窃听乌克兰超70家机构的组织是它：据说幕后黑客高度组织化、经济实力雄厚

乌克兰似乎常年以来都是黑客的攻击目标，去年该国遭遇电力停运事故，导致22.5万居民停电——幕后的黑客组织也是2015年BlackEnergy恶意程序致其电网停运的一群黑客。

而最近，来自威胁情报公司CyberX的安全研究人员又发现了一起主要针对该国的黑客行动，并将之命名为Operation BugDrop。

从CyberX公布的报告来看，本次黑客行动已经从大约70个机构组织中获取到了600GB数据——受害机构组织包括了关键基础设施、新闻媒体还有科研机构，这些遭遇攻击的组织机构主要就是来自乌克兰，其他目标所在的国家还包括俄罗斯、沙特阿拉伯、奥地利等。

在攻击方式上，本次攻击主要是利用复杂的恶意程序来获取目标设备中的数据，包括截屏、文档、密码，更重要的是这种恶意程序会开启目标PC的麦克风来录制受害者的音频数据。

而攻击的部署方式主要是通过钓鱼邮件，邮件中携带恶意Word文档。一旦目标设备感染恶意程序，恶意程序就会将音频和数据发往黑客的Dropbox。

这也是研究人员将此恶意程序称作Operation BugDrop的原因。

攻击目标

CyberX确认，当前受害的企业组织至少有70家。遭遇攻击的企业机构涉及到多个行业，包括基建、媒体和科研机构。

攻击的恶意行为主要是窃取数据，如录音、截屏、文档和密码数据。

值得一提的是，Operation BugDrop窃取数据时会开启目标PC的麦克风——现在很多用户的安全意识都比较强，平常会将PC前置摄像头贴起来，但如果通过麦克风录音，则很难通过这种物理隔离的方式来避免被窃听。

Operation BugDrop攻击目标地理位置分布

这一行动的主要目标都位于乌克兰，另外也有少部分目标位于俄罗斯、沙特阿拉伯和奥地利。

许多受害机构位于顿涅茨克（Donetsk）和卢甘斯克（Luhansk），这些地方被乌克兰政府划归至恐怖组织。

列举一些Operation BugDrop的攻击目标

• 某家为石油天然气管道基建设计远程监控系统的公司；

• 一家监督人权、反恐和在相关基建网络攻击的国际组织；

• 某家设计变电站、配气管道和水厂的工程公司；

• 一家科研机构；

• 乌克兰报纸编辑。

Operation BugDrop是个有组织的黑客行动，行动中采用复杂的恶意程序，似乎是由某家“具大量资源”的组织幕后支持的。

比如说，此恶意行为需要较大规模的后端设施用于存储、解密、分析，每天都有几个GB的数据量。

而且还需要一个庞大的团队进行人工手动分析，通过人工和大数据配合的分析方式。

编译时间，恰在ESET宣布发现Operation Groudbait的一个月之后

CyberX认为，Operation BugDrop和2016年5月份发现的Operation Groundbait存在诸多相似性——后者是ESET发现的。

这两个黑客活动在策略、技术和流程方面存在不少相似性，不过CyberX也提到，Operation BugDrop的TTP明显更为复杂、老道。

比如说：

• 用Dropbox来进行数据释放，因为Dropbox的流量并不会被企业防火墙阻止或监控，所以这种方式很不错；

• 采用反射DLL注入技术（Reflective DLL Injection），先前乌克兰电网攻击事件中BlackEnergy用过这招，针对伊朗核设施的震网攻击中Duqu也用过这招；反射DLL注入在无需调用普通Windows API的情况下就能加载恶意代码，因此能够在加载至内存之前绕过安全代码认证；

• 加密DLL，因此能够避开常规反病毒和沙盒系统的检测，因为它们无法分析加密文件；

• 采用合法免费的web hosting站，用于C&C。

C&C服务器实际上对于攻击者而言是个不利因素，因为调查人员常常利用诸如whois和PassiveTotal等工具来获取C&C服务器的注册信息。

免费的web主机站所需的注册信息就非常少。

Operation BugDrop采用免费的web主机站来存储核心恶意程序模块。相较之下，去年Groudbait攻击者就有自己注册付钱的恶意域名和IP地址。

Operation BugDrop采用钓鱼邮件攻击的方式来感染目标对象，邮件中包含了Microsoft Office文档附件，其中携带恶意宏。

如果用户禁用了宏，恶意程序还利用社工的方式来欺骗用户启用Word中的宏功能。

技术细节

1.感染方式

• 攻击者采用钓鱼邮件的方式来感染攻击目标，邮件会要求受害者开启附件中的Word文档，文档中实际就包含了恶意宏；

• 如果说宏被禁用，受害者会看到一个对话框（如下图所示），要求受害者启用宏。该对话框实际也是精心设计的，看起来很像是Office的官方信息；

对话框显示俄语内容：внимание! Файл создан в более новой версии программы Микрософт Office. Необходимо включить Макросы для корректного отображения содержимого документа

翻译过来就是：“请注意！该文件采用更新版本的Office程序创建。您需要启用宏，以便正确显示文档内容。”

• 从文档元数据来看，显示的是乌克兰语，但实际文档原始语言是俄语；

• 文档创建者名为“Siada”；

• 文档最后修改时间是2016年12月22日 10:37:00；

• 这份文档展示了一系列军事人员的个人信息，比如说生日和地址（如上图所示）；

2.主要Downloader

• 主体downloader是通过恶意VB脚本（从临时文件夹运行）从那份文档中释放的；

• 反病毒程序对该downloader的检出率很低（54款反病毒产品仅4款报毒）；

3.Dropper – 阶段0

• Downloader的EXE文件图标来自一家俄罗斯社交媒体站（http://sevastopol.su/world.php?id=90195）；

这就是图标来源的那家俄罗斯社交媒体

• 图标本身其实是相关乌克兰的一个玩笑；

• 该Dropper有2个DLL文件，其XOR的方式是当前字节与前一个字节进行XOR；

• 这种技术相较简单的XOR更好，字节分布看起来不会像是普通的PE文件loader，起到了混淆的作用，不容易被反病毒系统检测到；

• DLL是放到以下应用数据文件夹：

%USERPROFILE%\AppData\Roaming\Microsoft\VSA.nlp – Stage 1

%USERPROFILE%\AppData\Roaming\Microsoft\Protect.nlp.hist – Stage 2

• 首个阶段得以执行，DLL采用反射DLL注入的方式加载。

4.Dropper – 阶段1 – 持久性

• 内部名：loadCryptRunner.dll；

• 编译：2016年12月12日周一10:09:15；

• 阶段1 Dropper负责保持攻击的持久性，以及执行downloader DLL，在注册表中注册自身：

HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath

RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\VSA\klnihw22.nlp”, RUNNER

• 通讯DLL同样是采用反射DLL注入的方式加载的。

5. Dropper – 阶段2 – 为主模块准备的downloader

• 内部名：esmina.dll

• 编译：2016年10月10日周一14:47:28；

• 该DLL的主要作用就是下载主模块；

• 主模块存储在免费web主机站之上，URL为：

windows-problem-reporting.site88.net[注意：请勿访问该恶意站点]

• 从公共数据资源中查不到有关该URL的任何信息；

• 直接访问该URL会显示“HTTP/1.1 404 Not Found”；

• 看起来下载该模块似乎是需要人工审核的，这表明过程中是需要人工分析处理的；

• 主模块随后得以下载，通过反射DLL注入的方式加载到内存中。

6.主模块

• 主模块会下载各种数据窃取插件，并执行；

• 这个模块也会收集本次存储的窃取数据，并上传到Dropbox；

• 主模块融合了不少反逆向工程技术：

检查是否存在debugger，检查进程是否跑在虚拟环境中，检查ProcessExplorer是否运行——ProcessExplorer是用来隐藏在合法进程中的恶意程序的，

检查WireShark是否运行——WireShark可以用来识别设备中的恶意流量； - 它也会在注册表中注册如下键：

HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run\hlpAsist

RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\MSDN\iodonk18.dll”, IDLE

7.Dropbox机制

• 服务器上有3个文件夹：

obx – 包含主模块使用的模块，

ibx – 包含插件上传的输出，

rbx – 包含已连接客户端的基本信息； - 攻击者获取到储存的数据之后，这些数据就会从Dropbox账户删除；

• 注册该Dropbox的用户账户细节如下：

Name: P*

Email: P**@mail.ru 8. 加密机制

• 用于数据窃取的插件会将输出存储在： %USERPROFILE%\AppData\Roaming\Media

• 在主模块将这些数据发往Dropbox之前，这些文件会以Blowfish加密；

• Blowfish加密密钥即客户端ID。

9.数据窃取插件

• 文件收集器：查找储存在本地或者共享盘里的不同类型文件，包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt，文件会按需上传；

• USB文件收集器：查找USB设备上各种类型的文件（包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt）；

• 浏览器数据收集器：用来窃取出存在浏览器中的密码和其他敏感信息；

• 麦克风：捕获音频对话；

• 计算机信息收集器：收集客户端的一些数据，如Windows系统版本、计算机名、用户名、IP地址、MAC地址、反病毒软件等；

针对不同的目标设备，并非所有的插件都会下载。每个模块都相关客户端ID，主模块因此能够知道应该下载哪些模块到特定目标设备。

总结

1. Operation BugDrop本质上是网络间谍行为，其目标就是收集各个领域不同目标的情报，包括基建、媒体、科研机构等。目前该活动暂时没有产生破坏性，而是对目标进行识别、定位和侦查，或许这只是其最终目标的第一阶段；

2. Operation BugDrop活动是由具备专业技能，并且具有大量经济来源的黑客发起的。考虑到每天所需分析的数据量，CyberX认为BugDrop幕后必定有强有力的支持。鉴于代码的复杂性，以及该黑客行动执行的情况，CyberX推测这些黑客先前在该领域就有丰富的经验。这样的活动可能具有国家背景，不过尚无任何证据将Operation BugDrop与任何国家或者组织联系在一起。

3. 私营企业和公共组织机构还是需要持续监测IT/OT网络中的反常行为。也需要深度取证，来识别破坏范围和影响，也需要制定事件响应计划。

相关哈希（SHA-256）

恶意文档：

997841515222dbfa65d1aea79e9e6a89a0142819eaeec3467c31fa169e57076a Dropper：

f778ca5942d3b762367be1fd85cf7add557d26794fad187c4511b3318aff5cfd 插件

截屏收集器：

7d97008b00756905195e9fc008bee7c1b398a940e00b0bd4c56920c875f28bfe

dc21527bd925a7dc95b84167c162747069feb2f4e2c1645661a27e63dff8c326

7e4b2edf01e577599d3a2022866512d7dd9d2da7846b8d3eb8cea7507fb6c92a

Keylogger：

fc391f843b265e60de2f44f108b34e64c358f8362507a8c6e2e4c8c689fcdf67

943daa88fe4b5930cc627f14bf422def6bab6d738a4cafd3196f71f1b7c72539

bbe8394eb3b752741df0b30e1d1487eeda7e94e0223055771311939d27d52f78

6c479da2e2cc296c18f21ddecc787562f600088bd37cc2154c467b0af2621937

01aab8341e1ef1a8305cf458db714a0392016432c192332e1cd9f7479507027f

文件收集器：

06dcf3dc4eab45c7bd5794aafe4d3f72bb75bcfb36bdbf2ba010a5d108b096dc

daf7d349b1b12d9cf2014384a70d5826ca3be6d05df13f7cb1af5b5f5db68d54

24f56ba4d779b913fefed80127e9243303307728ebec85bdb5a61adc50df9eb6

a65e79bdf971631d2097b18e43af9c25f007ae9c5baaa9bda1c470af20e1347c

USB文件收集器：

a47e6fab82ac654332f4e56efcc514cb2b45c5a126b9ffcd2c84a842fb0283a2

07c25eebdbd16f176d0907e656224d6a4091eb000419823f989b387b407bfd29

3c0f18157f30414bcfed7a138066bc25ef44a24c5f1e56abb0e2ab5617a91000

浏览器数据收集器：

fb836d9897f3e8b1a59ebc00f59486f4c7aec526a9e83b171fd3e8657aadd1a1

966804ac9bc376bede3e1432e5800dd2188decd22c358e6f913fbaaaa5a6114d

296c738805040b5b02eae3cc2b114c27b4fb73fa58bc877b12927492c038e27c

61244d5f47bb442a32c99c9370b53ff9fc2ecb200494c144e8b55069bc2fa166

cae95953c7c4c8219325074addc9432dee640023d18fa08341bf209a42352d7d

a0400125d98f63feecac6cb4c47ed2e0027bd89c111981ea702f767a6ce2ef75

麦克风：

1f5e663882fa6c96eb6aa952b6fa45542c2151d6a9191c1d5d1deb9e814e5a50

912d54589b28ee822c0442b664b2a9f05055ea445c0ec28f3352b227dc6aa2db

691afe0547bd0ab6c955a8ec93febecc298e78342f78b3dd1c8242948c051de6

计算机数据收集器：

c9bf4443135c080fb81ab79910c9cfb2d36d1027c7bf3e29ee2b194168a463a7

5383e18c66271b210f93bee8cc145b823786637b2b8660bb32475dbe600be46e

d96e5a74da7f9b204f3dfad6d33d2ab29f860f77f5348487f4ef5276f4262311

参考来源：CyberX，欧阳洋葱编译，转载请注明来自FreeBuf.COM

欢迎大家关注悬镜安全实验室公众号，最新安全动态，技术干货，悬镜使用攻略。在使用悬镜服务器卫士的过程中，如遇到任何问题，都可以加入我们的官方用户群【539903443】进行咨询，我们都会有专门的人员帮您解答。