安全黑客
当前位置:安全黑客文章资讯安全资讯安全新闻
日期:2018-12-01 23:30:00  来源:本站整理

从测试到武器化:OliRig组织Tempo恶意活动分析[安全新闻]

赞助商链接



  本文“从测试到武器化:OliRig组织Tempo恶意活动分析[安全新闻]”是由安全黑客为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

一、概述
在攻击的早期阶段,我们其实很难深入了解攻击者的节奏。通常,在侦查(Reconnaissance)和武器化(Weaponization)阶段,如果研究人员想要确定攻击者大致需要多久才能与目标直接进行交互,他们用于分析的数据少之又少。我们在对2018年8月攻击中东地区政府并投递BONDUPDATER恶意软件的组织进行持续分析的同时,观察到OliRig的一系列测试活动。我们有证据表明,这些测试活动与攻击中所使用的武器化交付文件具有关联性。
由于我们此前已经观察到OilRig在他们的交付文档和TwoFace WebShell上进行测试活动,因此这次也成功发现,OilRig在他们的开发过程中使用了一个测试组件。这一测试组件用于对其交付文档进行部分修改,并将其提交到在线反病毒扫描工具,从而确定所提交文件的被检测情况,从而找出规避检测的方法。利用这些在线扫描程序,攻击者可以迅速了解哪些反病毒引擎能够检测到恶意软件,在侧面为攻击者提供了一个“质量保证服务”。
为了确定OilRig恶意组织的时间线,我们比较了测试文件的创建时间、交付文档的创建时间以及攻击过程中鱼叉式网络钓鱼邮件的发送时间。我们发现,OilRig在对目标发起攻击的6天前就开始进行测试工作,并且在8月20日、21日和26日尝试进行了三次测试。测试人员在交付文档创建的8小时前创建了最终的测试文件,随即在20分钟后将交付文档通过鱼叉式网络钓鱼邮件发出。
二、测试活动
在调查OilRig组织利用最新版本的Boudupdater进行攻击的过程中,研究人员查找了OilRig利用过的其他Microsoft Office文档,从而希望找到在同一时期内用于其他攻击的恶意软件。我们找到OilRig制作的原始Microsoft文档后,重点对其进行了功能性分析。
我们的研究人员共计发现了11个额外的样本,这些样本分别在几个反病毒测试平台提交,如下表所示。这些样本似乎都是OilRig在开发和测试阶段创建的,所有这些文件都与最终的交付文档有众多相似之处。此外,下表中也包含了OilRig最近针对中东政府攻击所使用的文件N56.15.doc(7cbad6b3f505a199d6766a86b41ed23786bbb99dab9cae6c18936afdc2512f00)。在此测试期间,我们发现文档的名称中包含我们在此前攻击中见过的C&C,特别是文档XLS-withyourface.xls和XLS-withyourface – test.xls。由于这些文档在元数据、宏代码和包含C&C域名的文件名中具有高度相似性,因此我们认为,这些文件实际上是OilRig在8月26日发动攻击前的测试文件。有趣的是,尽管所有测试文件都是Microsoft Excel文档,但在实际攻击中使用的是Microsoft Word文档。

根据上述表格中的元数据,可以看出OilRig开发人员在针对目标发动攻击的6天前(8月20日)就开始创建这些测试文档。OilRig进行的所有测试活动都发生在8月26日的攻击之前。我们通过查看测试活动和攻击活动中相关文件的“上次修改日期”,很容易绘制出完整恶意活动的时间轴,如下图所示。

8月20日,有22个反病毒引擎检测到XLS-withyourface.xls的第一次迭代版本存在威胁,如下面的图表所示。在接下来的7分钟内,测试人员创建了另外两个样本,其检出数量降低了16,仅有6个反病毒引擎能够成功检出。测试过程中,检测率的最低值出现在测试阶段的早期,也就是8月21日。在上图的时间轴中,展示了测试活动的详细情况。最后一次测试迭代发生在实际攻击所使用的Word文档创建前不到8个小时。

上图的图表展现了在每次测试迭代期间,测试人员修改Excel文档时检测率的升降趋势。检测率的这些变化,能够让测试人员清楚的了解这些对文件的修改是否能避免被检出。在分析他们的测试活动时,我们将每次迭代中执行的更改数量(基于GitHub文件的修改记录,主要关注插入和删除的行数)与检测率进行比较,从而确定改动的多少是否与检测率的升降有关。结果表明,迭代1和迭代2之间只有很小的变动,然而检测率却发生了大幅下降。而迭代3和迭代4都进行了大量改动,检测率分别小幅下降和大幅增加。
站在一个较高的层面上来看,改动的代码量对于测试者来说并不重要,他们真正关注的是这一改动是否能够带来检测率的降低,以及是否能够提供有关如何规避检测的有用信息。其中的一个例子是,在迭代2中他们删除了使用“wscript”运行已经交付的VBScript的代码行,从而将检测率从16降低到6。最终,测试人员使用了这些测试迭代过程中获得的知识,创建了一个更难检测且能够成功实现攻击的交付文档。
三、测试过程中的迭代分析
我们对该恶意组织测试过程中的每次迭代版本进行了分析。我们进行分析的大致思路如下:
1、文件变化:比较两个文件的SHA256哈希值,以确定恶意组织对文件是否做出了更改。
2、文件名变化:比较两个文件的文件名。
3、时间差:在每个文件的元数据中,找到“已修改”的时间戳,并比较其时间差。
4、检测率变化:比较两个文件的检测率,从而发现测试迭代之间的变化对整体检测所产生的影响。
在每个迭代版本的分析中,重点关注针对交付文档中宏所做的更改。在比较文件代码差异的截图中也能直观的看到这些变化,红色背景的代码是删除的部分,绿色背景的代码是添加部分。
3.1 迭代0
在测试过程中,我们所监测到的第一个文档似乎不是由恶意组织创建的原始文档。因为,该Excel中包含名为__SRP_0的流,该流中似乎包含交付文档早先版本中的工件。__SRP_0流中包含工件,特别是一系列Base 64编码的字符串。将这些字符串进行解码之后,我们发现它几乎就是名为“AppPool.ps1”的Boundupdater PowerShell Payload脚本,该脚本在此前OilRig对中东政府发动攻击时,作为恶意软件((7cbad6b3f505a199d6766a86b41ed23786bbb99dab9cae6c18936afdc2512f00))的交付脚本。我们将__SRP_0中解码后的Base 64字符串与之前分析过的AppPool.ps1文件进行了比较,二者完全相同(包括withyourface[.]com这一C&C域名),唯一的区别是换行符和空格。

[1] [2] [3] [4]  下一页


  以上是“从测试到武器化:OliRig组织Tempo恶意活动分析[安全新闻]”的内容,如果你对以上该文章内容感兴趣,你可以看看安全黑客为您推荐以下文章:
  • 从测试到武器化:OliRig组织Tempo恶意活动分析
  • 本文地址: 与您的QQ/BBS好友分享!

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    免责条款 - 广告合作 - 下载声明 - 欢迎投稿 - 友情连接 - 网站地图 -
    Copyright © 2012-2013 www.110hack.com. All Rights Reserved .