揭秘：职业APT攻击组织PittyTiger全解析

摘要

成都网络公司-成都网站建设公司创新互联公司10余年经验成就非凡，专业从事网站建设、成都网站设计，成都网页设计，成都网页制作，软文营销，广告投放等。10余年来已成功提供全面的成都网站建设方案，打造行业特色的成都网站建设案例，建站热线：18980820575，我们期待您的来电！

近些年来，通过网络窃取机密的事情屡见不鲜。各路媒体争相报道以APT为代表的计算机攻击以及其危害。频发于网络的数字攻击已经影响到现实的生产和生活，我们必须从战略上解决这一问题。

AIRBUS Defense & Space不仅可为顾客提高网络安全事故的应急响应服务，而且能够指导顾客拟定完整的解决方案。

今天，我们决定公开一个叫做“Pitty Tigger” 的APT组织的相关信息。这片报道所涉及的资料，均是AIRBUS Defense & Space的Threat Intelligence组织的第一手信息。

我们的资料表明，Pitty Tiger组织在2011年就锋芒毕露。他们攻击过多个领域的各种单位。他们对国防和通讯业的承包商下过手，也对一个(或更多)政府部门发起过攻击。

我们投入了大量精力以追踪这个组织，现在已经能够披露他们的各类信息。我们已经对他们“恶意软件军火库”的情况了如指掌，甚至足以披露他们的技术人员结构。

调查表明，目前为止Pitty Tigger未曾用过任何0day Exploits。与众不同的是，他们喜欢使用自己开发的、专用的恶意软件。虽然Pitty Tiger能够潜入目标深藏不露，但是并不如我们发现的其他组织那样老到。

基本可以断定Pitty Tiger不是政府背景的网络入侵组织。无论从经验还是从财力方面看，他们都有明显区别。我们认为，这个组织属于机会主义的入侵组织，他们把被害目标(多数是私人企业)的资料卖给商业竞争对手。

结合这个组织的有关资料，我们可以看出Pitty Tiger是个相当小的组织，应该不是发起APT攻击的那种大规模组织。当然，我们的数据来源有限，所以这种结论可能不正确。

本文将在最后揭示Pitty Tiger的显著特征，以帮助读者判断他们是否深受其害。

一、犯罪手法：APT攻击

APT的攻击手段足以说明其危害的严重程度。它的攻击手段可以概括为下图：

1、侦查阶段/Reconnaissance

入侵者选好目标并开始收集信息的时候，他就会发起侦查。

这方面能够获取的资料非常有限，可以说几乎没有。如果要收集这种资料就要监控所有入侵者的探测行为，不过这种做法的可行性很低。

入侵者在这个阶段的工作越到位，他们对整个目标的理解能力也就越强，他们就能更为有效的渗透到目标企业的网络系统中去。

侦查工作能够通过信息搜集找到攻破目标系统的手段，更能探测到目标系统隔离保护的目标(例如关键人员的姓名等因素)。

而且，互联网的大量公开信息源都为入侵者的侦查工作敞开方便之门：社交网站、出版读物、白皮书、企业网站、搜索引擎，等等。各种扫瞄漏洞的主动扫瞄程序也能挖掘出大量信息。

2、初始阶段/Initial Infections

在前一阶段里，APT攻击人员已经充分了解了目标(包括关键人员信息)，知道从何处下手进入企业网络。而后，他们将会实施攻击，在企业内网的一台或数台服务器里安装永久性后门。

在这一阶段，他们通常会使用鱼叉式攻击(Spear Phishing)或偷渡式下载(Drive-by Downloads)的手段，攻陷一台或数台电脑(通常是工作站)。

鱼叉式攻击通常就针对特定Email地址发起的钓鱼式攻击。采用这一手段的入侵者，会向特定人群定点发送Email，而且Email总数不会很多。实际上，他们往往仅发送一封Email。这种针对特定受害者的花招，就是给受害人发送以假乱真的email，诱使后者点击某个链接以下载恶意软件，或者诱使他们打开有问题的邮件附件。

一些攻击者也会用“水坑”技术，成功攻破目标。要实施一个水坑攻击，攻击者首先要攻陷某个第三方网站。这种第三方网站通常是目标单位的目标人群通常会访问的承包商的网站。一旦有人访问这些第三方网站，他们的电脑就会中招。该方法有一个主要的缺点：网站会感染目标群体以外的人群。当然，攻击者会事先拟定对策避免这种情况。只要他们在侦察阶段做的工作足够充分，他们就会知道目标公司所有的IP地址。只要在脚本里添加几行识别IP的代码，就能够鉴别出访问该网站的终端是否属于他们要攻击的范围。

此外，入侵者还可以直接攻击目标单位的服务器，渗透到它们的网络中去。

3、扩大战果与后续行动/Access Strengthening

一旦入侵者能够访问到目标企业的内部电脑，他们就需要在这些电脑上安装后门程序，以便后续继续控制这些电脑。在安装后门的时候，如果一个程序不行，他们就会换其他后门程序。

在他们认为自己有足够权限之后，他们会开始做两件事：按照既定计划挖掘知识产权相关的文件、在被攻陷的网络里继续提升权限(以方便后续渗透)。对于行家里手来说，从拿下一台终端到攻破域管理员权限、获取全部Active Directory内容，并不需要太长的时间。

接下来，入侵者会在网络里四处游荡、以攫取他们感兴趣的内容。对于被害者来说，这种“游荡”行为很难检测。主要因为他们都会使用正确有效的登陆信息，使用正当的管理工具(诸如psExec)。

4、攫取数据/Data Exfiltration

攻击的最终目的就是要攫取数据。只是即使达成了目的，还有可能无法满足入侵者无休无止的贪欲。

攻击者通常将他们感兴趣的文件进行打包，然后通过远程管理工具RAT或FTP/HTTP传输出去。

这一环节并非是APT的终点。攻击者会滚雪球般扩大他们的权限，不断的窃取更多的信息，赖在网络里不停收集数据。

我们在blog里更详细的介绍了APT的各个阶段(http://blog.cassidiancybersecurity.com/tag/APT)。#p#

二、“Pitty Tiger”事件背景

在我们常规的APT案件调查中，一个前所未见的恶意软件引起了我们的注意。我们决定调查这个软件，最终发现只有一个特定的团体才会使用它。在反病毒界，这个系列的程序都被认为是“Pitty Tiger”出品的恶意软件。

自2014年6月它被发现以来，它背后的服务器(C&C)一直在运转。

我们的研究表明，“Pitty Tiger”在2011年就开始制作恶意软件。结合他人的公开资料， 则基本可以推断这个组织的活动至少可以追溯到2010年。

这个组织不仅会使用自产的Pitty Tiger RAT工具进行APT行动，他们还会使用其他的恶意软件。

这个组织多次用到臭名昭著的Gh0st的变种程序，一个叫做“游侠/Paladin”的RAT程序。此外，他们也会使用自己开发的RAT程序，例如“MM RAT” (aka Troj/Goldsun-B)和“CT RAT”。在他们的C&C服务器上，还存在Gh0st的另外一种变种的痕迹——Leo。

在他们攻陷的工作站上，我们也找到了“Troj/ReRol.A”。这个程序用来收集系统信息，并可用来安装其他的恶意软件。在攻陷第一批主机后的情报侦查阶段，它主要承担木马下载和系统数据采集的任务。Pitty Tiger小组主要通过Email的Office附件传播这个病毒。

Pitty Tiger在服务器配置方面的水平不高。我们成功的收集到他们3台C&C服务器的信息。这些信息揭示出2013年底到2014年初的很多情况。

在调查C&C服务器数据的同时，我们了解了Pitty Tiger的运作环境。

本白皮书旨在披露我们对Pitty Tiger的解读，重点揭示他们的基础设施和技术实力。我们希望这本白皮书能够起到抛砖引玉的作用，带动业内深入各种反入侵的分析，促进全球对网络威胁的认知。#p#

三、入侵途径

1、鱼叉式攻击+全副武装的邮件附件

在这方面，Pitty Tiger和多数APT组织没有什么区别，他们都用鱼叉式Email攻击目标网络，以寻求立足点。

我们找到了这个组织所发的、以目标企业的内部员工的身份发出的一封Email：

From: XXXXXXX
To: XXXXXXX
File: 1 Attachment: Bird’s Eye Point of View.doc
While the holiday season means clustering clustering ‘time for a vacation’ for many, there are Those That Will Be of us staying home this year. That’s why we’ve Decided to take you on a trip around the world from a bird’s eye view of the item! It’s safe to say That MOST of the lucky people on vacation Will not see breathtaking sights like these. Remember to look down!
XXXXXX

这封Email的附件是一个Microsoft Office Word文档。若打开该文档，则会触发编号为CVE-2014-1761的漏洞，继而感染打开附件的计算机：

利用Troj/ReRol.A感染计算机的word文档

以鱼叉式攻击的角度来看，这种攻击手段未免过于业余。不过在他们所发的其他email之中，包含了被害企业的一些被盗信息。所以我们认为这个组织发起过更像模像样的攻击。这些感染源能够在目标主机上安装Troj/ReRol.A，我们将在后文详细讨论这个问题。

换而言之，Pitty Tiger能够使用偷来的材料发起鱼叉式攻击。他们可能发送Email给被害单位的其他人，也可能发送Email给目标单位竞争对手，或者是其他目标。

Pitty Tiger会伪造有问题的Excel文件。不过，迄今为止，我们仅在他们发送的email里发现过只含有同种(Troj/ReRol.A )病毒的Excel文件。

2、直接攻击

虽然我们没有证据表明他们的exploits直接攻击了目标企业的服务器，但是我们有记录表明他们C&C服务器发起过多次漏洞扫瞄。

这些攻击人员用过多种不同的漏洞扫瞄程序。他们使用过各种“常规”的漏洞扫瞄工具，例如与Nmap相似的Hscan和流光。此外，他们还使用过特定漏洞的扫瞄工具，例如针对ZyWall和飞塔产品的专用扫描器。

Pitty Tiger组织能够成功利用HeartBleed漏洞获取目标系统的信息。HeartBleed是存在于老版本OpenSSL的一种漏洞，可泄露目标主机内存中的敏感信息。正是借助这一漏洞，Pitty Tiger成功获取了一台主机上的管理员登录信息。 

Pitty Tiger通过HeartBleed漏洞窃取到的内存数据

不过，在信息采集阶段里，使用自动化的漏洞扫描器扫瞄大量IP的主机，或者扫瞄多个domain的系统，这种行为非常容易暴露。如果他们想要鬼鬼祟祟的潜伏下去，应该不会采用这种不明智的做法。但是，他们的C&C服务器竟然会无所忌惮的发起了这种漏洞扫瞄。所以 我们认为，即使他们在APT的进攻方面有所建树，但是很明显他们的基本功并不扎实。#p#

四、恶意软件信息

1、TROJ/REROL.A

Pitty Tiger主要通过微软Word文件攻击特定漏洞的手段攻击计算机。

杀毒软件将恶意软件识别为“Troj/ReRol.A”。它们主要被用作Pitty Tiger入侵攻击的敲门砖。

1.1、漏洞利用原理

我们发现，这组人员的一个文件(MD5 hash: e70c0479cdb9aa031a263740365e7939)攻击编号为CVE- 2012-0158的漏洞。这个漏洞存是微软Office 2010的一个早期漏洞，微软在2012年4月发布的MS12-027已经修复了这个问题。我们还发现了可以利用编号为CVE-2014-1761的漏洞，这就是个较新的漏洞。

他们发送过各种格式的Office文件，利用攻击编号为CVE-2012-0158的漏洞。因为这些文件包含受害单位的机要信息，我们决定不公开这些文件。

他们能够利用的漏洞最多是2014年6月的漏洞。这多数意味着Pitty Tiger无法接触到0day exploits，或者他们没有钱买这些程序。也可能因为攻击目标的运维水平不高，Pitty Tiger使用这些过时exploits就足以攻破目标网络。

我们发现的最初样本是个测试文件。打开这个文件后，会发现里面只有一行中文的“你好!”。

你好!

Pitty Tiger的诱饵测试文档

1.2、安装

在成功触发目标主机上的漏洞之后，exploit会在当前用户的临时文件夹里存放并执行“svohost.exe”程序(MD5 hash: 1752aacc08ee0acd58405e9bc10b0dbb)。

C:\DOCUME~1\USER\LOCALS~1\Temp\svohost.exe

根据Sophos的命名规则，这个可执行程序被命名为“Troj/ReRol.A”。如果使用sandbox打开这个程序，将会立刻触发sandbox的警报：

Troj/ReRol.A触发的sandbox警报

这个程序还会在当前用户的Application Data里保存自己的副本。 

在sandbox用户文件夹中创建的Pitty Tiger恶意软件副本

它通过连接time.windows.com检查主机是否连接到网络，然后会和C&C服务器开始通讯——mac.avstore.com.tw。 

Troj/ReRol.A与C&C服务器之间的加密通讯

Troj/ReRol.A的变种程序不多。我们发现的变种程序所用的user-Agent都是：

Mozilla/4.0 (compatible;)

它会在注册表的中的“shell”下添加记录，以保证目标主机持续调用病毒程序：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Name: Shell
Value: explorer.exe,C:\DOCUME~1\XXXXXX\APPLIC~1\svohost.exe,

svohost程序可以收集主机信息，并把这些信息上传到C&C服务器。它还能下载和执行程序。

1.3、命令&控制

它所发送的POST信息，数据包头都是0x11字节长。其中第一个字节都是0xC3,后续的0x10字节是加密密钥。包头里的密钥用来加密后面的数据正文，加密算法是RC4。在解密后，明文的最后一个字节应当还是0xC3。

经过相应的处理，我们就能解密C&C服务器和中招终端之间的通讯。

通过技术上的匿名处理，可以得到下述的通讯内容：

HostName :xxx
UserName :xxx
SysType  :32bit
Windows 7 Enterprise Service Pack 1 6.1 7601 Organization:
Owner:xxx
 
————–Server Info——————- 
- AdobeARMservice
- Adobe Acrobat Update Service
- AeLookupSvc
- Application Experience
- AudioEndpointBuilder
- … (list goes on)
 
————–Soft Info——————-
       1    Adobe AIR 4.0.0.1390
       2    Adobe Shockwave Player 12.0 12.0.9.149
       3    FileZilla Client 3.7.4.1 3.7.4.1
       4    Mozilla Thunderbird 24.3.0 (x86 en-US) 24.3.0
       5    … (list goes on)
 
————–IP Config——————-
Adapt Type: Ethernet
NetCardNum:        11
NetCard Name:    {XXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}
Description :          Realtek RTL8139C+ Fast Ethernet NIC
MAC-ADDR:           XX-XX-XX-XX-XX-XXX
IP-Addr:                   10.xxx.xxx.xxx
IP-Mask:                  255.255.255.0
GateWay:               10.xxx.xxx.xxx
DHCP Serv:           1
DHCP Host:           10.xxx.xxx.xxx
WINS Serv:           0
WINS PriHost:       
WINS SecHost:

Troj/ReRol.A收集的样例信息

攻击者需要这些信息：它列出了系统上安装的所有软件和服务。

在把这些数据上传到C&C服务器之后，程序会响应C&C命令从中下载、安装其他恶意软件。

C&C服务器有2个文件：

1、dr.asp：实现控制的ASP前端，它能够设置变量、发送payload。

2、JHttpSrv.DLL：通过”regsvr32”实现的控制程序。ASP前端以4种方式调用这个程序：

·SETIP：设置bot的IP地址;

·AddKeyword(strKeyword, strFilePath): 在服务器上绑定关键字;

·Work(lpByteArray, nDataLength): 解密playload，搜索注册的关键词、生成相关log;

·ResponseBinary(): 回传符合特定关键字的可执行程序。

dr.asp注册的关键字有：

·“SysType :32bit” 设置程序为 “32.exe”

·“SysType :64bit” 设置程序为“64.exe”

现在，服务器上的文件名已经不再是32.exe/64.exe了。在过去，32.exe曾以下列文件名出现过：

·3200.exe

·322.exe

·32m.exe

·32mm.exe

其中322.exe是很傻很天真的合法中文calc.exe程序，这个文件用于测试目的。其余3个文件是接来下来要介绍的Rats工具。

2、Pitty Tiger RAT

RAT是这群入侵者的名称的由来。“Pitty Tiger”是他们的标志。在这个RAT的网络通信里也会出现“Pitty Tiger”字样的字符串。

2.1、安装

在Sandbox里执行这个恶意软件(MD5 hash：be18418cafdb9f86303f7e419a389cc9)时，将会触发下列警报： 

Pitty Tiger RAT触发的sandbox警报

它将藏匿于“C:\Windows\System32”。 

Sandbox中Pitty Tiger释放的文件

“qmgrxp.exe”仅仅是原始二进制文件的简单复制，它会释放一个名为“packet64.dll”的文件，并将其注入到“explorer.exe”进程中。执行之后，会创建名为“PittyTiger”的互斥量(mutex)。

程序驻留则通过添加“qmgrxp.exe”文件路径到注册表WinlogonUserInit键值中：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Name: UserInit
Value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\qmgrxp.exe,

“packet64.dll”是RAT的主要payload。在注入进程之后，便开始发送Hello数据包到C&C服务器： 

PittyTiger RAT的样例通讯

2.2、命令&控制

所有发送给C&C服务器的请求都在“/FC001/”字符串后附加有bot id，而bot id则是由被感染的计算机名称、破折号和小写的磁盘序列号组成。

发送出的数据只是简单地进行base64编码，丝毫没有做加密处理。被感染后的计算机所发出的Hello数据包被编码后，是下面这样：

————————–PittyTigerV1.0 ———————

————– ^ ^ —————————-

————– ^ —————————-

Version:NULL

我们的样本有三个C&C服务器配置：

jackyandy.avstore.com.tw:80

chanxe.avstore.com.tw:443

newb02.skypetm.com.tw:80

接下来被执行的有以下命令：

文件下载(get)和上传(put)

8bit(prtsc)和16bit(prtsc2)屏幕截取

远程shell(ocmd/ccmd)

配置上传(setserv/freshserv)

直接命令执行

至于控制端部分，我们发现有两个不同的版本：

仅处理PittyTiger连接的Delphi程序

处理PittyTiger和CT连接的.NET程序

其中处理PittyTiger和CT连接的程序界面很有意思。我们已经能够确认有两个不同家族的恶意软件出自同一个作者之手，另一个恶意软件是后面我们将看到的“CT RAT”。 

Pitty Tiger RAT控制端部分

3、CT RAT

这个远程管理工具常常被Pitty Tiger组织使用。我们已经能够获取到这个工具的客户端和服务器端部分。

我们发现了来自同一款程序的两个样本的两个不同的名字——32mm.exe和mm32.exe。

这个RAT看起来像是PittyTiger RAT的升级版本，因为我们发现的一个特殊的服务器端部分可以处理来自CT和PittyTiger的请求，说明它和PittyTiger是兼容的。此外，两者可执行的命令也是相同的。

3.1、安装

不出所料，当我们在sandbox中运行时，CT RAT触发了和PittyTiger同样的警报： 

 CT RAT触发的sandbox警报

CT RAT会释放两个文件在“C:\Program Files\Internet Explorer”： 

Sandbox中由CT RAT释放的文件

“ieupdate.exe”是一个注入DLL文件到“explorer.exe”进程的简单二进制程序。

程序驻留通过修改以下注册表键值来实现：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Windows
Value Name: load
Value: c:\PROGRA~1\INTERN~1\ieupdate.exe

在注入之后，RAT会发送一个初始登陆数据包至C&C服务器： 

被CT RAT感染的计算机发出的加密通讯

3.2、命令&控制

RAT通讯是通过HTTP请求完成的，被发送的数据通过RC4加密和base64编码，其中RC4密钥是请求URL的Unicode形式。

经过解码和解密之后的登陆数据包包含如下字符串：

Login
->C:PC-XXX
->U:User-XXX
->L:10.10.10.1
->S:Microsoft Windows XP Service Pack 3 5.1 2600
->M:Nov 13 2013
->P:1033

它包含计算机名称、用户名、内网IP、系统版本、RAT内部版本和系统语言ID。

接着CT RAT接收来自C&C服务器的命令。通常被执行的RAT功能如下：

文件下载(GET)和上传(PUT)

远程shell(ocmd/ccmd)

配置上传(cfg)

休眠(sleep)

3.3、版本和作者(们)

关于RAT配置，我们的样本是和“sop.avstore.com.tw”进行通讯，其中包含的“Mov 13 2013”字符串应该是版本识别码。

C&C服务器部分是用.NET编写的Windows二进制程序。我们发现了两个版本：

仅作为CT控制端的版本 2013.10

可作为CT和PittyTiger控制端的版本 2013.12

“关于”窗口给出了开发者(们)的名字： 

和测试主机交互的CT RAT控制端

能够处理PittyTiger和CT请求的控制端版本显示的作者(们)也是一样： 

CT/PittyTiger控制端

正如这些截屏所示，从PittyTiger到CT的转变很可能是在2013年的下半年。

幸亏有Google翻译，翻译后的作者信息如下：

CT console (compatible pittytiger) v1.3

2013.12 by Trees and snow

关于该作者的更多描述在后面我们会提到。

4、MM RAT(AKA TROJ/GOLDSUN-B)

在调查之初，且尚未命名为“Troj/Goldsun-B”之前，我们将这个恶意软件名为为“MM RAT”。这是Pitty Tiger的小伙伴常使用的另一个远程管理工具。我们已经能够获得它的客户端和服务器端部分。

4.1、安装

我们发现的样本名字是3200.exe，在sandbox中触发的警报如下： 

Troj/Goldsun-B触发的sandbox警报

“release.tmp”文件被释放到系统中： 

恶意软件释放的文件

这个二进制文件也被复制到用户目录下的“Application Data”目录，并且注入“release.tmp”文件到“explorer.exe”进程中。

程序驻留通过添加程序路径到Winlogon Shell键值中实现：

Key Path: \REGISTRY\USER\
 \Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Value Name: Shell
Value: explorer.exe,C:\DOCUME~1\
 \APPLIC~1\
 ,

MM RAT嵌入有自己的DNS服务器IP地址来做C&C域名解析。这些DNS地址的列表如下：

63.251.83.36
64.74.96.242
69.251.142.1
212.118.243.118
216.52.184.230
61.145.112.78
218.16.121.32

4.2、命令&控制

MM RAT在进程注入后开始进行域名解析，并立即发送请求。首次请求用来检查更新(GET /httpdocs/update/update.ini)，然后发送Hello数据包： 

Troj/Goldsun-B发送给C&C服务器的Hello数据包

感染之后的bot接着重复发送GET请求到“/httpdocs/mm/ /ComMand.sec”获取远程命令。

通讯协议相当简单：GET请求被用来接收来自C&C服务器的数据，POST请求用来发送数据。在POST命令中，CGI名称表示命令。

可以执行的功能如下：

使用密码进行C&C服务器验证
远程Shell
远程命令
文件下载/上传/删除/搜索
终止Bot

Bot能够请求的CGI文件如下：

Vip：测试连接情况
Owpp4：注册新bot
CReply：响应远程命令
Clrf：清除远程文件(读取之后清除ComMand.sec)
CFile：传输文件(文件传输或响应命令)
Cerr：发送错误

在本地的配置文件名为“schmup.sys”，该文件使用RC4加密，并采用“rEdstArs”的MD5值作为密钥。

我们的样本使用“mca.avstore.com.tw”、“star.yamn.net”和“bz.kimoo.com.tw”作为C&C服务器，它包含“1.6.0”的版本号，并用“9ol.8ik,”作为密码来验证bots。

不同于其他的C&C程序，MM RAT的C&C部分没有图形化界面，但是能够远程接收请求来管理bots。除此之外，bots不需要发送验证请求到C&C服务器(但是需要知道已配置密码和bots交互)。

管理协议和bots协议一样，但使用不同的CGI文件：

-Shudown：关闭C&C
-Cnor：为一个bot增加一条新命令(写入到“ComMand.sec”)
-Mlist：得到bots列表
-Mlist2：写入bots列表到“Online.dat”文件

Bots对远程命令的响应可以通过请求“Reply.sec”文件得到(比如：GET /httpdocs/mm/ /Reply.sec)。

4.3、网络模式

这些网络模式可能会在一些研究员的脑中响起警钟。MM RAT使用的网络模式和之前Lurid组织(APT攻击者)以及其他在中国的邪恶角色们所使用的Enfal恶意软件一样。

代码检查显示MM RAT并没有和Enfal恶意软件有相似之处，我们目前还无法知道为何这个恶意软件使用了相同的网络通讯模式。

5、PALADIN(游侠) RAT

这是Pitty Tiger组织使用的另一款远程管理工具。我们能够获取到它的客户端和服务器端。

5.1、安装

我们发现的二进制文件会释放一个恶意Word文档。下面是在sandbox中触发的警报：

Paladin RAT在sandbox中触发的警报

Wrod文件所包含的shellcode会释放并执行以下文件：

C:\Documents and Settings\ \Local Settings\Temp\svohost.exe

该程序逐个释放以下文件：

Sandbox中恶意软件释放的文件

这些tmp文件接着被复制到“C:\Windows\system32\Nwsapagentex.dll”并在系统中注册名为“Nwsapagent”的服务。

这款恶意软件是臭名昭著的Gh0st RAT的变种，不同的是我们手中的样本采用“ssss0”作为网络通讯的前缀而非“Gh0st”。

5.2、命令&控制

用于通讯协议的命令ID也会改变，但是功能却是一样的。

PALADIN RAT将配置信息直接写入在二进制程序中，并在运行时做解密。原本有多达5台C&C服务器可以被配置，但我们的样本只有一台：“ey.avsotre.com.tw:53”。

“EY”可能表示的是“Ernst & Young”，这一点都不奇怪，因为许多不同的攻击组织都确实在用反病毒厂商或其他大公司的名字，显得更合法一些。Pitty Tiger也不例外，具体细节在报告后面提及。

我们也发现了两个C&C二进制程序，分别是Paladin RAT控制端的2.1版本和2.2版本。2.1版本网络通讯以“ssss0”为开头，而2.2版本网络通讯以“Gh0st”开头。

测试机中的Paladin控制端

Paladin的多种功能：文件传输、截屏、cmd shell

6、LEO RAT

除了Paladin(游侠)RAT，我们还发现了另一款Gh0st RAT变种，名为“Leo”。尽管我们是在Pitty Tiger的C&C服务器中发现的它，但是没有证据表明它被Pitty Tiger所使用，与之相反，Paladin RAT经常被Pitty Tiger所用。

此外，我们在相同文件夹中发现了一款已编译的恶意软件被配置为连接到本地IP地址，很可能出于测试的目的。

Leo恶意软件控制端截图——Gh0st RAT的变种

五、基础架构

我的调查集中在Pitty Tiger使用的三个特别的C&C服务器上。这些C&C服务器不同于他们使用的其他C&C服务器的是他们被错误地配置了。一旦被解析成功，它将给我们提供更多的内幕。

我们发现了几个Pitty Tiger所使用的域名，其中最有趣的一个将会在这部分详细展示。

Pitty Tiger，像其他APT攻击者一样，在注册域名或创建子域名时常常用反病毒的“耳熟能详之名”。其中的样例包括avstore.com.tw、sophos.skypetm.com.tw、symantecs.com.tw、trendmicro.org.tw等等。

1、AVSTORE.COM.TW

1.1、WHOIS信息

这个域名的注册信息从2013年6月4日开始就未曾变动：

Domain Name: avstore.com.tw
Registrant:
information of network company
longsa longsa33@yahoo.com
+86.88885918
No.520.spring road.shenyang
shanghai, shanghai
CN

这些信息也被用来注册其他域名，像是skypetm.com.tw，同样是被Pitty Tiger所使用。

1.2、恶意软件家族

我们的研究引导我们发现了和avstore.com.tw子域名相关的四个不同的恶意软件家族：

PittyTiger RAT(又叫Backdoor:Win32/Ptiger.A)
Troj/ReRol.A
CT RAT
Paladin RAT(Gh0st RAT的变种)

​连接到avstore.com.tw的文件MD5列表 

恶意软件样本、恶意软件家族和avstore.com.tw子域名的关联

1.3、C&C服务器和IP地址

Avstore.com.tw基础架构：主机和子域名

2、SKYPETM.COM.TW

2.1、WHOIS信息

这个域名历史上有两次不同的WHOIS信息：

2011年12月29日至2013年1月2日

Registrant :chenzhizhong
Email : hurricane_huang@163.com
Telephone : +86.2426836910

2013年11月32日至今

Registrant : long sa
Email : longsa33@yahoo.com
Telephone : +86.88885918

2.2、恶意软件家族

和子域名skypetm.com.tw进行通讯且已识别的有六个恶意软件家族：

MM RAT

Pitty Tiger RAT

Troj/ReRol.A

CT RAT

Paladin

Exadog​

Skypetm.com.tw基础架构：子域名和恶意软件连接