歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

6種編程語言的大雜燴:針對Zebrocy惡意軟件的分析

來源:本站整理 作者:佚名 時間:2019-06-10 TAG: 我要投稿

一、概述
Zebrocy是一個使用俄語的惡意軟件,我們在近期的研究中發現,該惡意軟件呈現出非常奇怪的特征。為了讓各位讀者能夠迅速了解該惡意組織的歷史,我們歸納了以下三個特征,大家可以簡單了解:
1、Zebrocy惡意軟件會對受害者進行分析,并創建訪問方式;
2、Zebrocy在2013年之前,始終與BlackEnergy共享相同的惡意軟件和基礎設施,或者與該組織所使用的具有相似之處;
3、在過去五年中,Zebrocy所使用的基礎設施、惡意軟件部署方式、惡意軟件目的與Sofacy和BlackEnergy都具有相似性和重疊性,但與此同時,在這段時間之內,它與這兩個惡意軟件還保持著一定程度上的差異。
我們最初是在2015年年末發現了比較罕見的“Zebrocy Delphi Paylaod”,并在一份未公開的報告中描述這一惡意軟件。目前,惡意軟件集、活動范圍和基礎架構已經與此前相比有較大程度的擴展。該惡意軟件集使用六種編程語言編寫而成。該惡意組織的相關活動已經持續多年,針對數百個政府、外交部門和軍事相關目標發動攻擊,最初是作為Sofacy的一個下屬組織開展活動。
我們在SAS2019會議的演講中,分享了一個名為“Zebrocy的多語言惡意軟件大雜燴”(Zebrocy’s Multilanguage Malware Salad)議題。該議題是基于我們近五年來對Zebrocys惡意組織的深入研究,并且是首次公開提供了關于Zebrocy組織及其特征的一些解讀:
1、惡意軟件仍然活躍,在SAS2019會議召開前一周,該惡意軟件還在發動一波新的攻擊,并且使用了一個新型的Golang語言惡意軟件下載工具變種。
2、在至少五年時間內,Zebrocy惡意軟件持續對其后門進行重新開發和重新部署,但其中都包含一致的分析和進程枚舉行為。
3、多個定制化的第二階段植入物,都是基于第一階段的進程枚舉結果而獲取特定憑據。
4、在該惡意組織的多個惡意軟件中,發現了一部分重復的代碼,表明他們會將此前的一些代碼進行復用。
5、Zebrocy在長達五年的時間內,所使用的惡意軟件和基礎設施都與Sofacy和BlackEnergy/GreyEnergy有高度復雜的重疊性,這表明該惡意軟件背后的組織與另外兩個組織之間可能存在互相支持的關系。
6、BlackEnergy的初始惡意軟件開發和部署,可以追溯至2013年。
盡管Zebrocy從來沒有使用過0-Day漏洞進行攻擊,但這個組織可能與更為高調的BlackEnergy和Sofacy具有關聯,并且可能是它們的開山鼻祖。Zebrocy惡意軟件提供了一個靈活且功能強大的惡意軟件集,并且該惡意軟件背后的組織在2018年內發起的魚叉式釣魚和入侵活動數量呈現出迅速增長的趨勢,因此這一組織需要引起網絡安全行業的重視。

Zebrocy以非常獨特和出乎意料的方式與其他惡意活動共享數據點,并有所關聯。Zebrocy最初與Sofacy共享有限的基礎設施,具有相重合的目標和攻擊方向。此外,Zebrocy還與此前的BlackEnergy/Sandworm共享惡意軟件代碼,并與更近一段時期的BlackEnergy/GreyEnergy共享非常有限的基礎設施,也具有相重合的目標。值得注意的是,Trula在2018年部署并傳播的宏,與此前未公開發布過的Zebrocy代碼幾乎完全相同。
能看到其他安全研究團隊也陸續發現了這些共同點,我們非常激動。此前有研究人員發現,Zebrocy將Sofacy的XAgent作為第二階段植入物進行分發,這一點一直以來沒有得到證實,但目前我們已經可以證實,所以從整體看上去,我們似乎都在逐漸得出相同的結論。
二、第一盤菜:Zebrocy的初步惡意活動
在2015年年末,在我們最初關注到Zebrocy惡意軟件事件時,我們就注意到了2015年10月的AutoIT下載程序和Delphi后門Payload。從那開始,我們注意到Zebrocy的代碼就像是一盤沙拉,使用幾種語言共同編寫,并且經常被發布到各種代碼共享站點之中。Zebrocy惡意活動通過魚叉式釣魚操作進行,在不使用任何0-Day攻擊的情況下,提供各種目標分析工具和下載工具。在Zebrocy第二階段植入完成后,將進行瀏覽器憑據竊取、鍵盤輸入記錄、Windows憑據竊取以及一些文件與通信的竊取工作。
這一盤菜是在主菜之前上桌,因為獲取并維護訪問,并不是一件容易的事情。并且,由于該組織似乎從具有破壞性的BlackEnergy/Sandworm APT與高產并具有0-Day能力的Sofacy APT中繼承了血統,因此這盤菜非常有趣。接下來,我們根據過去五年中的發現,更加詳細地分析Zebrocy惡意軟件集、惡意活動及發展歷史。
值得注意的是,與Zebrocy相關的魚叉式釣魚活動持續到2019年4月,也就是SAS2019會議召開前的一周。根據該惡意軟件Go語言下載工具變種的最新更改,可以清楚地表明,Zebrocy惡意軟件集仍然在積極開發中。我們觀察到的惡意活動持續到2019年5月下旬,推測惡意活動可能會持續一整年。

在SAS2019演講之后,我們發現了一個新的Zebrocy后門系列,部署了一個新的下載工具。由此可見,Zebrocy正持續擴展其惡意軟件集。我們發現,該惡意組織似乎重新選擇了C語言編寫惡意代碼,并在其武器庫中使用Nim語言作為擴展。在不久的將來,我們會在Securelist網站(卡巴斯基技術博客)中發布關于此下載工具的更全面分析,同時也會發布其參考指標,希望能夠為其他安全人員或廠商提供幫助。Zebrocy的新型Nim下載工具主要針對全球范圍內的一些國家,其中已經發現的一些國家包括:哈薩克斯坦、塔吉克斯坦、土庫曼斯坦、德國、吉爾吉斯斯坦、英國、緬甸、敘利亞、烏克蘭、阿富汗、坦桑尼亞、伊朗。
三、追溯Zebrocy的關聯性
在過去五年中,該組織的血統是一個最受關注的話題。我們在持續約兩年的Delphocy Delphi惡意活動結束后,發現了Zebrocy Delphi Payload的突然出現。值得注意的是,這個Delphocy Delphi后門與Bootkit內核加載器組件共同提供,后者保持與BlackEnergy惡意軟件內核加載器相同的唯一代碼。總體·而言,與Sofacy相比,惡意軟件集更加具有創新性,并且與BlackEnergy具有一定的相似性。

[1] [2] [3]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视