作者:啟明星辰ADLab
一、分析背景
2017年9月6日,安全公司賽門鐵克發布消息稱,著名俄羅斯黑客組織“Dragonfly”近期活動更加頻繁。“Dragonfly”是一個專門以能源電力機構、ICS設備製造廠商、石油管道運營商等為攻擊目標的黑客組織,該黑客組織曾經攻擊過法國、德國、意大利、波蘭、土耳其、美國等歐美國家的能源公司。該黑客組織自2010年開始活躍,直到2014年被該公司披露后,一度停止了攻擊活動。最近發現的“Dragonfly”從攻擊目的和惡意代碼技術上都有所提升,被稱為“蜻蜓二代”或者“Dragonfly2.0”。目前的證據表明,實際上蜻蜓二代在2015年12月份就已經有了活動跡象。
二、蜻蜓二代惡意代碼組件描述
蜻蜓二代“Dragonfly2.0”和一代一樣,使用多種攻擊方式(惡意電子郵件、水坑攻擊和合法軟件捆綁)對目標進行滲透並植入惡意代碼。
蜻蜓二代攻擊組件簡單描述如下:
-
Backdoor.Dorshel組件採用逃避框架Sheller處理過的惡意代碼,實現其他惡意組件的下載執行;
-
Trojan.Karagany.B組件為Trojan.Karagany(蜻蜓一代中出現)的升級版,原始文件名為“install_flash_player.exe”,其偽裝成為Flash更新,黑客組織可能通過社交網絡或者水坑式攻擊提供Flash更新鏈接,誘使受害者點擊運行,該組件能夠感染系統並常駐於系統,並且還具有竊密文件回傳、遠程執行任意命令、下載擴展組件執行等功能;
-
Trojan.Heriplor組件為該黑客組織專用後門,第一代和第二代都有出現,用於下載惡意組件執行;
-
Trojan.Listrix組件主要用於收集受害者主機信息,其中包含計算機名稱、用戶名稱、文件列表、進程列表、操作系統版本、CPU信息等;
-
Hacktool.Credrix組件可用於竊取用戶憑證及其他敏感信息;
-
Backdoor.Goodor組件常駐於受害者主機,以實現額外組件的下載和執行;
-
Trojan.Phisherly組件會以郵件的形式進行傳播,主要用於竊取用戶憑證。
本文先對 Backdoor.Dorshel和Trojan.Karagany.B組件進行詳細的技術剖析,剩下的組件我們將會在後續的篇幅中進行分析闡述。
三、Dorshel 和 Karagany.B 組件詳細分析
(1)組件 Backdoor.Dorshel
該組件通過 Sheller 逃避框架進行了代碼處理,在一定程度能夠躲避安全軟件的監控。該框架將真實惡意代碼執行點切入到預執行代碼中執行,而在真實的入口函數中實現一些無害代碼,比如創建窗口程序執行正常合法行為。
我們通過分析發現,惡意代碼的運行時庫初始化代碼被做了劫持,被劫持的函數為多線程初始化函數_mtinit中的__calloc_crt函數。如下圖中所示,正常CRT代碼應該調用__calloc_crt函數。