美人鱼行动是境外APT组织主要针对政府机构的攻击活动，持续时间长达6年的网络间谍活动，已经证实有针对丹麦外交部的攻击。相关攻击行动最早可以追溯到2010年4月，最近一次攻击是在2016年1月。截至目前360追日团队总共捕获到恶意代码样本284个，C&C域名35个。

2015年6月，360追日团队首次注意到美人鱼行动中涉及的恶意代码，并展开关联分析，由于相关恶意代码在中国地区并不活跃，所以当时无法判断其载荷投递的方式和攻击针对目标和领域。但通过大数据关联分析目前我们已经确定相关攻击行动最早可以追溯到2010年4月，以及关联出上百个恶意样本文件，另外360追日团队疑似载荷投递采用了水坑攻击的方式，进一步结合恶意代码中诱饵文件的内容和其他情报数据，初步判定这是一次以窃取敏感信息为目的的针对性攻击，且目标是熟悉英语或波斯语。

2016年1月，丹麦国防部情报局（DDIS，Danish Defence Intelligence Service）所属的网络安全中心（CFCS，Centre for Cyber Security）发布了一份名为“关于对外交部APT攻击的报告”的APT研究报告，报告主要内容是CFCS发现了一起从2014年12月至2015年7月针对丹麦外交部的APT攻击，相关攻击主要利用鱼叉邮件进行载荷投递。

CFCS揭露的这次APT攻击，就是360追日团队在2015年6月发现的美人鱼行动，针对丹麦外交部的相关鱼叉邮件攻击属于美人鱼行动的一部分。从CFCS的报告中360追日团队确定了美人鱼行动的攻击目标至少包括以丹麦外交部为主的政府机构，其载荷投递方式至少包括鱼叉式钓鱼邮件攻击。

通过相关线索分析，360追日团队初步推测美人鱼行动幕后组织来自中东地区。

一、载荷投递

1.鱼叉邮件：PowerPoint OLE钓鱼文

OLE是Object Linking and Embedding的缩写，即“对象链接与嵌入”，将可执行文件或脚本文件嵌入到文档文件中 ，虽然没有使用漏洞，但构造的恶意文档文件极具有迷惑性。

攻击者可以在outlook发送邮件时、word文档或PowerPoint幻灯片中构造钓鱼文档，在美人鱼行动中主要是利用PowerPoint OLE钓鱼文档，一般是将PE恶意文件嵌入其中。进一步针对单个PPT文档，攻击者会嵌入多个同样的PE恶意文件，这造成在用户环境执行PPT钓鱼文档后，对弹出的安全警告窗口点击“取消”后会继续弹出，一般安全意识较弱的用户在经过多次操作后没有达到预期效果，则会点击“运行”由此来达到关闭安全警告窗口。

2.疑似水坑攻击

kurdistannet.org（A Daily Independent Online Kurdish Newspaper）网站被植入了恶意链接，疑似美人鱼行动中发动水坑攻击会基于该网站。这个网站的主要内容是涉及伊拉克库尔德斯坦的相关新闻，网站语言以波斯语为主，也就是被攻击目标是关注库尔德斯坦相关新闻，且熟悉波斯语。

360追日团队在2016年4月14日再次请求访问该网站，通过对页面源码的分析，插入的恶意链接依然还存在尚未删除，也就是kurdistannet网站的管理人员尚未发现相关威胁。但是恶意链接目前来看已经失效了。

上表是对kurdistannet网站被挂马的具体记录，通过sucuri谷歌快照的时间，可以确定至少在2016年1月24日kurdistannet网站就已经被植入了恶意链接。

从以下两个表中，可以看出母体文件有来自URL的情况，从URL最终指向的文件扩展名来看，应该不会是诱导用户点击并执行这类URL。而这类URL有可能是其他downloader木马请求下载或者由漏洞文档、水坑网站在触发漏洞成功后下载执行。

表 1样本来源1

3.自身伪装

这里主要指对二进制可执行EXE文件，主要从文件名、文件扩展名和文件图标等方面进行伪装。
在美人鱼行动中主要通过winrar的自解压功能将相关样本文件和诱饵文档打包为EXE文件，其中诱饵文档涉及的方面较多，会涉及安装补丁、开发环境、视频、图片、文档等，但就EXE文件母体很少将文件图标替换为文档或图片图标。

二、RAT分析

1.功能简述

美人鱼行动中使用的RAT我们命名为SD RAT，SD RAT主要是通过winrar的自解压功能将自己打包为exe文件，会伪装为安装补丁、开发环境、视频、图片、文档等，如V1版本会伪装成图片文件，V2版本会将自己伪装为aptana的air插件。

主要功能是进行键盘记录，收集用户信息（例如：pc的信息，剪贴板内容等等）然后上传到指定服务器，进一步还会从服务器上下载文件（下载的文件暂时还未找到）并运行。从样本代码本身来看SD RAT主要分为两个版本，大概2012年之前的是早期V1版本，2012年之后至今的为V2版本。

2.V1和V2版本

两个版本执行在整体架构上是相同的都是在创建窗口的时候调用了一个函数，在该函数中创建两个定时器一个用来记录剪贴板中最新内容，一个用来下载文件和发送用户信息。

在V1版本中创建了两个定时器一个用来下载文件和发送用户信息另一个则调用GetAsyncKeyState进行键盘记录 ,而在V2版本中通过注册热键，响应相关消息进行键盘记录。在V1版本中则通过setclipboard和响应WM_DRAWCLIPBOARD 消息来记录剪贴板上的内容。V2版本内部之间的主要区别在于URL和相关字符串是否加密，在2015年的近期V2版本中几乎对所有的字符串都进行了加密操作。

虽然两个版本在具体的功能实现的手法上有所区别但整体结构和功能是一致的,甚至连字符串解密的函数都是一样的。

3.对抗手法

躲避执行？失误？

V2版本会检测avast目录（avast software）是否存在，如果不存在则停止运行。V2版本此处的检测逻辑，不太符合一般恶意代码检测杀毒软件进行对抗的思路，我们推测有两种可能性：

第一种：攻击者重点关注被攻击目标环境存在avast杀软的目标；

第二种：攻击者在开发过程中的失误导致。

谨慎执行

V2检测到其他杀软不会停止运行，而是谨慎执行。

V2版本首先会检测卡巴斯基目录（Kaspersky Lab），判断是否安装了该杀毒软件如果存在则会进行谨慎的删除，如果存在则检测是否存在 C:Documents and SettingsAdministratorApplicationDataAdobeairplugin*.dat，存在则会获取插件的名称，然后删除对应的启动项。如果不存在则会直接将以airplugin开头的相关启动项全部删除。

进一步然后向注册表中添加启动项，在添加启动项的过程中依旧会检测如下杀毒软目录件是否存在。
如果存在，会通过执行批处理的方式添加如果不存在则直接进行修改注册表。接着会执行删除，然后再次检测上面罗列的杀毒软件，如果存在则将原文件移动过去并重命名如果不存在则直接复制过去重命名。

检测杀软的操作并没有影响最终的结果，只是采取了更加谨慎的操作。

三、 C&C分析

1. WHOIS信息

非动态域名，360追日团队通过对主域名的WHOIS信息分析，发现相关域名持有者邮箱主要集中在以下几个邮箱：

aminjalali_58@yahoo.com
aj58mail-box@yahoo.com
kamil_r@mail.com
am54ja@yahoo.com

1. 故意混淆误导？无辜受害者？

现象

在我们分析C&C通信的过程中，一个针对安全厂商的误报反馈引起了我们的注意，具体反馈的误报信息如下表和下图所示。

反馈误报相关 具体链接
反馈误报的URL https://community.sophos.com/products/unified-threat-management/f/55/t/46992
认为被误报的网站 hXXp://updateserver1.comhXXp://bestupdateserver.com/
aj58在sophos论坛主要反馈sophos产品误报了他持有的两个网站，sophos的UTM是基于McAfee Smartfilter XL，aj58声称McAfee已经更改了网站状态（即非恶意），其中Scott Klassen反馈如果McAfee如果修改状态，则sophos最终也会修改。aj58继续反馈说VT中sophos的检测结果依然是恶意。从目前来看VT中sophos的结果 是未评级网站（Unrated site），也就是已经将恶意状态修改。

分析

在看到以上现象，360追日团队首先是想到了之前发布的《007 黑客组织及其地下黑产活动分析报告》（https://ti.360.com/upload/report/file/Hook007.pdf）中，出现过攻击者主动联系安全厂商，探测安全厂商检测机制的案例。

以下是就本次事件的具体推测过程：

首先sophos论坛上注册的用户名是aj58，这的确和反馈误报的两个域名WHOIS信息中邮箱地址比较相似“aminjalali_58@yahoo.com”，“aj58mail-box@yahoo.com”，这一现象或许是用户习惯相关用户名，另外就是刻意表示与相关网站具备关联归属性。

进一步aj58声称自己拥有的两个网站，也是美人鱼行动中主要涉及到C&C域名，从2010年至2015年都有涉及到这两个C&C的木马出现，一般情况恶意域名如果曝光或使用次数越多则存活时间则会越短，而如果只是针对特定目标，且控制其传播范围，则C&C域名会存活较长时间。

疑点1：而且从360追日团队的分析来看，这两个C&C域名的作用并非简单的判断网络环境，其作用主要是窃取信息的回传和下载其他恶意程序。这时怀疑有两种可能性，第一：这两个域名属于美人鱼行动幕后组织所注册持有；第二：这两个域名是可信网站，被美人鱼行动幕后组织攻陷作为跳板。

注：

恶意代码判断网络环境：一般恶意代码在执行主要功能之前会判断下本地网络环境，这时会请求一些可信网站，如请求谷歌、微软等网站，如果符合预设的判断条件，则继续执行。

疑点2：进一步360追日团队发现在美人鱼行动中使用的C&C域名，排除动态域名，至少有8个C&C域名与aj58提到的这两个域名注册邮箱相同。这时我们怀疑有两种可能性，第一：这两个域名属于美人鱼行动幕后组织所注册持有；第二：这两个域名和其他8个域名均为可信网站，而美人鱼行动幕后组织只针对aj58所持有的域名进行攻击，并作为跳板。

疑点3：另外这些aj58提到的这两个域名，以及我们发现的其他域名均无对外提供WEB服务或网站页面。

疑点4：注意到aj58是在2015年7月25日反馈误报，而aj58所持有的另外3个域名已经在2015年7月1日被安全机构（virustracker.info）sinkhole了。从aj58在sophos论坛反馈自己网站被误报的情况，360追日团队认为aj58用户对自己网站的安全性还是很关注的。我们推测aj58所持有的网站如果被其他机构接管了，aj58应该会进行反馈质疑，无法知道aj58是否联系virustracker.info，但从这3个网站的最新WHOIS信息来看，持有者仍然是virustracker.info。
本文转自d1net（转载）