窃听乌克兰超70家机构的组织是它:据说幕后黑客高度组织化、经济实力雄厚

乌克兰似乎常年以来都是黑客的攻击目标,去年该国遭遇电力停运事故,导致22.5万居民停电——幕后的黑客组织也是2015年BlackEnergy恶意程序致其电网停运的一群黑客。

而最近,来自威胁情报公司CyberX的安全研究人员又发现了一起主要针对该国的黑客行动,并将之命名为Operation BugDrop。

从CyberX公布的报告来看,本次黑客行动已经从大约70个机构组织中获取到了600GB数据——受害机构组织包括了关键基础设施、新闻媒体还有科研机构,这些遭遇攻击的组织机构主要就是来自乌克兰,其他目标所在的国家还包括俄罗斯、沙特阿拉伯、奥地利等。

在攻击方式上,本次攻击主要是利用复杂的恶意程序来获取目标设备中的数据,包括截屏、文档、密码,更重要的是这种恶意程序会开启目标PC的麦克风来录制受害者的音频数据。

而攻击的部署方式主要是通过钓鱼邮件,邮件中携带恶意Word文档。一旦目标设备感染恶意程序,恶意程序就会将音频和数据发往黑客的Dropbox。

这也是研究人员将此恶意程序称作Operation BugDrop的原因。

攻击目标

CyberX确认,当前受害的企业组织至少有70家。遭遇攻击的企业机构涉及到多个行业,包括基建、媒体和科研机构。

攻击的恶意行为主要是窃取数据,如录音、截屏、文档和密码数据。

值得一提的是,Operation BugDrop窃取数据时会开启目标PC的麦克风——现在很多用户的安全意识都比较强,平常会将PC前置摄像头贴起来,但如果通过麦克风录音,则很难通过这种物理隔离的方式来避免被窃听。

Operation BugDrop攻击目标地理位置分布

这一行动的主要目标都位于乌克兰,另外也有少部分目标位于俄罗斯、沙特阿拉伯和奥地利。

许多受害机构位于顿涅茨克(Donetsk)和卢甘斯克(Luhansk),这些地方被乌克兰政府划归至恐怖组织。

列举一些Operation BugDrop的攻击目标
  • 某家为石油天然气管道基建设计远程监控系统的公司;

  • 一家监督人权、反恐和在相关基建网络攻击的国际组织;

  • 某家设计变电站、配气管道和水厂的工程公司;

  • 一家科研机构;

  • 乌克兰报纸编辑。

Operation BugDrop是个有组织的黑客行动,行动中采用复杂的恶意程序,似乎是由某家“具大量资源”的组织幕后支持的。

比如说,此恶意行为需要较大规模的后端设施用于存储、解密、分析,每天都有几个GB的数据量。

而且还需要一个庞大的团队进行人工手动分析,通过人工和大数据配合的分析方式。

编译时间,恰在ESET宣布发现Operation Groudbait的一个月之后

CyberX认为,Operation BugDrop和2016年5月份发现的Operation Groundbait存在诸多相似性——后者是ESET发现的。

这两个黑客活动在策略、技术和流程方面存在不少相似性,不过CyberX也提到,Operation BugDrop的TTP明显更为复杂、老道。

比如说:

  • 用Dropbox来进行数据释放,因为Dropbox的流量并不会被企业防火墙阻止或监控,所以这种方式很不错;

  • 采用反射DLL注入技术(Reflective DLL Injection),先前乌克兰电网攻击事件中BlackEnergy用过这招,针对伊朗核设施的震网攻击中Duqu也用过这招;反射DLL注入在无需调用普通Windows API的情况下就能加载恶意代码,因此能够在加载至内存之前绕过安全代码认证;

  • 加密DLL,因此能够避开常规反病毒和沙盒系统的检测,因为它们无法分析加密文件;

  • 采用合法免费的web hosting站,用于C&C。

C&C服务器实际上对于攻击者而言是个不利因素,因为调查人员常常利用诸如whois和PassiveTotal等工具来获取C&C服务器的注册信息。

免费的web主机站所需的注册信息就非常少。

Operation BugDrop采用免费的web主机站来存储核心恶意程序模块。相较之下,去年Groudbait攻击者就有自己注册付钱的恶意域名和IP地址。

Operation BugDrop采用钓鱼邮件攻击的方式来感染目标对象,邮件中包含了Microsoft Office文档附件,其中携带恶意宏。

如果用户禁用了宏,恶意程序还利用社工的方式来欺骗用户启用Word中的宏功能。

技术细节

1.感染方式
  • 攻击者采用钓鱼邮件的方式来感染攻击目标,邮件会要求受害者开启附件中的Word文档,文档中实际就包含了恶意宏;

  • 如果说宏被禁用,受害者会看到一个对话框(如下图所示),要求受害者启用宏。该对话框实际也是精心设计的,看起来很像是Office的官方信息;

对话框显示俄语内容:внимание! Файл создан в более новой версии программы Микрософт Office. Необходимо включить Макросы для корректного отображения содержимого документа

翻译过来就是:“请注意!该文件采用更新版本的Office程序创建。您需要启用宏,以便正确显示文档内容。”

  • 从文档元数据来看,显示的是乌克兰语,但实际文档原始语言是俄语;

  • 文档创建者名为“Siada”;

  • 文档最后修改时间是2016年12月22日 10:37:00;

  • 这份文档展示了一系列军事人员的个人信息,比如说生日和地址(如上图所示);

2.主要Downloader
  • 主体downloader是通过恶意VB脚本(从临时文件夹运行)从那份文档中释放的;

  • 反病毒程序对该downloader的检出率很低(54款反病毒产品仅4款报毒);

3.Dropper – 阶段0
  • Downloader的EXE文件图标来自一家俄罗斯社交媒体站(http://sevastopol.su/world.php?id=90195);

这就是图标来源的那家俄罗斯社交媒体

  • 图标本身其实是相关乌克兰的一个玩笑;

  • 该Dropper有2个DLL文件,其XOR的方式是当前字节与前一个字节进行XOR;

  • 这种技术相较简单的XOR更好,字节分布看起来不会像是普通的PE文件loader,起到了混淆的作用,不容易被反病毒系统检测到;

  • DLL是放到以下应用数据文件夹:

%USERPROFILE%\AppData\Roaming\Microsoft\VSA.nlp – Stage 1

%USERPROFILE%\AppData\Roaming\Microsoft\Protect.nlp.hist – Stage 2

  • 首个阶段得以执行,DLL采用反射DLL注入的方式加载。

4.Dropper – 阶段1 – 持久性
  • 内部名:loadCryptRunner.dll;

  • 编译:2016年12月12日周一10:09:15;

  • 阶段1 Dropper负责保持攻击的持久性,以及执行downloader DLL,在注册表中注册自身:

HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath

RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\VSA\klnihw22.nlp”, RUNNER

  • 通讯DLL同样是采用反射DLL注入的方式加载的。
5. Dropper – 阶段2 – 为主模块准备的downloader
  • 内部名:esmina.dll

  • 编译:2016年10月10日周一14:47:28;

  • 该DLL的主要作用就是下载主模块;

  • 主模块存储在免费web主机站之上,URL为:

windows-problem-reporting.site88.net[注意:请勿访问该恶意站点]

  • 从公共数据资源中查不到有关该URL的任何信息;

  • 直接访问该URL会显示“HTTP/1.1 404 Not Found”;

  • 看起来下载该模块似乎是需要人工审核的,这表明过程中是需要人工分析处理的;

  • 主模块随后得以下载,通过反射DLL注入的方式加载到内存中。

6.主模块
  • 主模块会下载各种数据窃取插件,并执行;

  • 这个模块也会收集本次存储的窃取数据,并上传到Dropbox;

  • 主模块融合了不少反逆向工程技术:

检查是否存在debugger,检查进程是否跑在虚拟环境中,检查ProcessExplorer是否运行——ProcessExplorer是用来隐藏在合法进程中的恶意程序的,

检查WireShark是否运行——WireShark可以用来识别设备中的恶意流量; - 它也会在注册表中注册如下键:

HKEYCURRENTUSER\Software\Microsoft\Windows\CurrentVersion\Run\hlpAsist

RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\MSDN\iodonk18.dll”, IDLE

7.Dropbox机制
  • 服务器上有3个文件夹:

obx – 包含主模块使用的模块,

ibx – 包含插件上传的输出,

rbx – 包含已连接客户端的基本信息; - 攻击者获取到储存的数据之后,这些数据就会从Dropbox账户删除;

  • 注册该Dropbox的用户账户细节如下:

Name: P*

Email: P**@mail.ru 8. 加密机制

  • 用于数据窃取的插件会将输出存储在: %USERPROFILE%\AppData\Roaming\Media

  • 在主模块将这些数据发往Dropbox之前,这些文件会以Blowfish加密;

  • Blowfish加密密钥即客户端ID。

9.数据窃取插件
  • 文件收集器:查找储存在本地或者共享盘里的不同类型文件,包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt,文件会按需上传;

  • USB文件收集器:查找USB设备上各种类型的文件(包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt);

  • 浏览器数据收集器:用来窃取出存在浏览器中的密码和其他敏感信息;

  • 麦克风:捕获音频对话;

  • 计算机信息收集器:收集客户端的一些数据,如Windows系统版本、计算机名、用户名、IP地址、MAC地址、反病毒软件等;

针对不同的目标设备,并非所有的插件都会下载。每个模块都相关客户端ID,主模块因此能够知道应该下载哪些模块到特定目标设备。

总结

  1. Operation BugDrop本质上是网络间谍行为,其目标就是收集各个领域不同目标的情报,包括基建、媒体、科研机构等。目前该活动暂时没有产生破坏性,而是对目标进行识别、定位和侦查,或许这只是其最终目标的第一阶段;

  2. Operation BugDrop活动是由具备专业技能,并且具有大量经济来源的黑客发起的。考虑到每天所需分析的数据量,CyberX认为BugDrop幕后必定有强有力的支持。鉴于代码的复杂性,以及该黑客行动执行的情况,CyberX推测这些黑客先前在该领域就有丰富的经验。这样的活动可能具有国家背景,不过尚无任何证据将Operation BugDrop与任何国家或者组织联系在一起。

  3. 私营企业和公共组织机构还是需要持续监测IT/OT网络中的反常行为。也需要深度取证,来识别破坏范围和影响,也需要制定事件响应计划。

相关哈希(SHA-256)

恶意文档:

997841515222dbfa65d1aea79e9e6a89a0142819eaeec3467c31fa169e57076a Dropper:

f778ca5942d3b762367be1fd85cf7add557d26794fad187c4511b3318aff5cfd 插件

截屏收集器:

7d97008b00756905195e9fc008bee7c1b398a940e00b0bd4c56920c875f28bfe

dc21527bd925a7dc95b84167c162747069feb2f4e2c1645661a27e63dff8c326

7e4b2edf01e577599d3a2022866512d7dd9d2da7846b8d3eb8cea7507fb6c92a

Keylogger:

fc391f843b265e60de2f44f108b34e64c358f8362507a8c6e2e4c8c689fcdf67

943daa88fe4b5930cc627f14bf422def6bab6d738a4cafd3196f71f1b7c72539

bbe8394eb3b752741df0b30e1d1487eeda7e94e0223055771311939d27d52f78

6c479da2e2cc296c18f21ddecc787562f600088bd37cc2154c467b0af2621937

01aab8341e1ef1a8305cf458db714a0392016432c192332e1cd9f7479507027f

文件收集器:

06dcf3dc4eab45c7bd5794aafe4d3f72bb75bcfb36bdbf2ba010a5d108b096dc

daf7d349b1b12d9cf2014384a70d5826ca3be6d05df13f7cb1af5b5f5db68d54

24f56ba4d779b913fefed80127e9243303307728ebec85bdb5a61adc50df9eb6

a65e79bdf971631d2097b18e43af9c25f007ae9c5baaa9bda1c470af20e1347c

USB文件收集器:

a47e6fab82ac654332f4e56efcc514cb2b45c5a126b9ffcd2c84a842fb0283a2

07c25eebdbd16f176d0907e656224d6a4091eb000419823f989b387b407bfd29

3c0f18157f30414bcfed7a138066bc25ef44a24c5f1e56abb0e2ab5617a91000

浏览器数据收集器:

fb836d9897f3e8b1a59ebc00f59486f4c7aec526a9e83b171fd3e8657aadd1a1

966804ac9bc376bede3e1432e5800dd2188decd22c358e6f913fbaaaa5a6114d

296c738805040b5b02eae3cc2b114c27b4fb73fa58bc877b12927492c038e27c

61244d5f47bb442a32c99c9370b53ff9fc2ecb200494c144e8b55069bc2fa166

cae95953c7c4c8219325074addc9432dee640023d18fa08341bf209a42352d7d

a0400125d98f63feecac6cb4c47ed2e0027bd89c111981ea702f767a6ce2ef75

麦克风:

1f5e663882fa6c96eb6aa952b6fa45542c2151d6a9191c1d5d1deb9e814e5a50

912d54589b28ee822c0442b664b2a9f05055ea445c0ec28f3352b227dc6aa2db

691afe0547bd0ab6c955a8ec93febecc298e78342f78b3dd1c8242948c051de6

计算机数据收集器:

c9bf4443135c080fb81ab79910c9cfb2d36d1027c7bf3e29ee2b194168a463a7

5383e18c66271b210f93bee8cc145b823786637b2b8660bb32475dbe600be46e

d96e5a74da7f9b204f3dfad6d33d2ab29f860f77f5348487f4ef5276f4262311

参考来源:CyberX,欧阳洋葱编译,转载请注明来自FreeBuf.COM

欢迎大家关注悬镜安全实验室公众号,最新安全动态,技术干货,悬镜使用攻略。在使用悬镜服务器卫士的过程中,如遇到任何问题,都可以加入我们的官方用户群【539903443】进行咨询,我们都会有专门的人员帮您解答。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值