網路間諜-目標:喬治亞政府(Georbot Botnet)
原文:http://dea.gov.ge/uploads/CERT%20DOCS/Cyber%20Espionage.pdf
譯者按: 這是一篇對 <<DUKES---||-持續七年的俄羅斯網路間諜組織大起底>>文章的補充文章. 披露的是喬治亞CERT在2011年對俄羅斯軍方駭客的一次調查. 文章中諸多亮點現在看還是常看常新:比如反制駭客的手段是誘使駭客執行了一個木馬. 另外將此篇文章對比最近ThreatCONNECT釋出的camerashy報告,讓我們不禁感慨的是,政府的反APT實在是比商業公司的反APT純粹多了,專業多了.
0x00 概述
2011年3月,喬治亞“計算機應急響應小組”(CERT)發現了一次網路攻擊事件,似乎是一起網路間諜活動。
在活動中使用的高階惡意軟體主要是收集與喬治亞,美國相關的敏感機密的安全檔案,然後再把這些資訊上傳到某些CC伺服器上(CC會經常變化)。
在調查了攻擊者利用的伺服器和惡意檔案後,我們發現這次網路攻擊活動與俄羅斯官方安全機構有關係。
在分析了web伺服器,惡意檔案和幾個指令碼後,我們發現:
- 一些與新聞行業相關的喬治亞網站被黑了。(惡意指令碼只注入到了頁面上,在這些頁面上出現了一些特定的資訊)
- 只要瀏覽了這些網頁,計算機就會感染未知的惡意程式。(當時,所有的防毒產品都無法識別這一威脅)
- 在執行時,惡意檔案會完全控制受感染的計算機。
- 在受害者計算機中搜尋 “敏感詞彙”。
- 使用內建的攝像頭和麥克風捕捉影片和音訊.
0x01 受害者
這次網路攻擊活動設計的十分聰明。多家與新聞相關的喬治亞網站都被黑了,並且只有幾個特定的新聞網頁遭到了篡改(比如,NATO delegation Visit in Georgia-NATO代表團訪問喬治亞, US- Georgian Agreements and Meetings-美國喬治亞協議與會面, Georgian Military NEWS-喬治亞軍事新聞)。
只有對這類資訊感興趣的使用者才會感染這個高階威脅,無論目標計算機和網路系統上使用了什麼安全防禦措施或軟體。這個威脅的加密程度很高,並且使用了最新的隱藏技術,因此,還沒有安全工具能識別這個威脅。
- www.caucasustimes.com - 關於高加索地區的新聞網站
- www.cei.ge - 高加索能源與基礎設施
- www.psnews.ge - 喬治亞新聞網站
ema.gov.ge
- www.opentext.ge
- www.presa.ge
- www.presage.tv
- www.psnews.info
- www.resonancedaily.com
0x02 木馬功能
完全控制受感染的計算機。 木馬會搜尋受害者MS Office和PDF中的敏感詞彙。
- 將任意本地硬碟上的檔案傳送到遠端伺服器
- 竊取憑據
- 在硬碟上搜尋Microsoft Word文件
- 在硬碟上搜尋遠端桌面配置檔案,pbk檔案
- 獲取螢幕截圖
- 使用麥克風記錄聲音
- 使用攝像頭記錄影片
- 掃描本地網路,識別同一網路中的其他主機
- 在受感染的系統上執行任意命令
0x03 敏感詞彙
最後,攻擊者會竊取匹配的檔案並上傳到伺服器。
0x04 CC伺服器
木馬會受根據受害者的地理位置相應的改變它的CC伺服器位置。
大約有390臺計算機受到了感染:
- 70%來自喬治亞
- 5% 來自美國
- 4% - 加拿大,烏克蘭,法國,中國
- 3% - 德國
- 3% - 俄羅斯
美國受感染的計算機例項
0x05 惡意檔案在逐漸進化和發展
2011年3月30日– 病毒竊取敏感的文件,證照
2011年9月14日– 更改了感染機制,使用了新的繞過AV,Firewall,IDS的方法.
2011年11月25日– 病毒的加密和混淆更復雜,支援感染Win7.
2011年12月月12日– 增加了影片錄製功能,可以透過網路掃描和感染計算機,更換了傳播途徑
病毒已經從2.1版本進化到了5.5版本。
0x06 感染機制
- 向合法網站注入script標籤或iframe標籤.
- 使用iframe標籤載入帶有載荷的iframe.php.
- Drive-By下載&執行calc.exe
- calc.exe在Explorer.exe中注入程式碼並自毀.
- 建立起維持作用的usbserv.exe病毒
第一步-注入指令碼
frame.php中的shellcode/漏洞載荷
- 我們發現了一個特別製作且經過混淆的frame.php檔案,在這個檔案中攜帶著一些漏洞程式碼,並且會把使用者重定向到其他的漏洞頁面:利用了CVE-2010-0842,CVE-2006-3730,MS06-057和其他未知的漏洞。
- frame.php中使用的漏洞程式碼是完成版的TrojanDownloader:JS/SetSlice,透過使用'WebViewFolderIcon' ActiveX控制元件(Web View)來利用漏洞MS06-057。
- 另外,還透過PDF,JAR檔案,利用了一些0-day漏洞
各大主要的防毒產品都沒能檢測出這些惡意檔案(1/4Virustoal,Dr.Web結果-可疑)。繞過了開啟防火牆的Win7 sp1。截止到25.03.2011,20.06.2011,16.01.2012,25.03.2012。
在執行後,木馬主要幹3件事:
- 在安裝bot前,先檢查這臺計算機所在的時區是不是UTC+3,UTC+4:
- 把自己注入到iexplorer.exe並與釣魚網站通訊,獲取CC地址
- 在Application Data目錄中建立usbserv.exe bot檔案。並寫入到Windows登錄檔中自動執行
0x07 Bot控制機制
- CC伺服器地址會硬編碼到木馬的二進位制檔案中.
- 如果所有的這些地址都無法連線,木馬會釣魚網站中讀取回連地址.(此處的釣魚網站指上文闡述的已經被駭客事先入侵的新聞網站)
0x08 新的木馬更新方法
新版本的木馬檔案,會用base64明文編碼,從不同的網站上同時下載,然後整合成一個檔案。
特點
- 搜尋敏感檔名字, 搜尋pdf,word,xls,text,rtf,ppt文件中的敏感字元.
- 從webcam中記錄影片:在Skype對話時,能夠捕捉直播流.
- 從CC Web控制皮膚修改木馬的程式碼檔案.
- 自建立的Packer,用匯編語言編寫的Cryptor(繞過A/V).
- 更新機制,基於明文編碼,同時從不同的CC伺服器上下載.
- 用ring0許可權開啟網路socket(繞過防火牆)/TDSS Rootkit修改.
0x09 受感染的組織
多數受感染的喬治亞計算機都是來自政府機構和關鍵資訊基礎設施。
目標:
- 內閣
- 議會
- 關鍵資訊基礎設施
- 銀行
- NGO
0x0A 響應過程
- 根據檢測,透過國家的三大主要ISP來攔截這6個CC IP地址(快速響應)
- CERT-GOV-GE確定所有受感染的喬治亞IP,並提供應對策略,清除這些工具.
- 與AV/IDS/IPS廠商合作,開發應對木馬威脅的工具和識別木馬的簽名(Microsoft, Eset, Snort, Cisco, Blacklists, Blocklists)
- 與FBI,國土安全域性,美國特勤局,美國CERT,德國CERT,烏克蘭CERT,波蘭CERT,微軟安全部合作
- 要求託管服務提供商自家的監控小組關閉攻擊伺服器.
- 執法部門獲取日誌檔案和系統映象進行取證分析.
0x0B 網路情報對抗(揭開攻擊者的面紗)
喬治亞CERT小組 獲取了CC伺服器的許可權,解密了木馬的通訊機制。在分析了所有收集到的資訊後,我們已經識別了網路攻擊者和攻擊組織的身份。
“在2008年,俄羅斯與喬治亞的網路戰期間”,兩家獨立的美國組織發現這些網路攻擊者與俄羅斯政府部門和組織存在關聯。
“United States Cyber Consequences Unit” and “Project Grey Goose”
Jefrey Carr, GreyLogic (為政府部門提供的網路情報服務) Sanjay Goel,紐約州資訊分析與保證中心, Mike Himley, *Eagle Intelligence的CEO/主席*
他們調查了整個針對喬治亞的網路攻擊活動,並且發現一個網路犯罪小組“Russian Business Network”與2008年的網路攻擊活動有關係。
他們已經報導,駭客使用的一些資源和憑據屬於 “俄羅斯國防部研究所”-國外軍事力量研究中心。
在2011-2012年期間,在這次新出現的網路間諜活動期間,我們又再次發現了背後的俄羅斯特工痕跡。
我們已經發現了:3點主要事實都指向了俄羅斯官方的政府組織。
Warynews.ru
– 用於控制受感染的喬治亞計算機 – 屬於 **Russian Business Network(在 Blacklist, Bad Reputation中提到) **的IP和DNS
www.rbc.ru
– 直接硬編碼在木馬程式碼中,如果所有通道都關閉了,則與攻擊者通訊。官方名稱“Russian Business Consalting” –官方網站,與RBN有關聯。
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c http://legalcrf.in/images/t/4b178e605583cca28c850943e805aabc.html
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf
http://legalcrf.in/images/4b178e605583cca28c850943e805aabc.jar
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/3
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1
Legalcrf.in –透過“admin@President.gov.ge”傳送垃圾郵件來傳播惡意檔案
0x0C 託管漏洞檔案
註冊人資訊不明確,透過印度Whois服務發現
Lubianka 13, Moscow. - 俄羅斯內務部, 後勤部- 組織開發和通訊系統, 組織發展和通訊系統,提升資訊和通訊技術和資訊科技保障;
在他旁邊的是:俄羅斯聯邦安全服務部 (FSB) – 莫斯科
在2012年3月,ESET安全公司公佈了一份報告-“Georbot: From Russia With Love” (根據我們小組的技術支援)
在此之後,俄羅斯新聞機構,根據ESET的報告散佈虛假訊息,指控喬治亞的政府網站上託管著惡意檔案(實際上遭到了駭客攻擊)。但是,他們沒有評論託管在不同國家的這6個真正的CC伺服器。
我們在實驗室中感染了我們的PC,然後向攻擊者提供了虛假的Zip文件,其中包含著他自己的病毒,檔名稱是“Georgian-Nato Agreement”。
我們建立了一個病毒檔名字是”Georgian-Nato Agreement”,隨後我們故意感染了駭客的木馬並誘使駭客偷去了我們製作好的病毒檔案. 最後駭客執行了這個病毒.
如此一來訪問駭客的CC控制皮膚,控制駭客的個人計算機就不在話下了。
然後,我們捕捉到了一個他的影片。也捕獲到了一個程式正在建立新的惡意模組。
我們已經從他的郵件中獲取到了一份俄語文件,在檔案中,他講解了如何使用這個惡意軟體感染目標。
我們發現他與德國和俄羅斯的駭客有聯絡。
然後,我們獲取到了他的所在城市,ISP,郵件等。
正在使用OllyDbg進行反彙編
Nickname: ESHKINKOT – 木馬可執行程式內部也出現了
相同的郵件地址,俄羅斯城市
在俄羅斯的 Xakep 論壇,尋求別人幫助他編寫EXPLOIT.
他使用的網路提供商名字,他所在的城市.
多個會議上都出現了關於此次事件的資訊:
- SSECI 2012 (關鍵基礎設施的安全,保障和效率) – Prague, Czech Republic 30 may – 01 June 2012*(with support of ONRG – Office of Naval Research Global) *
- 網路事件和關鍵基礎設施保護研討會 – Tallin, Estonia 18-19 June 2012
- NATO – 和平與安全科學 (SPS) - METU - 中東技術大學阿富汗IT專家分析喬治亞網路案例 , Turkey 21 May - 01 Jun 2012
相關文章
- Buckeye網路間諜組織正將數家中國香港機構作為攻擊目標2018-05-17
- 喬治亞成為歐亞大陸的加密貨幣挖礦中心2018-04-29加密
- APT30-網路間諜活動分析2020-08-19APT
- 在喬治亞,做一款奇幻風格的電子遊戲2021-03-10遊戲
- NEC向喬治亞提供基於面部識別技術的城市監控系統2018-03-07
- IPFS/Filecoin去中心化網路目標2020-11-10中心化
- 目標檢測網路之 YOLOv32018-10-17YOLO
- 巴林政府監控人權活動家,間諜軟體實現零點選感染2021-08-25
- 網際網路專案的特點和架構目標2024-07-11架構
- 一階段目標檢測網路-RetinaNet 詳解2022-12-23NaN
- 二階段目標檢測網路-FPN 詳解2022-12-16
- 抓間諜(強連通)2024-07-18
- FS社x喬治馬丁合作遊戲《Elden Ring》訪談2019-06-10遊戲
- 遭境外大規模網路攻擊,阿爾巴尼亞政府IT系統癱瘓2022-07-19
- 推進“網際網路+政府採購”,完善評標專家考核和退出機制2021-10-15
- 美媒曝光!美國政府使用間諜軟體監控世界各地手機使用者2023-04-06
- 二階段目標檢測網路-Faster RCNN 詳解2022-12-15ASTCNN
- 二階段目標檢測網路-Mask RCNN 詳解2022-12-19CNN
- 二階段目標檢測網路-Cascade RCNN 詳解2022-12-20CNN
- 俄羅斯駭客利用WinRAR漏洞針對大使館進行網路間諜行動2023-11-23
- DUKES----持續七年的俄羅斯網路間諜組織大起底2020-08-19
- 1998-2018年:統治網路的20家網際網路巨頭2019-01-06
- 德國指控俄羅斯駭客對北約智庫進行網路間諜攻擊2022-06-22
- 網路間諜自我感染遠端木馬、部落格平臺修補多個注入漏洞|1月11日全球網路安全熱點2022-01-11
- Web Worker應用之CORS攻擊實現botnet殭屍網路節點攻擊2021-09-09WebCORS
- 一澳大利亞駭客被指控自15歲起售賣14500份間諜軟體2022-08-01
- 研究人員警告:安全漏洞將允許基於5G網路的間諜活動2019-02-03
- 47.4mAP!最強Anchor-free目標檢測網路:SAPD2020-02-13
- 開原始碼:網路攻擊的下一個重點目標2022-02-23原始碼
- 研究顯示聯合國網際網路接入目標無法如期實現2020-04-17
- 2020Botnet趨勢報告 | 殭屍網路新冠疫情期間“沒閒著”,攻擊速度更快,手段多元更隱匿2021-01-25
- 威脅組織正在使用 ObliqueRAT 發起針對政府目標的攻擊2020-02-23
- 如何識別和避免間諜軟體2021-12-15
- 抖音國際版成為網路釣魚詐騙新目標2021-11-19
- 喬治城大學報告:在美國想要成功 學習好不如生得好2019-06-09
- 目標檢測(5):手撕 CNN 經典網路之 AlexNet(理論篇)2022-02-10CNN
- 目標檢測(6):手撕 CNN 經典網路之 VGGNet(理論篇)2022-02-28CNN
- 《Linux網路開發必學教程》0_課程定位:目標與安排2022-04-24Linux