這是作者新開的一個專欄，主要翻譯國外知名的安全廠商APT報告文章，了解它們的安全技術，學習它們溯源APT組織的方法，希望對您有所幫助，前文分享了APT組織Fin7 / Carbanak的Tirion惡意軟體，包括OpBlueRaven行動，這篇文章將介紹一種新型無檔案APT攻擊Kraken，它會利用Windows錯誤報告服務逃避檢測，其中，DllMain函式反分析檢查，以確保它不在分析/沙箱環境或除錯器中運行非常值得我們學習，

Malwarebytes研究人員發現了一種名為Kraken的新攻擊，該攻擊利用Windows錯誤報告（WER）服務以逃避檢測，攻擊始于一個包含“Compensation manual.doc”的ZIP檔案，該檔案包含一個惡意宏，該宏使用CactusTorch VBA模塊的修改版，通過使用VBScript將.Net編譯的二進制檔案加載到記憶體中來執行，以進行無檔案攻擊，該二進制檔案通過將嵌入式Shellcode注入Windows錯誤報告服務（WerFault.exe）來推進了感染鏈，此策略用于嘗試逃避檢測，

• 原文標題：Release the Kraken: Fileless APT attack abuses Windows Error Reporting service
• 原文鏈接：https://blog.malwarebytes.com/malwarebytes-news/2020/10/kraken-attack-abuses-wer-service/
• 文章作者： Hossein Jazi and Jér?me Segura
• 發布時間：2020年10月6日
• 文章來源：Malwarebytes Threat Intelligence Team

2020年9月17日，我們發現了一種名為Kraken的新攻擊，該攻擊將其有效載荷注入到Windows錯誤報告（Windows Error Reporting，WER）服務中，作為一種防御規避機制，

這個報告服務是WerFault.exe，通常發生在與作業系統、Windows函式或應用程式相關的錯誤時呼叫，當受害者看到他們的計算機上運行WerFault.exe時，他們可能認為發生了一些錯誤，而在這種情況下，他們實際上已成為攻擊的目標，

盡管這項技術不是什么新技術，但這次行動很可能是一個APT組織發動的，該組織先前曾使用網路釣魚攻擊，誘使受害者提出工人賠償要求，威脅攻擊者入侵了一個網站以托管其有效載荷，然后使用CactusTorch框架執行無檔案攻擊（fileless attack），隨后采用多種反分析技術（anti-analysis ），

在撰寫本文時，盡管有一些因素讓我們認為其是越南APT32組織，但目前仍然不能明確指出這次攻擊的幕后發動者，

WerFault.exe是一個Windows系統自帶的程式，用于錯誤報告顯示，在應用程式崩潰時，它仍然會執行未處理的例外處理程式，但是該處理程式會向WER服務發送訊息，并且服務會啟動WER錯誤報告行程以顯示錯誤報告對話框，

• %Systemroot%\System32\Werfault.exe

惡意誘餌：“您的賠償”

9月17日，我們發現了一種新型攻擊，該攻擊從一個包含惡意檔案的zip檔案開始，該檔案很可能是通過魚叉式網路釣魚攻擊傳播的，檔案名叫“薪酬手冊”（Compensation manual.doc），偽裝成包含有關工人補償權利的資訊，惡意檔案如下圖所示，

該檔案包含一個影像標簽（“ INCLDEPICTURE ”），該影像標簽連接到如下網址，然后下載一張圖片作為檔案模板，

• yourrighttocompensation[.]com

下圖為嵌入在檔案中的圖片標簽（Image tag）及對應的“您的補償”網站，

該域名于2020年6月5日注冊，而檔案創建時間為2020年6月12日，這很可能表明它們屬于同一攻擊，在其內部，我們看到一個惡意宏，該宏使用CactusTorch VBA模塊的修改版來執行其Shellcode，CactusTorch正在利用DotNetToJscript技術將.Net編譯的二進制檔案加載到記憶體中，并從vbscript中執行，

下圖顯示了該威脅攻擊者所使用的宏內容，它具有自動打開和自動關閉功能，AutoOpen只是顯示一條錯誤訊息，而AutoClose是執行函式的主體，

如上圖所示，已經定義了一個十六進制格式的序列化物件，它包含一個正在加載到記憶體中的.Net有效負載（Payload），然后，宏使用“ Kraken.Kraken”作為值定義了一個入口類，這個值有兩個部分，用一個點分隔.net加載器的名稱和它目標類的名稱，

在下一步中，它將創建一個序列化的BinaryFormatter物件，并使用BinaryFormatter的deseralize函式反序列化該物件，最后，通過呼叫DynamicInvoke函式，從記憶體中加載并執行.Net有效負載（Payload），

與CactusTorch VBA不同，它指定了目標行程在宏中注入Payload，該元素更改了宏并在.Net有效負載中指定目標行程，

Kraken Loader

加載的Payload是一個名叫“ Kraken.dll”的.Net DLL，該檔案編譯于2020年06月12日，

這個DLL是一個加載器，它將嵌入的shellcode注入到WerFault.exe中，需要說明的是，這并不是此類技術的第一個例子，以前在使用NetWire RAT和Cerber勒索軟體時就觀察到了這種情況，下圖展示了Kraken.dll，加載器包括兩個主要的類：

• Kraken
• Loader

(1) Kraken類
Kraken類包含了shellcode，這些代碼將被注入到這個類中定義為“WerFault.exe”的目標行程中，它只有一個函式呼叫Loader類的Load函式，其shellcode和目標行程作為引數，

• loader.load(targetProcess, shellcode)

(2) Loader類
Loader類負責通過呼叫Windows API將shell代碼注入到目標行程中，下圖展示了load函式，

下面是它執行注入程序的步驟：

• StartProcess函式呼叫CreateProcess Windows API，使用800000C作為dwCreateFlags
• FindEntry呼叫ZwQueryInformationProcess來定位目標行程的基址
• CreateSection呼叫ZwCreateSection API來在目標行程中創建一個節（section）
• 呼叫ZwMapViewOfSection將該節系結到目標行程，以便通過呼叫CopyShellcode來復制shellcode
• MapAndStart通過呼叫WriteProcessMemory和ResumeThread完成程序注入

ShellCode分析

使用HollowHunter，我們將注入的shellcode轉儲到WerFault.exe中，以便進行進一步分析，這個DLL在多個執行緒中執行其惡意活動，使其分析更加困難，這個DLL通過呼叫“Main”函式來執行“DllEntryPoint”，

主函式呼叫DllMain來創建一個執行緒，在同一行程背景關系中的新執行緒中執行它的函式，

DllMain函式如上圖所示，創建的執行緒首先執行一些反分析檢查，以確保它不在分析/沙箱環境或除錯器中運行，它通過以下操作來實作的，

(1) 通過呼叫GetTickCount來檢查除錯器的存在
GetTickCount是一種計時函式，用于度量執行某些指令集所需要的時間，在此執行緒中，它在睡眠（Sleep）指令之前和之后被呼叫兩次，然后計算差值，如果不等于2，則程式退出，因為標識著它正在被除錯，創建執行緒代碼如下圖所示，

(2) VM檢測
在此函式中，它將通過提取顯示驅動程式注冊表項的提供程式名稱來檢查其是否在VMWare或VirtualBox中運行，

• SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000

然后檢查它是否包含字串VMware或Oracle，

(3) IsProcessorFeaturePresent
此API呼叫用于確定是否支持指定的處理器特性，從下圖可以看出，“ 0x17”已作為引數傳遞給此API，這意味著它在立即終止之前檢查剩余的__fastfail支持，

(4) NtGlobalFlag
shellcode代碼檢查PEB結構中的NtGlobalFlag來確定它是否正在被除錯，為了識別除錯器，它將NtGlobalFlag值與0x70進行比較，

(5) IsDebuggerPresent
通過呼叫“IsDebuggerPresent”來檢查除錯器是否存在，下圖展示了 NtGlobalFlag 和 IsDebuggerPresent 檢查，

在執行所有這些反分析檢查之后，它進入一個函式，在一個新執行緒中創建最終的shellcode，通過呼叫“ Resolve_Imports”函式，可以動態混淆并決議在此部分中使用的匯入呼叫，此函式使用LoadLibraryEx獲取“kernel32.dll”的地址，然后在回圈中檢索12個匯入，

使用libpeconv庫，我們能夠獲得已決議的API呼叫表，下面是匯入表，我們可以預期它將執行一些行程注入，

• VirtualAlloc
• VirtualProtect
• CreateThread
• VirtualAllocEx
• VirtualProtectEx
• WriteProcessMemory
• GetEnvironmentVariableW
• CreateProcessW
• CreateRemoteThread
• GetThreadContext
• SetThreadContext
• ResumeThread

在決議了所需的API呼叫之后，它使用VirtualAlloc創建一個記憶體區域，然后呼叫下面的函式來解密最終shellcode的內容，并將它們寫入創建的記憶體中，

• DecryptContent_And_WriteToAllocatedMemory

在下一個步驟中，將呼叫VirtualProtect來更改對已分配記憶體的保護以使其可執行，最后，CreateThread被呼叫來在一個新執行緒中執行最后的shellcode，

最終的Shellcode

最終的shellcode是一組指令，這些指令向硬編碼域發出HTTP請求，以下載惡意有效負載并將其注入到行程中，

第一步，它通過呼叫LoadLibraryA加載Wininet API，

第二步，構建函式呼叫串列所需的HTTP請求，包括InternetOpenA、InternetConnectA、InternetOpenRequestA和InternetSetOptionsExA，其中，HttpOpenRequestA如下圖所示，

第三步，在準備好構建HTTP請求的需求之后，它將創建一個HTTP請求，并通過呼叫HttpSendrequestExA發送該請求，請求的網址是：

• http://www.asikotoba [.]net/favicon32.ico

在下一步中，它將檢查HTTP請求是否成功，如果HTTP請求不成功，它將呼叫ExitProcess停止其行程，

如果HTTPSendRequestExA的回傳值為true，則表示請求成功，并且代碼繼續執行下一步，在此步驟中，它呼叫VirtualAllocExA分配記憶體區域，然后呼叫InternetReadFile讀取資料并將其寫入分配的記憶體，InternetReadFile呼叫如下圖所示，

最后，它跳轉到已分配記憶體的開頭以執行它，這很有可能是另一個受感染的“asia-kotoba.net”網站上托管的shellcode，并在其中植入了偽造的圖示，由于在報告時目標URL已關閉，因此我們無法檢索此Shellcode進行進一步分析，

究竟是哪個APT組織的攻擊呢？

我們沒有足夠的證據來確定這次攻擊的原因，但是，我們發現其與APT32的松散聯系，并且仍在調查中，

• APT32是已知使用CactusTorch HTA來洗掉Denis Rat變中的攻擊組織之一，然而，由于我們無法獲得最終的有效負載（Payload），因此我們不能肯定地將這種攻擊歸因于APT32，
• 用于托管惡意檔案和檔案的域在越南胡志明市注冊，APT32使用了戰略性網路妥協方案來鎖定受害者，感覺像是越南的，

Malwarebytes阻止訪問托管有效負載的受感染站點：

最后給出IOCs：

誘餌檔案：
31368f805417eb7c7c905d0ed729eb1bb0fea33f6e358f7a11988a0d2366e942

包含誘餌檔案的檔案：
d68f21564567926288b49812f1a89b8cd9ed0a3dbf9f670dbe65713d890ad1f4

檔案模板圖片：
yourrighttocompensation[.]com/ping

存檔檔案下載URL：
yourrighttocompensation[.]com/?rid=UNfxeHM
yourrighttocompensation[.]com/download/?key=
15a50bfe99cfe29da475bac45fd16c50c60c85bff6b06e530cc91db5c710ac30&id=0
yourrighttocompensation[.]com/?rid=n6XThxD
yourrighttocompensation[.]com/?rid=AuCllLU

下載URL的最終Payload：
asia-kotoba[.]net/favicon32.ico

最后希望這篇文章對您有所幫助，感覺反分析和沙箱逃逸部分知識挺有意思的，后續不忙可以嘗試復現相關的功能，中秋節和國慶節結束，雖然一直在忙，大家接著加油，某人照顧好自己喔！

前文分享：

• [譯] APT分析報告：01.Linux系統下針對性的APT攻擊概述
• [譯] APT分析報告：02.釣魚郵件網址混淆URL逃避檢測
• [譯] APT分析報告：03.OpBlueRaven揭露APT組織Fin7/Carbanak（上）Tirion惡意軟體
• [譯] APT分析報告：04.Kraken - 新型無檔案APT攻擊利用Windows錯誤報告服務逃避檢測

2020年8月18新開的“娜璋AI安全之家”，主要圍繞Python大資料分析、網路空間安全、逆向分析、APT分析報告、人工智能、Web滲透及攻防技術進行講解，同時分享CCF、SCI、南核北核論文的演算法實作，娜璋之家會更加系統，并重構作者的所有文章，從零講解Python和安全，寫了近十年文章，真心想把自己所學所感所做分享出來，還請各位多多指教，真誠邀請您的關注！謝謝，

(By:Eastmount 2020-10-08 星期四 晚上11點寫于武漢 http://blog.csdn.net/eastmount/ )