新型BlackEnergy(word宏）病毒分析

目录
0X01 前言 1
0X02 BLACKENGERGY木马介绍 4
BlackEnergy 1 5
BlackEnergy 2 5
BlackEnergy 3 5
0X03 BLACKENGERGY木马分析 4
攻击流程 5
木马结构组成 5
木马组件功能 5
0X03 BLACKENGERGY木马攻击还原 4
攻击场景搭建 5
木马行为分析 5
0X04 总结 4

前言

2015 年 12 月 14 日，乌克兰的伊万诺—弗兰科夫斯克州地区发生多处同时停电的事件，黑客控制了电力系统，并远程关闭了电网。紧接着，2015 年 12月 27日，乌克兰电力公司网络系统再次遭到黑客攻击，这是首次由黑客攻击行为导致的大规模停电事件，据统计，此次影响导致成千上万的乌克兰家庭无电可用。
2016年1月22日，有关组织发现了一种新型的针对乌克兰的BlackEnergy APT文档类攻击。此次，该病毒采用Word文档内嵌宏病毒来进行攻击，本次报告，也将着重分析这个木马程序。

BlackEnergy木马介绍

BlackEnergy 1
最早的 BlackEnergy 主要用于 DDoS 攻击。 它配有一套完整的生成器，被触发后就会自动生成客户端程序和基于 C&C（指挥和控制）服务器的命令生成脚本。攻击者使用它建立僵尸网络， 只需在 C&C 服务器端下达简单指令，僵尸网络受害主机便会统一地执行这一指令。与众不同的是，这种 bot 并不与僵尸网络 IRC 通信，也看不到任何从这个服务器上发起的攻击。不同于传统的IRC，这是一个小（小于 50 kB）二进制的 Windows 平台使用的简单程序。

BlackEnergy 2
BlackEnergy 2[依然是一个 DDoS 类僵尸网络 程序，但在新的样本中发现增加了加密程序，以 欺瞒病毒软件。驱动文件释放后以名为服务方式 注入系统进程，随后远程连接服务器，下载攻击 插件，根据配置文件对目标发起DDoS 攻击。其工作原理如下图所示：

任何可以接触到 BlackEnergy 2 的人都可以非常容易地利用它发起攻击，而不需要复杂的部 署和管理。黑客利用支持升级的组件更容易修改和扩展其功能，只要远程控制中心发布命令，就可以快速实现组件的安装和升级。 BlackEnergy 2 的 3 个主要功能组件是SYN、 HTTP 以及 DDoS 攻击组件，样本将下载后的攻击组件加载到内存中执行，实现对服务器的远程控制。 BlackEnergy 利用 Windows Installer 安装包，将自身的安装程序伪装成名为 msiexec.exe 的系统进程。此版本的最核心功能位于主 DLL组件。该组件可以根据攻击者的目标定制一个维护僵尸网络的框架，用于与 C&C 进行通信，同时它本身被隐藏在驱动组件中，文件系统无法察觉。

BlackEnergy 3
根据 2014 年 9月 F-Secure发布的报告，BlackEnergy 又出现了新的变种，BlackEnergy 2 的代码几乎全部被重写而且采用不同的格式对配置数据进行保存。该变种不再使用驱动组件，但目前对该版本的攻击事件还比较稀少。 BlackEnergy 3的释放器会在前台打开一个看似无害的文件，从而悄然释放病毒文件并执行。曾经检测到样本伪装成一个 Adobe Flash 安装程序、Excel文档宏以及本次报告中分析的Word文档宏，它不使用任何欺骗性的文档或应用层程序，而且重启后便不再运行。此版本实现了代理服务器技术