走近BlackEnergy:黑客為烏克蘭政府量身打造的犯罪軟件
責編:admin |2014-10-14 12:52:47Blackenergy是一個被各種犯罪團伙使用多年的工具。在2014年的夏季,F-Secure團隊發現Blackenergy惡意軟件的特定樣本開始以烏克蘭政府作為目標來收集情報。這些樣本被識別出是同一組織的成果,該組織稱之為“Quedagh”,歷來喜歡把政府作為攻擊目標。
一、介紹
BlackEnergy是一款受歡迎的犯罪軟件(即一種使犯罪活動自動化的惡意軟件),流通在俄羅斯的地下網絡,最早能夠追溯到2007年。剛開始,它被設計為一個在DDos攻擊中創建僵尸網絡的工具。隨著時間的推移,這款惡意軟件已經演變為支持各種插件,插件能夠基于攻擊的意圖進行組合以提供必要的功能。(類似哆啦A夢的百寶袋)
鑒于該工具的特點,Blackenergy已被不同團伙用于不同的用途。有些團伙利用它發送垃圾郵件;另一些用來盜取銀行憑證。最惡名昭彰的案例是在2008年俄格沖突期間,該工具被用來對格魯吉亞實施網絡攻擊。
2014年夏,我們注意到BlackEnery的最新樣本正在為烏克蘭政府機構量身打造。盡管可能與政治不相關,但有趣的是,BlackEnergy這次的變化剛好趕上烏蘭克劇烈動蕩之時。(不難猜測誰為此事買單了)有無關聯尚且不論,但有件事是確定的:攻擊者利用這些為烏克蘭政府量身打造的BlackEnergy正從目標那里竊取情報。在這次“黑色行動”中(作者喜歡玩使命召喚,特別取名自《使命召喚7:黑色行動》),一個重要的準則是這次攻擊不好追究責任-還有什么比來源不明的犯罪軟件提供更好的推卸責任的借口?(因為多方使用這個軟件,所以不好判定攻擊者是來自哪方的,其實作者在此含沙射影,借機暗諷俄羅斯吧)。
這些樣本被識別出是同一組織的成果。該組織在本文中稱為“Quedagh”,歷來喜歡把政府作為攻擊目標。在本文中,我們僅關注Quedagh所使用的BlackEnergy樣本,該組織好像對政治目標特別感興趣。重點關注在今年年初對烏克蘭政府組織發起的針對性攻擊(targeted attack )中所使用的樣本。
Quedagh Merchant 是一艘摩爾人的500噸商船,在印度洋上被“海盜之王”威廉姆·基德搶占。
在撰寫本文時,我們并不清楚受害者是如何接收到Quedagh團伙所推送的BlackEnergy惡意軟件。一個合理的推測是他們在接收包含惡意附件的郵件時感染了該惡意軟件(也可能是間諜吧)。同時,接下來的感染過程和技術細節是基于符合Quedagh特點的樣本分析出來的,而這些樣本是從F-Secure實驗室搜集的所有BlackEnergy樣本中搜索和篩選的。
該BlackEnergy工具帶有一個構建器(builder)應用程序,生成感染受害者機器的客戶端。同時該工具還配備了服務器端腳本,用于構建命令及控制(C&C)服務器。這些腳本也提供了一個接口,攻擊者可以通過接口控制僵尸機。該工具具有簡單易用的特點,意味著任何人只要能接觸到這個工具,就可以利用它來構建自己的僵尸網絡。
BlackEnergy最初版本出現在2007年,本文中稱之為BlackEnergy 1。一個后續的變種(BlackEnergy 2)在2010年發布。我們也碰到了一個以前未曾見到過的變種,該變種已被重寫并對配置數據采用了不同的保存格式。它不再使用驅動組件。我們把這個新變種稱之為BlackEnergy 3。
二、感染途徑
絕大多數最近搜集的BlackEnergy安裝程序都名為msiexec.exe。我們認為它是另一個可執行程序釋放的,該可執行程序利用社工手段來誘騙用戶執行BlackEnergy安裝程序;或者通過包括漏洞利用代碼的文檔,悄無聲息地進行安裝。我們至少發現了2個木馬化(trojanized)的合法程序,用來執行BlackEnergy安裝程序(除了他們的正當工作之外)。木馬化(trojanized)是一個有效的感染方法,因為大部分用戶無法留意到惡意組件正跟隨著一個合法程序安裝到計算機上。一些早期的安裝程序變種,當時名為regedt32.exe,通過包含漏洞利用代碼的文檔來傳播,CVE-2010-3333就是其中的漏洞之一。
BlackEnergy 3安裝程序的文件名仍為msiexec.exe。然而,它被一個釋放器(dropper)釋放并執行,該釋放器在前臺打開一個欺騙性的文檔。我們也曾接觸到一個獨立的、非持久化的樣本,并偽裝成一個Adobe Flash安裝程序。它不使用任何欺騙性的文檔或應用層程序,而且重啟后便不再運行。
三、技術詳情
1. 安裝過程中繞過UAC
只有當前用戶屬于本地管理員組時,惡意軟件才會試圖感染該系統;如果不是管理員賬戶,在Vista系統上該惡意軟件會以管理員身份重新運行自己。但該方式在Windows7上觸發UAC提示對話框。在Windows 7及后續版本,該惡意軟件試圖繞過默認的UAC設置。它利用新版Windows中的一個向后兼容的功能。BlackEnergy安裝程序包含一個Shim數據庫或一個“修復”,指示SndVol.exe運行cmd.exe,而不是去解決兼容性問題。
SndVol.exe是一個可自動提升運行權限的Windows可執行程序,因為它被認為是安全的。一個音量控制程序能夠造成什么危害哪?然而,在惡意“修復”的幫助下,SndVol.exe將會執行不安全的cmd.exe文件,用于在權限提升的狀態下安裝惡意軟件。
2. 繞過驅動簽名策略
安裝程序的職能是部署惡意軟件的持久化的組件,即驅動組件。在64位Windows系統上,微軟強制執行了一個策略,要求所有的驅動程序都必須簽名。簽名提供一種識別驅動開發者身份的方法,有效地減少了惡意軟件制作者的數量。為了讓開發者在開發過程中測試他們的驅動,微軟提供了一個TESTSIGNING啟動配置選項。當處于這個模式下,屏幕上會顯示一個水印提醒用戶,防止惡意軟件利用這個選項。
BlackE先啟動TESTINGSIGNING選項,再加載驅動組件。為了防止用戶察覺,惡意軟件通過刪除系統上user32.dll.mui中的相關字符串來移除水印。然而,在Windows 8及以上系統,相關字符串不再存儲在user32.dll.mui中,所以這個伎倆失效了。這就解釋了為什么會存在獨立非持久化的變種。該惡意軟件不會感染Vista之前的64位系統。
3. 劫持已有驅動程序
安裝程序會試圖定位一個已有但未激活的驅動服務。該服務通常是合法的,因為不再使用或設置成按需啟動而處于未啟動狀態。安裝程序把驅動組件釋放到相應服務所在的路徑。如果需要的話,可能會覆蓋已有的驅動。被劫持的服務會被設置成自動啟動。這就是重啟之后該惡意軟件如何存活的。
Quedagh團伙可能希望惡意驅動程序會逃脫管理員或調查員的法眼,因為他們對這些合法服務司空見慣了。
4. 驅動組件
驅動組件是將會駐留在被感染系統上的唯一組件。Quedagh團伙使用的驅動組件是BlackEnergy2驅動的一個裁剪版本。這個驅動組件的唯一目的是把DLL組件注入到svchost.exe。有趣的是, 通常BlackEnergy 2驅動組件包含rootkit功能來隱藏進程、文件或注冊表對象,而BlackEnergy 3驅動組件卻移除了rootkit功能。Quedagh團伙可能是反其道而行之,躲避rootkit掃描工具的檢測,如GMER和RootkitRevealer檢測系統異常。(當黑客也要熟讀用兵之法啊)
該驅動組件提供一個IOCTL接口和主DLL組件進行通信。表1總結了可傳遞至IOCTL緩沖區的命令碼。32位版本還包含了一些不完整的例行程序,如使用直接內核對象操作(DKOM)實現進程隱藏,在內存中管理BlackEnergy 2的rootkit規則。
5. 主DLL組件
BlackEnergy 2的核心功能位于主DLL組件。該組件被嵌入到驅動組件中,無法在文件系統找到,減少了系統上的感染痕跡。主DLL為攻擊者提供了一個用于維護僵尸網絡的健壯框架,確保僵尸網絡局限于某個特定功能。該惡意軟件可基于僵尸控制者的意圖加載不同的定制化插件。它是一個面向插件的框架,用于和中心C&C(命令和控制)進行通信。
此外,主DLL組件只提供了命令的一個最小集合。表2總結了針對烏克蘭政府組織的變種所支持的命令。在BlackEnergy 2中,主DLL組件通過一個系列的API調用和插件進行通信。它導出一些函數供插件調用。同時,插件也需要導出兩個函數才能工作。有關BlackEnergy 2插件框架的詳情,我們推薦Dell SecureWorks的研究報告。
相對于BlackEnergy 2,BlackEnergy 3使用了一個簡化的安裝組件。它并不包含一個驅動組件,且安裝程序直接釋放主DLL到本地Application Data文件夾中。然后,安裝程序在啟動文件夾(即C:Documents and SettingsUser「開始」菜單\程序啟動)中創建一個lnk文件,其文件名是基于卷序列號生成的。該lnk文件是一個利用rundll32.exe執行主DLL的快捷方式。該變種采用了一個新的配置格式。配置數據經過X509_ASN編碼,并需要通過ID號訪問。表3列出了最新變種所使用的完整命令集。BlackEnergy 3和插件的通信也采用了一個不同的方法,即通過RPC over the Named-Pipe(ncacn_np)進行通信。
6. 情報竊取插件
因為主DLL組件關于該惡意軟件的使用目的提供極少的線索,所以我們從插件入手來判斷Quedagh組織的意圖。在這次攻擊中,有一個非常特別的插件,名字為“si”,可能意思是“steal information(竊取信息)”。在我們發現的最新樣本中,該插件試圖搜集以下信息并發送至C&C服務器:
System configuration information (gathered via systeminfo.exe)
Operating system version
Privileges
Current time
Up time
Idle Time
Proxy
Installed apps (gathered from uninstall program registry)
Process list (gathered via tasklist.exe)
IP configurations (gathered via ipconfig.exe)
Network connections (gathered via netstat.exe)
Routing tables (gathered via route.exe)
Traceroute and Ping information to Google (gathered viatracert.exe and ping.exe)
Registered mail, browser, and instant messaging clients(gathered via client registry)
Account and password information from The
Bat! email client (gathered from account.cfn and account.cfg)
Stored username and passwords in Mozilla password managerof the following applications (gathered from signons*.txt and signons.sqlite)
Thunderbird
Firefox
SeaMonkey
IceDragon
Stored username and passwords in Google Chrome passwordmanager of the following applications (gathered from “LoginData”)
Google Chrome
Chromium
Comodo Dragon
Xpom
Nichrome
QIP Surf
Torch
YandexBrowser
Opera
Sleipnir
Account and password information from Outlook andOutlook Express
Internet Explorer version and stored username
and passwords
Stored username and passwords in Windows
Credential Store
Live
Remote Desktop
Other generic credentials (Microsoft_WinInet_*)
搜集信息的特點看起來像是通用的而不是有針對性的。這可能是因為該惡意軟件起源于犯罪軟件。可是,搜集的信息仍然是非常有用的,有助于對同一目標發起更進一步的攻擊。
7. 網絡流量
BlackEnergy通過HTTP POST請求和C&C服務器進行通信。對于Quedagh所使用的BlackEnergy 2樣本,請求包含以下字段:
id=[bot_id]&bid=[base64_encoded_build_id]&dv=[x]&mv=[y]&dpv=[z]
其中:
①bot_id 等同于被感染的主機名和卷序列號按照以下格式x[主機名]_[序列號](例如xJOEPC_484DA98A);
②build_id是位于樣本配置數據中build_id字段的字符串;
③x,y,z是硬編碼值,隨著樣本的不同而發生變化;
上述字段和BlackEnergy 3樣本中的字段幾乎一致:
id=[bot_id_sha1]&bid=[base64_encoded_build_id]&nm=[x]&cn=[y]&num=[z]
主要的不同之處是id字段包含了散列值,而不是實際的字符串。產生散列值的源字符串也有一點區別,所使用的格式為:
[domain_sid]_[host_name]_ [serial_no]
而且C&C服務器的響應使用POST請求中的id字段作為密鑰進行加密。在響應解密之后,響應按照BlackEnergy樣本中配置數據的格式存在。例如,BlackEnergy 2樣本期望解密后的響應是一個XML文檔,而BlackEnergy 3樣本則期望解密后的響應是一系列X509_ASN編碼的值。
解密后的響應等同于另一份配置文件,會像嵌入到主DLL的初始配置數據一樣被處理。唯一區別是被處理的數據字段。這個周期如圖3所示。
四、結論
Blackenergy是一個被各種犯罪團伙使用多年的工具。在2014年的夏季,我們注意到Blackenergy惡意軟件的特定樣本開始以烏克蘭政府作為目標來收集情報。這些樣本被識別出是同一組織的成果。該組織在本文中稱為“Quedagh”,是一個歷來把政府作為目標。
Quedagh對BlackEnergy 惡意軟件的定制包括代理服務器的支持、使用Windows 64位環境下繞過UAC和驅動程序簽名的相關技術。在監控BlackEnergy的樣本時,我也發現了該組織所使用的一個新變種,稱之為BlackEnergy3。把BlackEnergy運用到面向政治的攻擊簡直是犯罪活動和間諜活動的一次完美結合。