据安全公司 Palo Alto
Networks 报告,以前主要针对俄罗斯人的恶意攻击程序
Dimnie 今年瞄准了 Github 上的开发者。多名使用 Github
的开源开发者收到了钓鱼邮件,攻击者伪装成对他们的开源项目感兴趣,表示要进行合作,试图诱骗开发者点击附件。大致内容如下:

传播银行类木马的Office
0day漏洞,微步在线威胁情报通报。

近期,针对乌克兰境内电力基础设施的网络攻击活动一直持续不断。

澳门新葡萄京所有网站 1

编号:TB-2017-0003

昨天,我们的安全研究人员发现了针对乌克兰电力基础设施的新一轮网络攻击。在此次攻击事件中,乌克兰境内的多数电力企业的发电设备受到了攻击,随之而来的便是12月时所发生的大面积停电。其中特别有趣的一点是,黑客在进行此轮网络攻击时所使用的恶意软件并非恶意软件BlackEnergy,这一发现使得我们目前仍然无法确定此次攻击活动背后的始作俑者是谁。在此次攻击者所发现的恶意软件基于一个可以公开获取的开源后门,而这也会使得大家认为此次攻击事件并不是由某些国家或政府所主导的。

虽然这种类似的邮件开发者可能会受到很多,但每封钓鱼邮件都会携带相同的恶意
.doc
文档作为附件(SHA256:6b9af3290723f081e090cd29113c8755696dca88f06d072dd75bf5560ca9408e)。该文件包含嵌入式宏代码,使用
PowerShell 指令下载和执行恶意负荷。

报告置信度:90

BlackEnergy是一种木马病毒,从2007年Arbor网络公司首次发表了关于它的分析报告之后,该恶意软件的功能经历了非常巨大的变化。最初,这款恶意软件是一个相对简单的DDoS(分布式拒绝服务)木马,现在它已经演变成了一个拥有模块化结构的,整体架构十分复杂的恶意软件了。对于攻击者而言,这款恶意软件也就成为他们发送垃圾邮件,进行网上银行诈骗,以及发动有针对性攻击的得力工具了。根据戴尔公司安全部门于2010年发表的一篇文档,BlackEnergy在其第二个版本中就配备了rootkit技术。近期所发生的乌克兰停电事件也证实了网络犯罪分子仍然在使用这款恶意软件。

澳门新葡萄京所有网站 2

TAG:微软、Office、0day、漏洞、钓鱼邮件、Dridex

攻击详情

Dimnie
是一种高度模块化的恶意程序,能根据特定目标进行定制,从2014年开始就一直在隐秘的攻击俄罗斯人。它的功能包括了按键记录、屏幕截图、与插入的智能卡交互、提取
PC 信息,收集计算机上运行的进程信息,以及自毁。

TLP:黄 (仅限接受报告的组织内部使用)

此次攻击事件的大体情况与我们在之前的文章中所描述的并没有多大的区别。昨天,攻击者向目标主机发送了大量的钓鱼邮件。与之前的钓鱼邮件一样,这些邮件会附带一个恶意XLS文件。

编译自:infoworld

日期:2017-04-11

澳门新葡萄京所有网站 3
上图显示的是目标主机在2016年1月19日时接收到的钓鱼邮件。

(文/开源中国)    

更新

这封电子邮件包含有HTML格式的内容。邮件中带有一个指向.PNG文件(该文件位于一台远程服务器之中)的链接,目标用户在点击了这条链接之后,攻击者便会接收到相应的通知信息。这样一来,只要目标用户点击了链接,攻击者便会立刻知晓。值得一提的是,我们发现BlackEnergy组织在很久之前也曾使用过这种有趣的攻击技术。

微步在线于北京时间4月11日向相关客户发出了本预警报告。

澳门新葡萄京所有网站 4

北京时间4月12日,微软发布了该漏洞的紧急修复补丁,漏洞编号CVE-2017-0199。鉴于该漏洞广泛存在于Office所有版本,且目前已经用于真实的攻击中,因此我们建议Office用户尽快更新操作系统,使用微软最新补丁修补该漏洞。

上图显示的是电子邮件中的HTML内容,其中包含有一条指向远程服务器中PNG文件的地址链接。

微步在线预计,CVE-2017-0199作为Office流行漏洞的新宠,会在未来几年被越来越多的团伙用于真实攻击中。普通用户、企业用户以及企业信息安全管理人员需要对此保持高度警惕。

还有一个有趣的地方,这个PNG文件的文件名是一个经过了base64编码处理的字符串”
mail_victim’s_email”。

摘要

澳门新葡萄京所有网站 5

近日,国外安全厂商McAfee和FireEye发布文章称发现了一个Office零日漏洞被用于真实攻击中,且该漏洞适用于Office所有版本,危害性极高,但并未进一步披露相关攻击样本。

上图显示的是攻击者在此次攻击活动中所使用的恶意XLS文件。

微步在线成功监测发现了一批利用该漏洞进行攻击的样本。样本执行成功后,会下载银行类木马Dridex盗取用户的网银登陆凭证等信息。使用微步在线的狩猎系统发现了更多同类型Dridex木马,说明目前已经有团伙利用该零日漏洞传播银行类木马Dridex。其他发现还有:

这个启用了恶意宏的XLS文件与我们在之前的攻击活动中所发现的恶意附件很相似。这个XLS文件会尝试通过社会工程学的技术来欺骗钓鱼邮件的接收者忽略微软Office套件内嵌的安全提示信息,这样一来,目标主机将不可避免地执行恶意的宏命令。这份文件中的文字为乌克兰语,翻译成中文就是:请注意!这份文件是在最新版本的微软Office中创建的。系统需要启用相应的宏功能来显示文档中的内容。

从样本中分别提取了25条IOC和2条Yara规则,可用于内网失陷检测,具体IOC请参考附录。

执行了这个恶意宏命令之后,将会导致目标系统启动一个恶意木马下载程序,这个程序会尝试下载并执行远程服务器中的恶意攻击载荷。

从样本关联的C&C地址分析发现,攻击者主要通过钓鱼邮件传播银行木马Dridex,该木马会盗取用户的网银账号等信息,进一步可能会造成资金损失。

澳门新葡萄京所有网站 6

攻击样本通过邮件附件形式发送给目标用户,因此建议用户对不明来源的邮件保持高度警惕。

上图显示的是此事件中的部分恶意代码。

微步在线的威胁情报平台也已支持相关攻击的检测,如需微步在线协助检测,请与我们联系
contactus@threatbook.cn.

加载了恶意攻击载荷的服务器位于乌克兰境内,在得到了CERT-UA和CyS-CERT等机构的通知之后,该服务器目前已经下线。

详情

我们在进行分析之前,曾指望过这个最终的恶意攻击载荷就是恶意软件BlackEnergy。但在对此次事件进行了详细的研究和分析之后,我们发现这一次攻击事件中的攻击者使用的却是另一款恶意软件。攻击者使用了一个经过修改的开源gcat后门(这个后门程序采用了Python编程语言进行开发)。我们可以使用PyInstaller程序来将这个Python脚本转换成独立的可执行程序。

2017年4月7日、8日,McAfee和FireEye两家安全公司分别发布文章,称在一些钓鱼邮件的附件中检测到了恶意的Microsoft
Office文档,这些文档内嵌OLE对象,一旦该被打开就会从远程服务器下载伪装成正常RTF文件的恶意.HTA文件并执行,从而进一步下载更多恶意软件,不需要用户打开宏功能以及做更多操作。分析认为这些恶意文档利用了一个Office的0Day漏洞,该漏洞可影响所有Windows操作系统之上的所有Office版本,包括在Windows
10上运行的最新Office
2016,危害程度极高。目前发现最早的攻击事件可能发生在2017年1月下旬。

澳门新葡萄京所有网站 7

微步在线捕获了一批利用该漏洞的攻击样本,进一步分析发现相关攻击样本漏洞触发后,会下载银行木马Dridex,典型的样本执行流程如下:

上图显示的是GCat后门代码。

用户收到含有恶意附件的钓鱼邮件。

攻击者可以利用这个后门来下载可执行程序,并在目标主机中执行shell命令。除此之外,GCat后门还有很多其他的功能,例如屏幕截图、键盘记录以及上传文件等等,但这些功能都已经被攻击者从源代码中移除了。攻击者通过一个Gmail邮箱帐号来控制这个后门,这也使得我们对网络通信信息的检测变得更加的困难。

打开存在Office 0Day漏洞的附件文档。

ESET公司的威胁监测信息如下:

Word进程从攻击者控制的网站(btt5sxcx90.com)下载伪装的.HTA文件(template.doc)并启动。

VBA/TrojanDropper.Agent.EY

template.doc执行后会继续从btt5sxcx90.com下载一个可执行程序(7500.exe)和一个无害Word文档(sample.doc),启动7500.exe并打开内容空白的sample.doc迷惑受害者。

Win32/TrojanDownloader.Agent.CBC

7500.exe为一款名为Dridex网银木马,可进一步窃取用户的银行认证信息。

Python/Agent.N

微步在线将继续对该事件的相关攻击样本进行进一步分析,对背后的攻击团伙进行溯源分析,并及时将相关进展和发现同步给客户。

反思和结论

检测措施

我们很早之前就已经发现了这些攻击,并且将这些信息以文章的形式发布了出来。从我们发表了第一篇文章开始,相关的事件就得到了媒体的广泛关注。原因有以下两个方面:

建议直接部署微步在线威胁情报平台进行检测,或者使用附录的IOC结合日志检测:

l   这可能是历史上首次由恶意软件攻击所引起的大范围停电事件。

如,通过防火墙检查与IP
185.44.105.92的连接,或通过DNS日志检查附录中域名的请求记录。

l  
目前,主流媒体普遍认为这些攻击事件背后的始作俑者就是俄罗斯。因为,有多家网络安全公司表示使用BlackEnergy的黑客组织(Sandworm或Quedagh)是由俄罗斯政府所资助的。

行动建议

我们首先需要考虑的问题就是,这些停电事件是由恶意软件直接引起的,还是攻击者通过恶意软件对电力设备进行非法操作而引起的。虽然这两种观点之间存在技术方面的差异,而且我们在对恶意软件进行分析时,我们往往会对其中的细节信息感兴趣,但是从更高的一个层面而言,这些其实并不重要。事实上,这些攻击事件中最重要的一点就是:电力系统在感染了恶意后门之后,攻击者便可以对这些受感染的系统进行非法的远程访问。

利用微步在线提供的威胁情报或者威胁情报平台进行检测,及时响应。

其次需要考虑的问题则更加具有争议。正如我们在之前所描述的,在事件发生之后,对某些组织或国家进行指责是没有多大实际意义的,我们应该采取足够的安全措施来保证相应设备的安全性。目前,我们还没有发现任何的证据可以表明此次攻击事件背后的始作俑者是谁,我们现在仅能通过乌克兰当前的政治形势来推测攻击者的身份,但这样得出的答案并不可靠。但无论如何,根据我们目前所得到的信息,我们也只能进行这样的推测了。

加强内部人员安全意识培训,不要打开或下载邮箱中任何可疑Word文档。

总而言之,我们对这些针对乌克兰的攻击事件进行了分析和调查,但是并没有发现任何有价值的信息。从另一个角度来想,这种情况也提醒了我们不要草率地去下结论。

推荐打开windows自动更新,及时更新office补丁。

入侵信息

附录

IP地址:

C&C

193.239.152.131

185.44.105.92
64.79.205.100
185.25.184.214
木马文件SHA256

62.210.83.213
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规则

恶意XLS文件的SHA-1:

rule hta_0day {
   meta:
      description = “hta0day”
      author = ” Threatbook Labs “
      date = “2017-04-11”
      hash1 =
“dedb1b4fd183a8ae55e9e03511930f410ac15ba40071518b5fe0b5dd6f366543”

1DD4241835BD741F8D40BE63CA14E38BBDB0A816

   strings:
      $x1 =
“6d652f7468656d654d616e616765722e786d6c0ccc4d0ac3201040e17da17790d93763bb284562b2cbaebbf600439c1a41c7a0d29fdbd7e5e38337cedf14d59b”
ascii
      $s2 =
“{\creatim\yr2014\mo5\dy11\hr10\min8}{\revtim\yr2014\mo5\dy11\hr10\min9}{\version1}{\edmins1}{\nofpages1}{\nofwor”
ascii
      $s3 =
“\paperw12240\paperh15840\margl1800\margr1800\margt1440\margb1440\gutter0\ltrsect
” fullword ascii
      $s4 = “{\*\rsidtbl
\rsid1538866\rsid9006829\rsid9990342\rsid12982921}{\mmathPr\mmathFont34\mbrkBin0\mbrkBinSub0\msmallFrac0”
ascii
      $s5 =
“ffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff”
ascii
      $s6 =
“fffffffffffffffffdfffffffeffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffffff”
ascii
      $s7 =
“\widowctrl\ftnbj\aenddoc\trackmoves0\trackformatting1\donotembedsysfont0\relyonvml0\donotembedlingdata0\grfdocevents0”
ascii
      $s8 =
“0000000000000000000000000000000000000000000000000105000000000000}}”
fullword ascii
      $s9 = “\ssemihidden \sunhideused \spriority1 Default
Paragraph Font;}{\*” fullword ascii
      $s10 = “\lsdsemihidden1 \lsdunhideused1 \lsdqformat1
\lsdpriority39 \lsdlocked0 TOC Heading;}}{\*\datastore
010500000200000018000” ascii
      $s11 = “\lsdpriority70 \lsdlocked0 Dark List Accent
2;\lsdpriority71 \lsdlocked0 Colorful Shading Accent
2;\lsdpriority72 \lsdlock” ascii
      $s12 = “\lsdpriority67 \lsdlocked0 Medium Grid
1;\lsdpriority68 \lsdlocked0 Medium Grid 2;\lsdpriority69
\lsdlocked0 Medium Grid 3” ascii
      $s13 = “\lsdpriority69 \lsdlocked0 Medium Grid 3 Accent
1;\lsdpriority70 \lsdlocked0 Dark List Accent 1;\lsdpriority71
\lsdlocked0” ascii
      $s14 = “\lsdpriority67 \lsdlocked0 Medium Grid 1 Accent
4;\lsdpriority68 \lsdlocked0 Medium Grid 2 Accent
4;\lsdpriority69 \lsdloc” ascii
      $s15 = “\lsdpriority67 \lsdlocked0 Medium Grid 1 Accent
6;\lsdpriority68 \lsdlocked0 Medium      Grid 2 Accent
6;\lsdpriority69 \lsdloc” ascii
      $s16 = “\lsdpriority67 \lsdlocked0 Medium Grid 1 Accent
5;\lsdpriority68 \lsdlocked0 Medium Grid 2 Accent
5;\lsdpriority69 \lsdloc” ascii
      $s17 = “XMEN}{\rtlch\fcs1 \af0 \ltrch\fcs0
\insrsid9990342 ” fullword ascii
      $s18 = “\lsdsemihidden1 \lsdunhideused1 \lsdqformat1
\lsdlocked0 heading 5;\lsdsemihidden1 \lsdunhideused1
\lsdqformat1 \lsdlock” ascii
      $s19 = “\lsdsemihidden1 \lsdunhideused1 \lsdqformat1
\lsdlocked0 heading 2;\lsdsemihidden1 \lsdunhideused1
\lsdqformat1 \lsdlock” ascii
      $s20 =
“00000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000000”
ascii
   condition:
      ( uint16(0) == 0x0a0a and filesize < 80KB and ( 1 of ($x*) and
5 of ($s*) ) ) or ( all of them )
}
rule hta_0day_7500_exe {
   meta:
      description = “hta0day – 7500_exe”
      author = ” Threatbook Labs”
      date = “2017-04-11”
      hash1 =
“1598c156bbd6bf0753e5cf4e82e9fd415dc926f881e3c4f71b1f5fc0e32912c0”
   strings:
      $s1 = “reureueuhjjsnjehuweiw.pdb” fullword ascii
      $s2 = “|$o:\$o” fullword ascii
      $op0 = { 89 cf 89 84 24 bc 01 00 00 89 84 24 bc 01 00 00 } /*
Opcode */
      $op1 = { 89 51 04 89 01 a1 30 40 40 00 ff d0 83 ec 08 b9 } /*
Opcode */
      $op2 = { 35 c1 40 73 4d 89 44 24 74 89 e0 89 4c 24 70 8b } /*
Opcode */
   condition:
      ( uint16(0) == 0x5a4d and filesize < 400KB and ( all of ($s*)
) and all of ($op*) ) or ( all of them )
}
微软紧急发布Office更新补丁下载链接:

可执行文件的SHA-1:

920EB07BC8321EC6DE67D02236CF1C56A90FEA7D

BC63A99F494DE6731B7F08DD729B355341F6BF3D