转载

乌克兰BlackEnergy新动向：通过Word文档进行APT攻击

0×01 前言

去年晚些时候，一波网络攻击的其中几个部分经鉴定是针对乌克兰的。而对这些攻击比较广泛的说法是，此次攻击是著名的BlackEnergy木马并且增加了一些新的模块。

BlackEnergy木马是著名的黑客Cr4sh创造的。在2007年，他声称不再开发这款木马，并且卖出木马的源码，估价在$700。刚开始，在2008年它被一些黑客们用来针对格鲁吉亚进行DDOS攻击。这些不知名的黑客在随后的几年里持续进行DDOS攻击。

大概在2014年，一个特别的BlackEnergy组织开始引起大家的注意，他们开发了监测控制和数据采集类的插件来威胁ICS 并且在全世界范围都非常活跃。这显示出BlackEnergy还存在的一些特别的能力，不仅仅局限于DDOS攻击。因此，我们称他们为BlackEnergy APT组织。

这些组织的其中的一个APT攻击的目标就是乌克兰。自从2015年中期开始，乌克兰就开始存在通过Excel宏病毒进行BlackEnergy攻击，如果用户打开此类文档脚本就会释放木马至本地硬盘。

几天前，我们发现了一种新型的针对乌克兰的BlackEnergy APT文档类攻击。不像以前采用Excel工作簿进行攻击，此次采用的是Word文档。该文档通过提及乌克兰“Right Sector”反对派政府来达到迷惑的效果。

0×02 详细介绍

去年年末，针对乌克兰的网络攻击层出不穷。包括来自ESET的我的同事，iSIGHT的小伙伴以及其他公司的广泛看法是，这些攻击是著名的BlackEnergy木马以及新型变种的攻击。其中乌克兰的一家Cys Centrum公司对袭击乌克兰的BlackEnergy攻击已经做了很好的分析（目前这篇文章仅存在俄文版，但是可以通过谷歌翻译进行阅读）。

在过去，我们也曾写过BlackEnergy的分析，重点关注的是它的payloads，西门子的设备开发以及路由器的攻击插件。你可以在这里和这里阅读我的同事Kurt Baumgartner 和 Maria Garnaeva的相关文章。同样我们也贴出了 BlackEnergy DDOS攻击的分析。

自从2015年中期开始，在乌克兰就开始存在通过Excel宏病毒进行BlackEnergy攻击，如果用户打开此类文档脚本就会释放木马至本地硬盘。

Office 文档宏病毒是一种早期的病毒，可以追溯到2000年，那时候Word和Excel支持自动执行宏指令。这就意味着病毒或者木马可以伴随着文档的打开而自动运行并且感染系统。随后微软禁用了这个特征，并且当前的Office版本需要用户一些特别的操作启用宏后才能打开存在文档中的宏指令。

为了绕过这个防护，现在的黑客们都会使用社工的办法，让用户去启用宏从而能看到让其觉得很有意思的内容。几天前，我们捕获到一个BlackEnergy用于攻击乌克兰的新型文档。这个文档是Word文档，而不是以前的那种Excel文档：

“$RR143TB.doc” (md5: e15b36c2e394d599a8ab352159089dd2)

通过比较粗糙的检测发现，这份文档在2016年1月份从乌克兰上传一个复合扫描服务。它存在一个创建开始时间和最后保存的字段2015-07-27 10:21:00。这意味着该文档在更早前就被创建了，只是最近才被发现而已。

打开这个文档前，用户被提示需要启用宏才能查看文档。

乌克兰BlackEnergy新动向：通过Word文档进行APT攻击

有趣的是，这个文档通过“Pravii Sektor”(Right Sector，乌克兰民族党)来诱惑。这个党派在2013年11月成立并在该国的政治立场中扮演着很关键的角色。

我们可以使用类似oledump攻击不运行Word提取其中的宏：

乌克兰BlackEnergy新动向：通过Word文档进行APT攻击

如图所示，宏指令在内存中创建一个字符串，这个字符串文件随后被创建，并且写入“vba_macro.exe”。这个文件随后通过Shell命令被执行。

这个 vba_macro.exe payload (md5: ac2d7f21c826ce0c449481f79138aebd)是一个典型的BlackEnergy释放的文件。最终释放的payload类似“%LOCALAPPDATA%/FONT CACHE.DAT”，这是一个DLL文件。通过使用rundll32执行之：

rundll32.exe “%LOCALAPPDATA%/FONTCACHE.DAT”,#1

为了确保在每个系统启动时执行，这个释放文件在系统启动文件夹下创建了一个LNK文件，这个文件的执行和每个系统的启动命令一样：

%APPDATA%/Microsoft/Windows/Start Menu/Programs/Startup/{D0B53124-E232-49FC-9EA9-75FA32C7C6C3}.lnk

最后的payload (FONTCACHE.DAT, md5: 3fa9130c9ec44e36e52142f3688313ff)是一个在80端口上连接一个硬编码的C&C服务器，5.149.254.114.简单的木马。这个服务器也被来自ESET我的同事提及过，在上个月的一篇分析文档中。这个服务器当前处于未联通状态，或者通过IP地址的限制访问。一旦这个服务器在线，这个文档通过HTTP POST请求，发送基本的恶意指令：

乌克兰BlackEnergy新动向：通过Word文档进行APT攻击

这个请求是BASE64加密的。其中一些字段包括：

l b_gen=301018stb

l b_ver=2.3

l os_v=2600

l os_type=0

b_id是一个通过计算机的操作系统信息计算出来的一个独一无二的机器识别码，对于每个人来说也是唯一的。这将使得攻击者可以区别相同网络的不同受感染的主机。b_gen似乎是被攻击者的ID，类似301018stb。而STB应该是乌克兰电视台“STB”， http://www.stb.ua/ru/ 。这家电视台曾在2015年11月公开提及BlackEnergy的受害者。

0×03 总结

BlackEnergy作为高级可持续性威胁是当前乌克兰近期遭受的主要威胁，此外还影响工业控制设备和间谍活动。

我们的目标分析显示了下面几个最近一直被攻击的目标。如果你的机构或组织是下面其中之一的话，在采取防范措施的时候需要认识到这是BlackEnergy。

l IS, Energy, government and media in Ukraine

l ICS/SCADA companies worldwide

l Energy companies worldwide

早期的具有破坏性的payloads是2014年7月份。然而早期的版本存在各种bug。在近期的攻击当中，开发者开始解决未签名的驱动程序，之前依赖低级擦拭功能的磁盘，取而代之的是高级的擦拭功能并更加专注于文件扩展名而不是磁盘。这种攻击威胁不亚于磁盘的payload，当然，优势还在于不需要管理员权限，而且还可以在64位操作系统上运行。

有趣的是，这个Word文档（不是Excel），ICS-CERT同样也提到了，在 alert 14-281-01B.

乌克兰BlackEnergy新动向：通过Word文档进行APT攻击