俄羅斯黑客組織干擾烏克蘭大選??
此前,有報道稱捕獲到針對烏克蘭2019年大選的攻擊活動,根據其巨集程式碼的命名方式關聯到俄羅斯APT組織APT28,但近期 ZLAB-YOROI研究員發現此類方式的巨集利用程式碼已在githun公開,或許之前的關聯有些不可靠。另外,加拿大今日又釋出了俄羅斯干擾大選的一些活動。連結在參考中。
簡介
3月中旬,一份引用烏克蘭選舉的可疑辦公室檔案出現在野外。這個檔案不常見,看起來精心準備,並且正在談論誰在選舉民意調查中領先,爭論最受歡迎的候選人Volodymyr Zelenskiy的生活。該檔案實際上是更復雜的網路攻擊的第一步。
技術分析
惡意文件的第一個特性是受保護的巨集,實際上,當用戶試圖立即讀取它時會顯示一個要求輸入密碼的訊息框。使用傳統的惡意軟體分析工具可以輕鬆繞過此Office密碼保護,在程式碼提取之後,可以按如下方式分析純文字程式碼。
乍一看,沒有混淆程式碼的痕跡,但可以在巨集中發現異常函式呼叫: ActiveDocument.BuiltInDocumentProperties.Item(“Company”)。 該方法允許恢復屬於文件元資料的屬性。在特定情況下,程式碼嘗試讀取“Company”屬性中包含的值,該屬性嵌入了base64編碼的字串。
隱藏惡意負載的文件屬性部分的使用也被Emotet銀行惡意軟體使用,這是對全世界公司和使用者最具侵略性的惡意軟體威脅之一。無論如何,與初始程式碼不同,解碼的有效負載顯示了高度混淆的Powershell命令。
經過幾次反混淆階段後,清晰的程式碼如下:
這個指令碼非常有趣,因為它的第一個動作旨在降低其指紋:它禁用Powershell ScriptBlock日誌記錄和反惡意軟體掃描介面(AMSI)。
ScriptBlock日誌記錄功能是在Powershell v5中引入的,它能夠記錄PowerShell引擎執行的程式碼塊,包括混淆的程式碼段和相應的反混淆程式碼段。相反,AMSI是一種通用的介面標準,允許應用程式和服務與安裝在計算機上的任何反惡意軟體產品整合,允許它們在執行之前評估程式碼,可能在有效負載去混淆之後。關於AMSI的更多細節已在先前的分析報告中描述。
因此,惡意軟體會檢查當前的Powershell版本:如果它大於或等於3,則會禁用上述安全功能。使用幾行程式碼繞過這兩個功能。可以通過以下說明禁用ScriptBlock日誌記錄:
相反,AMSI旁路程式碼甚至更簡單:
該指令能夠修改“ amsiInitFailed ”變數的值,將其設定為“ true ”。這樣,當“ScanContent”方法使用該變數來確定AMSI是否應該掃描要執行的命令時,它將返回AMSI_RESULT_NOT_DETECTED值並讓有效負載執行。調查這些技術,似乎惡意軟體作者從本文中獲得靈感來實現這些功能。事實上,部落格文章解釋了AMSI和BlockLogging禁用技術。
此時,powershell程式碼嘗試從 “hxxps:// functiondiscovery [。] net:8443 / admin / get.php” 下載下一個感染階段,之後設定InternetExplorer 11 User-Agent以保持在雷達之下。此程式碼還包括Powershell Empire特徵指示器:cookie“session = J + kcj5bWE11g4zBLrjvZjNO296I =”。
網路通訊最終成為一個命令和控制地址位於捷克共和國。該IP於2018年10月首次出現,並一直有效至2019年4月
疑惑的歸屬
接觸C2伺服器的指令碼部分是使用流行的後期開發工具Empire建立的,其他公司已經分析過的一些Sofacy樣本使用Empire生成的指令碼作為後期開發模組。此外,根據FireEye 對俄羅斯黑客組織的分析,APT28“ 正在增加對公共程式碼庫的依賴,例如Carberp,PowerShell Empire,PAS webshell,Metasploit模組等,可能會加速其開發週期並提供合理的否定性 ”。
APT28(又名Fancy Bear,Pawn Storm,Sofacy Group,Sednit和STRONTIUM)在2018年9月至12月期間對歐洲的民主機構發起了幾次襲擊。該集團自2007年以來一直活躍,並且針對政府,軍隊和安全全球組織。他們還涉及針對2016年總統選舉的一系列攻擊。
根據賽門鐵克10月份釋出的一份報告,該組織正在積極開展針對歐洲和南美洲政府和軍事組織的網路間諜活動。從2017年開始到2018年,APT28集團重返歐洲和南美洲的祕密情報收集行動。
無論如何,分析樣本的能力對歸因產生了一些混淆。如前所述,實際上,文件的內容不會以任何方式混淆:使用者可以閱讀有關烏克蘭選舉的整篇文章,那麼他為什麼要啟用巨集呢?此外,巨集程式碼也是完全可讀的,無需使用加密或混淆來逃避檢測。唯一的巨集保護機制在於通過密碼鎖定開發專案,但使用傳統的惡意軟體分析工具很容易繞過它。所有這些元素都不是規範的APT28滴管的特徵,其中傳統上採用了重度混淆。SecurityArtWork團隊,在他們的分析中,由於Vitali Kremez研究的老樣本
假設樣本屬於Sofacy小組。研究人員團隊強調了巨集程式碼中使用的函式名稱與WMI聯結器的使用之間的相似性,以啟動新的惡意程序。
但是,在分析這兩個文件時,即使某些函式的名稱相等,巨集也不會顯示相同的結構。在右圖中,對應於Vitali Kremez分析的樣本,程式碼非常混淆:它包含用於規避AV的“$”字元和用於執行解碼的自定義base64例程
但是,在分析這兩個文件時,即使某些函式的名稱相等,巨集也不會顯示相同的結構。在右圖中,對應於Vitali Kremez分析的樣本,程式碼非常混淆:它包含用於規避AV的“$”字元和用於執行解碼的自定義base64例程。
呼叫WMI的巨集部分對應於用於 繞過Microsoft ASR (攻擊面減少)並從Office應用程式啟動新程序的技巧。由於類似的程式碼片段在Github(https://gist.github.com/infosecn1nja/24a733c5b3f0e5a8b6f0ca2cf75967e3)上公開可用,因此這個技巧和使用過的程式碼與俄羅斯組沒有直接關係。因此,文件之間巨集程式碼的相似性基本上依賴於這種開原始碼重用。
總結
歸屬還不完全確定,因此正在調查最近與Sofacy小組有關的其他樣本,以更好地探討他們對影響政治選舉的興趣。
參考連結:
https://blog.yoroi.company/research/apt28-and-upcoming-elections-possible-interference-signals/
https://cyber.gc.ca/sites/default/files/publications/tdp-2019-report_e.pdf
歡迎關注個人公眾號:威脅情報小屋 瞭解更多黑客攻擊資訊