风云复兴,APT28或将搅局乌克兰大选 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

风云复兴,APT28或将搅局乌克兰大选

申博_新闻事件 申博 132次浏览 已收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

简述

3月中旬,一份有关乌克兰总统大选的可疑Office文件在野外涌现。这份文件申报了乌克兰大选民调的状况,和对领跑候选人Volodymyr Zelenskiy的人生阅历做了引见,另外,该文件还用到了一个有目共睹的题目,指出了乌克兰和俄罗斯之间的争执题目。观察后发明,这篇文章实际上是直接复制了Daily Express于往年2月份宣布的一篇文章。

文档的主题和检测到的时候点都引起了我们的注重,因而我们决议进一步发掘,以评价这个歹意文档的性子。

手艺剖析

歹意文档的第一个特性是受珍爱的宏,当用户试图读取它时,会马上显现一个请求输入暗码的音讯框。运用传统的歹意软件剖析对象可以也许轻松绕过此Office暗码珍爱机制,在提取代码以后,可以也许按以下体式格局剖析纯文本代码。

乍一看,代码没有被殽杂的陈迹,然则可以也许在宏中发明异常的函数挪用:ActiveDocument.BuiltInDocumentProperties.Item(“Company”)。此要领能规复属于文档元数据的属性。在特定状况下,代码会试图读取“Company”属性中包罗的值,一个base64编码的字符串。

风云复兴,APT28或将搅局乌克兰大选

图4:存储在文档元数据的“Company”标签中的payload

这类经由过程在文档属性局部中隐蔽歹意payload的做法是Emotet银行歹意软件的习用手腕,Emotet是对全球构造机构最具侵略性的歹意软件要挟之一。与初始代码分歧,解码后的payload是高度殽杂的Powershell敕令。

经由几个去殽杂阶段后的代码以下:

风云复兴,APT28或将搅局乌克兰大选

图6:去殽杂后的powershell代码

这个剧本异常风趣,因为它的第一个行为就是削减本身存在陈迹,此步行为是经由过程禁用Powershell剧本块日记纪录和反软件扫描接口(anti – alware Scan Interface, AMSI)来完成的。

再度对准工控装备基础设施:针对TRITON歹意运动的详细分析

概述 FireEye近期确认TRITON恶意活动正在针对一个新的关键基础设施发动攻击,我们目前已经对该恶意行为采取了响应措施。 2017年12月,FireEye公开发布了我们针对TRITON攻击的第一次分析,其中恶意攻击者使用TRITON自定义攻击框架,对关键

ScriptBlock的日记纪录功用是在Powershell v5中引入的,它可以也许在Powershell引擎实行代码块时对代码块举行日记纪录,包孕殽杂的代码段和响应的去殽杂代码段。而AMSI是一种通用的接口标准,它许可应用程序和效劳与安装在机械上的任何反歹意软件产品集成,并在代码实行之前评价代码。关于AMSI的更多细节已经在之前的剖析申报中形貌过。

因而,此歹意软件会搜检以后的Powershell版本,若是版本是3或在3之上,则会禁用上述平安功用。对上述两项功用的绕过是运用几行代码完成的,好比可以也许经由过程以下指令禁用ScriptBlock日记纪录:

1. $settings = [Ref].Assembly.GetType(“System.Management.Automation.Utils”).GetField(“cachedGroupPolicySettings”,”NonPublic,Static”).GetValue($null);
2. $settings[“HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging”] = @{}
3. $settings[“HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging”].Add(“EnableScriptBlockLogging”, “0”)

而绕过AMSI的代码则更简朴:

1. [Ref].Assembly.GetType(‘System.Management.Automation.AmsiUtils’).GetField(‘amsiInitFailed’,’NonPublic,Static’).SetValue($null,$true)<br>

该指令可以也许修正“amsiInitFailed”变量的值,将其设置为“true”。如许,当“ScanContent”要领运用此变量来肯定AMSI是不是应当扫描要实行的敕令时,它会返回值amsi_result_not_detection,并让payload运转。从手段上看,歹意软件背地的创作者好像参考了这篇文章中对AMSI和BlockLogging禁用手艺的研讨。

在偷偷设置好InternetExplorer 11 的用户署理以后,payload会实验从“hxxps://functiondiscovery[.]net:8443/admin/get”处下载下一个沾染阶段所需文件。此代码还包罗了Powershell Empire特性指示器:cookie“session = J + kcj5bWE11g4zBLrjvZjNO296I =”。

C2末了定位为捷克共和国。该IP在2018年10月初次涌现,并一向活泼到2019年4月。

归因

与C2效劳器衔接的剧本局部是运用以后盛行的后开辟对象Empire建立的,另有一些运用Empire天生的剧本作为后期开辟模块的Sofacy样本已有很多平安构造机构对其做过剖析。

2018年9月至12月,APT28(别名Fancy Bear、Pawn Storm、SofacyGroup、Sednit和STRONTIUM)对欧洲的民主机构发动了数次进击。

APT28小组最少自2007年以来一向活泼,目的是世界各地的当局、戎行和平安构造。该构造还介入了2016年总统大选的一系列突击行为。

据Symantec客岁10月宣布的一份申报显现,该构造正在欧洲和南美积极开展针对当局和军事构造的收集间谍活动。

另外,依据FireEye对对俄罗斯相干的APT构造的剖析,APT28正愈来愈依赖于大众代码库,如Carberp、PowerShell Empire、P.A.S. webshell、Metasploit模块等,不光会加速他们的开辟周期,并且能轻易他们推诿义务。另外,歹意文件的内容和发明的时候点都能够注解,此次行为背地也许有当局支撑。

风云复兴,APT28或将搅局乌克兰大选

不外,我们在对此样本的功用做归因剖析时也产生了一些迷惑。如前所述,用户可以也许很直观地看到文档的内容,那末为何要启用宏呢?另外,宏代码是完整可读的,没有运用加密或殽杂来回避检测。独一的宏珍爱机制是锁定dev项目,然则运用罕见的歹意软件剖析对象就可以轻易地绕过它。所有这些,都不是典范的APT28 dropper的特性,照理说应当是经由重重殽杂才对。SecurityArtWork团队以为该样本是属于Sofacy组的,因为它与Vitali Kremez之前研讨过的较早的样本(8cccdce85beca7b7dc805a7f048fcd1bc8f7614dd7e13c2986a9fa5dfbbdf9)之间存在相似性——宏代码中运用的函数名,和运用WMI衔接器启动新的歹意历程之间的相似性。

但是,剖析这两个文档时,纵然某些函数的称号相称,宏也不会显现雷同的构造。在以下右图中对应的是Vitali Kremez剖析的样本,代码经由重度殽杂:它包罗了“$”字符,用来回避AV检测,和一个用于实行解码的自定义base64例程。

风云复兴,APT28或将搅局乌克兰大选

图9:宏对照:新样本(左)与旧样本(右)

挪用WMI的宏局部有一个技能,用于绕过Microsoft ASR,并能从Office应用程序启动一个新历程。因为相似的代码片断在Github上是公然的,以是这个技能和运用的代码与俄罗斯构造没有直接关系。因而,文档之间宏代码的相似性很大程度上取决于对开源代码重复运用。

结论

我们并不能完整肯定此项行为与APT28有关,不外我们正在观察与Sofacy小组有关的近期其他样本,以便更好的探究他们对政治推举能够带来的影响。

大规模的SIM卡交换诈骗趋势已经形成

SIM卡交换诈骗事件回顾 2018年7月12日,美国的加利福尼亚警方逮捕了一名大学生——Joel Ortiz,该学生攻击了数十个手机号码,窃取了总额超过500万美元的加密货币。这是首例被报道的人为涉嫌使用日益流行的SIM卡交换技术或SIM卡劫持窃取比


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明风云复兴,APT28或将搅局乌克兰大选
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址