期 (2012 年 2 月 13 日) 登錄了 cmdnetview.com。

• 如前所述，樣本 b2dc98caa647e64a2a8105c298218462 與具有密碼 XGstone 的 apple.cmdnetview.com 有關聯。

我們可觀察下列關聯，以將密碼 menuPass 連結至 keaidestone：

• 08709f35581e0958d1ca4e50b7d86dba 的編譯時間為 2012 年 7 月 20 日，並且與具有密碼 keaidestone 的 tw.2012yearleft.com 有關聯。此樣本也使用 CBricksDoc 啟動器。

• tw.2012yearleft.com 在 2012 年 6 月 6 日解析為 60.10.1.114，並且在 2013 年 3 月 11 日解析為 60.1.1.114。

• 網域 fbi.zyns.com 在 2012 年 8 月 21 日解析為 60.10.1.118。

• 68fec995a13762184a2616bda86757f8 的編譯時間為 2012 年 3 月 25 日，並且與具有密碼 menuPass 的 fbi.zyns.com 有關聯。此樣本也使用 CBricksDoc 啟動器。

• 樣本 39a59411e7b12236c0b4351168fb47ce 的編譯時間為 2010 年 4 月 2 日，並且與具有密碼 keaidestone 的 weile3322b.3322.org 有關聯。此樣本使用啟動器 CPiShellPutDoc。

• 樣本 f5315fb4a654087d30c69c768d80f826 的編譯時間為 2010 年 5 月 21 日，並且與具有密碼 menuPass 的 ngcc.8800.org 有關聯。此樣本也使用啟動器 CPiShellPutDoc。

我們可以觀察下列關聯，以找出 happyyongzi 密碼與 menuPass 之間的關聯：

• 樣本 e6ca06e9b000933567a8604300094a85 與具有密碼 happyyongzi 的網域 sh.chromeenter.com 有關聯。

• 網域 sh.chromeenter.com 先前解析為 IP 60.2.148.167。

• 網域 jj.mysecondarydns.com 也解析為 60.2.148.167。


與其他威脅發動者類似，此威脅發動者也使用採用預設 admin 密碼的 PIVY 樣本。再次重申，並非所有具有密碼 admin 的樣本都可連結至 menuPass。但我們可透過下列關聯，找出 menuPass 與至少一對使用 admin 密碼

的 PIVY 例項之間的關聯：

• 樣本 56cff0d0e0ce486aa0b9e4bc0bf2a141 編譯於 2011 年 8 月 31 日，並且與具有密碼 menuPass 的 mf.ddns.info 有關聯。

• 網域 mf.ddns.info 在 2012 年 11 月 22 日解析為 54.241.8.84。此相同 IP 也在相同日期代管網域

av.ddns.us。

• 樣本 60963553335fa5877bd5f9be9d8b23a6 編譯於 2012 年 6 月 9 日，並且與具有密碼 admin 的 av.ddns.us 有關聯。

• 許多 menuPass 與 admin 樣本也共用相同的 CBricksDoc 啟動器，包括 (但不限於) 6d989302166ba1709d66f90066c2fd59 和 4bc6cab128f623f34bb97194da21d7b6。

• 樣本 4e84b1448cf96fabe88c623b222057c4 與具有密碼 menuPass 的 jj.mysecondarydns.com 有關聯。

觀察下列關係，可將密碼 fishplay 連結至 menuPass：

• 樣本 494e65cf21ad559fccf3dacdd69acc94 與具有密碼 fishplay 的 mongoles.3322.org 有關聯。

• mongoles.3322.org 網域解析為 123.183.210.28。

• 網域 a.wubangtu.info 也解析為 123.183.210.28。

• 樣本 a5965b750997dbecec61358d41ac93c7 與具有密碼 menuPass 的 3q.wubangtu.info 有關聯。

• 樣本 494e65cf21ad559fccf3dacdd69acc94 與 a5965b750997dbecec61358d41ac93c7 也共用

相同的 CBricksDoc 啟動器。

我們可以透過共用的 CPiShellPutDoc 啟動器，將密碼 xiaoxiaohuli 連結至 menuPass：

• f5315fb4a654087d30c69c768d80f826 的編譯時間為 2010 年 5 月 21 日，並且與具有密碼 menuPass 的 ngcc.8800.org 有關聯。

• e6ca06e9b000933567a8604300094a85 的編譯時間為 2010 年 6 月 29 日，並且與具有密碼 happyyongzi 的 sh.chromeenter.com 有關聯。

• f5315fb4a654087d30c69c768d80f826 與 e6ca06e9b000933567a8604300094a85 使用相同的 CPiShellPutDoc 啟動器。

最後，我們可觀察下列關係，以將密碼 happyyongzi 連結至 xiaoxiaohuli：

• e6ca06e9b000933567a8604300094a85 的編譯時間為 2010 年 6 月 29 日，並且與具有密碼 happyyongzi 的 sh.chromeenter.com 有關聯。

• e62584c9cd15c3fa2b6ed0f3a34688ab 的編譯時間為 2009 年 12 月 28 日，並且與具有密碼 xiaoxiaohuli 的網域 js001.3322.org 有關聯。

• e6ca06e9b000933567a8604300094a85 與 e62584c9cd15c3fa2b6ed0f3a34688ab 使用相同的 CPiShellPutDoc 啟動器。


圖 25：menuPass APT 群組的完整叢集智慧

密碼 IPva4 位址

電子郵件地址雜湊

啟動器網域


結論

我們無法肯定說出 admin@338、menuPass 與 th3bug 行動的發動者為何會採用 Poison Ivy。可能的解釋包

括，PIVY 具有易於使用的功能，且這種方便取用的 RAT 可為攻擊者提供較高的匿名性。

相較於其他 RAT，PIVY 是非常容易操作的。其圖形化使用者介面 (GUI) 可讓使用者輕鬆建置新伺服器及控制受感染

的目標。攻擊者只要動一動滑鼠即可直通遭到入侵的網路，並竊取資料。

商用 RAT 也會使安全性專業人員更難以分析出威脅發動者長期以來的活動之間有何關聯 — 攻擊者可隱身在眾多使

用 Poison Ivy 惡意軟體的惡意活動中。

藉由揭露 PIVY 與其他商用 RAT 在 APT 活動中所扮演的角色，我們期望能削弱攻擊者隱身於這些現成工具之後的能

力 — 甚至迫使他們不再使用這些 RAT。

我們在本報告中提供了幾項技術，不僅可供網路防禦者用來識別 PIVY 感染，也可將偵測到的感染進行分類，並且

與先前觀察到的 APT 行動建立關聯。攻擊者在建置其 PIVY 伺服器的過程中，會留下許多可能有用的線索，例如：

• 用於 CnC 的網域與 IP

• 選擇的 PIVY 程序 Mutex

• 選擇的 PIVY 密碼

• 植入程式中使用的啟動器程式碼

• 活動的時間表

• 攻擊目標

這些資料全部彙整後，將可協助您有效識別使用 Poison Ivy RAT 的 APT 行動，並建立其關聯。

關於 FireEyeFireEye 已研發出目標導向、架構於虛擬機器的安全平台，專為全球企業和政府提供即時威脅防護能力，以抵禦次

世代的網路攻擊。高度設計的網路攻擊能輕鬆躲過傳統簽名架構的防禦網，如次世代防火牆、IPS、防毒和閘

道。FireEye 平台能提供無需簽署的即時、動態威脅防護，保護處於所有主要威脅媒介的組織，包括 Web、電子郵

件和檔案，以及攻擊週期各階段中的媒介。

FireEye 平台的核心是虛擬執行引擎，以動態威脅情報補其不足，可即時辨識並封鎖網路攻擊。FireEye 在全球超過 40 個國家擁有超過 1,000 名客戶，其中包括財星百大企業三分之一以上的公司。

FireEye, Inc.| 1440 McCarthy Blvd. Milpitas, CA 95035 | +1 408.321.6300 | [email protected] | www.FireEye.com

© 2013 FireEye, Inc. 保留一切權利。FireEye 是 FireEye, Inc. 的註冊商標。其他所有品牌、產品或服務名稱是各擁有者的商標或服務標記。– RPT.PIVY.ZH-TW.082013

poison ivy：評估損害 和擷取情報...fireeye, inc. poison ivy：評估損害和擷取情報 5...

Documents

poison ivy：評估損害和擷取情報...fireeye, inc. poison ivy：評估損害和擷取情報 5...