安云网 - AnYun.ORG | 专注于网络信息收集、网络数据分享、网络安全研究、网络各种猎奇八卦。
当前位置: 安云网 > 技术关注 > 神兵利刃 > 攻击中东欧的间谍工具集|

攻击中东欧的间谍工具集|

时间:2016-08-28来源: 作者:felix点击:
图1图1在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术。它的目的是从政府或公共研究机构中窃取特定类…

shutterstock_311798621.jpg图1

//本文来自安云网

在过去的一年里,ESET检测并分析了若干有针对性的进行间谍活动的恶意软件,被称作SBDH工具集。它使用了强大的过滤器,多种通信方式以及非常有意思的驻留技术。

//copyright AnYun.ORG

它的目的是从政府或公共研究机构中窃取特定类型的文件,主要与中东欧的经济增长和合作相关。 //ANYUN.ORG

21-xbrsq-1024x706.png //内容来自AnYun.ORG

这个工具集将双扩展名的可执行文件附加到钓鱼邮件中(指望Windows默认隐藏扩展名),以这种方式进行传播。为了增加让接收者运行的机会,它使用了一些正常的微软应用程序或者Word文档的图标。

//安云网咨询系统

2-bfz08.png

//内容来自安云网

3-768x330.png

//ANYUN.ORG

一旦成功运行,恶意软件访问一个远程地址,下载工具集中其它两个重要的组件:一个后门和一个数据窃取工具。这些模块互相组合,攻击者不仅可以远程控制被攻下的机器,也可以高效地盗取数据。

//安云网咨询系统

使用文件扩展名,创建日期,文件大小以及其它条件,强大的过滤器可以指定要窃取的数据的详细信息。这些条件可以通过恶意软件的配置文件来修改。

//copyright AnYun.ORG

4-768x575.png

//ANYUN.ORG

由于这个间谍工具集里的所有组件都要与C&C服务器建立连接,恶意软件严重依赖于网络通信。 //ANYUN.ORG

为了增加通信的机会,它使用了多种连接方法。首先,它尝试使用HTTP协议。如果失败了,SBDH恶意软件会选择第二种方法,尝试通过SMTP协议访问免费的外部网关。 //内容来自安云网

最后的手段,它可以通过向Micrsoft Outlook Express注入一个构造的邮件来通信。在这种方式下,会以当前登录用户的身份发送注入的邮件。恶意软件可以绕过安全防护措施(假设用户有权限发送和接受邮件)。为了避免被发现,恶意软件产生的恶意消息会在发送之后直接移动到受害者的发件箱中。

//ANYUN.ORG

在接收命令时。恶意软件搜索受害者的收件箱,识别特定主题的邮件。如果工具集找到了这样的邮件,他们解析并检查恶意软件的命令。最后,修改这些邮件的主题,防止被恶意软件再次检查到。 //安云网,anyun.org

然而,最后一个方法只用到了2006年,那年,新的Windows Mail application代替了outlook Express。在那之后,工具集的开发者将注意力集中到了改进HTTP通信方法上,开始使用伪造的图像文件承载数据,来掩饰与C&C服务器的通信。 //本文来自安云网

5.png //本文来自安云网

以防C&C服务器的不能访问,后门组件还有另外一个备选方案,一个硬编码的指向图片的URL,图片包含了C%C服务器的地址。 //内容来自AnYun.ORG

6-1024x942.png //内容来自AnYun.ORG

这个工具的一些样本使用了一个有趣的驻留方法,恶意软件替换了Word文档的处理程序,当感染的系统尝试打开或编辑Word文档的时候,恶意软件就会执行。

//安云网咨询系统

最后,这个工具集的名称的来源。在下载者的编译路径中发现了“SBDH”字符串,而且“B64SBDH”字符串作为一个触发器,会触发从远程服务器下载其它剩下的组件。

//安云网咨询系统

7.png //ANYUN.ORG

SBDH间谍工具集说明,即便是高级威胁任然使用简单的攻击向量进行传播,比如恶意的邮件附件。当然,经过适当培训的员工可以认出这个危险行为,通过实现一个多层次的安全解决方案可以避免被攻击的危险。 //内容来自AnYun.ORG

哈希

//安云网咨询系统

1345B6189441CD1ED9036EF098ADF12746ECF7CB

//安云网,anyun.org

15B956FEEE0FA42F89C67CA568A182C348E20EAD

//ANYUN.ORG

F2A1E4B58C9449776BD69F62A8F2BA7A72580DA2 //内容来自AnYun.ORG

7F32CAE8D6821FD50DE571C40A8342ACAF858541 //安云网,anyun.org

5DDBDD3CF632F7325D6C261BCC516627D772381A //本文来自安云网

4B94E8A10C5BCA43797283ECD24DF24421E411D2 //本文来自安云网

D2E9EB26F3212D96E341E4CBA7483EF46DF8A1BE

//内容来自安云网

09C56B14DB3785033C8FDEC41F7EA9497350EDAE

//内容来自安云网

//copyright AnYun.ORG
//安云网咨询系统

*本文翻译自:http://www.welivesecurity.com/2016/07/01/espionage-toolkit-targeting-central-eastern-europe-uncovered/,译者:felix,转载须注明来自FreeBuf(FreeBuf.COM)

//安云网,anyun.org

顶一下
(0)
0%
踩一下
(0)
0%
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
验证码: 点击我更换图片
相关内容
推荐内容