一个被猜疑与白俄罗斯和多米尼加政府部门有关系的互联网特工机构对好几个领域进行了新一轮进攻,该机构应用了一个已经有13年历程的侧门木马病毒的更新版本号。
Check Point Research在26号推送的一份报告书中,发觉了一个名叫Dark Caracal机构的网络黑客,她们在过去的一年中布署了几十个数字签名变异的Bandook Windows木马病毒。
攻击者挑选的不一样垂直行业包含坐落于多米尼加、爱沙尼亚、法国、印尼、西班牙、马来西亚、德国瑞士、土尔其和国外的政府部门、金融业、电力能源、食品产业、保健医疗、文化教育、IT和法律法规组织。
市场定位和位置的类型出现异常多,进一步说明了科研员工的假定,即该恶意手机软件并不是内部结构开发设计,沒有由单独目标应用,反而是归属于第三方售卖给全世界政府机构和攻击者的攻击能力基础设施建设的一部分。
Dark Caracal普遍应用Bandook RAT在全世界范畴内实行情报活动是由电子器件前端慈善基金会(EFF)和Lookout于2018年初初次发觉的,那时候受害人遮盖了21个我国。
这一多生的机构最少从2012年逐渐运行,一直与多米尼加安全性质监总局(GDGS)有联络,因此学者觉得该机构是我国至国家一级的不断危害。
不一样的机构与此同时应用同样的恶意手机软件基础设施建设开展看起来不相应的主题活动,这让EFF和Lookout推断,APT的使用人已经应用或管理方法被视作承重很多普遍的全世界互联网情报活动的基础设施建设。
科学研究工作人员因此较为了不一样的Bandook变异,并共享了其创始人用于阻拦对进攻步骤中任何部件开展解析和检验的各种各样技术性。
攻击链的三个环节
伴随着攻击链的飞速发展,科学研究工作人员叙述了攻击者从7月到现在所采用的攻击链。
全部攻击链的伤害可以分成三个关键环节。与很多别的攻击链一样,第一阶段进行于一个ZIP文档中传送的恶意Microsoft Word文档。一旦文档被开启,恶意宏便会应用外界模板作用免费下载。宏的编码先后降低并实行第二阶段的进攻,这也是在初始Word文档中数据加密的PowerShell脚本制作。最终,PowerShell脚本下载并实行进攻的最终环节:Bandook侧门。
下边表述的各种各样部件的名字很有可能因进攻情景的差异而各有不同。
详细的攻击链
第一阶段:鱼饵文档
第一阶段从置入数据加密的恶意脚本制作数据信息的Microsoft Word文档和偏向包括恶意VBA宏的文档的外界模板逐渐。
外界模板是根据缩短网址的Web服务(如TinyURL或Bitly)免费下载的,该服务项目跳转到攻击者操纵的另一个域。
外界模板文档包括一个自启动的VBA编码,它从初始lure文档中破译置入的数据信息,并将编解码后的数据信息放进本地用户和组文件夹名称中的2个文档中:fmx.ps1(下一阶段PowerShell)和sdmc.jpg (base64编号的PowerShell编码)。
为了更好地容许这种做法,攻击者应用了二种技术性的组成:将数据加密的数据信息置入到初始文档的样子目标中(根据小文字大小和乳白色市场前景掩藏),并根据应用来从外界模板编码开展浏览下列编码:
为了更好地开展恰当的剖析,务必与此同时寻找初始文档和外界模板,这针对调研工作人员来讲有一些艰难。
因此,科学研究工作人员观查并研究了多对文档和外界模板,应用了不一样的鱼饵图象及其不一样的数据加密密匙。
鱼饵文档实例:
用于说动客户启用宏的鱼饵文档
含有宏的外界模板的实例:
包括恶意宏的外界模板
外部模板对受害人不由此可见,他们的唯一目地是给予恶意宏。
有意思的是,每一次进攻,通过一段时间后,攻击者都将恶意的外界模板变换为良性模板,这使科学研究员工对攻击链的剖析更为艰难。
一样,外界模板看上去像任意的良性文档:
良性的外界模板
这种文档的主题风格通常是根据云的服务项目,例如Office365,OneDrive和Azure,这种服务项目包括其他文件的照片,受害人只需点一下“激话內容”就可以得到这种文档。
例如,在其中一个尤其造成科学研究工作人员留意的文档叙述了Office365logo和阿联酋迪拜政府部门授予的资格证书的浏览。 JAFZA –文档顶端的Jebel Ali保税仓是阿联酋迪拜Jebel Ali海港周边的工业园区,全世界7000好几家跨国企业都在这里落户口。
鱼饵文档(左)和相近的公共性资格证书实例(右)
- Malaysia Shipment.docx
- Jakarta Shipment.docx
- malta containers.docx
- Certified documents.docx
- Notarized Documents.docx
- bank statement.docx
- passport and documents.docx
- Case Draft.docx
- documents scan.docx
第二阶段:PowerShell载入程序流程
VBA编码删掉2个文档(fmx.ps1和sdmc.jpg)后,它将启用fmx.ps1。
fmx.ps1是一个简洁明了的PowerShell脚本制作,可编解码并实行储存在第二个拖放文档(sdmc.jpg)中的base64编号的PowerShell。
最先,已编解码的PowerShell脚本制作从一个云服务器(如Dropbox,Bitbucket或S3储存桶)下载一个包括四个文档的zip文件。压缩包储存在客户的公共性文件夹名称中,四个文档在当地获取。
储存在Dropbox.com上的恶意手机软件部件
在受害人的设施上被获取的恶意手机软件部件
PowerShell脚本制作应用a.png,b.png和untitled.png这三个文档在同一文件夹名称中转化成恶意手机软件负载。与其它2个文档不一样,untitled.png选用合理的图像文件格式。它包括一个潜藏的RC4函数公式,编号在清晰度的RGB值中,是应用一个已经知道的名叫invoke-PSImage的软件建立的。
最后的可执行程序有效载荷是以下列文档联接而成的:
- a.png ——应用RC4破译并存放为aps.png以后;
- b.png——如上所述;
最终,PowerShell脚本制作实行恶意手机软件,开启draft.docx,并从“公共性”文件夹名称中删掉全部之前的产品工件。
draft.docx是一个良性文档,其唯一目地是使受害人相信该文档不会再可以用,而且整体实行取得成功。
进攻后向客户表明的最后文档
第三阶段:Bandook装裁机
该攻击链中的最后有效载荷是名叫Bandook的旧版的多功能RAT的变异。 Bandook由Delphi和C 撰写,有悠久的历史,起源于2007年,是一种商业化的的RAT,由一个外号为PrinceAli的黎巴嫩人开发设计。伴随着時间的变化,该恶意手机软件搭建器的好多个变异被泄露到互联网上,而且该恶意手机软件被也可被公布免费下载。
黑客网站上叙述的Bandook的历史时间
Bandook的实施步骤起源于用Delphi撰写的载入程序流程,该载入程序流程应用Process Hollowing技术性建立Internet Explorer过程的新案例并将恶意负载引入在其中。有效载荷联络C&C网络服务器,推送相关受进攻机器设备的基本信息,并等候来源于服务端的别的命令。
由于该变种适用超出100条命令,因此分析员工在此次进攻中留意到的Bandook恶意软件的变种并不是以前被泄露到互联网上的变种。
在这里进攻中,网络攻击仅根据11个受适用的命令利用了恶意软件的自定检测版本,主要包括:
- 文档实际操作
- 采用截屏
- 文件上传
- 上传文件
- 文档实行
相关命令以及相对应要求编码的详细目录,请参照配件。
在这个版本中,与C&C网络服务器的通讯协议也被更新为应用AES数据加密。
郊外Bandook变种的剖析
科学研究工作人员将在伤害中留意到的Bandook变种与由不一样的泄露搭建者建立的变种开展较为以后,科学研究工作人员逐渐找寻与她们观测到的更类似的变种。
检索数据显示,MalwareHunterTeam (MHT)在2019-2020年公布的推原文中提及了各种各样Bandook样版,全部样版都用Certum授予的资格证书开展了数字签名。
MHT发觉的带昵称的Bandook实例
在科学研究工作人员观查到的较新的进攻步骤中,科学研究工作人员再度发觉合理的Certum资格证书被用于对Bandook恶意软件可执行程序开展签字。
探索与发现的Bandook实例的合理签字信息内容
根据剖析MHT纪录的全部Bandook实例,科学研究工作人员发觉第一个实例于2019年3月开展了编译程序,并适用约120条命令。牢牢地几日后就编译程序了另一个实例,一个不一样的带昵称的Bandook变种(仅11个命令)应用了完全一致的C&C网络服务器。从那以后,全部签字的实例仅应用11个基本上命令。共享资源的C&C给予了清晰的直接证据,说明恶意软件的公测版和完整篇全是由单独网络攻击实际操作的。
除开MHT汇报的Bandook实例外,科学研究工作人员还明确了同一阶段(2019-2020年)的其余实例,这种实例未开展数字签名并包括约120条命令。这种是科学研究员工在这段时间内可以寻找到的唯一ITW Bandook实例。
融合以上直接证据科学研究工作人员坚信,这种有签字和无签名变种是精制的Bandook变种,由同一目标应用和开发设计。
两者都为其C&C域应用同样的域名购买服务项目:Porkbun或NameSilo。
他们共享资源一种相近的通讯方式,即应用CFB方式下的AES加密技术,应用硬编码IV: 0123456789123456,此函数公式在恶意软件的公布泄露中是不能用的。
他们合拼了科研员工在别的一切公布泄露或汇报中未看到的命令,最值得一提的是实行Python和Java有效载荷的命令。
从名叫“dpx.pyc”的文档实行预编译Python的Bandook子方法
现阶段,科学研究工作人员一共发觉了三种不一样的恶意软件变种,科学研究工作人员坚信他们会依照其发生的先后顺序由单独目标实际操作和售卖:
- 有着120个命令(未签字)的完善版本;
- 包括120个命令(签字)的完善版本(单独实例);
- 有11条命令(签字)的检测版本;
转移到公测版版本,仅对签字的可执行程序应用11个命令,这很有可能说明营运商期待降低恶意软件的使用室内空间,并较大水平地提升她们对于高使用价值方向开展没法检验的活動的机遇。
除此之外,这类降到最低的侧门很有可能说明Bandook的变种变形仅被作为加载器,用以下面要免费下载的别的作用更全的恶意软件。
与Dark Caracal的联络
这并并不是Bandook恶意软件第一次开展有目的性的进攻,此次主题活动的一些特性和与以前主题活动的共同之处使科学研究工作人员坚信,在这篇文章中表述的主题活动的确是Dark Caracal行为中采用的基础设施建设的继承和发展趋势:
- 在各种各样运动中运用同样的资格证书服务提供者(Certum);
- Bandook木马病毒的应用,它好像是来源于同一源码的一个与众不同的不断进步的支系(尚不公布)。与现阶段剖析的120个命令版本对比,来源于Dark Caracal 主题活动(2017)的实例应用了大概100个命令。
- 选定总体目标的领域和地域分布都存有很大差别。
Bandook命令
下列是Bandook公测版适用的命令目录。
文中翻譯自:https://research.checkpoint.com/2020/bandook-signed-delivered/