?1 背景
APT28,俗稱奇幻熊組織,是俄羅斯的間諜團體。在2019年,該組織的活動出現了異常的頻繁。APT28的身影出現在從今年年初的智囊團入侵事件到隨后的大小攻擊中。奇幻熊的歷史已經非常悠久,2016年,該組織因為入侵美國民主黨全國委員會的電子郵件,試圖影響美國總統大選而聞名于世。該組織通常采用魚叉式網絡釣魚和0Day攻擊作為攻擊方式,并且他們使用的工具更新速度非常快。在2015年一年中,使用了不少于6種不同的0Day漏洞,這是一個相當大的工程,需要大量安全人員在常用的軟件中尋找大量的未知漏洞。
Zepakab下載器是通過對我單位捕獲到的樣本數據進行分析而得出的本次樣本分析結果。在此做一個簡單的分析,以窺探Zepakab的技術秘密。
2 樣本分析
在對樣本進行簡單分析后,我們發現該樣本已使用UPX進行殼加密,但未進行其他額外處理。使用UPX即可以正常將其解壓,生成正常的樣本。
?
在解壓后的樣本中,我們可以從資源RCData/SCRIPT中看到”AU3!”的字樣,并且在其代碼中可以看到一系列的證據,都可以表明,該樣本是由AutoIt編譯而來。AutoIt是一種類似于BASIc語言的編程語言,其主要用途是設計用于自動化操作windows圖形界面的程序。用這種語言開發惡意程序可以輕松避開反病毒軟件的檢測。
?
?
接著,我們會對Zepakab的AutoIt代碼進行反編譯,以提取其中的源代碼。可以看到,”main”函數是Zepakab的主要例程。主要功能是在循環中持續獲取系統信息、截取屏幕快照并將其發送給服務器。并且在需要的時候下載惡意樣本駐留在系統中。
?
在程序中,收集系統信息的操作是在“info”函數中完成的,該函數調用了“_computergetoss”函數。”_computergetoss”使用了Windows管理規范(WMI)的AutoIt接口,使用了查詢語句”select * FROM Win32_OperatingSystem”來查詢系統信息。
?
?
該惡意軟件通過下面的scr函數將桌面屏幕快照保存到”%TEMP% tmp.jpg”中。
在從服務器上下載了有效負載后,Zepakab會將它同過”crocodile”函數保存到”C: ProgramDataWindowsmicrosoftSettingssrhost.exe”中。
?
除了上述的主要功能,Zepakab還有一些獨特的功能。例如反虛擬機,它會查找一些當前比較重要的虛擬機文件、進程以及通過特別算法計算的標識,從而實現虛擬機逃逸。
?
此外,”_sofware”函數通過注冊表
“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall”
解析已安裝的軟件。同時,使用systeminfo命令獲取系統信息,并搜索進程并將它們添加到系統信息中。
?
這份代碼,并沒有使用復雜的混淆技術,所以可以輕松的看到Downloader的服務器地址是185.236.203.53,uri是”locale/protocol/volume.php”。使用http協議與服務器通信的Downloader會將數據進行base64編碼與加密,然后發送和接收數據。
?
3 總結
Zepakab在整個2019年是異常活躍的,雖然其開發方式非常簡單,但是其危害程度并不低,而且APT28組織也異常快速地更新他們的武器。正因為簡單的開發方式,其更新速度才得以更快。奇幻熊仍然主要使用他們慣用的方式進行攻擊,例如魚叉式攻擊、0Day漏洞等。奇幻熊組織能夠更有效地進行網絡攻擊,得益于這種低成本的開發方式。
