原文：http://dea.gov.ge/uploads/CERT%20DOCS/Cyber%20Espionage.pdf

譯者按: 這是一篇對 <<DUKES---||-持續七年的俄羅斯網路間諜組織大起底>>文章的補充文章. 披露的是喬治亞CERT在2011年對俄羅斯軍方駭客的一次調查. 文章中諸多亮點現在看還是常看常新:比如反制駭客的手段是誘使駭客執行了一個木馬. 另外將此篇文章對比最近ThreatCONNECT釋出的camerashy報告,讓我們不禁感慨的是,政府的反APT實在是比商業公司的反APT純粹多了,專業多了.

0x00 概述

---

2011年3月，喬治亞“計算機應急響應小組”（CERT）發現了一次網路攻擊事件，似乎是一起網路間諜活動。

在活動中使用的高階惡意軟體主要是收集與喬治亞,美國相關的敏感機密的安全檔案，然後再把這些資訊上傳到某些CC伺服器上（CC會經常變化）。

在調查了攻擊者利用的伺服器和惡意檔案後，我們發現這次網路攻擊活動與俄羅斯官方安全機構有關係。

在分析了web伺服器，惡意檔案和幾個指令碼後，我們發現：

1. 一些與新聞行業相關的喬治亞網站被黑了。（惡意指令碼只注入到了頁面上，在這些頁面上出現了一些特定的資訊）
2. 只要瀏覽了這些網頁，計算機就會感染未知的惡意程式。（當時，所有的防毒產品都無法識別這一威脅）
3. 在執行時，惡意檔案會完全控制受感染的計算機。
4. 在受害者計算機中搜尋 “敏感詞彙”。
5. 使用內建的攝像頭和麥克風捕捉影片和音訊.

0x01 受害者

---

這次網路攻擊活動設計的十分聰明。多家與新聞相關的喬治亞網站都被黑了，並且只有幾個特定的新聞網頁遭到了篡改（比如，NATO delegation Visit in Georgia-NATO代表團訪問喬治亞, US- Georgian Agreements and Meetings-美國喬治亞協議與會面, Georgian Military NEWS-喬治亞軍事新聞）。

只有對這類資訊感興趣的使用者才會感染這個高階威脅，無論目標計算機和網路系統上使用了什麼安全防禦措施或軟體。這個威脅的加密程度很高，並且使用了最新的隱藏技術，因此，還沒有安全工具能識別這個威脅。

• www.caucasustimes.com - 關於高加索地區的新聞網站
• www.cei.ge - 高加索能源與基礎設施
• www.psnews.ge - 喬治亞新聞網站
• ema.gov.ge
• www.opentext.ge
• www.presa.ge
• www.presage.tv
• www.psnews.info
• www.resonancedaily.com

0x02 木馬功能

---

完全控制受感染的計算機。 木馬會搜尋受害者MS Office和PDF中的敏感詞彙。

• 將任意本地硬碟上的檔案傳送到遠端伺服器
• 竊取憑據
• 在硬碟上搜尋Microsoft Word文件
• 在硬碟上搜尋遠端桌面配置檔案，pbk檔案
• 獲取螢幕截圖
• 使用麥克風記錄聲音
• 使用攝像頭記錄影片
• 掃描本地網路，識別同一網路中的其他主機
• 在受感染的系統上執行任意命令

0x03 敏感詞彙

---

最後，攻擊者會竊取匹配的檔案並上傳到伺服器。

0x04 CC伺服器

---

木馬會受根據受害者的地理位置相應的改變它的CC伺服器位置。

大約有390臺計算機受到了感染：

• 70%來自喬治亞
• 5% 來自美國
• 4% - 加拿大，烏克蘭，法國，中國
• 3% - 德國
• 3% - 俄羅斯

美國受感染的計算機例項

0x05 惡意檔案在逐漸進化和發展

---

2011年3月30日– 病毒竊取敏感的文件，證照

2011年9月14日– 更改了感染機制，使用了新的繞過AV,Firewall,IDS的方法.

2011年11月25日– 病毒的加密和混淆更復雜，支援感染Win7.

2011年12月月12日– 增加了影片錄製功能，可以透過網路掃描和感染計算機，更換了傳播途徑

病毒已經從2.1版本進化到了5.5版本。

0x06 感染機制

---

1. 向合法網站注入script標籤或iframe標籤.
2. 使用iframe標籤載入帶有載荷的iframe.php.
3. Drive-By下載&執行calc.exe
4. calc.exe在Explorer.exe中注入程式碼並自毀.
5. 建立起維持作用的usbserv.exe病毒

第一步-注入指令碼

frame.php中的shellcode/漏洞載荷

1. 我們發現了一個特別製作且經過混淆的frame.php檔案，在這個檔案中攜帶著一些漏洞程式碼，並且會把使用者重定向到其他的漏洞頁面：利用了CVE-2010-0842，CVE-2006-3730，MS06-057和其他未知的漏洞。
2. frame.php中使用的漏洞程式碼是完成版的TrojanDownloader:JS/SetSlice，透過使用'WebViewFolderIcon' ActiveX控制元件（Web View）來利用漏洞MS06-057。
3. 另外，還透過PDF，JAR檔案，利用了一些0-day漏洞

各大主要的防毒產品都沒能檢測出這些惡意檔案（1/4Virustoal，Dr.Web結果-可疑）。繞過了開啟防火牆的Win7 sp1。截止到25.03.2011，20.06.2011，16.01.2012，25.03.2012。

在執行後，木馬主要幹3件事：

• 在安裝bot前，先檢查這臺計算機所在的時區是不是UTC+3，UTC+4：
• 把自己注入到iexplorer.exe並與釣魚網站通訊，獲取CC地址
• 在Application Data目錄中建立usbserv.exe bot檔案。並寫入到Windows登錄檔中自動執行

0x07 Bot控制機制

---

1. CC伺服器地址會硬編碼到木馬的二進位制檔案中.
2. 如果所有的這些地址都無法連線，木馬會釣魚網站中讀取回連地址.(此處的釣魚網站指上文闡述的已經被駭客事先入侵的新聞網站)

0x08 新的木馬更新方法

---

新版本的木馬檔案，會用base64明文編碼，從不同的網站上同時下載，然後整合成一個檔案。

特點

1. 搜尋敏感檔名字， 搜尋pdf，word，xls，text，rtf，ppt文件中的敏感字元.
2. 從webcam中記錄影片：在Skype對話時，能夠捕捉直播流.
3. 從CC Web控制皮膚修改木馬的程式碼檔案.
4. 自建立的Packer，用匯編語言編寫的Cryptor（繞過A/V）.
5. 更新機制，基於明文編碼，同時從不同的CC伺服器上下載.
6. 用ring0許可權開啟網路socket（繞過防火牆）/TDSS Rootkit修改.

0x09 受感染的組織

---

多數受感染的喬治亞計算機都是來自政府機構和關鍵資訊基礎設施。

目標：

1. 內閣
2. 議會
3. 關鍵資訊基礎設施
4. 銀行
5. NGO

0x0A 響應過程

---

1. 根據檢測，透過國家的三大主要ISP來攔截這6個CC IP地址（快速響應）
2. CERT-GOV-GE確定所有受感染的喬治亞IP，並提供應對策略，清除這些工具.
3. 與AV/IDS/IPS廠商合作，開發應對木馬威脅的工具和識別木馬的簽名（Microsoft, Eset, Snort, Cisco, Blacklists, Blocklists）
4. 與FBI，國土安全域性，美國特勤局，美國CERT，德國CERT，烏克蘭CERT，波蘭CERT，微軟安全部合作
5. 要求託管服務提供商自家的監控小組關閉攻擊伺服器.
6. 執法部門獲取日誌檔案和系統映象進行取證分析.

0x0B 網路情報對抗（揭開攻擊者的面紗）

---

喬治亞CERT小組 獲取了CC伺服器的許可權，解密了木馬的通訊機制。在分析了所有收集到的資訊後，我們已經識別了網路攻擊者和攻擊組織的身份。

“在2008年，俄羅斯與喬治亞的網路戰期間”，兩家獨立的美國組織發現這些網路攻擊者與俄羅斯政府部門和組織存在關聯。

“United States Cyber Consequences Unit” and “Project Grey Goose”

Jefrey Carr, GreyLogic (為政府部門提供的網路情報服務) Sanjay Goel,紐約州資訊分析與保證中心， Mike Himley, *Eagle Intelligence的CEO/主席*

他們調查了整個針對喬治亞的網路攻擊活動，並且發現一個網路犯罪小組“Russian Business Network”與2008年的網路攻擊活動有關係。

他們已經報導，駭客使用的一些資源和憑據屬於 “俄羅斯國防部研究所”-國外軍事力量研究中心。

在2011-2012年期間，在這次新出現的網路間諜活動期間，我們又再次發現了背後的俄羅斯特工痕跡。

我們已經發現了：3點主要事實都指向了俄羅斯官方的政府組織。

Warynews.ru – 用於控制受感染的喬治亞計算機 – 屬於 **Russian Business Network(在 Blacklist, Bad Reputation中提到) **的IP和DNS

www.rbc.ru – 直接硬編碼在木馬程式碼中，如果所有通道都關閉了，則與攻擊者通訊。官方名稱“Russian Business Consalting” –官方網站，與RBN有關聯。

http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c 
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf 
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c http://legalcrf.in/images/t/4b178e605583cca28c850943e805aabc.html 
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf 
http://legalcrf.in/images/4b178e605583cca28c850943e805aabc.jar 
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/3 
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1

Legalcrf.in –透過“admin@President.gov.ge”傳送垃圾郵件來傳播惡意檔案

0x0C 託管漏洞檔案

---

註冊人資訊不明確，透過印度Whois服務發現

Lubianka 13, Moscow. - 俄羅斯內務部， 後勤部- 組織開發和通訊系統， 組織發展和通訊系統，提升資訊和通訊技術和資訊科技保障；

在他旁邊的是：俄羅斯聯邦安全服務部 (FSB) – 莫斯科

在2012年3月，ESET安全公司公佈了一份報告-“Georbot: From Russia With Love” (根據我們小組的技術支援)

在此之後，俄羅斯新聞機構，根據ESET的報告散佈虛假訊息，指控喬治亞的政府網站上託管著惡意檔案（實際上遭到了駭客攻擊）。但是，他們沒有評論託管在不同國家的這6個真正的CC伺服器。

我們在實驗室中感染了我們的PC，然後向攻擊者提供了虛假的Zip文件，其中包含著他自己的病毒，檔名稱是“Georgian-Nato Agreement”。

我們建立了一個病毒檔名字是”Georgian-Nato Agreement”,隨後我們故意感染了駭客的木馬並誘使駭客偷去了我們製作好的病毒檔案. 最後駭客執行了這個病毒.

如此一來訪問駭客的CC控制皮膚,控制駭客的個人計算機就不在話下了。

然後，我們捕捉到了一個他的影片。也捕獲到了一個程式正在建立新的惡意模組。

我們已經從他的郵件中獲取到了一份俄語文件，在檔案中，他講解了如何使用這個惡意軟體感染目標。

我們發現他與德國和俄羅斯的駭客有聯絡。

然後，我們獲取到了他的所在城市，ISP，郵件等。

正在使用OllyDbg進行反彙編

Nickname: ESHKINKOT – 木馬可執行程式內部也出現了

相同的郵件地址，俄羅斯城市

在俄羅斯的 Xakep 論壇，尋求別人幫助他編寫EXPLOIT.

他使用的網路提供商名字,他所在的城市.

多個會議上都出現了關於此次事件的資訊：

1. SSECI 2012 (關鍵基礎設施的安全，保障和效率) – Prague, Czech Republic 30 may – 01 June 2012*(with support of ONRG – Office of Naval Research Global) *
2. 網路事件和關鍵基礎設施保護研討會 – Tallin, Estonia 18-19 June 2012
3. NATO – 和平與安全科學 (SPS) - METU - 中東技術大學阿富汗IT專家分析喬治亞網路案例 , Turkey 21 May - 01 Jun 2012