深入了解正在進行的間諜活動

新聞 07-21

一、簡介

網路犯罪分子一直在使用遠程訪問工具Quasar，Sobaken和Vermin，系統的監視烏克蘭政府機構並從他們的機器中竊取數據。威脅攻擊者持續開發其隱形惡意軟體的新版本。自2017年中以來ESET一直在跟蹤攻擊者，並在2018年1月的報告中首次記錄。

在本白皮書中，我們將詳細介紹這一正在進行的行動。我們提供了有關用於危害受害者系統以及安裝在受感染系統上的惡意軟體的更多詳細信息，並描述了攻擊者用來分發惡意軟體以及規避檢測的各種方法。

二、攻擊者策略

即使這些攻擊者沒有高級技能或獲得0 day漏洞，他們也非常成功的使用社交工程來分發惡意軟體，並隱蔽進行了很長一段時間。我們能夠追溯到2015年10月。但是，攻擊者可能在更早就開始活躍了。

這些攻擊者在攻擊中使用了三種不同的.NET惡意軟體 - Quasar RAT、Sobaken（一種源自Quasar的RAT）和一種名為Vermin的定製RAT。所有這三種惡意軟體都同時針對不同的目標主動使用，它們共享一些基礎設施並連接到相同的C&C伺服器。並行使用三種惡意軟體的可能原因是它們是獨立開發的。

三、受害者

如圖1所示，這個惡意軟體集群已被用於針對烏克蘭政府機構。ESET的遙測顯示了不同機構中的數百名受害者以及與該行動相關的數百個可執行文件。

圖1 // ESET對Quasar，Sobaken，Vermin及其惡意組件的檢測（地圖數據2018 Google，ORION-ME）

四、時間軸

查看遙測數據的另一種方法是採用時間軸的形式，如圖2所示。

圖2 //行動的時間軸

五、分發

根據我們的遙測數據，攻擊者一直使用電子郵件作為三種惡意軟體的主要分發渠道。他們在使用社交工程引誘受害者下載和執行惡意軟體方面非常成功。

在大多數情況下，文件名是烏克蘭語，涉及與受害者職業相關的特定主題。

此類文件名的示例：

·「?НСТРУКЦ?Я з орган?зац?? забезпечення в?йськовослужбовц?в Збройних Сил Укра?ни та член?в ?х с?мей」 (大致翻譯為「為烏克蘭軍隊及其家屬提供安全保障的指令」)

·「новий проекту наказу, призначення перев?рки вилучення」 – (翻譯為「新的訂單，預約驗證檢查」)

·「В?дд?лення забезпечення Дон ОВК. Зб?льшення л?м?ту」 – (翻譯為「採購部門Don OVK.增加信貸限額「)

除了使用電子郵件附件吸引目標受害者的基本社會工程技術外，這些攻擊者還使用了三種特定的技術方法，進一步提高有效性。

方法＃1：在電子郵件附件的文件名中使用Unicode right-to-left override 來隱藏其真正的擴展名。這些可執行文件實際上使用了Word，Excel，PowerPoint或Acrobat Reader圖標，看起來更可靠。

如在圖3看到的那樣，文件名：「Перевезення твердого палива (дров) для забезпечення опалювання_>xcod.scr」（翻譯為「提供木柴運輸」）將被粗心地看成.DOCX擴展名。

圖3 //偽裝成Word文檔的可執行文件

方法＃2：偽裝成RAR自解壓檔案的電子郵件附件。

示例：如圖4所示，電子郵件帶有附件「Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.rar」（翻譯 - 「國防部令，附錄440號指令」）。在RAR檔案的內部，有一個使用RAR SFX圖標的名為「Наказ_МОУ_Додатки_до_Iнструкцii_440_ост」的可執行文件.exe。受害者可能會運行此文件用於提取自解壓存檔，但這會無意中啟動惡意可執行文件。

方法＃3：Word文檔加CVE-2017-0199漏洞利用。

受害者打開特製Word文檔時會觸發此漏洞。Word進程向位於遠程伺服器上的惡意腳本HTA文件的發送HTTP請求。然後惡意腳本將由mshta.exe執行。有關此漏洞的第一個公開信息出現在2017年4月，Microsoft已為所有版本的Windows和Office發布安全更新來修復它。根據ESET的遙測，這些威脅行為者於2017年5月開始使用這種方法。攻擊者使用hxxp://chip-tuning.lg[.]ua/ 來傳遞HTA文件和最終的有效載荷。

圖4 //文件偽裝成RAR自解壓存檔。版本信息和版權年度可靠地告訴我們這是假的。

六、安裝與持久性

這些攻擊者使用的三種惡意軟體，安裝過程是相同的。Dropper將惡意文件（Vermin，Quasar或Sobaken惡意軟體）釋放到%APPDATA%文件夾中以合法公司（通常是Adobe，Intel或Microsoft）命名的子文件夾中。然後，如圖5所見，它創建了一個計劃任務，每10分鐘運行一次有效載荷，以確保其持久性。某些版本還採用了濫用Windows控制面板快捷方式的技巧，使其文件夾無法從Windows資源管理器中訪問。在Windows資源管理器中單擊時，將無法打開此類文件夾;相反，它會打開Windows控制面板中的「所有任務」頁面。

圖5 //計劃任務每10分鐘運行一次釋放的惡意載荷

例子：

C:UsersAdminAppDataRoamingMicrosoftProofSettings.TransactionBroker32.exe

C:UsersAdminAppDataRoamingAdobeSLStoreSetting.AdobeSLService.exe

七、檢查措施

攻擊者一直使用相當多的技巧來確保惡意軟體僅在目標計算機上運行，特別注重避開自動分析系統和沙箱。

方法＃1：Windows鍵盤布局檢查。

惡意軟體會檢查是否安裝了俄語或烏克蘭語鍵盤布局。如果沒有，它會立即終止。

方法＃2：IP地址檢查。

惡意軟體通過對合法服務ipinfo.io/json的請求獲取其計算機的IP地址。如果IP地址不在烏克蘭或俄羅斯，或者IP地址已註冊到多個選定的反惡意軟體供應商或雲提供商之一，則惡意軟體將終止。與這些檢查相關的代碼見圖6和圖7中的反彙編。

圖6 //檢查主機IP地址的地理位置的代碼

圖7 //針對雲提供商和反惡意軟體供應商IP地址列表的檢查代碼

方法＃3：模擬網路環境檢查。

自動分析系統通常使用Fakenet-NG等工具，其中所有DNS / HTTP通信都成功並返回一些結果。惡意軟體作者試圖通過生成隨機網站名稱/ URL並通過測試與URL失敗的連接來識別此類系統，如圖8所示，正如在真實系統上所期望的那樣。

圖8 //生成隨機URL並嘗試下載的代碼

方法＃4：特定的用戶名檢查。

惡意軟體拒絕在具有典型自動惡意軟體分析系統的用戶名的帳戶下運行，如圖9所示。

圖9 //根據已知惡意軟體分析系統列表檢查當前用戶名

八、使用隱寫術繞過內容過濾

2017年中期，攻擊者探索了將有效載荷隱藏在圖片中的可能性，這些圖片託管在免費圖像託管網站上savehot.net和ibb.co.

隱寫術是將數據「隱藏在視線中」的科學，也就是說隱藏在其他非秘密數據中。在本案例中，惡意EXE文件被加密並隱藏在有效的JPEG文件中，例如圖10中的示例。惡意軟體下載並解碼JPEG文件，提取隱藏數據，從該數據解密EXE文件，然後啟動它。

圖10 //用於隱藏有效載荷的JPEG圖像示例（圖像已調整大小和有效載荷已刪除）

解密過程非常複雜，可以描述如下：

1.從downloader文件中硬編碼的URL下載JPEG。

2.通過暴力窮盡8位密碼計算其哈希值，對downloader中硬編碼的哈希進行驗證。此步驟非常佔用CPU，並且需要10分鐘以上才能完成。這很可能是針對自動惡意軟體分析系統的另一項措施。

3.處理JPEG文件並提取隱藏在其中的數據，如圖11和圖12中反彙編中所示。惡意軟體使用的演算法與JSteg非常相似，JSteg是用於JPEG文件的最古老，最簡單的隱寫演算法之一，它將數據隱藏在JPEG DCT係數的LSB中（最低有效位）。這種隱藏數據通常不會以肉眼可見的方式影響圖像，但隱藏數據的存在很容易通過專門的演算法檢測到。但是，這種隱寫演算法很容易實現，這可能是惡意軟體作者選擇它的原因。

4.使用GZip提取數據並解壓縮。

5.使用AES和步驟2中獲得的密碼解密解壓縮的數據。

6.使用Base64解碼解密數據。

7.將EXE文件寫入磁碟並執行它。

但是作者放棄了隱寫術的想法，使用hxxp://chip-tuning.lg[.]ua 來提供未加密的惡意軟體可執行文件。

圖11 // JPEG解碼器內的隱寫代碼

圖12 // JPEG解碼器內的隱寫代碼

九、惡意軟體

威脅行為者在攻擊中使用了三種不同的惡意軟體。我們概述一下，並著重描述它們的獨特功能。

1．Quasar

Quasar是一個開源RAT（遠程訪問工具），可以在GitHub上免費獲得。我們已經看到過好幾個這些威脅行為者使用Quasar RAT的攻擊行動。

我們所知道的第一個行動從2015年10月持續到2016年4月。利用Quasar RAT的下一個行動於2017年2月開始。編譯工件顯示的PDB路徑為n:projectsViralaybak_files_onlyQRClientQuasarRAT-masterLibraryobjReleaseLibrary.pdb

使用這些攻擊者的C＆C伺服器（mailukr.net）的另一個Quasar RAT行動發生在2017年7月至9月。在該行動中，攻擊者使用名為「xRAT 2.0 RELEASE3」的舊版Quasar RAT。dropper中的編譯工件顯示PDB路徑為 N:shtormWinRARArchiveobjReleaseWinRAR.pdb

2．Sobaken

Sobaken是Quasar RAT的一個經過大量修改的版本。在比較Quasar和Sobaken的程序結構時，我們可以看到很多相似之處，如圖13所示。

惡意軟體作者不斷刪除功能，從而創建一個更小的可執行文件，這也更容易隱藏。他們還添加了反沙箱和其他上面描述的規避技巧。

圖13 // Sobaken的演變——左：Quasar RAT v1.3，中間和右 - Sobaken的2個版本

3．Vermin

Vermin是一個定製的後門，僅供這些威脅行為者使用，於2018年1月首次出現在Palo Alto Networks的報告中。它首次出現在2016年中期，目前仍在使用中。就像Quasar和Sobaken一樣，它也是用.NET編寫的。為了解緩分析速度，程序代碼使用商業.NET代碼保護系統.NET Reactor或開源保護軟體ConfuserEx進行保護。

此外，就像Sobaken一樣，它使用了Vitevic Assembly Embedder，這是一個免費軟體，用於將所需的DLL嵌入主可執行文件中，可從Visual Studio Marketplace獲得。

功能

Vermin是一個功能齊全的後門，有幾個可選組件。在撰寫本文時，已知的最新版本Vermin（Vermin 2.0）支持以下命令：

·StartCaptureScreen

·StopCaptureScreen

·ReadDirectory

·UploadFile

·DownloadFile

·CancelUploadFile

·CancelDownloadFile

·GetMonitors

·DeleteFiles

·ShellExec

·GetProcesses

·KillProcess

·CheckIfProcessIsRunning

·CheckIfTaskIsRunning

·RunKeyLogger

·CreateFolder

·RenameFolder

·DeleteFolder

·UpdateBot

·RenameFile

·ArchiveAndSplit

·StartAudioCapture

·StopAudioCapture

·SetMicVolume.

大多數命令都是在主有效載荷中實現的，還有幾個命令和附加功能是通過攻擊者上傳到受害者機器的可選組件實現的。

已知的可選組件包括：

·Audio recorder

·Keylogger

·Password stealer

·USB file steal

Audio recorder (AudioManager)

這是Vermin的全功能組件，可以從受害者計算機上的麥克風錄製音頻。它實現了Vermin的三個命令：StartAudioCapture，StopAudioCapture和SetMicVolume。使用Speex編解碼器壓縮捕獲的數據，並以SOAP格式上傳到Vermin的C＆C伺服器。

Keylogger (KeyboardHookLib)

Vermin的鍵盤記錄器是一個簡單的獨立可執行文件，它設置全局鍵盤鉤子並將所有擊鍵寫入加密形式的文件中。它還記錄剪貼板內容和活動窗口標題。鍵盤記錄器本身無法連接到Vermin的C&C伺服器，通過主後門組件將收集的信息傳輸到攻擊者的伺服器。

鍵盤記錄程序中的PDB路徑確認其與Vermin惡意軟體關聯：Z:ProjectsVerminKeyboardHookLibobjReleaseAdobePrintLib.pdb

Password stealer (PwdFetcher)

Vermin的獨立密碼竊取程序用於從瀏覽器（Chrome，Opera）中提取已保存的密碼。其大部分代碼是從俄羅斯論壇Habrahabr上的一篇文章中複製粘貼的。示例還包含用於從Firefox瀏覽器中提取信息的代碼，但它並未使用。如圖14所示，該組件還包含類似於鍵盤記錄器組件中的PDB路徑，確認其與Vermin惡意軟體關聯。