GreyEnergy 2019分析
1月初,InfoSec社群洩露了一個惡意軟體樣本,研究人員分析發現這可能是GreyEnergy植入。
這類威脅與BlackEnergy惡意軟體有類似之處,BlackEnergy就是2015年針對烏克蘭能源工業發起網路攻擊的組織。
圖1. 可能的GreyEnergy樣本
背景
ESET研究報告稱,GreyEnergy惡意軟體是BlackEnergy APT組織的新工具。並主要通過兩種方式傳播:
·周邊洩露,比如入侵企業網站;
· 魚叉式釣魚攻擊郵件和惡意附件。
GreyEnergy植入也被稱為FELIXROOT後門,FireEye研究人員2018年7月份就對傳播惡意軟體的魚叉式釣魚攻擊活動進行了分析。
整個惡意軟體架構是模組化的。惡意軟體可以從C2伺服器取回新的模組,並允許模組進行一些具有防護性的能力,比如NMAP模組和MIMIKATZ模組在過去的活動中都是用來執行許可權提升的。
圖2 –GreyEnergy惡意軟體模組
技術分析
首先,對樣本進行靜態分析發現原始檔名、大小、匯出函式和其他相關的資訊都與FE_Dropper_Win32_FELIXROOT_1樣本非常相似。
圖3 – 1月的樣本(左) FELIXROOT_1樣本(右)
雖然有很多的共同點,但是第一個樣本是2019年1月6日才在社群公開的,而FELIXROOT_1在2018年就被提交給VT平臺了。
圖4 – 1月的樣本(上) FELIXROOT_1樣本(下)
對樣本進行動態分析發現惡意軟體開發者使用了經典但有效的自動化分析繞過技術,比如幾分鐘的長時間休眠週期等等。
圖5 – GreyEnergy呼叫sleep API來繞過分析
之後,惡意軟體會與C2伺服器取得聯絡,接收檢查受害者機器的資訊。遠端終端的IP地址是217.12.204.100,屬於烏克蘭的一家承包商和製造商企業。
圖6 –惡意 IP
惡意軟體的回撥活動是週期性的,每30分鐘都會與遠端C2進行通訊,通知植入正在執行。惡意軟體會發送關於計算機名、使用者名稱、卷序列號、Windows版本、處理器架構和兩個額外值1.3和KdfrJKN。這些值與FE研究人員2018年報告的campaign-id非常匹配。
Id如圖7所示,記憶體內分析session可以看出惡意軟體的配置資訊。
圖7 – 惡意軟體訪問配置
發回給C2的資料是SSL加密保護的。但模擬網路目的地可以解密傳送給遠端伺服器的受害者資訊。這些資料會在HTTP POST請求中的u=引數中傳輸。
圖8 – POST body
這與FE研究人員分析的FELIXROOT後門的行為是非常匹配的,比如使用了三個主要的HTTP引數,包括u=等。
