内容简介:APT28也叫Fancy Bear,与俄罗斯军事情报机构GRU(格鲁乌)有关。近期,APT 28使用鱼叉式钓鱼攻击技术对NATO(北大西洋公约组织,北约)组织进行了攻击。攻击的第一步是释放恶意组件,这也是APT 28常用的攻击技术之一。下面是对攻击活动的详细分析,Fancy Bear的主要动作包括:·使用多项高级技术尝试绕过反病毒软件;
Fancy Bear
APT28也叫Fancy Bear,与俄罗斯军事情报机构GRU(格鲁乌)有关。近期,APT 28使用鱼叉式钓鱼攻击技术对NATO(北大西洋公约组织,北约)组织进行了攻击。攻击的第一步是释放恶意组件,这也是APT 28常用的攻击技术之一。
下面是对攻击活动的详细分析,Fancy Bear的主要动作包括:
·使用多项高级技术尝试绕过反病毒软件;
· 尝试以可执行文件的形式运行恶意软件。
STAGE 1
附件分析
1. Docx文件本身就是含有多个XML的zip文件。在攻击中,研究人员识别出了许多含有以下阶段的恶意活动:
第一阶段是一个含有嵌入VBA脚本的docx文件,该脚本会从xm文件中解码一个base64 payload。
第二阶段是在终端用户系统上实现驻留和执行payload。
Perception Point平台监测到的docx文件
2.在第一阶段Perception Point从文件中提取出一个VBA脚本。分析脚本发现,执行脚本的方式在微软word中的xmls(app.xml)中也有使用,payload是从base64编码中解码的。
从xml中解码可执行文件的函数
base64编码的payload和xml
解码base64加密,可以找到MZ
在第二阶段,VBA脚本会将执行的文件保存在自动运行文件夹%APPDATA%\Uplist.dat和%ALLUSERSPROFILE%\UpdaterUI.dll中。
保存payload的脚本部分
脚本用VMI服务和注册表继续执行和创建驻留。
机器重启后,WMI服务默认会配置rundll32.exe来加载%APPDATA%\Uplist.dat。注册表会被配置为用预定义的key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\UIMgr替换%ALLUSERSPROFILE%\UpdaterUI.dll的值。
在最后的wscript shell中,执行恶意软件的命令是:
c:\windows\system32\rundll32.exe %ALLUSERSPROFILE%\UpdaterUI.dll
STAGE 2
可执行文件分析
研究人员在VirusTotal中扫描了该文件来确定dll是否已被报告过。最终确定了已经被报告为Trojan.Sofacy:
文件哈希:0a842c40cdbbbc2bf5a6513e39a2bd8ea266f914ac93c958fda8c0d0048c4f94
研究人员发现恶意DLL使用HTTP到185[.]99[.]133[.]72来尝试与C2服务器通信,并等待要执行的新命令。
到C2的HTTP连接
为了绕过AV和终端保护方案,恶意dll使用了sleep函数来绕过检测。
绕过AV检测的Sleep函数
总结
攻击活动非常复杂,这在国家级的APT组织中比较常见的。因为攻击活动伪装的很好,而且非常有效,因此如果攻击没有特定安全保护措施的企业的话,会带来很大的影响。
以上所述就是小编给大家介绍的《Fancy Bear APT28分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 使用动态分析技术分析 Java
- 使用动态分析技术分析 Java
- 案例分析:如何进行需求分析?
- 深度分析ConcurrentHashMap原理分析
- 如何分析“数据分析师”的岗位?
- EOS源码分析(3)案例分析
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
