2. 主要Downloader
- 主体downloader是通过恶意VB脚本(从临时文件夹运行)从那份文档中释放的;
- 反病毒程序对该downloader的检出率很低(54款反病毒产品仅4款报毒);
3. Dropper – 阶段0
- Downloader的EXE文件图标是来自一家俄罗斯社交媒体站(http://sevastopol.su/world.php?id=90195);
这就是图标来源的那家俄罗斯社交媒体
- 图标本身其实是相关乌克兰人的玩笑;
- 该Dropper有2个DLL文件,其XOR的方式是当前字节与前一个字节进行XOR;
- 这种技术相较简单的XOR更好,字节分布看起来不会像是普通的PE文件loader,起到了混淆的作用,不容易被反病毒系统检测到;
- DLL是放到以下应用数据文件夹:
%USERPROFILE%\AppData\Roaming\Microsoft\VSA\.nlp – Stage 1
%USERPROFILE%\AppData\Roaming\Microsoft\Protect\.nlp.hist – Stage 2
- 首个阶段得以执行,DLL采用反射DLL注入的方式加载。
4. Dropper – 阶段1 – 持久性
- 内部名:loadCryptRunner.dll;
- 编译:2016年12月12日周一10:09:15;
- 阶段1 Dropper负责保持攻击的持久性,以及执行downloader DLL,在注册表中注册自身:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\drvpath
RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\VSA\klnihw22.nlp”, RUNNER
- 通讯DLL同样是采用反射DLL注入的方式加载的。
5. Dropper – 阶段2 – 为主模块准备的downloader
- 内部名:esmina.dll
- 编译:2016年10月10日周一14:47:28;
- 该DLL的主要作用就是下载主模块;
- 主模块存储在免费web主机站之上,URL为:
windows-problem-reporting.site88.net[注意:请勿访问该恶意站点]
- 从公共数据资源中查不到有关该URL的任何信息;
- 直接访问该URL会显示“HTTP/1.1 404 Not Found”;
- 看起来下载该模块似乎是需要人工审核的,这表明过程中是需要人工分析处理的;
- 主模块随后得以下载,通过反射DLL注入的方式加载到内存中。
6. 主模块
- 主模块会下载各种数据窃取插件,并执行;
- 这个模块也会收集本次存储的窃取数据,并上传到Dropbox;
- 主模块融合了不少反逆向工程技术:
检查是否存在debugger,
检查进程是否跑在虚拟环境中,
检查ProcessExplorer是否运行——ProcessExplorer是用来隐藏在合法进程中的恶意程序的,
检查WireShark是否运行——WireShark可以用来识别设备中的恶意流量;
- 它也会在注册表中注册如下键:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\hlpAsist
RUNDLL32 “%USERPROFILE%\AppData\Roaming\Microsoft\MSDN\iodonk18.dll”, IDLE
7. Dropbox机制
- 服务器上有3个文件夹:
obx – 包含主模块使用的模块,
ibx – 包含插件上传的输出,
rbx – 包含已连接客户端的基本信息;
- 攻击者获取到储存的数据之后,这些数据就会从Dropbox账户删除;
- 注册该Dropbox的用户账户细节如下:
Name: P*****
Email: P********@mail.ru
8. 加密机制
- 用于数据窃取的插件会将输出存储在: %USERPROFILE%\AppData\Roaming\Media
- 在主模块将这些数据发往Dropbox之前,这些文件会以Blowfish加密;
- Blowfish加密密钥即客户端ID。
9. 数据窃取插件
- 文件收集器:查找储存在本地或者共享盘里的不同类型文件,包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt,文件会按需上传;
- USB文件收集器:查找USB设备上各种类型的文件(包括doc、docx、xls、xlsx、ppt、pptx、pdf、zip、rar、db、txt);
- 浏览器数据收集器:用来窃取出存在浏览器中的密码和其他敏感信息;
- 麦克风:捕获音频对话;
- 计算机信息收集器:收集客户端的一些数据,如Windows系统版本、计算机名、用户名、IP地址、MAC地址、反病毒软件等;
针对不同的目标设备,并非所有的插件都会下载。每个模块都相关客户端ID,主模块因此能够知道应该下载哪些模块到特定目标设备。
总结
1. Operation BugDrop本质上是个网络侦查行为,其目标就是收集各个领域不同目标的情报,包括基建、媒体、科研机构等。目前该活动尚不会产生破坏性,而是对目标进行识别、定位和侦查,即便这可能只是其目标的第一阶段;
2. Operation BugDrop活动是由具备专业技能,并且具有大量经济来源的黑客发起的。考虑到每天所需分析的数据量,CyberX认为BugDrop获得了强有力的支持。鉴于代码的复杂性,以及该黑客行动执行的情况,CyberX推测这些黑客先前在该领域就有经验。
这样的活动可能具有国家背景,不过尚无任何证据将Operation BugDrop与任何国家或者组织联系在一起。
3. 私营企业和公共组织机构还是需要持续监测IT/OT网络中的反常行为。也需要深度取证,来识别破坏范围和影响,也需要制定事件响应计划。
相关哈希(SHA-256)
恶意文档:
997841515222dbfa65d1aea79e9e6a89a0142819eaeec3467c31fa169e57076a
Dropper:
f778ca5942d3b762367be1fd85cf7add557d26794fad187c4511b3318aff5cfd
发表评论