GreyEnergy 2019分析

1月初，InfoSec社区泄露了一个恶意软件样本，研究人员分析发现这可能是GreyEnergy植入。

这类威胁与BlackEnergy恶意软件有类似之处，BlackEnergy就是2015年针对乌克兰能源工业发起网络攻击的组织。

图1. 可能的GreyEnergy样本

背景

ESET研究报告称，GreyEnergy恶意软件是BlackEnergy APT组织的新工具。并主要通过两种方式传播：

· 周边泄露，比如入侵企业网站；

· 鱼叉式钓鱼攻击邮件和恶意附件。

GreyEnergy植入也被称为FELIXROOT后门，FireEye研究人员2018年7月份就对传播恶意软件的鱼叉式钓鱼攻击活动进行了分析。

整个恶意软件架构是模块化的。恶意软件可以从C2服务器取回新的模块，并允许模块进行一些具有防护性的能力，比如NMAP模块和MIMIKATZ模块在过去的活动中都是用来执行权限提升的。

图2 –GreyEnergy恶意软件模块

技术分析

首先，对样本进行静态分析发现原始文件名、大小、导出函数和其他相关的信息都与FE_Dropper_Win32_FELIXROOT_1样本非常相似。

图3 – 1月的样本（左） FELIXROOT_1样本（右）

虽然有很多的共同点，但是第一个样本是2019年1月6日才在社区公开的，而FELIXROOT_1在2018年就被提交给VT平台了。

图4 – 1月的样本（上） FELIXROOT_1样本（下）

对样本进行动态分析发现恶意软件开发者使用了经典但有效的自动化分析绕过技术，比如几分钟的长时间休眠周期等等。

图5 – GreyEnergy调用sleep API来绕过分析

之后，恶意软件会与C2服务器取得联系，接收检查受害者机器的信息。远程终端的IP地址是217.12.204.100，属于乌克兰的一家承包商和制造商企业。

图6 –恶意 IP

恶意软件的回调活动是周期性的，每30分钟都会与远程C2进行通信，通知植入正在运行。恶意软件会发送关于计算机名、用户名、卷序列号、Windows版本、处理器架构和两个额外值1.3和KdfrJKN。这些值与FE研究人员2018年报告的campaign-id非常匹配。

Id如图7所示，内存内分析session可以看出恶意软件的配置信息。

图7 – 恶意软件访问配置

发回给C2的数据是SSL加密保护的。但模拟网络目的地可以解密发送给远程服务器的受害者信息。这些数据会在HTTP POST请求中的u=参数中传输。

图8 – POST body

这与FE研究人员分析的FELIXROOT后门的行为是非常匹配的，比如使用了三个主要的HTTP参数，包括u=等。

图10 – 最新的二进制文件和FELIXROOT_1样本分析

结论

分析该样本发现根据行为、配置数据和静态数据都可以判定这是之前的GreyEnergy恶意软件的变种。也就是说样本与BlackEnergy/Sandworm APT组织有关。因为检测到的样本中含有已知的活动id，因此研究人员猜测该攻击活动还在继续进行中。