转载

SSHBearDoor:BlackEnergy(黑暗力量)家族新宠

BlackEnergy(黑暗力量)是一个被各种犯罪团伙使用多年的工具。在2014年的夏季,F-Secure团队发现Blackenergy恶意软件的特定样本开始以乌克兰政府作为目标来收集情报。该恶意软件家族在2007年就已经存在,并在2014年曾卷土重来。同时,它在2015年也曾风光一度。FreeBuf相关报道

SSHBearDoor是一种SSH Service后门,BlackEnergy家族利用这个后门攻击新闻媒体和电气能源行业。

ESET最近发现,在针对乌克兰新闻媒体公司和电力行业的攻击中,BlackEnergy木马最近被当作后门,释放KillDisk(硬盘数据擦除)组件。在本文中,我们提供了2015年ESET发现的BlackEnergy样本细节,以及在攻击中所使用的KillDisk组件。此外我们还发现了一个未曾公布的SSH后门,这也是黑客访问感染系统的渠道之一。

2015年BlackEnergy的进化

一旦激活后,变异的BlackEnergy会使用恶意软件探针来检查受感染的电脑是否为预定目标。如果是的话,常规的BlackEnergy会把自己的变种推送到系统。BlackEnergy感染机制的细节,在我们的 病毒公报 和F-Secure的 白皮书 里都有描述。

BlackEnergy恶意软件将XML配置数据嵌入到DLL二进制流里:

SSHBearDoor:BlackEnergy(黑暗力量)家族新宠

除了CC服务器列表,BlackEnergy配置还包含一个叫build_id的值。该值是一个特殊字符串,它被用来甄别受感染个体,或者是BlackEnergy恶意软件探针的感染尝试。这些字符串中使用字母和数字的组合,有时候可以揭示活动和目标的信息。

下面是我们在2015年发现的Build ID值:

2015en khm10 khelm 2015telsmi 2015ts 2015stb kiev_o brd2015 11131526kbp 02260517ee 03150618aaa 11131526trk

由上面这些字符串组合,我们可以推测出一些特殊的意义。比如2015telsmi,可能是包含了俄罗斯缩写SMI(Sredstva Massovoj Informacii)。2015en可能指的是能源,至于Kiev也看起来很明显。

KillDisk组件

在2014年,一些变异的BlackEnergy木马包含了一个为破坏受感染系统而生的插件dstr。而在2015年,BlackEnergy团队开始使用新的破坏型组件,ESET产品将其定义为Win32/KillDisk.NBB、Win32/KillDisk.NBC以及Win32/KillDisk.NBD变异木马。

这个组件的主要目的是破坏电脑上的数据,它会使用随机数据覆盖文件,并且让系统无法重启。

首个已知案例是BlackEnergy的KillDisk组件,事见2015年11月 CERT-UA 的文档。在那个案例中,大量新媒体公司在2015年乌克兰大选的时间被黑。文档里表示,关于大选的很大一部分视频材料和各种文档在那次攻击中被毁去。

值得注意的是,被用于针对这些媒体公司的Win32/KillDisk.NBB变种,更倾向于破坏各种类型的文件和文档。其配置里有一长串文件扩展作为目标,它会根据这个逐个去覆盖删除,其中文件后缀超4000个:

SSHBearDoor:BlackEnergy(黑暗力量)家族新宠

用于攻击能源公司的KillDisk组件与乌克兰那次是有点区别的,我们的样品分析表明,最新版本的主要变化有:

现在它会接受命令行参数,可以设置定时激活破坏型payload。 删除windows事件日志:应用程序、安全设置启动项、系统相关。 不太关注对文件的删除,只有35个文件后缀。

SSHBearDoor:BlackEnergy(黑暗力量)家族新宠

它也能够删除系统文件,让系统无法启动,这是典型的破坏型木马。电力公司似乎也检测到一些KillDisk组件,专为破坏工业系统而设定。

一旦激活,这个KillDisk组件变种会寻找,并试图kill掉下面两个非标准进程:

komut.exe sec_service.exe

可惜的是,我们并没有找到关于第一个进程komut.exe的信息。然而第二个进程则可能属于ASEM Ubiquity软件,它被用于工控系统(ICS)、或者ELTIMA系列以太网连接器。在进程被发现后,恶意软件并不是只将其kill,而且还用随机数据覆盖掉了可执行文件。

SSH后门

除了已经提到的恶意软件家族,我们还发现了一个BlackEnergy组织使用的有趣样本。在我们检测其中一个受感染服务器时,我们发现了一个程序,乍一看可能是一个叫 Dropbear SSH 的合法SSH服务端。

为了运行SSH服务端,黑客创建了一个VBS文件,内容如下:

Set WshShell = CreateObject(“WScript.Shell”) WshShell.CurrentDirectory = “C:/WINDOWS/TEMP/Dropbear/” WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789″, 0, false

这里我们可以看到,SSH服务器接受对6789端口的连接。通过在受感染的网络里运行SSH,黑客可以随时卷土重来。

然而出于某种原因,这是不够的。详细分析后,我们发现,SSH服务端的二进制流实际上包含了一个后门:

SSHBearDoor:BlackEnergy(黑暗力量)家族新宠

在上图我们可以看到,该版本的Dropbear SSH会验证密码passDs5Bu9Te7,然而才允许进入。同样的情况也适用于密钥配对,服务端包含一个预定义的常数公钥,只有在使用特定私钥才能认证成功。

SSHBearDoor:BlackEnergy(黑暗力量)家族新宠

ESET把这个情况定义为Win32/SSHBearDoor.A木马。

IOC(攻击指示器)

下面是BlackEnergy的CC服务器列表:

5.149.254.114 5.9.32.230 31.210.111.154 88.198.25.92 146.0.74.7 188.40.8.72

感染后的XLS文档SHA-1:

AA67CA4FB712374F5301D1D2BAB0AC66107A4DF1

BlackEnergy轻量释放器SHA-1:

896FCACFF6310BBE5335677E99E4C3D370F73D96

BlackEnergy重级释放器SHA-1:

896FCACFF6310BBE5335677E99E4C3D370F73D96

BlackEnergy驱动SHA-1:

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

KillDisk组件SHA-1:

16F44FAC7E8BC94ECCD7AD9692E6665EF540EEC4 8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569 6D6BA221DA5B1AE1E910BBEAA07BD44AFF26A7C0 F3E41EB94C4D72A98CD743BBB02D248F510AD925

VBS/Agent.AD木马SHA-1:

72D0B326410E1D0705281FDE83CB7C33C67BC8CA

Win32/SSHBearDoor.A木马SHA-1:

166D71C63D0EB609C4F77499112965DB7D9A51BB

*参考来源: WS ,FB小编dawner编译,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)

正文到此结束
Loading...