看伊朗黑客组织OilRig如何在实施攻击前测试他们的诱饵文档

近日，网络安全公司Palo Alto Networks的研究人员家分析了伊朗黑客组织OilRig在针对特定目标正式实施攻击之前测试他们的诱饵文档的活动。

OilRig，又名Helix Kitten或NewsBeef，是一个被指得到伊朗政府支持的APT组织，据称至少在2015年就已经存在。从那时起，该组织的主要目标就是美国和中东国家的金融、政府、能源、电信和化工行业的机构。

由Palo Alto Network分析的测试活动是在OilRig于2018年8月攻击中东政府之前进行的，该组织向一个政府办公室发送了针对性极强的鱼叉式网络钓鱼电子邮件，其中包含一个BondUpdater木马的升级版本。

“在2018年8月，Unit 42观察到OilRig针对政府机构使用了鱼叉式网络钓鱼电子邮件来交付被称为 BONDUPDATER 的木马的更新版本。BONDUPDATER是FireEye于2017年11月中旬首次发现的基于PowerShell的木马程序，OilRig在当时针对的是另一家中东政府机构。”Palo Alto Networks在其发布的分析报告中写道，“鱼叉式网络钓鱼电子邮件附带了一个Microsoft Word文档，其中包含一个宏，负责安装BONDUPDATER的新变种。”

从Palo Alto Network的分析报告我们得知，OilRig使用了鱼叉式网络钓鱼电子邮件来交付基于PowerShell的BondUpdater木马新变种。该木马变种实现了常见的后门功能，例如上传和下载文件，以及在受感染系统上执行命令。

鱼叉式网络钓鱼电子邮件使用了带有宏的诱饵文档，BondUpdater变种就是由这个宏来负责下载和执行的。另外，这个宏还会运行VBScript“AppPool.vbs”，以创建一个每分钟执行一次的计划任务，从而确保BONDUPDATER木马的持久性。

正式攻击是在8月26日实施的，但OilRig在几天前就制作了大量的诱饵文件来测试恶意代码逃避安全检测的能力。在实施正式攻击的前六天，OilRig将创建的诱饵文档提交给了几个公共反病毒测试网站。Palo Alto Network的研究人员表示，他们一共观察了三波的测试活动，分别是在8月20日、21日和26日进行的，而最后一份测试文档是在正式攻击开始前的不到8小时提交的。

研究人员表示，OilRig在几个公共反病毒测试网站共提交了11个样本。公共反病毒测试网站的原始出发点是向用户提供免费和快速的反病毒测试服务，但同样也能够帮助攻击者了解哪些反病毒引擎能够检测出他们的恶意软件，从而在无形中向攻击者提供了一份“质量保证服务”。

简单来说，OilRig在每次对诱饵文档进行修改之后，都会将它们上传到公共反病毒测试网站，测试结果有助于他们确定其代码修改部分的有效性，从而使得最终交付的诱饵文档能够尽可能地避免安全产品的检测。

在下图中，我们可以看到在OilRig每次对诱饵文档进行修改后，文件检出率的变化情况。相比而言，修改的数量对于OilRig来说并不是首要的。相反，变化的质量更有助于OilRig降低检出率，同时向他们提供有关如何逃避这些检测的信息。这一点可以在第二个修改版本中看到，OilRig只是删除了使用“wscript”运行被放入的VBScript脚本的代码行，就导致检出率从16降到了6。

最后，如果大家感兴趣，有关这些测试活动的更多详细信息以及应用于这些文档的修改，请参阅Palo Alto Networks发布的原始分析报告。