“绿斑”行动——持续多年的攻击

在过去的数年时间里，安天始终警惕地监测、分析、跟踪着各种针对中国的APT攻击活动，并谨慎地披露了“海莲花”(APT-TOCS)、“白象”（White Elephant）、“方程式”（Equation）等攻击组织的活动或攻击装备分析，同时也对更多的攻击组织和行动形成了持续监测分析成果。本报告主要分析了某地缘性攻击组织在2015年前的攻击活动，安天以与该地区有一定关联的海洋生物作为了该攻击组织的名字——“绿斑”（GreenSpot）。为提升中国用户的安全意识，推动网络安全与信息化建设，安天公布这份报告。
综合来看，“绿斑”组织的攻击以互联网暴露目标和资产为攻击入口，采用社工邮件结合漏洞进行攻击，其活跃周期可能长达十年以上。

1.1 疑似的早期（2007年）攻击活动

在2007年，安天对来自该地区的网络入侵活动进行了应急响应，表1-1是在相关被攻击的服务器系统上所提取到的相关攻击载荷的主要行为和功能列表。

表 1-1 早期“绿斑”组织攻击活动相关载荷及功能列表

这些工具多数为开源或免费工具，从而形成了攻击方鲜明的DIY式的作业风格。由于这些工具多数不是专门为恶意意图所编写的恶意代码，有的还是常见的网管工具，因此反而起到了一定的“免杀”效果。但同时，这种DIY作业，并无Rootkit技术的掩护，给系统环境带来的变化较为明显，作业粒度也较为粗糙。同时只能用于控制可以被攻击跳板直接链接的节点，而无法反向链接。和其他一些APT攻击中出现的自研木马、商用木马相比，是一种相对低成本、更多依靠作业者技巧的攻击方式。

图 1-1 早期“绿斑”组织攻击活动相关载荷调用关系图

这些工具可以在被入侵环境中形成一个作业闭环。攻击者使用网络渗透手段进入目标主机后，向目标主机上传表1-1中的多种攻击载荷，利用持久化工具达成开机启动效果，实现长期驻留；通过NC开启远程Shell实现对目标主机远程命令控制；调用Mt1.exe获取系统基本信息和进一步的管理；同时攻击者可以通过Spooler.exe形成磁盘文件列表并记录、通过keylog.exe收集键盘输入并记录、通过Rar.exe收集指定的文件并打包、通过HTTP.exe开启HTTP服务，即可远程获取全盘文件列表，获取用户击键记录，回传要收集的文件和日志。
我们倾向认为，2007年前后，相关攻击组织总体上自研能力有限，对开源和免费工具比较依赖，喜好行命令作业。同时，作业风格受到类似Coolfire式的早期网络渗透攻击教程的影响较大。目前我们无法确认这一攻击事件与我们后面命名的“绿斑”组织是同一个组织，但可以确定其来自同一个来源方向。

1.2 2011-2015年攻击活动

从时间上来看，自2010年以后，该地区组织攻击能力已经有所提升，善于改良1day和陈旧漏洞进行利用，能够对公开的网络攻击程序进行定制修改，也出现了自研的网络攻击装备。2010年以后相关活动明显增多、攻击能力提升较快。
“绿斑”组织主要针对中国政府部门和航空、军事相关的科研机构进行攻击。该组织通过鱼叉式钓鱼邮件附加漏洞文档或捆绑可执行文件进行传播，主要投放RAT（Remote Administration Tool，远程管理工具）程序对目标主机进行控制和信息窃取，其典型攻击手法和流程是以邮件为载体进行传播，邮件附件中包含恶意文档，文档以MHT格式居多（MHT是MIME HTML的缩写，是一种用来保存HTML文件的格式），该文档打开后会释放并执行可执行载荷。作为迷惑用户的一种方法，嵌入在MHT中的一份起到欺骗作用的正常的文档文件也会被打开显示，攻击过程图1-2所示：

图 1-2 “绿斑”组织活动攻击流程