清末枭雄【SSHBearDoor:BlackEnergy(黑暗力量)家族新宠 】—-武氏集团,什么东西最赚钱,幸运五张,想赚钱

网络干货 litianseo 7个月前 (06-28) 78次浏览 已收录 0个评论

正文:

  SSHBearDoor:BlackEnergy(黑暗力量)家族新宠  
BlackEnergy(黑暗力量)是一个被各种犯罪团伙使用多年的工具。在 2014 年的夏季,F-Secure 团队发现 Blackenergy 恶意软件的特定样本开始以乌克兰政府作为目标来收集情报。该恶意软件家族在 2007 年就已经存在,并在 2014 年曾卷土重来。同时,它在 2015 年也曾风光一度。FreeBuf 相关报道
SSHBearDoor 是一种 SSH Service 后门,BlackEnergy 家族利用这个后门攻击新闻媒体和电气能源行业。
ESET 最近发现,在针对乌克兰新闻媒体公司和电力行业的攻击中,BlackEnergy 木马最近被当作后门,释放 KillDisk(硬盘数据擦除)组件。在本文中,我们提供了 2015 年 ESET 发现的 BlackEnergy 样本细节,以及在攻击中所使用的 KillDisk 组件。此外我们还发现了一个未曾公布的 SSH 后门,这也是黑客访问感染系统的渠道之一。
2015 年 BlackEnergy 的进化
一旦激活后,变异的 BlackEnergy 会使用恶意软件探针来检查受感染的电脑是否为预定目标。如果是的话,常规的 BlackEnergy 会把自己的变种推送到系统。BlackEnergy 感染机制的细节,在我们的病毒公报和 F-Secure 的白皮书里都有描述。
??BlackEnergy 恶意软件将 XML 配置数据嵌入到 DLL 二进制流里:

除了 CC 服务器列表,BlackEnergy 配置还包含一个叫 build_id 的值。该值是一个特殊字符串,它被用来甄别受感染个体,或者是 BlackEnergy 恶意软件探针的感染尝试。这些字符串中使用字母和数字的组合,有时候可以揭示活动和目标的信息。
下面是我们在 2015 年发现的 Build ID 值:
2015en
khm10
khelm
2015telsmi
2015ts
2015stb
kiev_o
brd2015
11131526kbp
02260517ee
03150618aaa
11131526trk
由上面这些字符串组合,我们可以推测出一些特殊的意义。比如 2015telsmi,可能是包含了俄罗斯缩写 SMI(Sredstva Massovoj Informacii)。2015en 可能指的是能源,至于 Kiev 也看起来很明显。
KillDisk 组件
在 2014 年,一些变异的 BlackEnergy 木马包含了一个为破坏受感染系统而生的插件 dstr。而在 2015 年,BlackEnergy 团队开始使用新的破坏型组件,ESET 产品将其定义为 Win32/KillDisk.NBB、Win32/KillDisk.NBC 以及 Win32/KillDisk.NBD 变异木马。
这个组件的主要目的是破坏电脑上的数据,它会使用随机数据覆盖文件,并且让系统无法重启。
首个已知案例是 BlackEnergy 的 KillDisk 组件,事见 2015 年 11 月 CERT-UA 的文档。在那个案例中,大量新媒体公司在 2015 年乌克兰大选的时间被黑。文档里表示,关于大选的很大一部分视频材料和各种文档在那次攻击中被毁去。
值得注意的是,被用于针对这些媒体公司的 Win32/KillDisk.NBB 变种,更倾向于破坏各种类型的文件和文档。其配置里有一长串文件扩展作为目标,它会根据这个逐个去覆盖删除,其中文件后缀超 4000 个:

用于攻击能源公司的 KillDisk 组件与乌克兰那次是有点区别的,我们的样品分析表明,最新版本的主要变化有:
现在它会接受命令行参数,可以设置定时激活破坏型 payload。
删除 windows 事件日志:应用程序、安全设置启动项、系统相关。
不太关注对文件的删除,只有 35 个文件后缀。

它也能够删除系统文件,让系统无法启动,这是典型的破坏型木马。电力公司似乎也检测到一些 KillDisk 组件,专为破坏工业系统而设定。
一旦激活,这个 KillDisk 组件变种会寻找,并试图 kill 掉下面两个非标准进程:
komut.exe
sec_service.exe
可惜的是,我们并没有找到关于第一个进程 komut.exe 的信息。然而第二个进程则可能属于 ASEM Ubiquity 软件,它被用于工控系统(ICS)、或者 ELTIMA 系列以太网连接器。在进程被发现后,恶意软件并不是只将其 kill,而且还用随机数据覆盖掉了可执行文件。
SSH 后门
除了已经提到的恶意软件家族,我们还发现了一个 BlackEnergy 组织使用的有趣样本。在我们检测其中一个受感染服务器时,我们发现了一个程序,乍一看可能是一个叫 Dropbear SSH 的合法 SSH 服务端。
为了运行 SSH 服务端,黑客创建了一个 VBS 文件,内容如下:
Set WshShell = CreateObject(“WScript.Shell”)
WshShell.CurrentDirectory = “C:\WINDOWS\TEMP\Dropbear\”
WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789″, 0, false
这里我们可以看到,SSH 服务器接受对 6789 端口的连接。通过在受感染的网络里运行 SSH,黑客可以随时卷土重来。
然而出于某种原因,这是不够的。详细分析后,我们发现,SSH 服务端的二进制流实际上包含了一个后门:

在上图我们可以看到,该版本的 Dropbear SSH 会验证密码 passDs5Bu9Te7,然而才允许进入。同样的情况也适用于密钥配对,服务端包含一个预定义的常数公钥,只有在使用特定私钥才能认证成功。

ESET 把这个情况定义为 Win32/SSHBearDoor.A 木马。
IOC(攻击指示器)
下面是 BlackEnergy 的 CC 服务器列表:
5.149.254.114
5.9.32.230
31.210.111.154
88.198.25.92
146.0.74.7
188.40.8.72
感染后的 XLS 文档 SHA-1:
AA67CA4FB712374F5301D1D2BAB0AC66107A4DF1
BlackEnergy 轻量释放器 SHA-1:
896FCACFF6310BBE5335677E99E4C3D370F73D96
BlackEnergy 重级释放器 SHA-1:
896FCACFF6310BBE5335677E99E4C3D370F73D96
BlackEnergy 驱动 SHA-1:
069163E1FB606C6178E23066E0AC7B7F0E18506B
0B4BE96ADA3B54453BD37130087618EA90168D72
1A716BF5532C13FA0DC407D00ACDC4A457FA87CD
1A86F7EF10849DA7D36CA27D0C9B1D686768E177
1CBE4E22B034EE8EA8567E3F8EB9426B30D4AFFE
20901CC767055F29CA3B676550164A66F85E2A42
2C1260FD5CEAEF3B5CB11D702EDC4CDD1610C2ED
2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1
4BC2BBD1809C8B66EECD7C28AC319B948577DE7B
502BD7662A553397BBDCFA27B585D740A20C49FC
672F5F332A6303080D807200A7F258C8155C54AF
84248BC0AC1F2F42A41CFFFA70B21B347DDC70E9
A427B264C1BD2712D1178912753BAC051A7A2F6C
A9ACA6F541555619159640D3EBC570CDCDCE0A0D
B05E577E002C510E7AB11B996A1CD8FE8FDADA0C
BD87CF5B66E36506F1D6774FD40C2C92A196E278
BE319672A87D0DD1F055AD1221B6FFD8C226A6E2
C7E919622D6D8EA2491ED392A0F8457E4483EAE9
CD07036416B3A344A34F4571CE6A1DF3CBB5783F
D91E6BB091551E773B3933BE5985F91711D6AC3B
E1C2B28E6A35AEADB508C60A9D09AB7B1041AFB8
E40F0D402FDCBA6DD7467C1366D040B02A44628C
E5A2204F085C07250DA07D71CB4E48769328D7DC
KillDisk 组件 SHA-1:
16F44FAC7E8BC94ECCD7AD9692E6665EF540EEC4
8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569
6D6BA221DA5B1AE1E910BBEAA07BD44AFF26A7C0
F3E41EB94C4D72A98CD743BBB02D248F510AD925
VBS/Agent.AD 木马 SHA-1:
72D0B326410E1D0705281FDE83CB7C33C67BC8CA
Win32/SSHBearDoor.A 木马 SHA-1:
166D71C63D0EB609C4F77499112965DB7D9A51BB
*参考来源:WS,FB 小编 dawner 编译,转载请注明来自 FreeBuf 黑客与极客(FreeBuf.COM)清末枭雄,武氏集团

———————————-

相关阅读:
什么东西最赚钱,幸运五张,叶月レイラ封面番号 超美、超辣、超级骚叶月星美(小林るな)作品  

  【元朱颜词】

  解围之音日闻,而虏骑不退;报捷之旗日上,而境土不辟。所幸虏无谋耳。万一稍识兵机,阴行诡道,或多方以相误,或声东以击西,指偏师以缀诸城,率骁锐以迫江浒,而吾国奔命矣。自古教民而后用之,不教者谓之殃民。所谓教之者,非特行阵进止之法也。怯者常有以激其勇,勇者常有以养其气。明爵赏之可慕,而息其剽掠之风;察衣食之不阙,而销其饥寒之虑。然后正阶级以定其分,示好恶以观其智,将必使之知兵,兵必使之爱将。以此众战,始可集事。开禧冒昧用兵,不知兵法。取泗州上表未已,旋复陷没;取和尚原奏功未报,旋复失利。

  后魏宋琼母病,冬月思瓜。琼梦见人与瓜。觉得之手中,时称孝感。日本 DAISHIN 振动盘底座想赚钱


32w.net , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:http://www.32w.net/ganhuo/685.html
清末枭雄【SSHBearDoor:BlackEnergy(黑暗力量)家族新宠 】—-武氏集团,什么东西最赚钱,幸运五张,想赚钱
喜欢 (0)
[576801182@qq.com]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址