这个简短的报告介绍了一系列针对以色列和巴勒斯坦的攻击行为,通过恶意文件为传播源对大量的具有影响或者政治相关的组织,通过我们的调查,之前并无行为上与此相同的apt记录。不过还是可以找到一些相似的攻击行为。link to (1](2]
话说那是一个2014年的夏天,我们在一些小型的基础设施中获得了恶意样本,这些行为表明,攻击者是穷逼,或者被限制了可利用的资源。
最初我们对文件ecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9 进行了分析,并且push到了 malwr.com (3]进行自动分析。顺带说下该样本的原名为Israel Homeland Defense Directory 2015 _Secured_.exe 一旦运行会显示如下界面。
实际上最初的文件是一个rar的自解压文件,包含三个组件,事实上后期我们的分析师表示这种恶意软件不属于原来熟知的一些用于apt恶意软件类型,我们进行了进一步的分析希望了解其的目的,细节,与攻击目标。
0x01 进一步分析
该类型的恶意软件最常见的方式是打包成一个rar压缩包,当然并不是仅限于此,攻击者也使用了一些别的手法,比如 Visual Basic 打包,和原始的安装包,我们认为传播的途径是将恶意软件push到第三份下载站点。下面的图显示了一些相关的信息
Pomf.se是一个总部设置在瑞典的小型文件共享和托管站点,使用一些小型站点作为传播途径似乎是他们的特征之一,同样的我们也从其他的一些小型站点上发现了类似的恶意软件,并且都是可执行文件。我们先对恶意文件SHA256哈希文件ecc240f1983007177bc5bbecba50eea27b80fd3d14fd261bef6cda10b8ffe1e9 进行了分析。
我们选择了一个名称DownExecute用来指代恶意软件,同时我们对其所有变体进行了确认,下面的图片是共同的打包模式,此外的curl被用于网络连接,或者说用于下载最终的恶意软件。
另外的发现是其中的一些二进制文件进行了自签名
那么,这个恶意软件能做什么,事实上他的作用只是一个下载器,同时用于进行本地环境的一个检查,其中包括了debugging的检查,使用一个叫IsDebuggerPresent的函数,检查是否存在VirtualBox,通过检查路径./VBoxMiniRdrDN。
同时还检查了一系列的反病毒软件的存在,检查甚至包括了存在单词'security'的进程。
之后恶意软件会开始解密自身的一些数据,其中包括了攻击者的控制服务器。
同时恶意软件会开始连接攻击者服务器,同时会在同一个文件夹建立一个明文文本开始记录日志。。。。。(mlgb.....)
就其初步得到的信息我们可以看出,downloadexcute的作用就跟其名字一样,用于下载另一个恶意软件并且执行,因为其本身的攻击行为几乎没有,downloadexcute像是给攻击者用来站稳脚跟的工具,只有downloadexcute成功了,才会进行下一步入侵。
如上,我们进行了大量的调查,在一些基础设施中发现了一些功能更加全面的恶意软件属于Xtreme RAT和Poison Ivy家族并且使用与downloadexcute相同的域名,我们可以认为其属于在downloadexcute之后第二阶段的而已软件。其中观察到的Poison Ivy使用admin2014和admin!@#$%作为密码
我们对其中连接的域名进行了调查,不过绝大多数连接的域名为动态域名。主要关联到no-ip.com。通过PwC情报小组的追踪,关联到一些中东的一些规模较小的恶意行为,通过对这些的调查,我们使用了Maltego进行了威胁可视化。
这次的攻击行动与以往的稍许不同,从以往监控到的对于中东的黑客行动,我们已经熟悉其中大部分的ip,相对与一些常被用于用于的主机商,这次主要指向伯利兹的Host Sailor。
如我们之前的报告中提到的(5],攻击者习惯使用与目标看起来相似的域名,来其看起来稍微正常一些。基于此我们做了一些简单的分析用于这次的目标识别。对于具体的list可以参阅附录B。
从上面的信息中我们判断,攻击目标可能以以色列的新闻媒体为主。
之后我们对文档的内容进行了调查,其中的部分文档显然是针对以色列为主的,以军事,政治为主题。
[1] [2] [3] 下一页