国家支持的黑客和复杂的攻击经常成为人们关注的焦点,涉及创新技术、高级恶意软件平台以及零日漏洞的利用,这些漏洞会让安全防御者感到紧张。今天的企业面临着一系列更直接的网络安全威胁,从勒索软件和泄露客户信息到从事不道德商业行为的竞争对手,而国家支持的黑客并不是企业正常防御的一部分。在这篇文章中,我们破译了“DeathStalker”,这是一种独特的威胁行为者,似乎以涉及金融领域的律师事务所和公司为目标。经跟踪分析,DeathStalker此次攻击的目的并非经济利益,而是窃取信息。为什么这么说呢,因为DeathStalker的攻击者并没有刻意部署勒索软件,没有窃取支付信息,也没有从事任何与网络攻击相关的活动。攻击者对收集敏感商业信息的兴趣使我们相信“DeathStalker”的开发者是一群从事黑客服务的雇佣兵,或者充当金融界的某种信息经纪人。DeathStalker最初是通过一种名为Powersing的基于powershell的植入物引起我们注意的。根据这条线索,我们可以确定DeathStalker攻击最晚出现在2018年,最早出现在2012年。但在深入了解DeathStalker的历史以及与已知组织的可能联系之前,让我们先了解一下DeathStalker的背景和使用的攻击媒介。PowersingToolchainToolchain是一个文件系统和工具链。例如,一组流程中使用的一组工具和相关库称为工具链。DeathStalker最新行动所依赖的攻击媒介是:带有包含恶意LNK文件的附加存档的鱼叉式网络钓鱼电子邮件。尽管它看起来像来自Explorer或流行的存档提取产品的文档,但它有一个指向cmd.exe的快捷键。这些快捷方式文件的结构如下:点击它们会启动一个复杂的序列,导致在受害者的计算机上执行任意代码。通过cmd.exe的参数传递的一个简短的PowerShell脚本引导了以下链:1.stage0的作用是提取并执行链的下一个元素,以及LNK文件中嵌入的诱饵文档以显示给用户。这会产生点击真实文档的错觉,并确保受害者不会起疑。2.第一阶段是包含c#程序集的PowerShell脚本,旨在连接到DeadDrop解析器,并通过从快捷方式中提取“DLL”文件以找到Base64来获取用于解码链最后一步的加密材料编码URL的固定偏移量列表。可以通过在Windows启动文件夹中创建指向VBE启动脚本的快捷方式(使用拖放图标)来建立持久性。3.最后,在第2阶段,使用实际的恶意软件植入来控制受害者的计算机。它连接到DeadDrop解析器以获取真实C&C服务器的地址,并每隔几秒进入一个循环查找订单。4.系统重新启动时,VBE启动脚本(很像第0阶段)将自动执行,这再次导致第2阶段启动。与C&C服务器的通信涉及json编码对象的交换。Powersing只有两个任务:1.定期从受害者的计算机上捕获屏幕截图并立即将其发送到C&C服务器(两个内置命令允许操作员更改屏幕截图的质量和周期);2.执行C&C提供的任意Powershell脚本;在第1和第2阶段,安全软件规避在我们分析的不同样本中变化很大。根据在计算机上检测到的杀毒软件,Powersing可能会选择其他持久化方法,甚至完全停止运行。我们怀疑该工具集背后的团队在攻击者的每次活动之前执行检测测试,并根据结果更新攻击者的脚本,这表明开发的恶意软件是迭代的,并且在其设计方法上迭代非常快。因此可以推断,第2阶段会主动寻找计算机上的虚拟化痕迹(例如,特定于供应商的MAC地址)和恶意软件分析工具,并将此信息报告给C&C服务器。综上所述,Powersing不是一个完整的恶意软件平台。相反,它作为一个隐蔽的攻击立足点,在受害者的网络中,它在下载其他恶意软件方面发挥着关键作用。Deaddrop解析器DeathStalker工具链利用大量公共服务作为deaddrop解析器。这些服务为攻击者提供了一种通过公开帖子、评论、用户配置文件、内容描述等将数据存储在固定URL上的方法。攻击者留下的消息遵循以下模式:“我的键盘不工作……[字符串]。”和“哟兄弟我唱[Base64编码字符串]是的”。在我们的调查过程中,我们发现了以下消息:·Google+·Imgur·Reddit·ShockChan·Tumblr·Twitter·YouTube·WordPress这个列表可能并不详尽,一个简单的谷歌查询可以揭示许多这样的消息。Powersing的首要任务是连接到它知道的任何死点解析器以检索此信息。阶段1使用这些消息的第一个字符串,其中包含用于解码阶段2的AES密钥。阶段2然后连接到deaddrop解析器以获取在第二个字符串中编码的整数。如下面的代码摘录所示,这个整数在转换为IP地址之前除以一个任意常数(因样本而异):然后这个IP地址存储在用户的硬盘驱动器上,用于与与C&C服务器的实际A连接,操作员使用它来控制电源。依靠众所周知的公共服务,网络犯罪分子可以将初始后门通信混入合法网络流量中。它还限制了防御者可以做些什么来阻止他们的行动,因为这些平台通常不能在公司层面被列入黑名单,因此从这些平台上删除内容可能是一个艰巨而漫长的过程。然而,这是有代价的:互联网永远不会忘记,网络犯罪分子很难抹去攻击者行为的痕迹。多亏了搜索引擎索引或存档的数据,我们估计Powersing在2017年8月左右首次使用。最后,要提到的一个细节是我们发现的许多PowersingC&C都有SSL证书,让人想起Sofacy臭名昭著的ChopstickC&C“IT部门”证书。通过分析该基础设施与Sofacy无关,我们认为这是攻击者企图诱导防御者得出错误结论。DeathStalker与已知的Janicab恶意软件家族Sec0wn相关联,在介绍Powersing的原始博客文章中暗示Powersing可能与名为Janicab的恶意软件家族相关,其较早的样本可追溯到2012年。但是,据我们所知,此链接从未公开探索过.最后,我们掌握了Janicab2015年博客文章(1fe4c500c9f0f7630a6037e2de6580e9)中F-Secure列出的恶意软件样本之一,以寻找相似之处。该文件是另一个指向cmd.exe的LNK,单击该文件时,会将VBE脚本与诱饵文档一起投放到系统中。该脚本与一个未列出的YouTube视频建立连接,以获取描述中嵌入的C&C信息:在此页面上获取的整数在转换为IP地址之前除以一个常量:虽然YouTube仅用作一个deaddrop解析器这足以在两个组之间建立链接,但我们认为在线获取一些整数并在将其解释为IP地址之前将其拆分的过程足以解决绘制第一个连接的问题。Janicab的功能也让我们想起了Powersing的:样本包括基于计算机MAC地址的VM检测、寻找恶意软件分析器和熟悉的防病毒软件规避例程。Janicab还定期向C&C发送受害者桌面的屏幕截图,并且似乎能够执行任意Python脚本。最新版本的Janicab(85ed6ab8f60087e80ab3ff87c15b1174)还涉及让人联想到Powersing的网络流量,尤其是当恶意软件向其C&C服务器注册时:此外,该样本包含一个列入黑名单的VMMAC地址列表,与前面描述的Powersing样本完全相同这篇论文相同,相同的顺序。另一个值得调查的与Evilnum恶意软件家族的可能联系是最近的Evilnum恶意软件家族,请参阅去年7月ESET的一篇深入博客文章,以及我们自己的一些私人报告。ESET的帖子详细介绍了另一个导致基于javascript的恶意软件执行的基于lnk的感染链。同样,我们获得了一个旧的Evilnum样本(219dedb53da6b1dce0d6c071af59b45c),并观察到它还从deaddrop解析器(GitHub)获取了C&C信息,导致使用以下代码转换了一个IP地址:使用正则表达式找到一个特定的字符串得到一个整数,然后用这个整数除以一个常数得到C&C服务器的IP地址。尽管Evilnum提供比Powersing更强大的功能,但它也可以捕获屏幕截图并将它们发送到C&C服务器。在受害者方面,Evilnum专注于金融科技领域的公司。它似乎对窃取商业信息更感兴趣。这与我们目前观察到的DeathStalker活动一致。尽管是用不同的语言编写的,但我们要提及的最后一个关联是最近的Evilnum(835d94b0490831da27d9bf4e9f4b429c)和Janicab样本有一些小的代码重叠:1.在执行等效任务的函数中使用具有相似名称的变量(“ieWatchdogFilename”是Janicab,"ieWatchdogPath"是Evilnum);2.用于清理的两个函数具有相同的名称:“deleteLeftOvers”;我们相信这些名称足够独特,可以在两个恶意软件家族之间建立额外的联系。不太确定的是,这个Evilnum样本还包括一个名为“long2ip”的函数,用于将整数转换为IP地址,而Powersing包括一个名为“LongToIP”的类似实现。Powersing、Janicab和Evilnum是三个基于脚本语言的工具链,它们具有以下相似之处:1.所有三个恶意系列都是通过LNK文件通过鱼叉式网络钓鱼传递的文件;2.他们使用正则表达式3.IP地址以整数形式获取,然后在转换前除以硬编码常量;4.这三个恶意软件系列之间的少量代码重叠可能表明它们是由同一团队或共享软件开发实践的团队开发的;5.所有这三种恶意软件都具有屏幕捕获功能,虽然它本身不是原创的,但通常不是这些组织的开发重点的一部分,并且可能表明共享设计规范;6.最后,虽然我们没有太多关于Janicab受害者的信息,但Powersing和Evilnum都在窃取商业信息,虽然它们在不同的行业领域,但两者的活动都符合一个假设,即它们是由雇佣军组织经营的;虽然在我们看来,这两点本身都不足以得出结论,但我们认为,综合起来,更合理的结论是Powersing、Evilnum和Janicab是由同一组织运营的。受害者研究“DeathStalker”主要针对金融领域的私人对象,包括律师事务所、财富咨询公司、金融科技公司……在这个例子中,我们还观察到DeathStalker攻击外交部门。研究人员在阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、台湾、土耳其、英国和阿拉伯联合酋长国发现了与电力有关的攻击。在塞浦路斯、印度、黎巴嫩、俄罗斯、约旦和阿拉伯联合酋长国已经确定了其他受害者。总结在这篇文章中,我们描述了一种现代感染链,至今仍被某些黑客组织使用和利用。这条感染链并没有任何创新的花样和复杂的方法,其中的某些部分实际上可能看起来是不必要的复杂设计。据分析,DeathStalker的开发者从2012年开始就一直使用同种攻击方式。IOC本文翻译自:https://securelist.com/deathstalker-mercenary-triumvirate/98177/如有转载请注明出处:
