在此之前,乌克兰和波兰大量的国家机构和私营企业都曾遭受过恶意软件的攻击,这些恶意软件不仅可以探测网络,还可以允许攻击者在目标主机的系统中远程执行恶意代码。除此之外,这些恶意软件还可以收集目标系统硬盘驱动器中存储的数据。
除了乌克兰地区当前紧张的政治局势,在这些攻击事件中比较有意思的是,攻击者使用的是新版 BlackEnergy,BlackEnergy恶意软件家族拥有悠久的历史,攻击者可以利用其不同的传播机制来把恶意软件安装到目标用户的计算机中。
我们已经在 西雅图的病毒通报大会上发表了我们的研究报告。
BlackEnergy是一种木马病毒,从2007年 Arbor网络公司首次发表了关于它的分析报告之后,该恶意软件的功能经历了非常巨大的变化。最初,这款恶意软件是一个相对简单的DDoS(分布式拒绝服务)木马,现在它已经演变成了一个拥有模块化结构的,整体架构十分复杂的恶意软件了。对于攻击者而言,这款恶意软件也就成为他们发送垃圾邮件,进行网上银行诈骗,以及发动有针对性攻击的得力工具了。 根据戴尔公司安全部门于2010年发表的一篇文档,BlackEnergy在其第二个版本中就配备了 rootkit技术。近期所发生的乌克兰停电事件也证实了网络犯罪分子仍然在使用这款恶意软件。
BlackEnergy Lite:少即是多?
“常规版”的BlackEnergy木马目前仍然被网络犯罪分子们所广泛使用,但我们已经发现了这个恶意软件家族的一个木马变种,我们可以轻易地分辨出这类变种木马与之前的BlackEnergy木马之间区别在哪里。
由于BlackEnergy的变种版本不含有内核模式的驱动器组件,不支持插件,而且在攻击过程中并不会留下什么痕迹,所以我们将这一款恶意软件命名为BlackEnergy Lite(研究人员在2014年初首次发现了这一恶意软件的变种)。
有趣的是,该恶意软件的编写者也将其命名为了BlackEnergy Lite,研究人员从其早期的版本中提取出了核心DLL文件中的数据:
请注意,最新的BlackEnergy也引入了类似的机制,其中的内核模式驱动器只会在恶意软件向用户模式的进程中注入攻击载荷时才会使用到。其精简版则直接去掉了其中的驱动器。相反,它会采用一种更加”新颖“的技术来加载其核心DLL文件-即通过rundll32.exe来进行加载。F-Secure公司已经在之前所发表的 博文中提到了这样的演变。
不过,移除内核模式驱动器的做法也许会使得恶意软件的复杂程度降低,但这也是现在恶意软件的一种发展趋势了。以前,威胁程度排名靠前的几款恶意软件(例如 Rustock, Olmarik/TDL4, Rovnix以及其它的一些恶意软件)所使用的技术是十分复杂的,但这是几年前的事情了,以后将很少能够见到这种情况了。
这种发展趋势的背后可能有多种原因,你可以认为rootkit的开发人员面临了技术方面的障碍,比如说Windows系统驱动程序对程序签名的要求,或者现在UEFI安全引导系统的广泛应用。但其中最简单的一个原因就是开发这种架构复杂的恶意软件是非常困难的,其代价也是非常高的。除此之外,代码中的任何错误都会导致系统蓝屏。
当然了,完整版BlackEnergy与精简版的BlackEnergy Lite之间还有一些其他的差异,例如插件框架,插件存储,以及配置形式等等。
BlackEnergy的相关事件
BlackEnergy恶意软件家族在其整个发展历程中,可以用于实现攻击者的多种目的,包括DDoS(分布式拒绝服务)攻击,传播垃圾邮件,以及银行诈骗等等。我们所发现,攻击者可以利用这个恶意软件(包括BlackEnergy和BlackEnergy Lite)来进行有针对性的攻击。
在我们对僵尸网络的监测过程中,我们已经发现了上百个与此类攻击活动有关的受害者。而在这些攻击目标中,有一半位于乌克兰境内,另一半则位于波兰境内,其中还包括国家组织,各种企业和公司,以及一些我们无法识别的攻击对象。
在此之前,我们曾发现了一个存在于Microsoft Word中的漏洞- CVE-2014-1761。如果我们能够成功执行漏洞利用代码,我们就可以在目标系统的临时目录下注入两个文件:名为”WinWord.exe”的恶意攻击载荷,以及一个名为“Russian ambassadors to conquer world.doc”的诱饵文档。WinWord.exe可以提取并执行BlackEnergy Lite中的注入文件。诱饵文档中所包含的文字内容如下:
在此之后,我们还在BlackEnergy Lite中发现了另一个经过精心设计的文件。但这一次,该文件没有利用任何的漏洞。该文件的文件名为“список паролiв”,在乌克兰语中的意思为“密码列表”。很明显,这个文件就是一个带有Microsoft Word图标的可执行文件。
先不管它是否真的可执行,这个文件同样包含一个内嵌的诱饵文档,你应该能猜到吧!没错,就是一个密码列表。F-Secure公司在其发表的文章中也对其进行了详细描述,请点击 这里查看具体信息。
1 123456
2 admin
3 password
4 test
5 123
6 123456789
7 12345678
8 1234
9 qwerty
10 asdf
11 111111
12 1234567
13 123123
14 windows
15 123qwe
16 1234567890
17 password123
18 123321
19 asdf123
20 zxcv
21 zxcv123
22 666666
23 654321
24 pass
25 1q2w3e4r
26 112233
27 1q2w3e
28 zxcvbnm
29 abcd1234
30 asdasd
31 555555
32 999999
33 qazwsx
34 123654
35 q1w2e3
36 123123123
37 guest
38 guest123
39 user
40 user123
41 121212
42 qwert
43 1qaz2wsx
44 qwerty123
45 987654321
46 pass123
47 trewq
49 trewq321
49 trewq1234
50 2014如果你还需要了解更多有关BlackEnergy的信息,请查看我们在 病毒通报大会上所发表的文章。
玻璃钢生产厂家庆阳城市玻璃钢雕塑价格不锈钢景观玻璃钢彩绘雕塑厂中牟玻璃钢雕塑厂家上海大型商场美陈市场辽宁城市标志玻璃钢雕塑安阳玻璃钢浮雕铜雕塑厂家气球美陈如何和商场商谈六盘水玻璃钢雕塑厂江苏周年庆典商场美陈哪家好甘南玻璃钢动物雕塑设计四川特色商场美陈厂家供应广州商场美陈研发公司珲春玻璃钢门头雕塑深圳户外商场美陈生产公司内蒙古玻璃钢仿铜骆驼雕塑温州玻璃钢景观雕塑供货商济南玻璃钢鹿雕塑广东大型玻璃钢雕塑德兴玻璃钢胸像雕塑喷泉雕塑红鲤鱼玻璃钢雕塑秦淮商场圣诞美陈浙江室内商场美陈销售好用的商场美陈济南玻璃钢仿真动物雕塑甘肃玻璃钢瓜果雕塑深圳常用玻璃钢花盆襄阳小区玻璃钢雕塑制作广东大型主题商场美陈厂家直销小动物玻璃钢雕塑新密玻璃钢雕塑雕刻加工厂香港通过《维护国家安全条例》两大学生合买彩票中奖一人不认账让美丽中国“从细节出发”19岁小伙救下5人后溺亡 多方发声单亲妈妈陷入热恋 14岁儿子报警汪小菲曝离婚始末遭遇山火的松茸之乡雅江山火三名扑火人员牺牲系谣言何赛飞追着代拍打萧美琴窜访捷克 外交部回应卫健委通报少年有偿捐血浆16次猝死手机成瘾是影响睡眠质量重要因素高校汽车撞人致3死16伤 司机系学生315晚会后胖东来又人满为患了小米汽车超级工厂正式揭幕中国拥有亿元资产的家庭达13.3万户周杰伦一审败诉网易男孩8年未见母亲被告知被遗忘许家印被限制高消费饲养员用铁锨驱打大熊猫被辞退男子被猫抓伤后确诊“猫抓病”特朗普无法缴纳4.54亿美元罚金倪萍分享减重40斤方法联合利华开始重组张家界的山上“长”满了韩国人?张立群任西安交通大学校长杨倩无缘巴黎奥运“重生之我在北大当嫡校长”黑马情侣提车了专访95后高颜值猪保姆考生莫言也上北大硕士复试名单了网友洛杉矶偶遇贾玲专家建议不必谈骨泥色变沉迷短剧的人就像掉进了杀猪盘奥巴马现身唐宁街 黑色着装引猜测七年后宇文玥被薅头发捞上岸事业单位女子向同事水杯投不明物质凯特王妃现身!外出购物视频曝光河南驻马店通报西平中学跳楼事件王树国卸任西安交大校长 师生送别恒大被罚41.75亿到底怎么缴男子被流浪猫绊倒 投喂者赔24万房客欠租失踪 房东直发愁西双版纳热带植物园回应蜉蝣大爆发钱人豪晒法院裁定实锤抄袭外国人感慨凌晨的中国很安全胖东来员工每周单休无小长假白宫:哈马斯三号人物被杀测试车高速逃费 小米:已补缴老人退休金被冒领16年 金额超20万
发表评论
您还未登录,请先登录。
登录