安基網 首頁 資訊 安全報 查看內容

新編程語言、新后門...俄黑客組織“奇幻熊”正在變得愈發強大

2019-10-11 11:46| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 奇幻熊,英文名“Fancy Bear”,也被稱為APT28、Sofacy或STRONTIUM,一個至少在2004年就已經開始活躍的俄羅斯黑客組織。網絡安全公司ESET于近日發文稱,“奇幻熊”在8月20日發起了一起針對東歐、中亞國家使館和外交 ...
奇幻熊,英文名“Fancy Bear”,也被稱為APT28、Sofacy或STRONTIUM,一個至少在2004年就已經開始活躍的俄羅斯黑客組織。

網絡安全公司ESET于近日發文稱,“奇幻熊”在8月20日發起了一起針對東歐、中亞國家使館和外交部的新行動。

在這起行動中,“奇幻熊”使用了一種采用Nim語言開發的新型下載程序,以及使用Golang語言重寫的Delphi后門新變種。

“毫不低調”的感染鏈

圖1展示了這起行動的完整感染鏈,從收件人打開惡意電子郵件中的Word文檔到新后門的部署。

圖1.感染鏈

感染鏈整體來說毫無隱蔽性可言,因為在部署最終的有效載荷之前,至少已經有6個惡意組件被釋放到了收件人的計算機上,很容易被殺毒軟件檢測到。

附件中的Word文檔不包含任何文字,但鏈接到一個通過托管在Dropbox的模板“wordData.dotm”。

在Word中打開此文檔,將導致wordData.dotm被下載,如圖2所示。

圖2.遠程模板“wordData.dotm”被下載

毫無疑問,wordData.dotm包含惡意宏以及一個ZIP壓縮文件,而惡意宏的作用就是從這個壓縮文件中提取文件,lmss.doc就是其中之一。

圖3. lmss.doc的創建和最后修改日期

lmss.doc是另一個包含惡意宏的Word文檔,負責執行同樣從壓縮文件中提取出來的lmss.exe可執行文件(即采用Nim語言開發的新型下載程序)。

此外,lmss.doc還包含一個base64編碼的可執行文件。分析表明,這個可執行文件實際上是一個采用AutoIt語言開發的下載程序(SHA-1:6b300486d17d07a02365d32b673cd6638bd384f3),曾在“奇幻熊”此前的行動中被使用過。

新型Nim下載程序

雖然新型Nim下載程序只具備簡單的功能——下載和執行,但也具有一些反沙箱技巧。例如,它會檢查執行文件的第一個字母是否已更改。

圖4.文件名檢查

此外,它還對下載鏈接字符串進行了混淆處理,從而給靜態分析帶來了麻煩。

圖5.去混淆后的字符串

Nim下載程序被用于下載一個名為“ospsvc.dll”的文件,并通過regsvr32 /s將它作為服務運行。

分析表明,ospsvc.dll是一個采用Golang語言編寫的下載器,它的函數main_init()包含大量已初始化的庫函數。

圖6.函數main_init()包含的庫函數

除下載下一階段的有效載荷外,進行桌面屏幕截圖以及執行來自C2服務器的命令,也是ospsvc.dll的會進行的操作。

在ospsvc.dll執行的前幾分鐘里,它會每35秒進行一次屏幕截圖,然后將它們以base64編碼的形式上傳到C2服務器。

根據ESET公司的分析,ospsvc.dll已被用于執行三種不同的惡意軟件:Zebrocy木馬、Delphi后門,以及在文章最開始提到的Golang新后門。

采用Golang語言重寫的新后門

如上所述,新后門是采用Golang重寫的,新增的內容包括AES算法、十六進制編碼和屏幕截圖功能。

不過,新后門仍保留了Delphi后門的大多數功能,例如:

  • 創建、修改或刪除文件
  • 屏幕截圖
  • 驅動器枚舉
  • 命令執行(通過cmd.exe)
  • 在WindowsSoftwareOSDebug下調度一個任務

結論

新行動,說明“奇幻熊”黑客組織仍在保持活躍;新型下載程序、新的編程語言、新的后門,說明“奇幻熊”黑客組織不僅仍在保持活躍,而且一直在更新升級他們的“武器”。

選擇使用新的編程語言來重寫舊的惡意軟件,不得不說是一個明智之舉,因為如此一來,并不需要改變整個TTP(戰術、技術和程序),就能夠輕松逃過殺毒軟件的檢測,發起有效的攻擊。



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/i6740844265816998414/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
湖北快3 购买技巧