Fancy Bear APT28分析
Fancy Bear
APT28也叫Fancy Bear,與俄羅斯軍事情報機構GRU(格魯烏)有關。近期,APT 28使用魚叉式釣魚攻擊技術對NATO(北大西洋公約組織,北約)組織進行了攻擊。攻擊的第一步是釋放惡意組件,這也是APT 28常用的攻擊技術之一。
下面是對攻擊活動的詳細分析,Fancy Bear的主要動作包括:
·使用多項高級技術嘗試繞過反病毒軟體;
·嘗試以可執行文件的形式運行惡意軟體。
STAGE 1
附件分析
1. Docx文件本身就是含有多個XML的zip文件。在攻擊中,研究人員識別出了許多含有以下階段的惡意活動:
第一階段是一個含有嵌入VBA腳本的docx文件,該腳本會從xm文件中解碼一個base64 payload。
第二階段是在終端用戶系統上實現駐留和執行payload。
Perception Point平台監測到的docx文件
2.在第一階段Perception Point從文件中提取出一個VBA腳本。分析腳本發現,執行腳本的方式在微軟word中的xmls(app.xml)中也有使用,payload是從base64編碼中解碼的。
從xml中解碼可執行文件的函數
base64編碼的payload和xml
解碼base64加密,可以找到MZ
在第二階段,VBA腳本會將執行的文件保存在自動運行文件夾%APPDATA%Uplist.dat和%ALLUSERSPROFILE%UpdaterUI.dll中。
保存payload的腳本部分
腳本用VMI服務和註冊表繼續執行和創建駐留。
機器重啟後,WMI服務默認會配置rundll32.exe來載入%APPDATA%Uplist.dat。註冊表會被配置為用預定義的key HKCUSoftwareMicrosoftWindowsCurrentVersionRunUIMgr替換%ALLUSERSPROFILE%UpdaterUI.dll的值。
在最後的wscript shell中,執行惡意軟體的命令是:
c:windowssystem32
undll32.exe %ALLUSERSPROFILE%UpdaterUI.dll
STAGE 2
可執行文件分析
研究人員在VirusTotal中掃描了該文件來確定dll是否已被報告過。最終確定了已經被報告為Trojan.Sofacy:
文件哈希:
0a842c40cdbbbc2bf5a6513e39a2bd8ea266f914ac93c958fda8c0d0048c4f94
研究人員發現惡意DLL使用HTTP到185[.]99[.]133[.]72來嘗試與C2伺服器通信,並等待要執行的新命令。
到C2的HTTP連接
為了繞過AV和終端保護方案,惡意dll使用了sleep函數來繞過檢測。
繞過AV檢測的Sleep函數
總結
攻擊活動非常複雜,這在國家級的APT組織中比較常見的。因為攻擊活動偽裝的很好,而且非常有效,因此如果攻擊沒有特定安全保護措施的企業的話,會帶來很大的影響。
※在Microsoft Edge中實現DOM樹
※2018年網路安全「金帽子」獎年度評選活動火熱進行中——揭秘豪華評審團
TAG:嘶吼RoarTalk |