2015年 8月，赛门铁克安全团队发现未知的后门木马程序Backdoor.Dripion，该木马程序主要针对位于中国台湾地区、巴西和美国的企业进行攻击。Dripionis是一种定制的窃取企业信息的恶意软件，目前仅在部分针对性网络攻击中使用过。该攻击活动的背后攻击者采取了一定的措施来掩饰他们的攻击行为，包括将域名伪装成杀毒软件公司的网站，并将其当作命令和控制（C&C）服务器。赛门铁克安全团队发现，这些攻击与曾经一个被称为Budminer的网络犯罪团体利用Taidoor木马程序（Trojan.Taidoor）所进行的攻击之间存在一定的关联。

如Dripion这样的定制恶意软件所带来的威胁证明了多层安全防护的价值。虽然未知威胁可以避开特征检测，但是它们仍旧能够被其他可识别恶意行为的检测工具所阻止。

攻击事件背景

当赛门铁克安全团队收到三个文件拼凑档并发现其具有后门程序功能，能够窃取受害企业的信息时，便针对该攻击开展调查工作。该恶意软件似乎是一种新型恶意软件，此前很少被检测出来，也并未公开使用过。通过二进制分析，并与其他已知后门木马程序进行对比后，赛门铁克的安全专家分析出这是一款定制开发的恶意软件。

开发一款能够避开检测并具有信息窃取功能的后门程序需要大量的知识和资金支持。这类新型后门木马程序的背后通常与网络间谍活动组织的参与有关。

恶意软件下载器

针对恶意软件的调查的首要步骤确定其进入受害者计算机的方式。虽然目前有许多公开使用的下载器，但是专属于网络间谍活动使用的专有下载器在过去几年里却屈指可数。由于使用Dripion恶意软件看起来来自于单个攻击者针对小型目标群体，因此，赛门铁克安全团队希望能够通过调查下载器来确定是否能够获更多证据，从而找出背后的已知威胁团体。

本次攻击所使用的下载器Downloader.Blugger （MD5:260f19ef39d56373bb5590346d2c1811）并非是新出现的恶意软件，在2011年便已被发现。

Blugger下载器采用加密技术来其构建基础架构和URL请求查询命令，这令其更加难以被检测出来。在解密后，赛门铁克安全团队确定下列URL请求：

• http://classic-blog.[REDACTED DOMAIN 1].com/nasyzk/20002630
• http://nasyzk.[REDACTED DOMAIN 2].net/blog/post/251315428

赛门铁克安全团队在分析后得出，在下载器请求的URL中的这两个域名均为可公开访问的博客网站。下载器能够通过关联这些博客的URL，检索并安装Dripion恶意软件。

这些博客主要以英文为主，其主要攻击目标为中国台湾地区。如图1所示，其中一个博客以美国医疗保健花销为主题。赛门铁克安全团队目前尚不清楚这些博客是由攻击者所创建，还是为了攻击而入侵了其他的博客。如果是入侵其他博客，那么攻击者便不会创建帖子，这是由于博客会显示帖子的创建者，这与攻击者的初衷不符。如果是攻击者创建博客，那么他或许会采用攻击目标所可能感兴趣的主题来创建博客。目前，这些博客中的大部分内容与新闻活动相关。

图 1. 可感染Dripion恶意软件的博客截图

Dripion后门木马程序

一旦受害者的计算机被Dripion恶意软件入侵，攻击者就能够访问用户的计算机。Dripion拥有后门木马程序的功能，使攻击者可以上传、下载并从受害者计算机中窃取预先确定的信息。此外，该恶意软件还能够执行远程命令。在感染后，受害者的计算机名称和IP地址等信息将会自动传输至C&C服务器。

表1.Dripion恶意软件相关命令

此外，Dripion的开发者还将XOR编码用于二进制配置文件（XOR:0xA8）和通过C&C服务器发出的网络请求（XOR:0xA3），从而使其更加难以被检测出来。

目前，Dripion已经被确认拥有多个变体，其版本号被硬编码在恶意软件内。这意味着，攻击者既可以创建和开发定制的恶意软件，并且能够更新代码，从而提供新的功能，增加被检测出来的难度。

与此前网络间谍活动的关联

使用可公开访问博客散布恶意软件是曾经出现过的攻击手段，但是网络间谍团体很少使用这种方式进行攻击。目前依然采用这种方式发送定制恶意软件的情况更是少之又少。

赛门铁克安全团队此前曾经发现Budminer是唯一曾使用Blugger下载器的网络犯罪团体，这是指明此次攻击与之前网络间谍活动相关的第一条证据。过去，该犯罪团体曾使用Blugger下载器散布定制恶意软件Taidoor（Trojan.Taidoor）。在本次攻击中，我们首次发现Blugger下载器用于发送 Taidoor以外的恶意软件。

随着调查工作的进一步深入，我们发现了此次攻击与早期Budminer犯罪活动相关的第二个联系。在与根域相连接的Dripion相关Blugger下载器的其中一个样本曾经被用于Taidoor攻击活动。

图 2. Dripion和Taidoor共用同一个根域

两个URL查询均来自于与博客classic-blog. [REDACTED DOMAIN 1].com所连接的Blugger下载器。这两个URL可调出[REDACTED DOMAIN 3].net的子域名。Dripion和Taidoor不仅连接同一网站（classic-blog.[REDACTED DOMAIN 1].com），并且使用相同URL （classic-blog.[REDACTED DOMAIN 1].com /nasyzk/[ENCODED TEXT]）来获取加密的C&C配置。

攻击目标

赛门铁克安全团队在2015年9月首次识别出采用Dripion恶意软件的攻击活动。根据最早的已知样本上的时间戳，Dripion恶意软件很可能于 2013 年便已经存在。赛门铁克安全团队的分析发现，采用Dripion恶意软件的攻击活动的针对性极强，受害者数量远远低于感染Taidoor的用户数量。

图 3. Dripion和Taidoor的专有文件哈希值（按地区检测）

可以看出，两组攻击活动之间的相似处在于，在中国台湾地区所发现的感染用户的专有文件拼凑值数量相似。

很遗憾，现在赛门铁克安全团队需要更多数据来确定2013年11月与Dripion恶意软件相关的时间戳（7ad3b2b6eee18af6816b6f4f7f7f71a6）是否合法，或是否存在伪造。目前，赛门铁克安全团队能够确认，最早已知的采用Dripion恶意软件的攻击活动发生于2014年11月。尽管存在1年的时间差，但是采用Dripion恶意软件的攻击活动很可能在此期间就已经发生过，但由于目标过小，躲避了检测。

此外，攻击者还采用了另一种手段来欺骗C&C基础架构内部的潜在攻击目标。攻击者会创建多个与杀毒领域中合法企业的网站相似的域名，例如，攻击者曾使用过hyydn.nortonsoft[.]com 和mhysix.mcfeesoft[.]com为C&C域名。为了欺骗攻击目标和防御者，利用蓄意拼写错误的域名模仿合法网站以混入正常的网络活动中便是网络攻击中的一种常见手段。

调查结论

通过开展调查工作，赛门铁克安全团队认为，本次攻击活动以中国台湾地区为主要攻击目标，通过利用未识别的后门木马程序对企业进行攻击。随着调查工作的深入，赛门铁克安全团队发现，此次攻击活动与Budminer网络间谍团体之间存在多个关联关系：

使用相同的专有下载器

Dripion和Taidoor所使用的专有下载器可将受害企业的MAC地址用作RC4密钥进行数据加密

• 使用相同的博客散布恶意软件（Taidoor和Dripion）
• 使用共享的C&C基础架构（在根域级别）
• 针对相似的攻击目标（主要攻击目标为中国台湾地区）

赛门铁克安全团队将Dripion恶意软件与Taidoor的样本进行对比，以确定它们之间是否共代码，或者来自于同一开发者。我们的调查结论表明，这两个恶意软件系列之间没有相似之处。但由于两者所使用的下载器具有特殊专有属性，可以认为该下载器来自同一开发者。

确定网络间谍团体的属性非常难，调查人员需要基于事实而非假设。赛门铁克安全团队发现这两组攻击活动之间存在多个关联关系。虽然并非所有关联关系都十分紧密，但组合在一起就形成证明攻击者利用Dripion和Taidoor恶意软件针对中国台湾地区进行网络攻击的有力证据。

基于调查证据，赛门铁克安全团队认为，采用Dripion恶意软件的攻击活动来自于Budminer高级威胁网络犯罪团体。虽然自 2014年以来，我们没有发现采用Taidoor进行攻击的活动，但是赛门铁克安全团队认为，本次攻击是Budminer犯罪团体由于近年接连被安全公司曝光为了避免检测而改变的战略。

赛门铁克公司利用智能驱动型安全措施始终领先于攻击者，为用户提供全面的安全防护。本次调查工作是赛门铁克不断识别新型未知威胁的案例之一。

•         Backdoor.Dripion
•         Downloader.Blugger