一、背景

近期，国外安全公司ESET发布了恶意软件Ramsay针对物理隔离网络的攻击报告（见参考链接1）。所谓物理隔离网络，是指采用物理方法将内网与外网隔离，从而避免入侵或信息泄露的风险的技术手段。物理隔离网络主要用来解决网络安全问题，尤其是在那些需要绝对保证安全的保密网、专网和特种网络，机会全部采用物理隔离网络。

基于腾讯安全威胁情报中心的长期研究跟踪，该 Ramsay恶意文件，跟我们之前跟踪的retro系列的感染文档插件重叠。该波攻击至少从18年就已经开始，并且一直持续到现在。其攻击手段也在不断的进行演化，比如感染的对象从感染doc文件到感染可执行文件，窃取资料的方式从写入可移动磁盘的扇区到写入文档文件末尾等等。事实上，跟ESET的发现类似，我们并未发现太多真实的受控机，因此我们相信该框架还在不断的改进和调试中，暂时并未应用到大规模的攻击活动中。

事实上，除了Retro系列和Ramsay系列有针对物理隔离网络的攻击外，该团伙早在2015年就已经开始使用Asruex后门来针对隔离网络进行攻击了。Asruex系列同样具有感染doc、pdf、exe等文件的能力。相比Ramsay系列少有感染的机器，Asruex系列的感染量就非常巨大了，直到目前都还有大量的新增机器被感染。当然，奇热该系列后门被认为是购买的HackTeam的工具库。

奇热二、Retro系列

该系列的的感染，我们曾在2018年的文章《“寄生兽”的极地行动》（见参考链接2）中就已经简单的披露，进行感染的模块为初始攻击后下发的一个攻击插件：

该次感染过程主要有两个模块配合完成：

· docto.exe：开源工具，用来进行文档的格式转化

· infsvc：感染可移动磁盘的中的文档文件，使得感染后的文件为带有CVE-2017-8570漏洞（一种Office高危漏洞，亦称“沙虫”二代漏洞）的rtf文件

此时，完成感染的过程。接下来，当该存有感染后文档的文件，通过可移动磁盘进入到其他设备，甚至物理隔离网络后，若运行感染后的文档文件，就会触发CVE-2017-8570漏洞，进而泄露机器上的敏感信息。

运行感染后的文件后，首先会触发脚本inteldriverupd1.sct：

脚本的功能就为执行最终的恶意文件taskhost.exe。该恶意文件的主要功能为收集信息，然后写入可移动磁盘的扇区中：

1） 执行以下命令收集系统信息存到%allusersprofile%\CommCache\S-{计算机名}.rtt

· systeminfo

· tasklist /v

· netstat -ano

· ipconfig /all

· arp -a

· route print

· sc query wlansvc

· netsh wlan show all

· netsh wlan show profiles

· netsh wlan show interface

· netsh wlan show networks mode=Bssid

2） 遍历本地磁盘，将全部文件目录存到%allusersprofile%\CommCache\C-{时间}.rtt

3） 每5分钟截屏一次，保存到%allusersprofile%\AssemblyDataCache\def{时间}.jpg

4） 加密截屏文件到%allusersprofile%\CommCache\ def{时间}.tmp

收集完所有信息后，会创建%allusersprofile%\CommCache\complete.txt，当检测到complete.txt的时候，会认为收集信息工作已经结束。开始做后续的信息处理：

1） 将CommCache目录重命名为CommCache_{rand}，并压缩成CommCache_{rand}.zip

2） 不断检测可移动磁盘，将CommCache_{rand}.zip内容直接以读写扇区的方式写入磁盘偏移1000000000处，并以HDdE&mE作为标记：

此时，该可移动磁盘上就存有了该设备的相关信息。若该可移动磁盘再度插回到之前被Retro木马攻击的机器上时，这部分数据就会被读取，然后通过其他的收集插件，把这些数据回传到攻击者的服务器上。而在受害者看来，简单使用文件管理器根本看不见该设备存储的秘密数据。

大致的流程图如下：

三、Ramsay V1系列

在今年的4月初，我们再次发现了一批带有CVE-2017-8570漏洞的文档文件，经过分析研判后，我们发现该批带有漏洞的文档跟Retro系列感染后得文档存在非常多的相似点。因此我们判断为，该批文档文件同样为被感染后的产物，同样为攻击物理隔离网络而生，并且为同一攻击团伙所有。但是遗憾的是，这次我们并未发现原始的感染器文件。

当然跟Retro系列感染后的文档文件相比，该波感染后的文件，在功能上存在相当大的改进点。而存储感染机器的信息的方式也有一定的改变。

执行感染后的文件，同样会触发CVE-2017-8570漏洞，执行脚本OfficeTemporary.sct：

脚本会释放locked.ini、config.ini、slmgr.vbs等文件，最终的恶意文件主要为%allusersprofile%\Identities\netwiz.exe和%windir%\System32\dpnom.dll。其中netwiz.exe主要用来收集机器的信息；dpnom.dll主要用来把收集到的信息写到相应的地方保存。

大致的流程如下：

netwiz.exe收集的信息如下：

1） 执行以下命令收集系统信息存到%allusersprofile%\MediaCache\S-{计算机名}.rtt：

· systeminfo

· tasklist /v

· netstat -ano

· ipconfig /all

· route print

· arp -a

· reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

2） 使用开源的powershell脚本%appdata%\Microsoft\Word\winword.ps1，把%appdata%\Microsoft\Word\下所有文档文件转换成TXT文件，并把转换后的TXT文件加密复制到 %allusersprofile%\MediaCache\{rand}.dat；

3） 打包以下目录所有.lnk文件到\MediaCache\Items_{rand}.db，密码是PleaseTakeOut!@#：

· %APPDATA%\Microsoft\Windows\Recent\*.lnk

· %APPDATA%\Microsoft\Office\Recent\*.lnk

4） 接收Mailslot消息（为dpnom.dll注入的进程为iexplorer.exe，winword.exe时发送的一个消息），当收到消息后保存屏幕到%allusersprofile%\NetCache\def+{时间}.tmp；

而dpnom.dll的主要作用为Hook WriteFile函数，监控到操作的文件为doc的时候，Hook CloseHandle函数，将%allusersprofile%\MediaCache\中的一个文件附加写到即将关闭的doc文件末尾，流程图为：

写入附加信息后的文件：

%allusersprofile%\MediaCache\就是保存netwiz.exe收集到的信息的文件目录。不过值得注意的是：每次写入的内容是上述收集到的信息的文件中随机挑选的一个。因此编辑doc的次数越多，收集到的信息也会越多。

因此，当隔离网中的doc文件，随着可移动磁盘再次回到中转的机器上的时候，攻击者同样能够把隔离网络中的机器的信息给回传回去。

值得注意的是，我们在netwiz.exe还发现了另外一个隐藏的功能，该功能为扫描全盘doc、docx文件，搜索控制指令，根据控制指令进行相应的操作。该功能的目的就是为了完成攻击者对隔离网络中的机器进行控制。由于在隔离网络中无法进行正常的网络通信，因此攻击者为了控制隔离网中的机器，会在外部下发一个控制文档到中转机上，然后跟随可移动磁盘摆渡到隔离网中，因此来完成相应的控制操作。支持的控制指令有：

做为控制的文档结构如下：

四、Ramsay V2系列

除了发现被感染的文档文件外，我们同样还发现了被感染的exe文件。由于在文件中存在Ramsay字符，因此ESET把其命名为Ramsay：

由于跟上面的感染文档文件的版本，无论是代码、路径、功能上都极为类似，因此归属到同一组织。所以把上面的版本称为Ramsay V1系列，该版本称为Ramsay V2系列。

该系列具有感染全盘exe文件的功能，因此同样具备感染隔离网络的能力。完成感染功能的模块为Identities\bindsvc.exe，该感染器的名字跟Retro系列中感染文档的命名也极其类似，都以svc.exe结尾。被感染后的文件结构如下：

执行被感染后的文件后，同样为继续感染该主机上的其他exe文件，实现蠕虫的效果。此外跟上面的Ramsay V1类似，同样会对相关的机器信息进行收集，然后Hook WriteFile和CloseHandle后，对写doc、docx操作时候，把收集到的信息写到文档的尾部。同样的，也会搜索控制文档，对控制文档中的相关指令，进行对应的命令操作。

这部分的功能跟上面V1系列类似，因此不再继续讨论。

五、Retro系列和Ramsay系列的同源分析

除了ESET文章中提到的Retro后门跟Ramsay后门存在非常多的类似点外，我们发现感染后的文件也存在相当多的类似点，包括使用相类似的字符串、获取结果都保存在.rtt文件、解密算法的类同、功能类同等等：

获取的信息均存储为S-{计算机名}.rtt

截取的屏幕均存储为def-{时间}.rtt

功能上的异同如下表所示：

可以发现，该工具一直在进行更新，且功能越来越趋向性强大和完整。

值得注意的是，腾讯安全威胁情报中心在2019年发表的文章（见参考链接3），文章中提到的做为攻击母体的"网易邮箱大师",当时我们认为是通过伪装正常客户端的方式，通过水坑来进行初始攻击。但是从目前掌握的信息来推测，该文件可能同样为感染后的产物：

当然该结论仅为猜测，暂时并无更多的证据。因此若存在错误，烦请各位同行指正。

六、针对隔离网络攻击的总结

根据上面的分析，我们推测攻击者针对物理隔离网络的感染流程大致如下：

1、 通过鱼叉钓鱼、水坑、供应链攻击等方式，初始攻击某台暴露在公网的主机；

2、 横向渗透到某台做为中转（该机器用来公网和隔离网络间摆渡文件等功能）的机器上，下发感染文件（包括文档文件、可执行文件等）、收集信息等恶意插件模块；

3、 在中转机器上监视可移动磁盘并感染可移动磁盘上的文件；

4、 可移动磁盘进入隔离网络。隔离网内的机器若执行被感染的文件，则收集该机器上的相关信息，并写入可移动磁盘的磁盘扇区或文件的文档文件的尾部；

5、 可移动磁盘再次插入中转机器上时，中转机器上的其他的恶意插件，对可移动磁盘特定扇区存储的机密信息进行收集，再回传到攻击者控制的服务器中。

6、 此外，攻击者还会下发做为控制功能的文件，把相关的指令和操作命令写在控制文件中，然后通过可移动设备摆渡到隔离网络中，再来解析执行。

至此，完成对隔离网络的完成感染过程。大致的流程图如下：

七、其他的针对隔离网的攻击活动

事实上，早在2015年，该攻击团伙就已经被发现使用Asruex系列后门，来针对隔离网络进行攻击。Asruex系列同样具有感染全盘文件的能力，感染的文件类型包括doc、pdf、exe等：

相较于Retro和Ramsay系列少有感染的机器，Asruex系列的感染量就非常巨大，直到目前，每日都还有大量的新增机器被感染：

如此大的感染量，未必是攻击者最初的目标，毕竟高级威胁攻击是针对性极强的攻击活动，很少是大规模展开的攻击活动。攻击动作太大，感染范围太广反而容易暴露自己。不利于隐藏和后续的攻击活动。好在该版本的C&C服务器早已经失效，因此该系列的木马对受害机器的危害并不大。

此外，该攻击工具库，疑似为Hacking Team所拥有：

Asruex的C&C为themoviehometheather.com，该域名的注册者为Chatere32@mail.com

该邮箱注册的域名中，odzero.net曾被报道是Hacking Team所拥有：

而且，该团伙购买Hacking Team的军火库也并非首次，卡巴斯基曾报导过相关的新闻：

这也跟之前曝光的韩国情报官员因为购买HackingTeam间谍软件而自杀的事件相印证：

八、结论

Ramsay为一个功能强大的攻击模块，而且该模块一直保持着更新且功能越来越完善和成熟。好在目前发现的受控设备并不多，但也不排除存在隔离网络中的感染设备未被发现的情况。

此外，无论是Asruex系列还是Ramsay系列，该攻击团伙至少从2015年开始就已经针对物理隔离网络进行针对性的攻击了，并且依然在不断的开发攻击库。因此针对物理隔离网络的安全建设也是刻不容缓，千万不能因为隔离网络中的机器未与外网通信而掉以轻心。

九、安全建议和解决方案

本次Ramsay恶意软件针对隔离网络环境的攻击，其目的是进行各种网络窃密活动，攻击者将收集到的情报，直接写入移动存储介质的特定扇区，并不在该存储介质上创建容易查看的文件，使得收集行为极具隐蔽性。会对政企机构、科研单位会构成严重威胁。腾讯安全专家建议相关单位参考以下安全措施加强防御，防止黑客入侵增加泄密风险：1、通过官方渠道或者正Fi网络，建议不要进行可能泄露机密信息或隐私信息的操作，如收发邮件、IM通信、银行转账等；最好不要在连接公用WiFi时进行常用软件的升级操作；

3、可能连接隔离网络的系统，切勿轻易打开不明来源的邮件附件；

规的软件分发渠道下载相关软件，隔离网络安装使用的软件及文档须确保其来源可靠；

2、谨慎连接公用的WiFi网络。若必须连接公用Wi

4、需要在隔离网络环境使用的移动存储设备，需要特别注意安全检查，避免恶意程序通过插入移动介质传播；

5、隔离网络也需要部署可靠的漏洞扫描及修复系统，及时安装系统补丁和重要软件的补丁；

十、附录

1.IOCs

92480c1a771d99dbef00436e74c9a927  infsvc.exe

dbcfe5f5b568537450e9fc7b686adffd  taskhost.exe

03bd34a9ba4890f37ac8fed78feac199  bindsvc.exe

http://themoviehometheather.com

2.参考链接

1） https://www.welivesecurity.com/2020/05/13/ramsay-cyberespionage-toolkit-airgapped-networks/

2） https://s.tencent.com/research/report/465.html

3） https://s.tencent.com/research/report/741.html