解密DeathStalker

  • A+
所属分类:安全文章

解密DeathStalker

解密DeathStalker

由国家支持的黑客和复杂的攻击经常受到关注,这些攻击所涉及的创新技术、先进的恶意软件平台和零日漏洞的利用都会让安全防御者为之紧张。如今的企业面临着一系列更为直接的网络安全威胁,从勒索软件和客户信息泄漏,到从事不道德商业行为的竞争对手,而有国家支持的黑客不属于企业的常规防护范围。在这篇文章中,我们会解密“DeathStalker”,它是一个独特的威胁组织,其目标似乎是律师事务所和金融领域的相关公司。经过追踪分析,DeathStalker攻击的目的并不是经济利益而是奔着窃取信息去的。为什么这么说呢,因为DeathStalker的攻击者并不会刻意部署勒索软件,不盗取支付信息,也不从事任何与网络攻击相关的活动。攻击者对收集敏感商业信息的兴趣让我们相信,“DeathStalker”的开发者是一群实施黑客服务的雇佣军,或者在金融界扮演某种信息经纪人的功能。

DeathStalker第一次引起我们的注意是通过一种基于powershell的植入对象,叫做Powersing。根据这个线索,我们能够确定,DeathStalker的攻击最晚在2018年出现,最早出现在2012年。但在深入了解DeathStalker的历史以及与已知组织的可能联系之前,让我们先来了解一下DeathStalker的背景以及所使用的攻击手段。

解密DeathStalker
Powersing 工具链

Toolchain是文件系统和工具链。如:一套流程里面用到的每个工具和相关的库组成的集合,就称为工具链(toolchain)。DeathStalker最新的操作所依赖的攻击媒介有:带有包含恶意LNK文件的附加存档的鱼叉式网络钓鱼电子邮件。

解密DeathStalker

尽管看起来像来自Explorer或流行的存档提取产品的文档,但它的快捷键指向cmd.exe。这些快捷方式文件的结构如下:

解密DeathStalker

点击它们就会启动一个复杂的序列,导致在受害者的计算机上执行任意代码。通过cmd.exe的参数传递的简短PowerShell脚本引导了以下链:

解密DeathStalker

1.阶段0的功能是提取并执行链的下一个元素,以及嵌入在LNK文件中以显示给用户的诱饵文档。这就产生了点击真实文档的错觉,并确保受害者不会产生怀疑。

2.第一阶段是一个PowerShell脚本包含c#装配设计连接到Dead Drop解析器,并通过从快捷方式中提取“DLL”文件来获取用于解码链最后一步的加密材料以固定的偏移量定位Base64编码的URL列表。通过在Windows启动文件夹中创建指向VBE启动脚本的快捷方式(使用拖放的图标),可以建立持久性。

3.最后,在第2阶段,实际的恶意软件植入程序用来控制受害者的计算机。它连接到一个Dead Drop解析器以获得真正的C&C服务器的地址,并进入一个循环,每隔几秒查找一次订单。

4.在系统重新启动时,VBE启动脚本(与阶段0非常相似)将自动执行,这再次导致启动阶段2。

与C&C服务器的通信涉及到json编码的对象的交换。Powersing只有两个任务:

1.定期从受害者的计算机上捕获截图,并立即发送到C&C服务器(两个内置命令允许操作员更改截图的质量和周期);

2.执行C&C提供的任意Powershell脚本;

在第1和第2阶段,安全软件规避在我们分析的不同样本中具有高度的差异性。根据计算机上检测到的杀毒软件, Powersing可能会选择其他持久性方法,甚至完全停止运行。我们怀疑这个工具集背后的团队在攻击者的每个活动之前都会执行检测测试,并根据结果更新攻击者的脚本,这表明所开发的恶意软件的迭代和设计方法的迭代速度非常快。因此可以推断出第2阶段会在计算机上主动查找虚拟化痕迹(例如,供应商特定的MAC地址)和恶意软件分析工具,并将此信息报告给C&C服务器。

综上所述,Powersing并不是一个完整的恶意软件平台。相反,它是一个隐蔽的攻击立足点,在受害者的网络中,它的关键作用是负责下载其他恶意软件。

解密DeathStalker
Dead drop解析器

DeathStalker工具链利用了大量的公共服务作为Dead drop分解器。这些服务为攻击者提供了一种通过公开帖子,评论,用户个人资料,内容描述等将数据存储在固定URL上的方式。攻击者留下的消息遵循以下模式: “My keyboard doesn’t work… [string].” and “Yo bro I sing [Base64 encoded string] yeah”。

解密DeathStalker

在调查过程中,我们发现了以下消息:

· Google+

· Imgur

· Reddit

· ShockChan

· Tumblr

· Twitter

· YouTube

· WordPress

这份清单很可能并不详尽,通过简单的Google查询可以发现许多此类消息。Powersing的首要任务是连接到它知道的任何Dead drop解析器来检索这些信息。阶段1使用这些消息的第一个字符串,其中包含用于解码阶段2的AES密钥。然后,阶段2连接到Dead drop解析器,以获取在第二个字符串中编码的整数。如下面的代码摘录所示,在转换为IP地址之前,这个整数会除以一个任意常数(随样本的不同而变化):

解密DeathStalker

然后,这个IP地址存储在用户的硬盘驱动器上,并用于建立与实际C&C服务器的连接,操作员使用该服务器来控制电源。依靠知名的公共服务,网络犯罪分子可以将最初的后门通信混入合法的网络流量中。这也限制了防御者可以采取哪些行动来阻碍其运营,因为这些平台通常无法在公司层面被列入黑名单,因此,从这些平台中删除内容可能是一个艰巨而漫长的过程。然而,这是有代价的:互联网永远不会忘记,而且网络罪犯很难清除攻击者行动的痕迹。多亏了搜索引擎索引或存档的数据,通过这些线索我们估计Powersing在2017年8月左右首次被使用。

最后,要提到的一个细节是,我们发现的许多Powersing C&C都有SSL证书,这让人想起Sofacy臭名昭著的Chopstick C&C “IT Department”证书。通过分析这个基础设施与Sofacy没有关联,我们相信这是攻击者试图诱导让防护者得出错误结论。

解密DeathStalker
DeathStalker与已知组织有联系

Janicab恶意家族

Sec0wn在最初介绍Powersing的博客文章中暗示,Powersing可能与一个名为Janicab的恶意软件家族有关,其较早的样本可以追溯到2012年。然而,据我们所知,这种联系从未公开探讨过。最终,我们在Janicab的2015年博客文章(1fe4c500c9f0f7630a6037e2de6580e9)中获得了F-Secure列出的恶意软件样本之一,以寻找相似之处。

该文件是指向cmd.exe的另一个LNK,该文件在单击时会在系统上删除VBE脚本以及诱饵文档。该脚本会建立与未列出的YouTube视频的连接,以获得嵌入在说明中的C&C信息:

解密DeathStalker

在转换成IP地址之前,在这个页面上获得的整数会除以一个常数:

解密DeathStalker

尽管仅将YouTube用作dead drop解析器并不足以在两组之间建立链接,但我们认为,在线获取某个整数并在将其解释为IP地址之前将其分割的过程足以解决以下问题:绘制第一个连接。

Janicab的功能也让我们想起了Powersing的功能:该示例包含基于计算机MAC地址的VM检测,寻找恶意软件分析程序以及熟悉的防病毒软件规避例程。Janicab还定期将受害者桌面的屏幕截图发送给C&C,并似乎可以执行任意Python脚本。

Janicab的最新版本(85ed6ab8f60087e80ab3ff87c15b1174)也涉及网络流量,让人联想到Powersing,尤其是当恶意软件向其C&C服务器注册时:

解密DeathStalker

此外,此样本包含的黑名单VM MAC地址列表与本文前面介绍的Powersing样本完全相同,顺序相同。

解密DeathStalker

解密DeathStalker

Evilnum恶意家族

另一个值得调查的可能联系是最近的Evilnum恶意软件家族,可以看一下去年7月ESET的一篇深度博客文章,以及我们自己的一些私人报告。ESET的帖子详细说明了另一个基于lnk的感染链导致了基于javascript的恶意软件的执行。同样,我们获得了一个旧的Evilnum样本(219dedb53da6b1dce0d6c071af59b45c),并观察到它还从dead drop解析器(GitHub)获取了C&C信息,从而获得了使用以下代码转换的IP地址:

解密DeathStalker

我们不得不注意到这样的模式,该模式是使用正则表达式查找特定字符串以获得整数,然后将该整数除以一个常数,得到C&C服务器的IP地址。尽管Evilnum提供了比Powersing更大的功能,但它也可以捕获屏幕截图并将其发送到C&C服务器。

在受害者方面,Evilnum专注于金融科技领域的公司。它似乎对窃取商业信息更感兴趣。这和我们目前观察到的DeathStalker活动是一致的。

尽管是用不同的语言编写的,最后一个我们想提到的关联是最近的Evilnum (835d94b0490831da27d9bf4e9f4b429c)和Janicab样本有一些少量的代码重叠:

1.在执行等效任务的函数中使用具有相似名称的变量(“ieWatchdogFilename”为Janicab,“ieWatchdogPath”为Evilnum);

2.用于清除的两个函数具有相同的名称:“deleteLeftOvers”;

我们认为这些名字是独一无二的,足以在两个恶意软件家族之间建立一个额外的联系。不太确定的是,此Evilnum示例还包含一个名为“long2ip”的函数,用于将整数转换为IP地址,而Powersing包含一个以“LongToIP”命名的类似实现。

Powersing、Janicab和Evilnum是三种基于脚本语言的工具链,它们有以下相似之处:

1.这三个恶意家族都是通过LNK文件通过鱼叉式网络钓鱼传递的文件;

2.它们使用正则表达式和硬编码语句从dead drop解析器获取C&C信息;

3. IP地址以整数形式获得,然后在转换之前将其除以硬编码常量;

4.这三个恶意软件家族之间的少量代码重叠可能表明它们是由同一团队或在共享软件开发实践的小组内部开发的;

5.这三种恶意软件都有截屏功能,虽然它本身不是原创的,但这通常不是这些组的开发优先级的一部分,并且可能表示共享的设计规范;

6.最后,尽管我们没有太多有关Janicab受害者的信息,但Powersing和Evilnum都在盗取商业信息,尽管它们处于不同的行业领域,这两个活动都符合一个假设,即它们是由雇佣军组织运作的;

虽然在我们看来,这些观点本身都不足以得出结论,但我们觉得,把它们放在一起,可以更合理的判断Powersing、Evilnum和Janicab是由同一个组织操作的。

解密DeathStalker
受害对象研究

“DeathStalker”主要针对金融领域的私人对象,包括律师事务所、财富咨询公司、金融科技公司……。在这个示例中,我们还观察到DeathStalker攻击了外交部门。

解密DeathStalker

研究人员已经在阿根廷、中国、塞浦路斯、以色列、黎巴嫩、瑞士、台湾、土耳其、英国和阿拉伯联合酋长国发现了与电力相关的攻击活动。另外还在塞浦路斯、印度、黎巴嫩、俄罗斯、约旦和阿拉伯联合酋长国找到了相关受害者。

解密DeathStalker
总结

在这篇文章中,我们描述了一个现代感染链,它至今仍被某些黑客组织使用和开发。这个感染链不包含任何创新的技巧或复杂的方法,其中的某些部分实际上可能看起来是没有必要的复杂设计。根据分析,DeathStalker的开发者自2012年以来一直在使用与其相同的攻击方法。

解密DeathStalker
IOC

解密DeathStalker

解密DeathStalker

参考及来源:https://securelist.com/deathstalker-mercenary-triumvirate/98177/

解密DeathStalker

解密DeathStalker

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: