PDF《乌克兰电厂攻击事件》

7 |

24 样本的启动方式 ? 执行带有宏(VBA 代码)的XLS 文件,该文件会释放出 C:\Users\Dell\AppData\Local\Temp\vba_macro.exe,vba_macro.exe 会进行 RPC 通道监听,并创建 C:\Users\Dell\AppData\Local\FONTCACHE.DAT 文件,设置开机自启动.FONTCACHE.DAT 文件会 进行网络连接,下载文件,包括 SSH 后门与驱动程序等. ? 开机自启动. vba_macro.exe 会创建一个 C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{AAE98887-6CBF-4625-A18F-ED75766421C2}.lnk,该文件实际执行的操作 是:%windir%\System32\rundll32.exe C:\Users\Dell\AppData\Local\FONTCACHE.DAT ,#1, 用于 开机自启动. ? 以服务形式开机启动.SSH_Backdoor.exe(dropbear.exe)由服务管理器自动启动. 样本结构 该样本是一个复合型样本,包含多个文件. 表1各个文件的基本信息介绍 文件类型 MD5 功能 XLS 97b7577d13cf5e3bf39cbe6d3f0a

7732 ? 释放文件并执行 C:\Users\Dell\AppData\Local\Temp\vba_macro.exe Vba_macro.exe abeab18ebae2c3e445699d256d5 f5fb1 ? 获取网卡详细信息 ? 创建文件并执行 C:\Users\Dell\AppData\Local\FONTCACHE.DAT ? 自删除 FONTCACHE.D AT cdfb4cda9144d01fb26b5449f9d18 9ff ? 创建线程(0x10011C91),作为 RPC 服务端程序, 进行 RPC 通道监听 ? 代码注入与文件下载 Droper2.exe 1d6d926f9287b4e4cb5bfc271a16 4f51 ? 释放并执行驱动文件 C:\Windows\system32\drivers\*.sys ? 获取、还原文件 user32.dll.mui 的所有权 Driver.sys 32bit 0d2022d6148f521c43b9573cd79e ad54 e60854c96fab23f2c857dd6eb745 961c 97d6d1b36171bc3eafdd0dc07e7a 4d2d 1e439a13df4b7603f5eb7a975235 065e a0b7b80c3c1d9c1c432a740fa17c6

126 60d3185aff17084297a2c4c2efdab dc9 ? 驱动被 Installer 加载后,首先执行解压脱壳,然后 创建设备驱动,名字为: \\DosDevices\\{C9059FFF-1C49-83E8-4F16387C 720}、 \\DosDevices\\{C9059FFF-1C49-4445-83E8-4F16 387C3800},用来与用户端(main.dll)通信;

之后 进行代码注入, 将shellcode 写入在 svchost.exe 中 申请的内存空间,再通过 APC 线程注入方式注入 svchost.exe. ? 注入的 shellcode 与Rootkit 代码, 黑客统一使用了 通过压栈 API 函数的 HASH 值, 调用_GetFuncAddr 动态获取 API 函数地址, 用来干扰和对抗逆向分析. ? 驱动文件均伪装成微软的系统文件,不过没有合法

8 |

24 03e9477f8da8f6f61b03a01d5a389 18f ed55997aada076dc61e20e1d1218 925a 2cae5e949f1208d13150a9d492a7 06c1 签名(USB MDM Driver、AMD IDE driver). ? 通过定位 windows 内核(ntoskrnl.exe)及关键链 接库(hal.dll)中的数据,获取要调用的函数,为 了保证程序尺寸足够小,通过保存要获取函数的函 数名 hash 值,获取函数地址时,通过 hash 碰撞定 位函数地址;

其中 windows

32 位驱动程序均进行 了加壳处理. ? APC 注入的原理是利用当线程被唤醒时 APC 中的 注册函数会被执行的机制,并以此去执行我们的 DLL 加载代码,进而完成 DLL 注入的目的. 64bit d98f4fc6d8bb506b27d37b89f7ce 89d0 18e7885eab07ebfb6d1c9303b992 ca21 97b41d4b8d05a1e165ac4cc2a8ac 6f39 979413f9916e8462e960a4eb7948 24fc c2fb8a309aef65e46323d6710ccd d6ca 956246139f93a83f134a39cd55512 f6d 66b96dcef158833027fcf222004b 64d8 0037b485aa6938ba2ead234e211 425bb SSH_Backdoor. exe (dropbear.exe ) fffeaba10fd83c59c28f025c99d063 f8 ? 这个文件是一个 SSH 服务器程序, 是从现有的第三 方SSH 服务端 dropbear 的代码修改的.使用了内 置的默认密码(passDs5Bu9Te7)进行登录验证. Killdisk.exe 72bd40cd60769baffd412b84acc0

3372 ? 以服务启动 创建 C:\Windows\svchost.exe 文件,将自己的代 码写入到该文件中,然后将该文件作为服务启动.启动 过程可以设置不同的参数,实现不同的功能 ? 枚举系统进程并提升进程权限 ? 设置系统注册表配置项 ? 获取关机权限、关机 ? 终止进程 wininit.exe,lsass.exe 7361b64ddca90a1a1de43185bd50 9b64 ? 获取系统权限 ? 清除系统日志 ? API 编码、保护 cd1aa880f30f9b8bb6cf4d4f9e41d df4 ? 硬盘设备 PhysicalDrive%Num% (Num 从0到10) 清零 66676deaa9dfe98f8497392064ae fbab ? 多种文件类型的处理