再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令? | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令?

申博_行业观察 申博 71次浏览 未收录 0个评论

当受害者遭后门入侵并被进击者掌握时会发作甚么?这是一个很难回覆的题目,纵然经由过程逆向工程代码也难以完整剖析。而在本文中,我们将剖析Sednit构造在近期行动中发送到目标的敕令。

Sednit构造,也被称为APT28, Fancy Bear(奇异熊), Sofacy 或STRONTIUM,是一个自2004年以来运转的进击构造,其主要目标是盗取目标的秘要信息。他们的行动在曩昔几年中常常成为头条新闻

客岁玄月,我们披露了一个名为LoJax的UEFI rootkit的存在,并将其归于Sednit构造。UEFI rootkit许可黑客在目标盘算机上植入持久性歹意软件,这些歹意软件能在硬盘驱动器擦除后继承存在。此次发明也注解Sednit可以或许运用异常复杂的东西来举行间谍运动。

三年前,Sednit构造在中东和中亚列国流传了一类歹意软件新组件——Zebrocy。从那时起,组件的数目和多样性最先急剧增添。我们的研讨职员和其他平安研讨机构的偕行们对这些组件做了许多研讨,不外在本文中,我们将重点存眷受害者体系运转了Zebrocy Delphi后门后,进击者的行动。

“熊”的钓饵

在2018年8月尾,Sednit构造发起了一项鱼叉式网络垂纶电子邮件运动,邮件中包罗的短链接会跳转到Zebrocy组件第一阶段歹意软件的下载站点。在曩昔,Sednit也运用过类似的手艺举行凭据垂纶,然则运用此手艺直接通报其歹意软件组件的行动是不常见的,在这之前,Sednit一样平常只应用破绽来通报和实行第一阶段的歹意软件,而在此项行动中,Sednit则完整依托交际工程来吸收受害者进入沾染链。图1中显现了Sednit在此系列行动中运用的短链的Bitly统计信息。

图1.Bitly URL的统计信息

在建立URL的统一周内,这个链接记录了约莫20次点击,不外现实下载数应该是少于20个的,因为可能有点击两次以至屡次的状况发作。

虽然遥测数据显现该URL是经由过程鱼叉式垂纶邮件发送的,但我们没有此类邮件的样本,没法相识进击者的企图。下载的档案包罗两个文件:第一个是一个可实行文件,而第二个是一个钓饵PDF文档。

图2.从存档中提取的文件(乌克兰语的“CATALOGUE – (2018).exe”和“Order 97.pdf”)

请注意,可实行文件的文件名中存在拼写毛病——应该是“ДОВIДНИК”而不是“ДОВIДНIК”。 实行二进制文件后,会弹出一个暗码提醒的对话框,暗码考证的效果老是显现毛病,但在频频实验考证以后会翻开钓饵PDF文档。该文档看似是空的,现实运用Delphi编写的下载器继承在背景运转。在硬编码到第一个二进制下载器的URL中也运用了IP地点。

“熊”的巢穴

第一阶段的下载递次将下载并实行一个用C ++编写的新下载器,它与其他Zebrocy下载器没有太大区分,以后该下载器将建立ID并下载一个新后门,此后门由Delphi编写。

正如我们在近来关于Zebrocy的博文中所诠释的那样,后门的设置装备摆设存储在资本局部中,并分为四个分歧的十六进制编码的加密数据块,各个数据块包罗分歧局部的设置装备摆设。

图3.包罗分歧局部设置装备摆设的数据块

一旦后门发送出受害者体系的基本信息,进击者就会掌握后门并马上最先发送敕令。下载递次运转后与进击者发送的第一个敕令之间的时候距离仅为几分钟。

捕捉“熊”的踪影

在本节中,我们将更细致地形貌进击者经由过程Delphi后门手动实行的敕令。

可用的敕令位于前面提到的一个设置装备摆设数据块中(图3中的“commands”数据块),敕令数目跟着版本的迭代而增添,在最新版本的后门中支撑的敕令超过了30个。因为我们没有依照挪用敕令的递次识别模式,因而我们以为进击者是手动实行它们的。

第一组敕令网络有关受害者盘算机和情况的信息:

再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令?

CVE-2019-0708漏洞: RDP= Really DO Patch?

CVE-2019-0708是RDP协议的安全漏洞,具有蠕虫功能,因此危害很大。微软快速发布了该漏洞的补丁。但研究人员认为恶意攻击者可能已经将该漏洞武器化,在不久的将来可能就会看到再野漏洞利用了。 受影响的操作系统有: · Windows 2003 · Windows XP · Windows 7 · Windows Server 2008 · Windows Server 2008 R2 蠕虫是可以在网络上进行传播的病毒。蠕虫可以在没有用户帮助的情况下自动在远程机器上执行。如果病毒的主要攻击向量是通过网络,那么就可以将其分类为蠕虫。 概述 RDP协议连接了客户端和终端,定义了虚拟信道之间通信的数据。Windows Server 2000使用的RDP协议版本为RDP 5.1,定义了32个静态虚拟信道(Static Virtual Channels,SVC)。SVC在会话开始时创建在会话结束后断开,而DVC(动态虚拟信道)可按需创建和断开。 如图1所示,RDP Connection Sequence连接的初始化在Security Commencement之前,因此CVE-2019-0708可以在3389端口上进行网络自传播,因此具有蠕虫的相关性质。 图1: RDP协议序列 该漏洞是由于RDP协议的GCC Conference Initialization过程中,MS_T120 SVC name被绑定为引用信道31。信道名是微软内部使用的,因此对客户端来说没有明显的合法用例

上述敕令通常在进击者初次连接到新激活的后门时实行。它们的Argument都为空,不外光看称号也不言自明。在这些后门被激活后不久通常会实行其他的敕令,以下:

再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令?

那些已读过我们之前关于Zebrocy的文章的读者会注意到,前几个阶段会一次又一次地发送或多或少雷同范例的信息。信息是在初始入侵后几分钟内要求的,进击者将不得不处置惩罚相当大的数据量。

为了网络更多的信息,Zebrocy的操纵职员会不时地在受害者的机械上上传和运用dumper。现在的dumper与该构造之前运用的dumper有一些类似之处。在本例中,Yandex Browser、Chromium、7Star Browser(一种基于chrome的浏览器)和CentBrowser以及从1997年到2016年版本的Microsoft Outlook都是目标:

再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令?

这些dumper经由过程建立日记文件来指导是不是存在要转储的潜伏数据库:

再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令?

当没有要转储的数据库时,以后dumper包罗以下输出:

%LOCALAPPDATA%\Yandex\YandexBrowser\User Data\Default\Login Data not found
%LOCALAPPDATA%\Chromium\User Data\Default\Login Data not found
%LOCALAPPDATA%\7Star\7Star\User Data\Default\Login Data not found
%LOCALAPPDATA%\CentBrowser\User Data\Default\Login Data not found

这些dumper一旦完成事情就会被敏捷删除。另外,后门还包罗一个与下面列出的软件证书相干的文件名列表(数据库名):

若是这些数据库存在于受害者的盘算机上,操纵职员将卖力检索它们。

操纵职员运用DOWNLOAD_LIST敕令在机械上检索这些文件。末了,依据进击者对受害者的感兴趣水平,决议是不是布置另一个自定义后门。这个后门是运用CMD_EXECUTE敕令实行的:

再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令?

这里有一些风趣的处所, 起首,进击者运用COM对象挟制来包管歹意软件在体系上的持久性,哪怕自定义后门只需要装置几个小时;其次,自定义后门的C&C运用的是十六进制编码的字符串,而Delphi后门的C&C嵌入在设置装备摆设中。

两个Delphi后门异常类似,但也有一些不一样的调解:

我们以后还不清晰做这个定制后门的目标,但它与之前的通例后门比拟,检测率显着较低。这个后门在体系上运转的时候异常短,这使得检索变得越发难题,而且一旦它的操纵者完成目标,他们很快就会将其移除。

总结

经由过程对进击者在野外运用敕令的视察,可以或许注解他们正在网络关于受损目标的大批信息,而且也不关心数据是不是存在大批反复,而且从带有自定义设置装备摆设和模块的后门被异常小心肠布置的过程当中也能看出,进击者预备了一些预防措施,以制止终究落入研讨职员之手。

第一组敕令是雷同的,而且在很短的时候内实行,这就提出了另一个题目:它是自动实行的吗?

IoC

分发歹意软件第一局部的链接:

http://45.124.132[.]127/DOVIDNIK - (2018).zip

C&C服务器:

http://45.124.132[.]127/action-center/centerforserviceandaction/service-and-action.php

申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明再看Zebrocy:APT28经由过程Delphi后门执行了哪些敕令?
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址