Fancy Bear APT28分析

Fancy Bear

APT28也叫Fancy Bear，與俄羅斯軍事情報機構GRU（格魯烏）有關。近期，APT 28使用魚叉式釣魚攻擊技術對NATO（北大西洋公約組織，北約）組織進行了攻擊。攻擊的第一步是釋放惡意組件，這也是APT 28常用的攻擊技術之一。

下面是對攻擊活動的詳細分析，Fancy Bear的主要動作包括：

·使用多項高級技術嘗試繞過反病毒軟體；

·嘗試以可執行文件的形式運行惡意軟體。

STAGE 1

附件分析

1. Docx文件本身就是含有多個XML的zip文件。在攻擊中，研究人員識別出了許多含有以下階段的惡意活動：

第一階段是一個含有嵌入VBA腳本的docx文件，該腳本會從xm文件中解碼一個base64 payload。

第二階段是在終端用戶系統上實現駐留和執行payload。

Perception Point平台監測到的docx文件

2.在第一階段Perception Point從文件中提取出一個VBA腳本。分析腳本發現，執行腳本的方式在微軟word中的xmls（app.xml）中也有使用，payload是從base64編碼中解碼的。

從xml中解碼可執行文件的函數

base64編碼的payload和xml

解碼base64加密，可以找到MZ

在第二階段，VBA腳本會將執行的文件保存在自動運行文件夾%APPDATA%Uplist.dat和%ALLUSERSPROFILE%UpdaterUI.dll中。

保存payload的腳本部分

腳本用VMI服務和註冊表繼續執行和創建駐留。

機器重啟後，WMI服務默認會配置rundll32.exe來載入%APPDATA%Uplist.dat。註冊表會被配置為用預定義的key HKCUSoftwareMicrosoftWindowsCurrentVersionRunUIMgr替換%ALLUSERSPROFILE%UpdaterUI.dll的值。

在最後的wscript shell中，執行惡意軟體的命令是：

c:windowssystem32
undll32.exe %ALLUSERSPROFILE%UpdaterUI.dll

STAGE 2

可執行文件分析

研究人員在VirusTotal中掃描了該文件來確定dll是否已被報告過。最終確定了已經被報告為Trojan.Sofacy：

文件哈希：

0a842c40cdbbbc2bf5a6513e39a2bd8ea266f914ac93c958fda8c0d0048c4f94

研究人員發現惡意DLL使用HTTP到185[.]99[.]133[.]72來嘗試與C2伺服器通信，並等待要執行的新命令。

到C2的HTTP連接

為了繞過AV和終端保護方案，惡意dll使用了sleep函數來繞過檢測。

繞過AV檢測的Sleep函數

總結

攻擊活動非常複雜，這在國家級的APT組織中比較常見的。因為攻擊活動偽裝的很好，而且非常有效，因此如果攻擊沒有特定安全保護措施的企業的話，會帶來很大的影響。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！