Fancy Bear APT28分析

ang010ela 新闻 2018年12月18日发布
Favorite收藏

导语:APT28也叫Fancy Bear,与俄罗斯军事情报机构GRU(格鲁乌)有关。近期,APT 28使用鱼叉式钓鱼攻击技术对NATO(北大西洋公约组织,北约)组织进行了攻击。

Fancy Bear

APT28也叫Fancy Bear,与俄罗斯军事情报机构GRU(格鲁乌)有关。近期,APT 28使用鱼叉式钓鱼攻击技术对NATO(北大西洋公约组织,北约)组织进行了攻击。攻击的第一步是释放恶意组件,这也是APT 28常用的攻击技术之一。

下面是对攻击活动的详细分析,Fancy Bear的主要动作包括:

· 使用多项高级技术尝试绕过反病毒软件;

· 尝试以可执行文件的形式运行恶意软件。

STAGE 1

附件分析

1. Docx文件本身就是含有多个XML的zip文件。在攻击中,研究人员识别出了许多含有以下阶段的恶意活动:

第一阶段是一个含有嵌入VBA脚本的docx文件,该脚本会从xm文件中解码一个base64 payload。

第二阶段是在终端用户系统上实现驻留和执行payload。

image.png

Perception Point平台监测到的docx文件

2.在第一阶段Perception Point从文件中提取出一个VBA脚本。分析脚本发现,执行脚本的方式在微软word中的xmls(app.xml)中也有使用,payload是从base64编码中解码的。

image.png

从xml中解码可执行文件的函数
image.png

base64编码的payload和xml
image.png

解码base64加密,可以找到MZ

在第二阶段,VBA脚本会将执行的文件保存在自动运行文件夹%APPDATA%\Uplist.dat和%ALLUSERSPROFILE%\UpdaterUI.dll中。

image.png

保存payload的脚本部分

脚本用VMI服务和注册表继续执行和创建驻留。

机器重启后,WMI服务默认会配置rundll32.exe来加载%APPDATA%\Uplist.dat。注册表会被配置为用预定义的key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UIMgr替换%ALLUSERSPROFILE%\UpdaterUI.dll的值。

在最后的wscript shell中,执行恶意软件的命令是:
c:\windows\system32\rundll32.exe %ALLUSERSPROFILE%\UpdaterUI.dll

STAGE 2

可执行文件分析

研究人员在VirusTotal中扫描了该文件来确定dll是否已被报告过。最终确定了已经被报告为Trojan.Sofacy:

image.png

文件哈希:0a842c40cdbbbc2bf5a6513e39a2bd8ea266f914ac93c958fda8c0d0048c4f94

研究人员发现恶意DLL使用HTTP到185[.]99[.]133[.]72来尝试与C2服务器通信,并等待要执行的新命令。

image.png

到C2的HTTP连接

为了绕过AV和终端保护方案,恶意dll使用了sleep函数来绕过检测。

image.png

绕过AV检测的Sleep函数

总结

攻击活动非常复杂,这在国家级的APT组织中比较常见的。因为攻击活动伪装的很好,而且非常有效,因此如果攻击没有特定安全保护措施的企业的话,会带来很大的影响。

本文翻译自:https://perception-point.io/2018/12/09/a-look-inside-fancy-bear-2/如若转载,请注明原文地址: http://www.4hou.com/info/news/15181.html
点赞 2
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论