奥运会网球比分规则|雪缘网网球比分直播|
歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

風云再起,APT28或將攪局烏克蘭大選

來源:本站整理 作者:佚名 時間:2019-04-16 TAG: 我要投稿

3月中旬,一份有關烏克蘭總統大選的可疑Office文件在野外出現。這份文件講述了烏克蘭大選民調的情況,以及對領跑候選人Volodymyr Zelenskiy的人生經歷做了介紹,此外,該文件還用到了一個引人注目的標題,指出了烏克蘭和俄羅斯之間的沖突問題。調查后發現,這篇文章實際上是直接復制了Daily Express于今年2月份發表的一篇文章。

圖1.惡意文檔示意
文檔的主題以及檢測到的時間點都引起了我們的注意,因此我們決定進一步挖掘,以評估這個惡意文檔的性質。
技術分析


圖2:查看和修改文檔上的宏所需的密碼
惡意文檔的第一個特性是受保護的宏,當用戶試圖讀取它時,會立即顯示一個要求輸入密碼的消息框。使用傳統的惡意軟件分析工具可以輕松繞過此Office密碼保護機制,在提取代碼之后,可以按如下方式分析純文本代碼。

圖3:文檔宏的源代碼
乍一看,代碼沒有被混淆的痕跡,但是可以在宏中發現異常的函數調用:ActiveDocument.BuiltInDocumentProperties.Item(“Company”)。此方法能恢復屬于文檔元數據的屬性。在特定情況下,代碼會試圖讀取“Company”屬性中包含的值,一個base64編碼的字符串。

圖4:存儲在文檔元數據的“Company”標簽中的payload
這種通過在文檔屬性部分中隱藏惡意payload的做法是Emotet銀行惡意軟件的慣用手段,Emotet是對全世界組織機構最具侵略性的惡意軟件威脅之一。與初始代碼不同,解碼后的payload是高度混淆的Powershell命令。

圖5:從base64到ascii轉換后的powershell代碼
經過幾個去混淆階段后的代碼如下:

圖6:去混淆后的powershell代碼
這個腳本非常有趣,因為它的第一個動作就是減少自身存在痕跡,此步動作是通過禁用Powershell腳本塊日志記錄和反軟件掃描接口(anti – alware Scan Interface, AMSI)來實現的。
ScriptBlock的日志記錄功能是在Powershell v5中引入的,它能夠在Powershell引擎執行代碼塊時對代碼塊進行日志記錄,包括混淆的代碼段和相應的去混淆代碼段。而AMSI是一種通用的接口標準,它允許應用程序和服務與安裝在機器上的任何反惡意軟件產品集成,并在代碼執行之前評估代碼。關于AMSI的更多細節已經在以前的分析報告中描述過。
因此,此惡意軟件會檢查當前的Powershell版本,如果版本是3或在3之上,則會禁用上述安全功能。對上述兩項功能的繞過是使用幾行代碼實現的,比如可以通過以下指令禁用ScriptBlock日志記錄:
1. $settings = [Ref].Assembly.GetType(“System.Management.Automation.Utils”).GetField(“cachedGroupPolicySettings”,”NonPublic,Static”).GetValue($null);
2. $settings[“HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging”] = @{}
3. $settings[“HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging”].Add(“EnableScriptBlockLogging”, “0”)
而繞過AMSI的代碼則更簡單:
1. [Ref].Assembly.GetType(‘System.Management.Automation.AmsiUtils’).GetField(‘amsiInitFailed’,’NonPublic,Static’).SetValue($null,$true)
該指令能夠修改“amsiInitFailed”變量的值,將其設置為“true”。這樣,當“ScanContent”方法使用此變量來確定AMSI是否應該掃描要執行的命令時,它會返回值amsi_result_not_detection,并讓payload運行。從手法上看,惡意軟件背后的創作者似乎參考了這篇文章中對AMSI和BlockLogging禁用技術的研究。
在偷偷設置好InternetExplorer 11 的用戶代理之后,payload會嘗試從“hxxps://functiondiscovery[.]net:8443/admin/get”處下載下一個感染階段所需文件。此代碼還包含了Powershell Empire特征指示器:cookie“session = J + kcj5bWE11g4zBLrjvZjNO296I =”。

圖7:惡意軟件設置的用戶代理
C2最后定位為捷克共和國。該IP在2018年10月首次出現,并一直活躍到2019年4月。

圖8:關于DropURL/C2的信息

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.nddver.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        奥运会网球比分规则
        排列5和值尾走势图 今天25选7开奖结果查询 任选9场18116 试玩赚钱任务少 炒股软件 湖北十一选五玩法 nba让分胜负加时算吗 极速飞艇 电脑能赚钱的捕鱼游戏有哪些 三分彩开奖网站