弹性魅影 SPECTRALVIPER

要点

• REF2754 入侵活动利用多个 PE 加载器、后门和 PowerShell 运行程序
• SPECTRALVIPER 是一款经过高度混淆、此前未公开的 x64 后门，具有 PE 加载和注入、文件上传和下载、文件和目录操作以及令牌模拟功能
• 我们将 REF2754 归因于一个位于越南的入侵活动，并与 Canvas Cyclone/APT32/OceanLotus 威胁行动者保持一致

序言

弹性安全实验室数月来一直在跟踪一个以越南大型上市公司为目标的入侵活动，即 REF2754。在此期间，我们的团队发现了一个与国家有关联的行动者正在协调使用的新恶意软件。

本研究讨论

• SPECTRALVIPER 恶意软件
• P8LOADER 恶意软件加载器
• POWERSEAL 恶意软件
• REF2754 的活动和入侵分析

执行流程

记录的第一个事件是通过 SMB 从先前被入侵的端点放入 System 服务创建的文件 (C:\Users\Public\Libraries\dbg.config)。攻击者将 SysInternals ProcDump 实用程序（用于收集正在运行的进程的内存元数据）重命名，以伪装成 Windows 调试器实用程序 (windbg.exe)。使用重命名的 ProcDump 应用程序和 -md 标志，攻击者加载了 dbg.config，一个包含恶意代码的未签名 DLL。

应该注意的是，ProcDump LOLBAS 技术需要在参数中使用有效的进程；因此，虽然 winlogon.exe 被包含在参数中，但它被使用是因为它是一个有效的进程，而不是因为它被 ProcDump 收集为目标。

未签名的 DLL (dbg.config) 包含 DONUTLOADER shellcode，它试图将其注入到 Microsoft 远程会话消息服务器 sessionmsg.exe 中。DONUTLOADER 被配置为加载 SPECTRALVIPER 后门，最终加载情境依赖的 P8LOADER 或 POWERSEAL 恶意软件系列。以下是 REF2754 入侵活动的执行流程。

我们的团队还观察到上述类似的流程，但使用不同的技术来代理其恶意执行。一个例子利用 Internet Explorer 程序 (ExtExport.exe) 来加载 DLL，而另一种技术涉及使用合法应用程序 (nslookup.exe) 侧加载恶意 DLL (dnsapi.dll)。

这些技术和恶意软件系列构成了 REF2754 入侵活动。

SPECTRALVIPER 代码分析

概述

在我们的调查期间，我们观察到一个先前未发现的后门恶意软件系列，我们将其命名为 SPECTRALVIPER。SPECTRALVIPER 是一款用 C++ 编写并经过高度混淆的 64 位 Windows 后门。它以两种不同的通信模式运行，允许它通过 HTTP 或 Windows 命名管道接收消息。

通过我们的分析，我们确定了以下功能

• PE 加载/注入：SPECTRALVIPER 可以加载和注入可执行文件，同时支持 x86 和 x64 架构。此功能使其能够在合法进程中执行恶意代码。
• 令牌模拟：该恶意软件具有模拟安全令牌的能力，从而获得更高的权限并绕过某些安全措施。这实现了对敏感资源的未经授权的访问和操作。
• 文件下载/上传：SPECTRALVIPER 可以从被入侵的系统下载和上传文件。这允许攻击者窃取数据或将额外的恶意负载交付到受感染的机器。
• 文件/目录操作：后门能够操作被入侵系统上的文件和目录。这包括创建、删除、修改和移动文件或目录，从而使攻击者能够广泛控制受害者的文件系统。

执行流程

启动

SPECTRALVIPER 可以编译为 PE 可执行文件或 DLL 文件。通过执行 .\spectralviper.exe 可以直接启动恶意软件作为 PE 文件。

但是，当恶意软件是 DLL 时，它会尝试伪装成具有已知导出（例如我们观察到的示例中的 sqlite3）的合法库。

SPECTRALVIPER 入口点隐藏在这些导出中。为了找到正确的入口点，我们可以使用 PowerShell 和 rundll-ng 对它们进行暴力调用。下面描绘的 PowerShell 命令在 for 循环中调用每个 SPECTRALVIPER 导出，直到找到启动恶意软件功能的导出。

for($i=0; $i -lt 20; $i++){.\rundll-ng\rundll64-ng.exe ".\7e35ba39c2c77775b0394712f89679308d1a4577b6e5d0387835ac6c06e556cb.dll" "#$i"}

执行后，二进制文件以 HTTP 模式或管道模式运行，具体取决于其硬编码配置。

管道模式

在管道模式下，SPECTRALVIPER 会打开一个具有硬编码名称的命名管道，并等待传入命令，在本例中为 \.\pipe\raSeCIR4gg。

此命名管道没有任何安全属性，这意味着每个人都可以访问它。这很有趣，因为不受保护的命名管道可能被共存的威胁行动者（SPECTRALVIPER 操作员已知或未知）或防御团队接管，作为中断此执行模式的一种方式。

但是，需要特定的协议才能与此管道通信。SPECTRALVIPER 实现了 Diffie-Helman 密钥交换协议，以交换加密和解密通过命名管道传输的命令所需的密钥，该密钥是 AES 加密的。

HTTP 模式

在 HTTP 模式下，恶意软件将每隔 n 秒向其 C2 发出信标，时间间隔在 10 到 99 秒的范围内随机生成。

使用调试器，如果二进制文件包含硬编码的域，我们可以强制二进制文件使用 HTTP 通道而不是命名管道。

以下是一个 HTTP 请求示例。

该请求包含一个 cookie 标头 “euconsent-v2”，其中包含主机收集的信息。此信息使用 RSA1024 非对称加密进行加密，并使用 Base64 进行 Base64 编码。以下是加密前 cookie 内容的示例。

我们认为，第一个值（在本例中为 “H9mktfe2k0ukk64nZjw1ow==”）是随机生成的 AES 密钥，该密钥与服务器共享以加密通信数据。

命令

在分析 SPECTRALVIPER 样本时，我们发现了它的命令处理程序表，其中包含 33 到 36 个处理程序。

以下是已识别的命令的列表。

为了加快与 SPECTRALVIPER 交互的过程，我们绕过了通信协议并将我们自己的后门注入到二进制文件中。此后门将打开一个套接字，并在收到我们的消息后调用处理程序。

当执行 AdjustPrivileges 命令时，根据进程当前的权限级别，恶意软件将尝试设置以下特权列表。

防御规避

代码混淆

二进制代码通过将每个函数拆分为多层虚拟函数来严重混淆，这些虚拟函数封装了初始逻辑。最重要的是，这些函数的控制流也使用控制流扁平化进行混淆。控制流扁平化是一种混淆技术，它会删除清晰的程序结构，并将代码块并排放置在一个循环中，并使用一个 switch 语句来控制程序的流程。

下面是一个二级恒等函数的示例，其中高亮显示的参数 p_a1 尽管函数很复杂，但只是被返回了。

字符串混淆

SPECTRALVIPER 的字符串使用自定义结构和 AES 解密进行混淆。密钥是硬编码的（"\x00\x01\x02\x03\x04\x05\x06\x07\x08\x09\x0a\x0b\x0c\x0d\x0e\x0f"），IV 包含在加密的字符串结构中。

我们可以通过检测恶意软件并调用其 AES 解密函数来解密字符串。

总结

SPECTRALVIPER 是 Elastic Security Labs 在入侵分析期间发现的 x64 后门。它可以编译为可执行文件或 DLL，通常会模仿已知的二进制导出。

它支持进程加载/注入、令牌模拟和文件操作。它利用加密的通信通道（HTTP 和命名管道），使用 AES 加密和 Diffie-Hellman 或 RSA1024 密钥交换。

所有样本都使用相同的混淆器进行严重混淆，只是硬化程度不同。

通过使用我们通过静态和动态分析收集的信息，我们能够在 VirusTotal 中识别出其他几个样本。使用上面概述的调试过程，我们也能够收集这些样本的 C2 基础设施。

P8LOADER

概述

下面描述的可移植可执行文件 (PE) 是一个用 C++ 编写的 Windows x64 PE 加载器，我们根据其一个导出项 P8exit 将其命名为 P8LOADER。

发现

最初发现 P8LOADER 是因为一个有效的 Windows 进程 RuntimeBroker.exe 的执行生成了一个无备份 shellcode 警报。无备份可执行部分或浮动代码是代码部分类型设置为“Private”而不是像将代码映射到磁盘上的文件时看到的“Image”的结果。从此类内存区域启动的线程是异常的，并且是恶意活动的良好指标。

如果您想了解有关无备份可执行事件的更多信息，请查看 Joe Desimone 发布的内存中狩猎研究。

执行流程

加载器导出两个函数，它们可以将 PE 二进制文件从文件或内存加载到其自身的进程内存中。

要执行的 PE 使用 VirtualAlloc 方法加载到内存中，并使用经典的 PE 加载算法（加载节、解析导入和应用重定位）。

接下来，使用 PE 的入口点作为起始地址分配一个新线程。

最后，加载的 PE 的 STDOUT 句柄被替换为一个管道，并创建一个读取管道线程，以便将二进制文件的输出重定向到加载器日志系统。

除了重定向加载的 PE 输出外，加载器还使用 API 拦截机制来钩住加载进程的某些 API，记录对其的任何调用，并通过命名管道（名称为随机生成的 UUID 字符串）发送数据。

PE 导入表的钩子是在导入解析时完成的，方法是将最初导入的函数地址替换为它们自己的存根。

防御规避

字符串混淆

P8LOADER 使用基于 C++ 模板的混淆技术，通过一组在编译时随机选择的不同算法来混淆错误和调试字符串。

这些字符串被混淆以阻碍分析，因为它们提供了有关加载器功能和能力的宝贵信息。

总结

P8LOADER 是一种新发现的 x64 Windows 加载器，用于从文件或内存中执行 PE。此恶意软件能够将其加载的 PE 输出重定向到其日志记录系统，并钩住 PE 导入以记录导入调用。

POWERSEAL 代码分析

概述

在此次入侵期间，我们观察到一个轻量级的 .NET PowerShell 运行器，我们根据嵌入的字符串将其称为 POWERSEAL。成功部署 SPECTRALVIPER 后，POWERSEAL 实用程序将用于启动提供的 PowerShell 脚本或命令。该恶意软件利用系统调用 (NtWriteVirtualMemory) 来规避防御解决方案 (AMSI/ETW)。

防御规避

Windows 事件跟踪 (ETW) 提供了一种机制来跟踪和记录用户模式应用程序和内核模式驱动程序引发的事件。反恶意软件扫描接口 (AMSI) 为数据、应用程序和工作负载提供增强的恶意软件保护。POWERSEAL 采用众所周知的且公开可用的绕过方法，以便在内存中修补这些技术。这增加了它们成功的机会，同时减少了它们的可检测足迹。

例如，POWERSEAL 采用常见的方法来取消钩住和绕过 AMSI，以便绕过 Microsoft Defender 的签名

启动 PowerShell

POWERSEAL 的主要功能是执行 PowerShell。在下面的 POWERSEAL 源代码描述中，我们可以看到 POWERSEAL 使用 PowerShell 执行脚本和参数 (command)。脚本和参数由威胁行为者提供，并且未在环境中观察到。

总结

POWERSEAL 是一种新的且专门构建的 PowerShell 运行器，它自由地借用了各种开源攻击性安全工具，以精简的软件包提供攻击性功能，并具有内置的防御规避功能。

活动和对手建模

概述

REF2754 是针对越南境内大型重要国有企业的持续活动。此活动中的恶意软件执行链由 DONUTLOADER 启动，但随后会利用以前未报告的工具。

1. SPECTRALVIPER，一个混淆的 x64 后门，可实现 PE 加载和注入、文件上传和下载、文件和目录操作、令牌模拟以及命名管道和 HTTP 命令与控制
2. P8LOADER，一个混淆的 Windows PE 加载器，允许攻击者最小化和混淆受害者端点上的一些日志记录，以及
3. POWERSEAL，一个具有内置 ETW 和 AMSI 绕过功能的 PowerShell 运行器，用于在使用 PowerShell 工具时增强防御规避

Elastic Security Labs 以中等程度的信心得出结论，认为此活动是由越南国家附属威胁执行的。

受害者

使用我们的 SPECTRALVIPER YARA 签名，我们在第二个环境中识别出两个感染了 SPECTRALVIPER 植入程序的端点。Elastic Security Labs 在 2022 年的研究中讨论了该环境，其中描述了REF4322。

REF4322 的受害者是一家总部位于越南的金融服务公司。Elastic Security Labs 在 2022 年首次谈到了此受害者和活动组。

REF2754 的受害者已被确定为一家总部位于越南的大型农业综合企业。

基于此研究结尾处提供的 YARA 规则进行追溯搜索，来自 VirusTotal 的其他第三方情报表明有其他总部位于越南的受害者。共有 8 个追溯搜索命中

• 所有都经过手动确认是 SPECTRALVIPER
• 所有样本的大小都在 1.59MB 到 1.77MB 之间
• 所有 VirusTotal 样本最初都是从越南提交的

有些样本在我们第一方的收集中以前就已识别，有些则是我们新的样本。

请注意过于依赖“VT 提交者”的分析限制。此第三方报告机制可能会受到循环报告问题的困扰，或 VPN 使用情况会修改使用的 GEO，以及无意中强化假设。在这种情况下，它是用来尝试查找具有明显非 VN 起源的样本，但没有成功。

在发布时，所有已知的受害者都是在越南境内运营的大型上市公司，并且主要在越南境内开展业务。

活动分析

与 REF4322 环境的重叠发生在最近，在 2023 年 4 月 20 日。其中一个端点之前感染了 PHOREAL 植入程序，而另一个端点则被 PIPEDANCE 感染。

这些 SPECTRALVIPER 感染在管道模式下配置，而不是设置为等待通过命名管道 (\\.\pipe\ydZb0bIrT) 传入连接的硬编码域。

此活动似乎是访问权的交接或一种工具换成另一种工具。

如果您对 PIPEDANCE 恶意软件的详细分解感兴趣，请查看我们之前的研究，并请继续关注，更多信息即将推出。

对预期效果的利用后收集有限，但是，尽管本质上是推测性的，但基于恶意软件、植入程序和技术能力的动机评估表明，其目的是实现初始访问、保持持久性以及充当情报收集目的的后门。

来自 REF4322、REF2754 以及从 VirusTotal 收集的用于 C2 的域名，均在过去一年内注册，最近的注册时间是在 2023 年 4 月下旬。

这些域名关联的 IP 地址的地理位置分布在全球各地，它们使用 Sectigo、Rapid SSL 和 Let’s Encrypt 证书。除了注册日期之外，进一步的基础设施分析没有发现其他值得注意的地方，这确实为我们提供了活动的时间范围。基于 **appointmentmedia[.]com** 最近的注册，该活动可能仍在进行中，并且可能会注册新的域名用于未来的入侵。

活动关联

Elastic Security Labs 以中等置信度得出结论，REF4322 和 REF2754 活动组均代表由越南国家相关威胁组织策划和执行的活动。根据我们的分析，该活动组与之前报告的 Canvas Cyclone、APT32 和 OCEANLOTUS 威胁组织存在重叠。

如上所述和先前报告所述，REF4322 的受害者是一家金融机构，为商业收购和前国有企业管理资金。

REF2754 的受害者是一家大型农业综合企业，在越南的食品生产和分配供应链中具有系统重要性。持续的城市化、污染、COVID-19 大流行和气候变化一直是越南粮食安全的挑战。作为一个数据点，2023 年 3 月，越南总理批准了到 2030 年越南食品系统转型走向透明、负责和可持续的国家行动计划。其总体目标是根据当地优势，将食品系统（包括生产、加工、分配和消费）转变为透明、负责和可持续的系统；确保国家食品和营养安全；提高人民的收入和生活水平；预防和控制自然灾害和流行病；保护环境并应对气候变化；最后，为到 2030 年实现越南和全球可持续发展目标做出贡献。所有这些都突显出粮食安全一直是国家政策的重点，这也使得 REF2754 的受害者因其与越南战略目标的交叉而成为对威胁行为者有吸引力的目标。

除了 REF4322 和 REF2754 受害者的国家战略利益之外，两个受害者都感染了 DONUTLOADER、P8LOADER、POWERSEAL 和 SPECTRALVIPER 恶意软件家族，在两次入侵中使用了类似的部署技术、植入管理和命名约定。

能够访问 REF4322 中提供的金融交易记录的威胁组织，再加上 REF2754 的国家战略食品安全政策，可以深入了解管理能力、腐败、外国影响或价格操纵，而这些信息在监管报告中是无法获得的。

菱形模型

Elastic Security 利用菱形模型来描述入侵的对手、能力、基础设施和受害者之间的高级关系。虽然菱形模型最常用于单次入侵，并利用活动线程（第 8 节）作为创建事件之间关系的方式，但以对手为中心的方法（第 7.1.4 节）允许（杂乱的）单个菱形。

观察到的对手战术和技术

Elastic 使用 MITRE ATT&CK 框架来记录高级持续性威胁针对企业网络使用的常见战术、技术和程序。

战术

战术代表一种技术或子技术的原因。它是对手的战术目标：执行操作的原因。

• 初始访问
• 执行
• 防御规避
• 发现
• 横向移动
• 收集
• 命令和控制

技术/子技术

技术和子技术代表对手如何通过执行操作来实现战术目标。

• 收集主机信息
• 收集受害者网络信息
• 网络共享发现
• 远程系统发现
• 文件和目录发现
• 进程发现
• 系统服务发现
• 系统所有者/用户发现
• 进程注入
• 伪装
• 应用层协议：Web 协议
• 访问令牌操作：创建和模拟令牌

检测逻辑

预防措施

本研究出版物中讨论的所有恶意软件都在 Elastic Defend 中包含保护措施。

• Windows.Trojan.SpectralViper
• Windows.Trojan.PowerSeal
• Windows.Trojan.P8Loader

YARA

Elastic Security 已经创建了 YARA 规则来识别此活动。以下是识别 SPECTRALVIPER、POWERSEAL 和 P8LOADER 的 YARA 规则

rule Windows_Trojan_SpectralViper_1 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-04-13"
        last_modified = "2023-05-26"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "SpectralViper"
        threat_name = "Windows.Trojan.SpectralViper"
        reference_sample = "7e35ba39c2c77775b0394712f89679308d1a4577b6e5d0387835ac6c06e556cb"
       license = "Elastic License v2"

    strings:
        $a1 = { 13 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 26 83 FD 0A 0F 9C 44 24 27 4D 89 CE 4C 89 C7 48 89 D3 48 89 CE B8 }
        $a2 = { 15 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 2E 83 FD 0A 0F 9C 44 24 2F 4D 89 CE 4C 89 C7 48 89 D3 48 89 CE B8 }
        $a3 = { 00 8D 68 FF 0F AF E8 40 F6 C5 01 0F 94 44 24 2E 83 FA 0A 0F 9C 44 24 2F 4C 89 CE 4C 89 C7 48 89 CB B8 }
        $a4 = { 00 48 89 C6 0F 29 30 0F 29 70 10 0F 29 70 20 0F 29 70 30 0F 29 70 40 0F 29 70 50 48 C7 40 60 00 00 00 00 48 89 C1 E8 }
        $a5 = { 41 0F 45 C0 45 84 C9 41 0F 45 C0 EB BA 48 89 4C 24 08 89 D0 EB B1 48 8B 44 24 08 48 83 C4 10 C3 56 57 53 48 83 EC 30 8B 05 }
        $a6 = { 00 8D 70 FF 0F AF F0 40 F6 C6 01 0F 94 44 24 25 83 FF 0A 0F 9C 44 24 26 89 D3 48 89 CF 48 }
        $a7 = { 48 89 CE 48 89 11 4C 89 41 08 41 0F 10 01 41 0F 10 49 10 41 0F 10 51 20 0F 11 41 10 0F 11 49 20 0F 11 51 30 }
        $a8 = { 00 8D 58 FF 0F AF D8 F6 C3 01 0F 94 44 24 22 83 FD 0A 0F 9C 44 24 23 48 89 D6 48 89 CF 4C 8D }
    condition:
        5 of them
}

rule Windows_Trojan_SpectralViper_2 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-05-10"
        last_modified = "2023-05-10"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "SpectralViper"
        threat_name = "Windows.Trojan.SpectralViper"
        reference_sample = "d1c32176b46ce171dbce46493eb3c5312db134b0a3cfa266071555c704e6cff8"
       license = "Elastic License v2"

    strings:
        $a1 = { 18 48 89 4F D8 0F 10 40 20 0F 11 47 E0 0F 10 40 30 0F 11 47 F0 48 8D }
        $a2 = { 24 27 48 83 C4 28 5B 5D 5F 5E C3 56 57 53 48 83 EC 20 48 89 CE 48 }
        $a3 = { C7 84 C9 0F 45 C7 EB 86 48 8B 44 24 28 48 83 C4 30 5B 5F 5E C3 48 83 }
        $s1 = { 40 53 48 83 EC 20 48 8B 01 48 8B D9 48 8B 51 10 48 8B 49 08 FF D0 48 89 43 18 B8 04 00 00 }
        $s2 = { 40 53 48 83 EC 20 48 8B 01 48 8B D9 48 8B 49 08 FF D0 48 89 43 10 B8 04 00 00 00 48 83 C4 20 5B }
        $s3 = { 48 83 EC 28 4C 8B 41 18 4C 8B C9 48 B8 AB AA AA AA AA AA AA AA 48 F7 61 10 48 8B 49 08 48 C1 EA }
    condition:
        2 of ($a*) or any of ($s*)
}

rule Windows_Trojan_PowerSeal_1 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-03-16"
        last_modified = "2023-05-26"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "PowerSeal"
        threat_name = "Windows.Trojan.PowerSeal"
        license = "Elastic License v2"

    strings:
        $a1 = "PowerSeal.dll" wide fullword
        $a2 = "InvokePs" ascii fullword
        $a3 = "amsiInitFailed" wide fullword
        $a4 = "is64BitOperatingSystem" ascii fullword
    condition:
        all of them
}

rule Windows_Trojan_PowerSeal_2 {
    meta:
        author = "Elastic Security"
        creation_date = "2023-05-10"
        last_modified = "2023-05-10"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "PowerSeal"
        threat_name = "Windows.Trojan.PowerSeal"
        license = "Elastic License v2"

    strings:
        $a1 = "[+] Loading PowerSeal"
        $a2 = "[!] Failed to exec PowerSeal"
        $a3 = "AppDomain: unable to get the name!"
    condition:
        2 of them
}

rule Windows_Trojan_P8Loader {
    meta:
        author = "Elastic Security"
        creation_date = "2023-04-13"
        last_modified = "2023-05-26"
        os = "Windows"
        arch = "x86"
        category_type = "Trojan"
        family = "P8Loader"
        threat_name = "Windows.Trojan.P8Loader"
        license = "Elastic License v2"

    strings:
        $a1 = "\t[+] Create pipe direct std success\n" fullword
        $a2 = "\tPEAddress: %p\n" fullword
        $a3 = "\tPESize: %ld\n" fullword
        $a4 = "DynamicLoad(%s, %s) %d\n" fullword
        $a5 = "LoadLibraryA(%s) FAILED in %s function, line %d" fullword
        $a6 = "\t[+] No PE loaded on memory\n" wide fullword
        $a7 = "\t[+] PE argument: %ws\n" wide fullword
        $a8 = "LoadLibraryA(%s) FAILED in %s function, line %d" fullword
    condition:
        5 of them
}

参考

以上研究中引用了以下内容

• https://elastic.ac.cn/security-labs/hunting-memory
• https://elastic.ac.cn/security-labs/phoreal-malware-targets-the-southeast-asian-financial-sector
• https://elastic.ac.cn/security-labs/twice-around-the-dance-floor-with-pipedance
• https://www.microsoft.com/en-us/security/blog/2020/11/30/threat-actor-leverages-coin-miner-techniques-to-stay-under-the-radar-heres-how-to-spot-them/
• https://learn.microsoft.com/en-us/microsoft-365/security/intelligence/microsoft-threat-actor-naming

观察结果

所有可观察项也可在下载，包括 ECS 和 STIX 格式的组合 zip 包。

本研究中讨论了以下可观察项。