關後門！綠盟科技Zebrocy樣本技術分析與防護方案

綜述

樣本是一組APT工具，包含一系列downloader樣本及backdoor樣本，這組樣本是著名APT攻擊者隊伍Sednit組織（也稱APT28）正在部署並維護的後門組件家族，在近兩年中，這一家族被大規模採用來攻擊各國大使館、外交部及外交官等目標。

卡巴斯基於2017年首次在APT趨勢報告中提到該組件家族，並將其命名為Zebrocy。

該組件家族包括使用AutoIt和Delphi編寫的下載器和使用Delphi編寫的後門程序，通過郵件附件進行傳播，具備能抵抗沙箱行為分析的高度的隱蔽性並能對受害者電腦進行部分控制，攻擊者利用這一組件作為偵查階段使用的工具，將會根據該工具反饋的結果及信息來選擇性的部署更為強大的Xagent或者Xtunnel後門。

參考鏈接：

https://www.welivesecurity.com/2018/04/24/sednit-update-analysis-zebrocy/

01

攻擊流程

02

執行流程

03

影響範圍

該樣本的主要目標是對大使館、外交部及外交官類目標進行竊密活動。因此它主要影響Windows系統，可以在受感染的計算機上維持後門，接收並執行遠程控制指令，為後續進一步的入侵活動打下基礎。

綠盟威脅情報中心（NTI）情報顯示，在過去的兩年中，Sednit組織正利用Zebrocy樣本對以下國家的相關目標發起過竊密活動：

亞塞拜然、波士尼亞赫塞哥維納、埃及、喬治亞、伊朗、哈薩克、韓國、吉爾吉斯斯坦、俄羅斯、沙烏地阿拉伯、塞爾維亞、瑞士、塔吉克、土耳其、土庫曼、烏克蘭、烏拉圭、辛巴威。

樣本分析

1.產品檢測

下載器組件樣本：

後門程序組件樣本：

（由於其特殊的反沙箱機制，所有版本的後門程序組件經由TAC動態分析皆未能檢測到威脅。）

2.主要功能

這組樣本主要分為兩種組件，即下載器和後門程序。

其中，下載器組件中使用URL編碼來提交感染者的本機系統詳細信息（通過調用SYSTEMINFO以及TASKLIST命令獲得），若攻擊者認為這是一個有價值的目標，則攻擊者可以通過向該目標回復經過十六進位編碼的PE文件內容來使受感染者下載下一個組件，本例中，受感染者下載的組件依然是下載器，其執行後會下載及部署後門程序。

後門程序能夠和攻擊者的C&C伺服器進行通信，接收並執行包括屏幕截圖、文件傳輸、命令執行在內的各種遠程控制指令，方便攻擊者對被感染主機實施進一步的控制活動。此外，後門程序使用基於判斷系統當前時間戳與運行時刻進行對比實現的超長延遲機制可阻止許多沙箱的動態分析，此外該部分組件中盡量少添加殼/花指令/有特殊含義的字元串，將敏感字元串使用十六進位編碼後存儲在樣本中，使特徵碼未被解析前，對該組件靜態的分析也難以發現可疑之處。

3.網路協議

下載器的網路協議如下所示：

樣本使用HTTP_POST方式與伺服器進行通信，所有伺服器需要知道的上線包內容全部寫在包中，flagBegin標識在該樣本中表現為字元串"pol="，代表伺服器接收數據的頭部。

time是以符合如下正則表達式的格式書寫的，代表當前的時間：

[0-9]/[0-9]/[0-9]\%20[0-9]:[0-9]:[0-9]\%20([AP]M)

driveList代表受感染者的驅動列表，以URL編碼方式發送。

runningPath代表樣本運行時的路徑，可用於區分一些沙箱環境，同樣採用URL編碼。

systemInfo為SYSTEMINFO及TASKLIST這兩條windows命令的回顯數據，也是採用URL編碼的。

後門程序的網路協議如下所示：

Login_package同樣是使用HTTP_POST方式進行數據傳輸，各個部分解析如下：

flagBegin:符合如下正則表達式特徵，標誌上線包的開始。

-[0-9]*?

tempFilename中記載了臨時文件的目錄以及指令所在tmp文件的準確路徑，可以防止偽造，以及窺探沙箱/養馬場的用戶名信息。

hexEncoded_content中保存有以十六進位編碼過後的加密數據，伺服器端通過解析這些數據來接收客戶端的上線請求或指令回顯，其編碼前的前8位元組為後方數據解密後的長度，由於單個長度為0xFFFFFFFFFF（約為1TB）以上的包在用戶環境中是不可能出現的，因此這一序列中必定包含"000000"的字元串序列。

由於加密數據是採用AES-ECB方式進行加密的，故後方的加密數據長度必定為16的整數倍。其加密方式是從明文中每次取16位元組的數據塊，使用32位元組的AES密鑰加密一次，不足16位元組則用"x00"補齊（zeropadding），最後把每塊加密後的數據連接起來形成的，因此解密時亦需要每16位元組使用如下密鑰進行一次解密，並拼接其結果：

0.76=47jYQL68n-tgar13)HqL*lW,+Q1

以下是上線包加密前包含的數據：

U3RhcnQ6IDIwMTgtNC0yNyAxNzo1NToyOCAtIFt2NS4wXQ==:8CA5CA4250432D41-WARNING-[2018-04-2717-55-28]-486.txt

這段數據是將樣本自身的版本信息使用base64編碼以後，加上特定的字元串哈希、時間戳等信息後添加.txt後綴偽裝成文件名後發送給攻擊者的，根據指令執行結果不同其內容可能有所變化。

flagEnd:符合如下正則表達式特徵，宣告上線包的結束。

-[0-9]*?--

在Command欄位中，解密的方式依然是從長度的8位元組以後開始，每次取16位元組進行解密並拼接結果，需要注意的是使用的密鑰和Login_package使用的密鑰有所不同，本例中樣本使用的密鑰如下所示：

0Hj!9KkL8#7Cver$6%5-Z.[^4&/baG3*

攻擊定位

根據綠盟威脅情報中心（NTI）的情報，該事件中所涉及IP地址分別位於如下區域：

綠盟科技檢測與防護方案

綠盟科技工程師前往客戶現場檢測。

綠盟科技木馬專殺解決方案

短期服務：綠盟科技工程師現場木馬後門清理服務（人工服務+IPS+TAC）。確保第一時間消除網路內相關風險點，控制事件影響範圍，提供事件分析報告。

中期服務：提供3-6個月的風險監控與巡檢服務（IPS+TAC+人工服務）。根除風險，確保事件不複發。

長期服務：基於行業業務風險解決方案（威脅情報+攻擊溯源+專業安全服務）。

聲明

本安全公告僅用來描述可能存在的安全問題，綠盟科技不為此安全公告提供任何保證或承諾。

由於傳播、利用此安全公告所提供的信息而造成的任何直接或者間接的後果及損失，均由使用者本人負責，綠盟科技以及安全公告作者不為此承擔任何責任。

綠盟科技擁有對此安全公告的修改和解釋權。

如欲轉載或傳播此安全公告，必須保證此安全公告的完整性，包括版權聲明等全部內容。未經綠盟科技允許，不得任意修改或者增減此安全公告內容，不得以任何方式將其用於商業目的。

關於綠盟科技

北京神州綠盟信息安全科技股份有限公司（簡稱綠盟科技）成立於2000年4月，總部位於北京。在國內外設有30多個分支機構，為政府、運營商、金融、能源、互聯網以及教育、醫療等行業用戶，提供具有核心競爭力的安全產品及解決方案，幫助客戶實現業務的安全順暢運行。

基於多年的安全攻防研究，綠盟科技在網路及終端安全、互聯網基礎安全、合規及安全管理等領域，為客戶提供入侵檢測/防護、抗拒絕服務攻擊、遠程安全評估以及Web安全防護等產品以及專業安全服務。

北京神州綠盟信息安全科技股份有限公司於2014年1月29日起在深圳證券交易所創業板上市交易，股票簡稱：綠盟科技，股票代碼：300369。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！