Bandook恶意软件同时针对多个国家的不同行业13年前的后门木马的更新版本。CheckPointResearch在26日发布的一份报告中发现,一个名为DarkCaracal的黑客组织在过去一年中部署了数十个BandookWindows木马的数字签名变种。攻击者选择的不同垂直领域包括位于智利、塞浦路斯、德国、印度尼西亚、意大利、新加坡、瑞士、土耳其和美国的政府、金融、能源、食品行业、医疗保健、教育、IT和法律机构。异常广泛的目标市场和位置进一步支持了研究人员的假设,即该恶意软件并非内部开发并由单一主体使用,而是第三方向世界各地的政府和攻击者出售的攻击性基础设施的一部分。DarkCaracal广泛使用BandookRAT在全球范围内开展间谍活动,最早由电子前沿基金会(EFF)和Lookout于2018年初发现,当时受害者覆盖21个国家。这个多产的组织至少从2012年开始运作,并与黎巴嫩安全总局(GDGS)有关联,因此研究人员认为该组织是国家对国家层面的持续威胁。不同的组织同时使用相同的恶意软件基础设施进行看似无关的活动,这导致EFF和Lookout推测APT的参与者正在使用或管理被视为举办许多广泛的全球网络间谍活动的基础设施。为此,研究人员比较了不同的Bandook变体,并分享了其创建者使用的各种技术来阻碍对攻击过程中所有组件的分析和检测。攻击链的三个阶段随着攻击链的不断进化,研究人员描述了攻击者从7月至今使用的攻击链。整个攻击链的攻击可以分为三个主要阶段。与许多其他攻击链一样,第一阶段从以ZIP文件形式交付的恶意MicrosoftWord文档开始。打开文档后,会使用外部模板功能下载恶意宏。宏的代码依次下降并执行攻击的第二阶段,即在原始Word文档中加密的PowerShell脚本。最后,PowerShell脚本下载并执行攻击的最后阶段:Bandook后门。下面描述的各种工件的名称可能因攻击场景而异。完整的攻击链阶段1:诱饵文件阶段1从嵌入加密恶意脚本数据的MicrosoftWord文档和指向包含恶意VBA宏的文档的外部模板开始。外部模板是通过URL缩短Web服务(例如TinyURL或Bitly)下载的,它会重定向到攻击者控制的另一个域。外部模板文档包含一个自动运行的VBA代码,用于解密原始诱饵文档中的嵌入数据,并将解码后的数据放入本地用户文件夹中的两个文件中:fmx.ps1(下一阶段的PowerShell)和sdmc.jpg(base64编码的PowerShell代码)).为了允许这种行为,攻击者结合使用了两种技术:将加密数据嵌入到原始文档的形状对象中(被小字体和白色前景隐藏),并使用以下代码从外部模板代码访问它:o4QQLW7zXjLbj=ActiveDocument.Shapes(1).TextFrame.TextRange.Text为了正确分析,必须找到原始文档和外部模板,这对调查人员来说有些困难。为此,研究人员使用不同的诱饵图像和不同的加密密钥观察并分析了多对文档和外部模板。诱饵文档示例:用于说服用户启用宏的诱饵文档带有宏的外部模板示例:包含恶意宏的外部模板外部模板对受害者来说是不可见的,它们的唯一目的是提供恶意宏。有趣的是,对于每一次攻击,经过一段时间后,攻击者都会将恶意的外部模板转换为良性模板,这使得研究人员对攻击链的分析变得更加困难。此外,外部模板看起来像随机的良性文档:Benignexternaltemplates这些文档通常是基于云的服务(如Office365、OneDrive和Azure)的主题,其中包含其他文件的图片,受害者只需单击“激活内容”即可获取这些文件。例如,其中一份特别引起研究人员注意的文件描述了Office365徽标的预览和迪拜政府颁发的证书。JAFZA——文件顶部的杰贝阿里自由区是迪拜杰贝阿里港周围的一个工业区,来自世界各地的7,000多家跨国公司都在这里落户。诱饵文件(左)和类似的公共证书示例(右)MalaysiaShipment.docxJakartaShipment.docxmaltacontainers.docxCertifieddocuments.docxNotarizedDocuments.docxbankstatement.docxpassportanddocuments.docxCaseDraft.docx文档扫描。docx第二阶段:PowerShell加载程序VBA代码删除两个文件(fmx.ps1和sdmc.jpg)后,调用fmx.ps1。fmx.ps1是一个简短的PowerShell脚本,它解码并执行存储在第二个放置文件(sdmc.jpg)中的base64编码的PowerShell。首先,解码的PowerShell脚本从Dropbox、Bitbucket或S3存储桶等云服务下载一个包含四个文件的zip文件。压缩后的文件存放在用户的公用文件夹中,四个文件在本地解压。存储在Dropbox.com上的恶意软件组件提取的恶意软件组件受害者设备上的PowerShell脚本使用同一文件夹中的三个文件a.png、b.png和untitled.png来生成恶意软件负载。与其他两个文件不同,untitled.png是有效的图像格式。它包含一个隐藏的RC4函数,编码在像素的RGB值中,使用称为invoke-PSImage的已知工具创建。最终的可执行有效载荷由以下文件连接而成:a.png-在使用RC4解密并存储为aps.png之后;b.png-如上所述;最后,PowerShell脚本执行恶意软件,打开draft.docx,并从“Public”文件夹中删除所有先前的工件。draft.docx是一个良性文件,其唯一目的是让受害者相信该文件不再可用并且整体执行成功。攻击第3阶段后向用户显示的最终文档:BandookLoader此攻击链中的最终有效载荷是一种名为Bandook的较旧的全功能RAT的变体。Bandook由Delphi和C++编写而成,历史悠久,始于2007年,最初是由一位绰号为PrinceAli的黎巴嫩人开发的商用RAT。随着时间的推移,此恶意软件生成器的多个变体被泄露到网络上,并且该恶意软件也可以公开下载。黑客论坛上描述的Bandook的历史Bandook的执行流程从一个用Delphi编写的加载程序开始,该加载程序使用ProcessHollowing创建InternetExplorer进程的新实例并将恶意负载注入其中。有效负载联系C&C服务器,发送有关受攻击设备的基本信息,并等待来自服务器的其他命令。由于该变种支持超过100条命令,因此研究人员在此次攻击中观察到的Bandook恶意软件变种并不是之前泄露到网络上的变种。在这次攻击中,攻击者利用了恶意软件的自定义测试版本,仅包含11个受支持的命令,包括:文件操作截屏文件下载文件上传文件执行有关完整的命令列表及其相应的请求代码,请参阅附件。在这个版本中,与C&C服务器的通信协议也升级为使用AES加密。野外Bandook变体分析在研究人员将攻击中观察到的Bandook变体与不同泄漏制造者创建的变体进行比较后,研究人员开始寻找与他们观察到的更相似的变体。搜索结果显示了MalwareHunterTeam(MHT)在2019-2020年的推文中提到的各种Bandook样本,所有样本均使用Certum颁发的证书进行了数字签名。MHT发现的签名Bandook示例在研究人员观察到的较新的攻击流程中,研究人员再次发现有效的Certum证书被用于签署Bandook恶意软件可执行文件。新发现的Bandook实例的有效签名信息通过分析MHT记录的所有Bandook实例,研究人员发现第一个实例编译于2019年3月,支持约120个命令。几天后编译了另一个样本,一个不同的签名Bandook变体(只有11个命令)使用完全相同的C&C服务器。从那时起,所有签名示例仅使用11个基本命令。共享的C&C提供了明确的证据,表明恶意软件的测试版和完整版均由单个攻击者操作。除了MHT报告的Bandook示例外,研究人员还发现了同期(2019-2020年)的其他示例,这些示例没有经过数字签名,包含大约120个命令。这些是研究人员在此期间能够找到的唯一ITWBandook示例。结合以上证据,研究人员认为这些已签名和未签名的变体是特制的Bandook变体,由同一对象使用和开发。两者都为其C&C域使用相同的域注册服务:Porkbun或NameSilo。他们使用CFB模式下的AES加密算法和硬编码IV共享类似的通信方法:0123456789123456,该功能在恶意软件的公开泄漏中不可用。它们包含研究人员在任何其他公开泄漏或报告中未曾见过的命令,尤其是那些执行Python和Java有效载荷的命令。从名为“dpx.pyc”的文件中执行预编译的PythonBandook子程序到目前为止,研究人员一共发现了三种不同的恶意软件变种,研究人员认为它们是由单个对象操纵的,并且按出现的时间顺序排列。出售:120条命令的成熟版(未签名);成熟版本含120条命令(已签名)(单例);Beta版本有11个命令(已签名);迁移到测试版,仅签名可执行文件使用11个命令,这可能表明操作员希望减少恶意软件的足迹并最大限度地提高其针对高价值目标的不可检测活动的机会。此外,这个最小化的后门可能表明Bandook的一个变体仅被用作接下来要下载的其他功能更全的恶意软件的加载器。链接到DarkCaracal这不是Bandook恶意软件第一次成为攻击目标,这次活动的一些特征以及与之前活动的相似之处让研究人员相信本文中描述的活动确实是DarkCaracal的延续和演变操作中使用的基础设施:在各种活动中使用相同的证书提供商(Certum);使用Bandook木马,它似乎是来自同一源代码(尚未公开)的独特进化分支。与迄今为止分析的120个命令版本相比,来自DarkCaracal活动(2017年)的样本使用了大约100个命令。所选目标的行业和地域差异很大。Bandook命令下面是Bandookbeta支持的命令列表。本文翻译自:https://research.checkpoint.com/2020/bandook-signed-delivered/
