Fancy Bear APT28分析
Fancy Bear
APT28也叫Fancy Bear,與俄羅斯軍事情報機構GRU(格魯烏)有關。近期,APT 28使用魚叉式釣魚攻擊技術對NATO(北大西洋公約組織,北約)組織進行了攻擊。攻擊的第一步是釋放惡意元件,這也是APT 28常用的攻擊技術之一。
下面是對攻擊活動的詳細分析,Fancy Bear的主要動作包括:
·使用多項高階技術嘗試繞過反病毒軟體;
· 嘗試以可執行檔案的形式執行惡意軟體。
STAGE 1
附件分析
1. Docx檔案本身就是含有多個XML的zip檔案。在攻擊中,研究人員識別出了許多含有以下階段的惡意活動:
第一階段是一個含有嵌入VBA指令碼的docx檔案,該指令碼會從xm檔案中解碼一個base64 payload。
第二階段是在終端使用者系統上實現駐留和執行payload。
Perception Point平臺監測到的docx檔案
2.在第一階段Perception Point從檔案中提取出一個VBA指令碼。分析指令碼發現,執行指令碼的方式在微軟word中的xmls(app.xml)中也有使用,payload是從base64編碼中解碼的。
從xml中解碼可執行檔案的函式
base64編碼的payload和xml
解碼base64加密,可以找到MZ
在第二階段,VBA指令碼會將執行的檔案儲存在自動執行資料夾%APPDATA%\Uplist.dat和%ALLUSERSPROFILE%\UpdaterUI.dll中。
儲存payload的指令碼部分
指令碼用VMI服務和登錄檔繼續執行和建立駐留。
機器重啟後,WMI服務預設會配置rundll32.exe來載入%APPDATA%\Uplist.dat。登錄檔會被配置為用預定義的key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UIMgr替換%ALLUSERSPROFILE%\UpdaterUI.dll的值。
在最後的wscript shell中,執行惡意軟體的命令是:
c:\windows\system32\rundll32.exe %ALLUSERSPROFILE%\UpdaterUI.dll
STAGE 2
可執行檔案分析
研究人員在VirusTotal中掃描了該檔案來確定dll是否已被報告過。最終確定了已經被報告為Trojan.Sofacy:
檔案雜湊:0a842c40cdbbbc2bf5a6513e39a2bd8ea266f914ac93c958fda8c0d0048c4f94
研究人員發現惡意DLL使用HTTP到185[.]99[.]133[.]72來嘗試與C2伺服器通訊,並等待要執行的新命令。
到C2的HTTP連線
為了繞過AV和終端保護方案,惡意dll使用了sleep函式來繞過檢測。
