?[[344783]]?

由國(guó)家支持的黑客和復(fù)雜的攻擊經(jīng)常受到關(guān)注，這些攻擊所涉及的創(chuàng)新技術(shù)、先進(jìn)的惡意軟件平臺(tái)和零日漏洞的利用都會(huì)讓安全防御者為之緊張。如今的企業(yè)面臨著一系列更為直接的網(wǎng)絡(luò)安全威脅，從勒索軟件和客戶信息泄漏，到從事不道德商業(yè)行為的競(jìng)爭(zhēng)對(duì)手，而有國(guó)家支持的黑客不屬于企業(yè)的常規(guī)防護(hù)范圍。在這篇文章中，我們會(huì)解密“DeathStalker”，它是一個(gè)獨(dú)特的威脅組織，其目標(biāo)似乎是律師事務(wù)所和金融領(lǐng)域的相關(guān)公司。經(jīng)過追蹤分析，DeathStalker攻擊的目的并不是經(jīng)濟(jì)利益而是奔著竊取信息去的。為什么這么說呢，因?yàn)镈eathStalker的攻擊者并不會(huì)刻意部署勒索軟件，不盜取支付信息，也不從事任何與網(wǎng)絡(luò)攻擊相關(guān)的活動(dòng)。攻擊者對(duì)收集敏感商業(yè)信息的興趣讓我們相信，“DeathStalker”的開發(fā)者是一群實(shí)施黑客服務(wù)的雇傭軍，或者在金融界扮演某種信息經(jīng)紀(jì)人的功能。

DeathStalker第一次引起我們的注意是通過一種基于powershell的植入對(duì)象，叫做Powersing。根據(jù)這個(gè)線索，我們能夠確定，DeathStalker的攻擊最晚在2018年出現(xiàn)，最早出現(xiàn)在2012年。但在深入了解DeathStalker的歷史以及與已知組織的可能聯(lián)系之前，讓我們先來了解一下DeathStalker的背景以及所使用的攻擊手段。

Powersing 工具鏈

Toolchain是文件系統(tǒng)和工具鏈。 如：一套流程里面用到的每個(gè)工具和相關(guān)的庫(kù)組成的集合，就稱為工具鏈(toolchain)。DeathStalker最新的操作所依賴的攻擊媒介有：帶有包含惡意LNK文件的附加存檔的魚叉式網(wǎng)絡(luò)釣魚電子郵件。

??

盡管看起來像來自Explorer或流行的存檔提取產(chǎn)品的文檔，但它的快捷鍵指向cmd.exe。這些快捷方式文件的結(jié)構(gòu)如下：

??

點(diǎn)擊它們就會(huì)啟動(dòng)一個(gè)復(fù)雜的序列，導(dǎo)致在受害者的計(jì)算機(jī)上執(zhí)行任意代碼。通過cmd.exe的參數(shù)傳遞的簡(jiǎn)短PowerShell腳本引導(dǎo)了以下鏈：

??

1.階段0的功能是提取并執(zhí)行鏈的下一個(gè)元素，以及嵌入在LNK文件中以顯示給用戶的誘餌文檔。這就產(chǎn)生了點(diǎn)擊真實(shí)文檔的錯(cuò)覺，并確保受害者不會(huì)產(chǎn)生懷疑。

2.第一階段是一個(gè)PowerShell腳本包含c#裝配設(shè)計(jì)連接到Dead Drop解析器，并通過從快捷方式中提取“DLL”文件來獲取用于解碼鏈最后一步的加密材料以固定的偏移量定位Base64編碼的URL列表。通過在Windows啟動(dòng)文件夾中創(chuàng)建指向VBE啟動(dòng)腳本的快捷方式（使用拖放的圖標(biāo)），可以建立持久性。

3.最后，在第2階段，實(shí)際的惡意軟件植入程序用來控制受害者的計(jì)算機(jī)。它連接到一個(gè)Dead Drop解析器以獲得真正的C&C服務(wù)器的地址，并進(jìn)入一個(gè)循環(huán)，每隔幾秒查找一次訂單。

4.在系統(tǒng)重新啟動(dòng)時(shí)，VBE啟動(dòng)腳本(與階段0非常相似)將自動(dòng)執(zhí)行，這再次導(dǎo)致啟動(dòng)階段2。

與C&C服務(wù)器的通信涉及到j(luò)son編碼的對(duì)象的交換。Powersing只有兩個(gè)任務(wù)：

1.定期從受害者的計(jì)算機(jī)上捕獲截圖，并立即發(fā)送到C&C服務(wù)器(兩個(gè)內(nèi)置命令允許操作員更改截圖的質(zhì)量和周期)；

2.執(zhí)行C&C提供的任意Powershell腳本；

在第1和第2階段，安全軟件規(guī)避在我們分析的不同樣本中具有高度的差異性。根據(jù)計(jì)算機(jī)上檢測(cè)到的殺毒軟件, Powersing可能會(huì)選擇其他持久性方法，甚至完全停止運(yùn)行。我們懷疑這個(gè)工具集背后的團(tuán)隊(duì)在攻擊者的每個(gè)活動(dòng)之前都會(huì)執(zhí)行檢測(cè)測(cè)試，并根據(jù)結(jié)果更新攻擊者的腳本，這表明所開發(fā)的惡意軟件的迭代和設(shè)計(jì)方法的迭代速度非?？?。因此可以推斷出第2階段會(huì)在計(jì)算機(jī)上主動(dòng)查找虛擬化痕跡（例如，供應(yīng)商特定的MAC地址）和惡意軟件分析工具，并將此信息報(bào)告給C＆C服務(wù)器。

綜上所述，Powersing并不是一個(gè)完整的惡意軟件平臺(tái)。相反，它是一個(gè)隱蔽的攻擊立足點(diǎn)，在受害者的網(wǎng)絡(luò)中，它的關(guān)鍵作用是負(fù)責(zé)下載其他惡意軟件。

Dead drop解析器

DeathStalker工具鏈利用了大量的公共服務(wù)作為Dead drop分解器。這些服務(wù)為攻擊者提供了一種通過公開帖子，評(píng)論，用戶個(gè)人資料，內(nèi)容描述等將數(shù)據(jù)存儲(chǔ)在固定URL上的方式。攻擊者留下的消息遵循以下模式： “My keyboard doesn’t work… [string].” and “Yo bro I sing [Base64 encoded string] yeah”。

??

在調(diào)查過程中，我們發(fā)現(xiàn)了以下消息：

• · Google+
• · Imgur
• · Reddit
• · ShockChan
• · Tumblr
• · Twitter
• · YouTube
• · WordPress

這份清單很可能并不詳盡，通過簡(jiǎn)單的Google查詢可以發(fā)現(xiàn)許多此類消息。Powersing的首要任務(wù)是連接到它知道的任何Dead drop解析器來檢索這些信息。階段1使用這些消息的第一個(gè)字符串，其中包含用于解碼階段2的AES密鑰。然后，階段2連接到Dead drop解析器，以獲取在第二個(gè)字符串中編碼的整數(shù)。如下面的代碼摘錄所示，在轉(zhuǎn)換為IP地址之前，這個(gè)整數(shù)會(huì)除以一個(gè)任意常數(shù)(隨樣本的不同而變化)：

??

然后，這個(gè)IP地址存儲(chǔ)在用戶的硬盤驅(qū)動(dòng)器上，并用于建立與實(shí)際C＆C服務(wù)器的連接，操作員使用該服務(wù)器來控制電源。依靠知名的公共服務(wù)，網(wǎng)絡(luò)犯罪分子可以將最初的后門通信混入合法的網(wǎng)絡(luò)流量中。這也限制了防御者可以采取哪些行動(dòng)來阻礙其運(yùn)營(yíng)，因?yàn)檫@些平臺(tái)通常無法在公司層面被列入黑名單，因此，從這些平臺(tái)中刪除內(nèi)容可能是一個(gè)艱巨而漫長(zhǎng)的過程。然而，這是有代價(jià)的：互聯(lián)網(wǎng)永遠(yuǎn)不會(huì)忘記，而且網(wǎng)絡(luò)罪犯很難清除攻擊者行動(dòng)的痕跡。多虧了搜索引擎索引或存檔的數(shù)據(jù)，通過這些線索我們估計(jì)Powersing在2017年8月左右首次被使用。

最后，要提到的一個(gè)細(xì)節(jié)是，我們發(fā)現(xiàn)的許多Powersing C&C都有SSL證書，這讓人想起Sofacy臭名昭著的Chopstick C&C “IT Department”證書。通過分析這個(gè)基礎(chǔ)設(shè)施與Sofacy沒有關(guān)聯(lián)，我們相信這是攻擊者試圖誘導(dǎo)讓防護(hù)者得出錯(cuò)誤結(jié)論。

DeathStalker與已知組織有聯(lián)系

Janicab惡意家族

Sec0wn在最初介紹Powersing的博客文章中暗示，Powersing可能與一個(gè)名為Janicab的惡意軟件家族有關(guān)，其較早的樣本可以追溯到2012年。然而，據(jù)我們所知，這種聯(lián)系從未公開探討過。最終，我們?cè)贘anicab的2015年博客文章（1fe4c500c9f0f7630a6037e2de6580e9）中獲得了F-Secure列出的惡意軟件樣本之一，以尋找相似之處。

該文件是指向cmd.exe的另一個(gè)LNK，該文件在單擊時(shí)會(huì)在系統(tǒng)上刪除VBE腳本以及誘餌文檔。該腳本會(huì)建立與未列出的YouTube視頻的連接，以獲得嵌入在說明中的C＆C信息：

??

在轉(zhuǎn)換成IP地址之前，在這個(gè)頁面上獲得的整數(shù)會(huì)除以一個(gè)常數(shù)：

??

盡管僅將YouTube用作dead drop解析器并不足以在兩組之間建立鏈接，但我們認(rèn)為，在線獲取某個(gè)整數(shù)并在將其解釋為IP地址之前將其分割的過程足以解決以下問題：繪制第一個(gè)連接。

Janicab的功能也讓我們想起了Powersing的功能：該示例包含基于計(jì)算機(jī)MAC地址的VM檢測(cè)，尋找惡意軟件分析程序以及熟悉的防病毒軟件規(guī)避例程。 Janicab還定期將受害者桌面的屏幕截圖發(fā)送給C＆C，并似乎可以執(zhí)行任意Python腳本。

Janicab的最新版本（85ed6ab8f60087e80ab3ff87c15b1174）也涉及網(wǎng)絡(luò)流量，讓人聯(lián)想到Powersing，尤其是當(dāng)惡意軟件向其C＆C服務(wù)器注冊(cè)時(shí)：

??

此外，此樣本包含的黑名單VM MAC地址列表與本文前面介紹的Powersing樣本完全相同，順序相同。

??

Evilnum惡意家族

另一個(gè)值得調(diào)查的可能聯(lián)系是最近的Evilnum惡意軟件家族，可以看一下去年7月ESET的一篇深度博客文章，以及我們自己的一些私人報(bào)告。ESET的帖子詳細(xì)說明了另一個(gè)基于lnk的感染鏈導(dǎo)致了基于javascript的惡意軟件的執(zhí)行。同樣，我們獲得了一個(gè)舊的Evilnum樣本(219dedb53da6b1dce0d6c071af59b45c)，并觀察到它還從dead drop解析器（GitHub）獲取了C＆C信息，從而獲得了使用以下代碼轉(zhuǎn)換的IP地址：

??

我們不得不注意到這樣的模式，該模式是使用正則表達(dá)式查找特定字符串以獲得整數(shù)，然后將該整數(shù)除以一個(gè)常數(shù)，得到C＆C服務(wù)器的IP地址。盡管Evilnum提供了比Powersing更大的功能，但它也可以捕獲屏幕截圖并將其發(fā)送到C＆C服務(wù)器。

在受害者方面，Evilnum專注于金融科技領(lǐng)域的公司。它似乎對(duì)竊取商業(yè)信息更感興趣。這和我們目前觀察到的DeathStalker活動(dòng)是一致的。

盡管是用不同的語言編寫的，最后一個(gè)我們想提到的關(guān)聯(lián)是最近的Evilnum (835d94b0490831da27d9bf4e9f4b429c)和Janicab樣本有一些少量的代碼重疊：

1.在執(zhí)行等效任務(wù)的函數(shù)中使用具有相似名稱的變量（“ieWatchdogFilename”為Janicab，“ieWatchdogPath”為Evilnum）；

2.用于清除的兩個(gè)函數(shù)具有相同的名稱：“deleteLeftOvers”；

我們認(rèn)為這些名字是獨(dú)一無二的，足以在兩個(gè)惡意軟件家族之間建立一個(gè)額外的聯(lián)系。不太確定的是，此Evilnum示例還包含一個(gè)名為“l(fā)ong2ip”的函數(shù)，用于將整數(shù)轉(zhuǎn)換為IP地址，而Powersing包含一個(gè)以“LongToIP”命名的類似實(shí)現(xiàn)。

Powersing、Janicab和Evilnum是三種基于腳本語言的工具鏈，它們有以下相似之處：

1.這三個(gè)惡意家族都是通過LNK文件通過魚叉式網(wǎng)絡(luò)釣魚傳遞的文件；

2.它們使用正則表達(dá)式和硬編碼語句從dead drop解析器獲取C＆C信息；

3. IP地址以整數(shù)形式獲得，然后在轉(zhuǎn)換之前將其除以硬編碼常量；

4.這三個(gè)惡意軟件家族之間的少量代碼重疊可能表明它們是由同一團(tuán)隊(duì)或在共享軟件開發(fā)實(shí)踐的小組內(nèi)部開發(fā)的；

5.這三種惡意軟件都有截屏功能，雖然它本身不是原創(chuàng)的，但這通常不是這些組的開發(fā)優(yōu)先級(jí)的一部分，并且可能表示共享的設(shè)計(jì)規(guī)范；

6.最后，盡管我們沒有太多有關(guān)Janicab受害者的信息，但Powersing和Evilnum都在盜取商業(yè)信息，盡管它們處于不同的行業(yè)領(lǐng)域，這兩個(gè)活動(dòng)都符合一個(gè)假設(shè)，即它們是由雇傭軍組織運(yùn)作的；

雖然在我們看來，這些觀點(diǎn)本身都不足以得出結(jié)論，但我們覺得，把它們放在一起，可以更合理的判斷Powersing、Evilnum和Janicab是由同一個(gè)組織操作的。

受害對(duì)象研究

“DeathStalker”主要針對(duì)金融領(lǐng)域的私人對(duì)象，包括律師事務(wù)所、財(cái)富咨詢公司、金融科技公司……。在這個(gè)示例中，我們還觀察到DeathStalker攻擊了外交部門。

研究人員已經(jīng)在阿根廷、中國(guó)、塞浦路斯、以色列、黎巴嫩、瑞士、臺(tái)灣、土耳其、英國(guó)和阿拉伯聯(lián)合酋長(zhǎng)國(guó)發(fā)現(xiàn)了與電力相關(guān)的攻擊活動(dòng)。另外還在塞浦路斯、印度、黎巴嫩、俄羅斯、約旦和阿拉伯聯(lián)合酋長(zhǎng)國(guó)找到了相關(guān)受害者。

總結(jié)

在這篇文章中，我們描述了一個(gè)現(xiàn)代感染鏈，它至今仍被某些黑客組織使用和開發(fā)。這個(gè)感染鏈不包含任何創(chuàng)新的技巧或復(fù)雜的方法，其中的某些部分實(shí)際上可能看起來是沒有必要的復(fù)雜設(shè)計(jì)。根據(jù)分析，DeathStalker的開發(fā)者自2012年以來一直在使用與其相同的攻擊方法。

IOC

??

??

本文翻譯自：https://securelist.com/deathstalker-mercenary-triumvirate/98177/如若轉(zhuǎn)載，請(qǐng)注明原文地址：