美人魚行動是境外APT組織主要針對政府機構的攻擊活動，持續時間長達6年的網絡間諜活動，已經證實有針對丹麥外交部的攻擊。相關攻擊行動最早可以追溯到2010年4月，最近一次攻擊是在2016年1月。截至目前360追日團隊總共捕獲到惡意代碼樣本284個，C&C域名35個。

2015年6月，360追日團隊首次注意到美人魚行動中涉及的惡意代碼，并展開關聯分析，由于相關惡意代碼在中國地區并不活躍，所以當時無法判斷其載荷投遞的方式和攻擊針對目標和領域。但通過大數據關聯分析目前我們已經確定相關攻擊行動最早可以追溯到2010年4月，以及關聯出上百個惡意樣本文件，另外360追日團隊疑似載荷投遞采用了水坑攻擊的方式，進一步結合惡意代碼中誘餌文件的內容和其他情報數據，初步判定這是一次以竊取敏感信息為目的的針對性攻擊，且目標是熟悉英語或波斯語。

2016年1月，丹麥國防部情報局（DDIS，Danish Defence Intelligence Service）所屬的網絡安全中心（CFCS，Centre for Cyber Security）發布了一份名為“關于對外交部APT攻擊的報告”的APT研究報告，報告主要內容是CFCS發現了一起從2014年12月至2015年7月針對丹麥外交部的APT攻擊，相關攻擊主要利用魚叉郵件進行載荷投遞。

CFCS揭露的這次APT攻擊，就是360追日團隊在2015年6月發現的美人魚行動，針對丹麥外交部的相關魚叉郵件攻擊屬于美人魚行動的一部分。從CFCS的報告中360追日團隊確定了美人魚行動的攻擊目標至少包括以丹麥外交部為主的政府機構，其載荷投遞方式至少包括魚叉式釣魚郵件攻擊。

通過相關線索分析，360追日團隊初步推測美人魚行動幕后組織來自中東地區。

一、載荷投遞

1.魚叉郵件：PowerPoint OLE釣魚文

OLE是Object Linking and Embedding的縮寫，即“對象鏈接與嵌入”，將可執行文件或腳本文件嵌入到文檔文件中 ，雖然沒有使用漏洞，但構造的惡意文檔文件極具有迷惑性。

攻擊者可以在outlook發送郵件時、word文檔或PowerPoint幻燈片中構造釣魚文檔，在美人魚行動中主要是利用PowerPoint OLE釣魚文檔，一般是將PE惡意文件嵌入其中。進一步針對單個PPT文檔，攻擊者會嵌入多個同樣的PE惡意文件，這造成在用戶環境執行PPT釣魚文檔后，對彈出的安全警告窗口點擊“取消”后會繼續彈出，一般安全意識較弱的用戶在經過多次操作后沒有達到預期效果，則會點擊“運行”由此來達到關閉安全警告窗口。

2.疑似水坑攻擊

kurdistannet.org（A Daily Independent Online Kurdish Newspaper）網站被植入了惡意鏈接，疑似美人魚行動中發動水坑攻擊會基于該網站。這個網站的主要內容是涉及伊拉克庫爾德斯坦的相關新聞，網站語言以波斯語為主，也就是被攻擊目標是關注庫爾德斯坦相關新聞，且熟悉波斯語。

360追日團隊在2016年4月14日再次請求訪問該網站，通過對頁面源碼的分析，插入的惡意鏈接依然還存在尚未刪除，也就是kurdistannet網站的管理人員尚未發現相關威脅。但是惡意鏈接目前來看已經失效了。

上表是對kurdistannet網站被掛馬的具體記錄，通過sucuri谷歌快照的時間，可以確定至少在2016年1月24日kurdistannet網站就已經被植入了惡意鏈接。

從以下兩個表中，可以看出母體文件有來自URL的情況，從URL最終指向的文件擴展名來看，應該不會是誘導用戶點擊并執行這類URL。而這類URL有可能是其他downloader木馬請求下載或者由漏洞文檔、水坑網站在觸發漏洞成功后下載執行。

表 1樣本來源1

3.自身偽裝

這里主要指對二進制可執行EXE文件，主要從文件名、文件擴展名和文件圖標等方面進行偽裝。
在美人魚行動中主要通過winrar的自解壓功能將相關樣本文件和誘餌文檔打包為EXE文件，其中誘餌文檔涉及的方面較多，會涉及安裝補丁、開發環境、視頻、圖片、文檔等，但就EXE文件母體很少將文件圖標替換為文檔或圖片圖標。

二、RAT分析

1.功能簡述

美人魚行動中使用的RAT我們命名為SD RAT，SD RAT主要是通過winrar的自解壓功能將自己打包為exe文件，會偽裝為安裝補丁、開發環境、視頻、圖片、文檔等，如V1版本會偽裝成圖片文件，V2版本會將自己偽裝為aptana的air插件。

主要功能是進行鍵盤記錄，收集用戶信息（例如：pc的信息，剪貼板內容等等）然后上傳到指定服務器，進一步還會從服務器上下載文件（下載的文件暫時還未找到）并運行。從樣本代碼本身來看SD RAT主要分為兩個版本，大概2012年之前的是早期V1版本，2012年之后至今的為V2版本。

2.V1和V2版本

兩個版本執行在整體架構上是相同的都是在創建窗口的時候調用了一個函數，在該函數中創建兩個定時器一個用來記錄剪貼板中最新內容，一個用來下載文件和發送用戶信息。

在V1版本中創建了兩個定時器一個用來下載文件和發送用戶信息另一個則調用GetAsyncKeyState進行鍵盤記錄 ,而在V2版本中通過注冊熱鍵，響應相關消息進行鍵盤記錄。在V1版本中則通過setclipboard和響應WM_DRAWCLIPBOARD 消息來記錄剪貼板上的內容。V2版本內部之間的主要區別在于URL和相關字符串是否加密，在2015年的近期V2版本中幾乎對所有的字符串都進行了加密操作。

雖然兩個版本在具體的功能實現的手法上有所區別但整體結構和功能是一致的,甚至連字符串解密的函數都是一樣的。

3.對抗手法

躲避執行？失誤？

V2版本會檢測avast目錄（avast software）是否存在，如果不存在則停止運行。V2版本此處的檢測邏輯，不太符合一般惡意代碼檢測殺毒軟件進行對抗的思路，我們推測有兩種可能性：

第一種：攻擊者重點關注被攻擊目標環境存在avast殺軟的目標；

第二種：攻擊者在開發過程中的失誤導致。

謹慎執行

V2檢測到其他殺軟不會停止運行，而是謹慎執行。

V2版本首先會檢測卡巴斯基目錄（Kaspersky Lab），判斷是否安裝了該殺毒軟件如果存在則會進行謹慎的刪除，如果存在則檢測是否存在 C:Documents and SettingsAdministratorApplicationDataAdobeairplugin*.dat，存在則會獲取插件的名稱，然后刪除對應的啟動項。如果不存在則會直接將以airplugin開頭的相關啟動項全部刪除。

進一步然后向注冊表中添加啟動項，在添加啟動項的過程中依舊會檢測如下殺毒軟目錄件是否存在。
如果存在，會通過執行批處理的方式添加如果不存在則直接進行修改注冊表。接著會執行刪除，然后再次檢測上面羅列的殺毒軟件，如果存在則將原文件移動過去并重命名如果不存在則直接復制過去重命名。

檢測殺軟的操作并沒有影響最終的結果，只是采取了更加謹慎的操作。

三、 C&C分析

WHOIS信息

非動態域名，360追日團隊通過對主域名的WHOIS信息分析，發現相關域名持有者郵箱主要集中在以下幾個郵箱：

aminjalali_58@yahoo.com
aj58mail-box@yahoo.com
kamil_r@mail.com
am54ja@yahoo.com

故意混淆誤導？無辜受害者？

現象

在我們分析C&C通信的過程中，一個針對安全廠商的誤報反饋引起了我們的注意，具體反饋的誤報信息如下表和下圖所示。

反饋誤報相關 具體鏈接
反饋誤報的URL https://community.sophos.com/products/unified-threat-management/f/55/t/46992
認為被誤報的網站 hXXp://updateserver1.comhXXp://bestupdateserver.com/
aj58在sophos論壇主要反饋sophos產品誤報了他持有的兩個網站，sophos的UTM是基于McAfee Smartfilter XL，aj58聲稱McAfee已經更改了網站狀態（即非惡意），其中Scott Klassen反饋如果McAfee如果修改狀態，則sophos最終也會修改。aj58繼續反饋說VT中sophos的檢測結果依然是惡意。從目前來看VT中sophos的結果 是未評級網站（Unrated site），也就是已經將惡意狀態修改。

分析

在看到以上現象，360追日團隊首先是想到了之前發布的《007 黑客組織及其地下黑產活動分析報告》（https://ti.360.com/upload/report/file/Hook007.pdf）中，出現過攻擊者主動聯系安全廠商，探測安全廠商檢測機制的案例。

以下是就本次事件的具體推測過程：

首先sophos論壇上注冊的用戶名是aj58，這的確和反饋誤報的兩個域名WHOIS信息中郵箱地址比較相似“aminjalali_58@yahoo.com”，“aj58mail-box@yahoo.com”，這一現象或許是用戶習慣相關用戶名，另外就是刻意表示與相關網站具備關聯歸屬性。

進一步aj58聲稱自己擁有的兩個網站，也是美人魚行動中主要涉及到C&C域名，從2010年至2015年都有涉及到這兩個C&C的木馬出現，一般情況惡意域名如果曝光或使用次數越多則存活時間則會越短，而如果只是針對特定目標，且控制其傳播范圍，則C&C域名會存活較長時間。

疑點1：而且從360追日團隊的分析來看，這兩個C&C域名的作用并非簡單的判斷網絡環境，其作用主要是竊取信息的回傳和下載其他惡意程序。這時懷疑有兩種可能性，第一：這兩個域名屬于美人魚行動幕后組織所注冊持有；第二：這兩個域名是可信網站，被美人魚行動幕后組織攻陷作為跳板。

注：

惡意代碼判斷網絡環境：一般惡意代碼在執行主要功能之前會判斷下本地網絡環境，這時會請求一些可信網站，如請求谷歌、微軟等網站，如果符合預設的判斷條件，則繼續執行。

疑點2：進一步360追日團隊發現在美人魚行動中使用的C&C域名，排除動態域名，至少有8個C&C域名與aj58提到的這兩個域名注冊郵箱相同。這時我們懷疑有兩種可能性，第一：這兩個域名屬于美人魚行動幕后組織所注冊持有；第二：這兩個域名和其他8個域名均為可信網站，而美人魚行動幕后組織只針對aj58所持有的域名進行攻擊，并作為跳板。

疑點3：另外這些aj58提到的這兩個域名，以及我們發現的其他域名均無對外提供WEB服務或網站頁面。

疑點4：注意到aj58是在2015年7月25日反饋誤報，而aj58所持有的另外3個域名已經在2015年7月1日被安全機構（virustracker.info）sinkhole了。從aj58在sophos論壇反饋自己網站被誤報的情況，360追日團隊認為aj58用戶對自己網站的安全性還是很關注的。我們推測aj58所持有的網站如果被其他機構接管了，aj58應該會進行反饋質疑，無法知道aj58是否聯系virustracker.info，但從這3個網站的最新WHOIS信息來看，持有者仍然是virustracker.info。
本文轉自d1net（轉載）

總結

以上是生活随笔為你收集整理的一个持续6年的针对多国政府机构的网络间谍活动 — “美人鱼行动”的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。