欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

6种编程语言的大杂烩:针对Zebrocy恶意软件的分析

来源:本站整理 作者:佚名 时间:2019-06-10 TAG: 我要投稿

一、概述
Zebrocy是一个使用俄语的恶意软件,我们在近期的研究中发现,该恶意软件呈现出非常奇怪的特征。为了让各位读者能够迅速了解该恶意组织的历史,我们归纳了以下三个特征,大家可以简单了解:
1、Zebrocy恶意软件会对受害者进行分析,并创建访问方式;
2、Zebrocy在2013年之前,始终与BlackEnergy共享相同的恶意软件和基础设施,或者与该组织所使用的具有相似之处;
3、在过去五年中,Zebrocy所使用的基础设施、恶意软件部署方式、恶意软件目的与Sofacy和BlackEnergy都具有相似性和重叠性,但与此同时,在这段时间之内,它与这两个恶意软件还保持着一定程度上的差异。
我们最初是在2015年年末发现了比较罕见的“Zebrocy Delphi Paylaod”,并在一份未公开的报告中描述这一恶意软件。目前,恶意软件集、活动范围和基础架构已经与此前相比有较大程度的扩展。该恶意软件集使用六种编程语言编写而成。该恶意组织的相关活动已经持续多年,针对数百个政府、外交部门和军事相关目标发动攻击,最初是作为Sofacy的一个下属组织开展活动。
我们在SAS2019会议的演讲中,分享了一个名为“Zebrocy的多语言恶意软件大杂烩”(Zebrocy’s Multilanguage Malware Salad)议题。该议题是基于我们近五年来对Zebrocys恶意组织的深入研究,并且是首次公开提供了关于Zebrocy组织及其特征的一些解读:
1、恶意软件仍然活跃,在SAS2019会议召开前一周,该恶意软件还在发动一波新的攻击,并且使用了一个新型的Golang语言恶意软件下载工具变种。
2、在至少五年时间内,Zebrocy恶意软件持续对其后门进行重新开发和重新部署,但其中都包含一致的分析和进程枚举行为。
3、多个定制化的第二阶段植入物,都是基于第一阶段的进程枚举结果而获取特定凭据。
4、在该恶意组织的多个恶意软件中,发现了一部分重复的代码,表明他们会将此前的一些代码进行复用。
5、Zebrocy在长达五年的时间内,所使用的恶意软件和基础设施都与Sofacy和BlackEnergy/GreyEnergy有高度复杂的重叠性,这表明该恶意软件背后的组织与另外两个组织之间可能存在互相支持的关系。
6、BlackEnergy的初始恶意软件开发和部署,可以追溯至2013年。
尽管Zebrocy从来没有使用过0-Day漏洞进行攻击,但这个组织可能与更为高调的BlackEnergy和Sofacy具有关联,并且可能是它们的开山鼻祖。Zebrocy恶意软件提供了一个灵活且功能强大的恶意软件集,并且该恶意软件背后的组织在2018年内发起的鱼叉式钓鱼和入侵活动数量呈现出迅速增长的趋势,因此这一组织需要引起网络安全行业的重视。

Zebrocy以非常独特和出乎意料的方式与其他恶意活动共享数据点,并有所关联。Zebrocy最初与Sofacy共享有限的基础设施,具有相重合的目标和攻击方向。此外,Zebrocy还与此前的BlackEnergy/Sandworm共享恶意软件代码,并与更近一段时期的BlackEnergy/GreyEnergy共享非常有限的基础设施,也具有相重合的目标。值得注意的是,Trula在2018年部署并传播的宏,与此前未公开发布过的Zebrocy代码几乎完全相同。
能看到其他安全研究团队也陆续发现了这些共同点,我们非常激动。此前有研究人员发现,Zebrocy将Sofacy的XAgent作为第二阶段植入物进行分发,这一点一直以来没有得到证实,但目前我们已经可以证实,所以从整体看上去,我们似乎都在逐渐得出相同的结论。
二、第一盘菜:Zebrocy的初步恶意活动
在2015年年末,在我们最初关注到Zebrocy恶意软件事件时,我们就注意到了2015年10月的AutoIT下载程序和Delphi后门Payload。从那开始,我们注意到Zebrocy的代码就像是一盘沙拉,使用几种语言共同编写,并且经常被发布到各种代码共享站点之中。Zebrocy恶意活动通过鱼叉式钓鱼操作进行,在不使用任何0-Day攻击的情况下,提供各种目标分析工具和下载工具。在Zebrocy第二阶段植入完成后,将进行浏览器凭据窃取、键盘输入记录、Windows凭据窃取以及一些文件与通信的窃取工作。
这一盘菜是在主菜之前上桌,因为获取并维护访问,并不是一件容易的事情。并且,由于该组织似乎从具有破坏性的BlackEnergy/Sandworm APT与高产并具有0-Day能力的Sofacy APT中继承了血统,因此这盘菜非常有趣。接下来,我们根据过去五年中的发现,更加详细地分析Zebrocy恶意软件集、恶意活动及发展历史。
值得注意的是,与Zebrocy相关的鱼叉式钓鱼活动持续到2019年4月,也就是SAS2019会议召开前的一周。根据该恶意软件Go语言下载工具变种的最新更改,可以清楚地表明,Zebrocy恶意软件集仍然在积极开发中。我们观察到的恶意活动持续到2019年5月下旬,推测恶意活动可能会持续一整年。

在SAS2019演讲之后,我们发现了一个新的Zebrocy后门系列,部署了一个新的下载工具。由此可见,Zebrocy正持续扩展其恶意软件集。我们发现,该恶意组织似乎重新选择了C语言编写恶意代码,并在其武器库中使用Nim语言作为扩展。在不久的将来,我们会在Securelist网站(卡巴斯基技术博客)中发布关于此下载工具的更全面分析,同时也会发布其参考指标,希望能够为其他安全人员或厂商提供帮助。Zebrocy的新型Nim下载工具主要针对全球范围内的一些国家,其中已经发现的一些国家包括:哈萨克斯坦、塔吉克斯坦、土库曼斯坦、德国、吉尔吉斯斯坦、英国、缅甸、叙利亚、乌克兰、阿富汗、坦桑尼亚、伊朗。
三、追溯Zebrocy的关联性
在过去五年中,该组织的血统是一个最受关注的话题。我们在持续约两年的Delphocy Delphi恶意活动结束后,发现了Zebrocy Delphi Payload的突然出现。值得注意的是,这个Delphocy Delphi后门与Bootkit内核加载器组件共同提供,后者保持与BlackEnergy恶意软件内核加载器相同的唯一代码。总体·而言,与Sofacy相比,恶意软件集更加具有创新性,并且与BlackEnergy具有一定的相似性。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载