首页 > 专利学习

新型BlackEnergy（word宏）病毒分析

新型BlackEnergy(word宏）病毒分析

⽬录

0X01 前⾔ 1

0X02 BLACKENGERGY⽊马介绍 4

BlackEnergy 1 5

BlackEnergy 2 5

BlackEnergy 3 5

0X03 BLACKENGERGY⽊马分析 4蛇板

攻击流程 5

⽊马结构组成 5

二钼酸铵⽊马组件功能 5

0X03 BLACKENGERGY⽊马攻击还原 4

攻击场景搭建 5

⽊马⾏为分析 5

0X04 总结 4

前⾔

2015 年 12 ⽉ 14 ⽇，乌克兰的伊万诺—弗兰科夫斯克州地区发⽣多处同时停电的事件，⿊客控制了电⼒系统，并远程关闭了电⽹。紧接着，2015 年 12⽉ 27⽇，乌克兰电⼒公司⽹络系统再次遭到⿊客攻击，这是⾸次由⿊客攻击⾏为导致的⼤规模停电事件，据统计，此次影响导致成千上万的乌克兰家庭⽆电可⽤。

2016年1⽉22⽇，有关组织发现了⼀种新型的针对乌克兰的BlackEnergy APT⽂档类攻击。此次，该病毒采⽤Word⽂档内嵌宏病毒来进⾏攻击，本次报告，也将着重分析这个⽊马程序。

BlackEnergy⽊马介绍

BlackEnergy 1

最早的 BlackEnergy 主要⽤于 DDoS 攻击。它配有⼀套完整的⽣成器，被触发后就会⾃动⽣成客户端程序和基于 C&C（指挥和控制）服务器的命令⽣成脚本。攻击者使⽤它建⽴僵⼫⽹络，只需在 C&C 服务器端下达简单指令，僵⼫⽹络受害主机便会统⼀地执⾏这⼀指令。与众不同的是，这种 bot 并不与僵⼫⽹络 IRC 通信，也看不到任何从这个服务器上发起的攻击。不同于传统的IRC，这是⼀个⼩（⼩于 50 kB）⼆进制的 Windows 平台使⽤的简单程序。

BlackEnergy 2

BlackEnergy 2[依然是⼀个 DDoS 类僵⼫⽹络程序，但在新的样本中发现增加了加密程序，以欺瞒病毒软件。驱动⽂件释放后以名为服务⽅式注⼊系统进程，随后远程连接服务器，下载攻击插件，根据配置⽂件对⽬标发起DDoS 攻击。其⼯作原理如下图所⽰：

任何可以接触到 BlackEnergy 2 的⼈都可以⾮常容易地利⽤它发起攻击，⽽不需要复杂的部署和管理。

⿊客利⽤⽀持升级的组件更容易修改和扩展其功能，只要远程控制中⼼发布命令，就可以快速实现组件的安装和升级。 BlackEnergy 2 的 3 个主要功能组件是SYN、 HTTP 以及 DDoS 攻击组件，样本将下载后的攻击组件加载到内存中执⾏，实现对服务器的远程控制。 BlackEnergy 利⽤ Windows Installer

女用小便器安装包，将⾃⾝的安装程序伪装成名为的系统进程。此版本的最核⼼功能位于主 DLL组件。该组件可以根据攻击者的⽬标定制⼀个维护僵⼫⽹络的框架，⽤于与 C&C 进⾏通信，同时它本⾝被隐藏在驱动组件中，⽂件系统⽆法察觉。

BlackEnergy 3

根据 2014 年 9⽉ F-Secure发布的报告，BlackEnergy ⼜出现了新的变种，BlackEnergy 2 的代码⼏乎全部被重写⽽且采⽤不同的格式对配置数据进⾏保存。该变种不再使⽤驱动组件，但⽬前对该版本的攻击事件还⽐较稀少。 BlackEnergy 3的释放器会在前台打开⼀个看似⽆害的⽂件，从⽽悄然释放病毒⽂件并执⾏。曾经检测到样本伪装成⼀个 Adobe Flash 安装程序、Excel⽂档宏以及本次报告中分析的Word⽂档宏，它不使⽤任何欺骗性的⽂档或应⽤层程序，⽽且重启后便不再运⾏。此版本实现了代理服务器技术、使⽤ Windows 64 bit 环境下绕过UAC和驱动程序签名的相关技术。随着不断地演化，BlackEnergy 不仅可以向 Windows计算机发起攻击，还对基于ARM 或MIPS 架构的路由器和 Linux系统造成破坏。

BlackEnergy⽊马分析

攻击流程

本次攻击主要对象时乌克兰⼀个名为“Pravii Sekto”的右翼部门，该党是乌克兰民族主义政党。攻击者⾸先诱导该部门负责⼈下载钓鱼邮件，该邮件存在⼀个word⽂档附件，实质是⼀个嵌⼊了宏病毒的⽂件。下载⽂件后，通过诱导⽂档操作者打开该word⽂档，在打开⽂档时，word会向⽤户建议启⽤宏已查看⽂档对话框。⼀旦⽤户点击启⽤宏，便会运⾏⽊马，下载必要的⽂件、修改注册表并安装后门通过80端⼝以连接远程服务器：5.149.254.114与C&C服务器进⾏连接，从⽽下达攻击指令。

⽊马结构组成

该⽊马MD5值为：（e15b36c2e394d599a8ab352159089dd2），使⽤oledump提取word中的宏代码，如下图所⽰：

可以看出，宏指令在内存中创建⼀个字符串，这个字符串⽂件问候被创建，并写⼊“”。这个⽂件随后通过shell执⾏。这个“”随后释放另外⼀个名为“FONTCACHE.DAT”的dll⽂件和⼀个.lnk⽂件

故该⽊马组成主要是由宏病毒运⾏后，在本地产⽣⼀个“”释放⽂件，释放出“FONTCACHE.DAT”和.lnk⽂件，以及⼀个C&C服务器。

⽊马组件功能

1. （md5：ac2d7f21c826ce0c449481f79138aebd）: 该可执⾏⽂件被宏代码运⾏后创建，位于C：\user\⽤户

名\Appdata\Local\Temp\中，实质是⼀个释放⽂件。该⽂件通过shell命令被执⾏，主要功能是在C：\user\⽤户名

\Appdata\Local\中创建⼀个名为“FONTCACHE.DAT”的⽂件，并在C：\user\⽤户名

\Appdata\Local\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\中创建了⼀个名为“{FC7D32E4-E9AD-4448-B751-865A6162FB99}.lnk”的⽂件。

2. {FC7D32E4-E9AD-4448-B751-865A6162FB99}.lnk主要⽤于在系统启动时启动该⽊马程序，保持与C&C服务器的通信。

3. FONTCACHE.DAT （md5: 3fa9130c9ec44e36e52142f3688313ff）作为⼀个dll⽂件，通过被执⾏，如下图

rundll32进程开始运⾏：

该⽂件被执⾏时，会调⽤进程对以下⽂件进⾏代码注⼊，⽅便后期调⽤进程，修改⽂件如下：

C：\Windows\appcompat\programs\RecentFileCache.bcf

C：\Windows\SoftwareDistribution\DataStore\DataStore.edb

C：\Windows\SoftwareDistribution\DataStore\Logs\edb.chk

双面钟C：\Windows\SoftwareDistribution\DataStore\Logs\edb.log

最后，FONTCACHE.DAT⽂件发挥其作⽤下载其他所需要的恶意软件，通过80端⼝与C&C服务器进⾏通信，发送HTTP-POST请求，寻求C&C服务器的指⽰，待接受服务器的命令后执⾏破坏⾏为。每⼀次通信，它将按照其配置数据上指⽰的值休眠X秒，并尝试发送信息并接受来⾃CnC服务器的新命令。

BlackEnergy⽊马攻击还原

攻击场景搭建

由于BlackEnergy 3可以感染Windows系统，并利⽤Office2013及以前版本的Word携带宏病毒，故在本次攻击还原过程中，作者选择了Windows 7 （64位）操作系统作为靶机。同时在靶机上安装了Office2007，并使⽤Word2007作为⽊马传播载体。

【注】：在进⾏⽊马攻击还原时，虚拟机需设置为仅主机模式下⼯作以保证其他⽹络主机的安全性。同时，需要关闭Windows防⽕墙等⼀系列安全机制。

1) 发送钓鱼邮件

在前⾔中介绍，这款BlackEnergy⽊马攻击对象是乌克兰右翼民族主义政党。所以发送的邮件内容与接收对象必须引诱接受者接受Word⽂档附件并打开。

在本次攻击还原场景中，我们假定攻击对象为某组织财务部（假定该组织财务部使⽤的是我们的靶机），故编写钓鱼邮件内容具体如下图所⽰：

2) 诱导靶机⽤户打开⽂件执⾏宏

想法与⽤户交流，诱导其开启宏并执⾏才能看到完整内容（⼀般来说，⽤户会根据提⽰，⾃⼰就会启⽤宏），⽤户选择启⽤宏后，该靶机便成为被感染blackenergy⽊马的主机。

可看到POST请求内容为base64编码的内容，将其进⾏解码后可以看到⼀些数据，如下图：

base64解码后如下图所⽰：

我们可以看到POST请求中包含了b_id，这可以使得C&C服务器能够区分在同⼀⽹络环境中是哪⼀台受感染主机在请求数据。

4）假设已建⽴与远程服务器的连接后，FONTCACHE.DAT可接收的4个命令如下：

删除-删除指定的⽂件

Ldplg-加载插件

Unlplg-卸载插件

Dexec-下载并执⾏⼆进制⽂件

5）接收命令后可进⾏如下破坏⼯作：

输⼊/输出（IO）操作，删除⽂件和擦除痕迹

收集系统信息

键盘记录器

密码窃取者

拍摄截图

远程访问，SSH或RDP

金属棒

⽊马⾏为分析

1) ⽂件分析

由word宏释放

三维网页由释放FONTCACHE.DAT⽂件和⽤于开机⾃启⽊马的.lnk⽂件

开机时由.lnk⽂件指向FONTCACHE.DAT⽂件，使其启动

由FONTCACHE.DAT⽂件与服务器进⾏交互安装其他恶意程序，等待破坏命令

样本有对NTUSER.DAT.LOG⽂件的读写(由FONTCACHE.DAT创建，初始为0字节)

C&C服务器发送破坏命令，位于靶机上的恶意程序开始破坏系统

2) 进程分析

结束进程，关闭Windows安全机制

主要结束两个进程：和

<是⼀个系统进程，⽤于微软Windows系统的安全机制。它⽤于本地安全和登陆策略的⼯作是开启⼀些主要的Vista-Win7、Win8后台服务，⽐如中央服务管理器Service Central Manager (SCM)，本地安全验证⼦系统Local Security Authority Subsystem (LSASS) 和本地会话管理器Local Session Manager (LSM.EXE)。

对系统中的进⾏代码注⼊，注⼊代码的主要功能是调⽤，由于FONTCACHE.DAT会寻求⽹络连接，故会启动进程

3) 注册表分析

在分析FONTCACHE.DAT程序时发现，其中的⼀个名为“PacketAllocatePacket”的函数通过执⾏后，造成了注册表的⼀些变化：

本文发布于:2024-09-24 05:27:41，感谢您对本站的认可！

本文链接：https://www.17tex.com/tex/1/149563.html

上一篇：2021-2022消防设施操作员之消防设备中级技能题库综合试卷B卷附答案

下一篇：变电站事故预想(修改)