xHunt：针对科威特的网络攻击分析

在2019年5月至6月期间，发现有以前未知的工具被用于针对科威特的运输和航运组织。

攻击活动中已知的第一目标是科威特一家运输和航运公司，在这家公司里，攻击者安装了一个名为Hisoka的后门工具。此外工具被下载到系统中，以便执行后期攻击渗透。所有这些工具都是由同一研发人员开发。目前已经收集了几种不同的工具，其中一种可以追溯到2018年7月。

收集工具包括后门工具Sakabota、Hisoka、Netero和Killua。这些工具不仅将http用于执行命令和控制（c2）通道，还使用dns隧道或电子邮件与c2通信。除了上述后门工具外，还发现名为gon和eye的工具，它们提供后门访问和命令执行的功能。

攻击综述

2019年5月19日，在科威特运输和航运部门的系统上发现了一个名为inetinfo.sys的恶意文件。inetinfo.sys是hisoka的后门的变体。

在通过Hisoka访问系统的两小时内，攻击者r部署了另外两个名为gon和eye的工具。gon工具允许参与者扫描远程系统上的开放端口、上传和下载文件、截图、查找网络上的其他系统、远程执行命令以及创建rdp会话，工具如图1所示。

BNVvye7.jpg!web

攻击者在远程登录到系统时使用eye工具作为保护，该工具可以杀死攻击者创建的所有进程，并在用户登录时移除其他标识。

在收集到的数据集中进行搜索，能够确定同该组织针对的第二个目标也是科威特运输和航运业中的组织。2019年6月18日至30日期间，攻击者安装了Hisoka工具。其中包含文件名netiso.sys，v0.9版。

6月18日，发现此文件通过SMB协议从内部帐户传输到另一个系统。之后，一个名为otc.dll的文件被以同样的方式传输。otc.dll文件是一个名为killua的后面工具，允许攻击者通过使用dns隧道通信。基于字符串比较，可以看出由同一个开发人员同时开发了killua和hisoka。

6月30日，攻击者使用第三方从内部账户将文件复制到网络中的其他系统上，传输了另一个Hisoka v0.9文件，然后在30分钟内传输两个不同的Killua文件。

基于电子邮件C2

在分析中确定了Hisoka的两个不同版本，特别是v0.8和v0.9，它们都安装在两个科威特组织的网络上。两个版本都包含允许攻击者控制目标系统的命令集。在这两个版本中，攻击者可以通过使用http或dns隧道和服务器进行通信。然而，v0.9增加了基于电子邮件的c2能力。

基于电子邮件的C2通信功能依赖于Exchange Web服务（EWS），攻击者通过Exchange服务器上的合法帐户与Hisoka通信。同时，Hisoka恶意软件和攻击者通过创建电子邮件草稿交换数据。使用电子邮件草稿以及相同的合法交换帐户进行通信，将不会检测到出站或入站收到的电子邮件。

为了启用基于电子邮件的C2通道，攻击者执行命令：–E EWS <data>，并提供如下数据：

<username>；<password>；<domain for exchange server>；<exchange版本（2010 2013）>

为了启动通信，Hisoka创建一个初始电子邮件草稿，通知攻击者它已经准备好接收命令。初始电子邮件草稿包含主题“present”，邮件正文为空，在“to”字段中有一个电子邮件地址，该地址的标识符是目标系统的唯一标识符（在我们的测试中为“abcdef”）。图2显示了Hisoka通过OutlookWeb登录帐户查看初始草稿电子邮件。

3qyM7bZ.jpg!web

要发出命令时攻击者将登录到同一帐户，并创建主题为“project”的草稿和精心编制的消息正文，其中包含加密字符串的命令。

通过分析代码确定了此邮件正文的结构，电子邮件必须包含字符串<body>和base64编码的密文。

攻击者将对每个字符使用83（0×53）xor操作并进行base64编码来加密命令。图3显示了用于测试C2通道的电子邮件草稿，该C2通道发出命令c-get c:\\ windows\\ temp\\ test.txt，Hisoka将解析该命令并将其视为上传文件的命令，路径为c:\ windows\temp\test.txt。

JFRJj2Z.jpg!web