研究报告
[非官方中译文]针对格鲁吉亚政府的网络间谍事件
作者:格鲁吉亚政府CERT、LEPL数据交换局、格鲁吉亚司法部
1 摘要
2011年3月,格鲁吉亚CERT(格鲁吉亚共和国政府“计算机应急响应小组”)发现网络攻击事件,此次攻击疑似网络间谍活动。
高级恶意软件收集关于格鲁吉亚和美国安全文件的机密敏感信息,随即将这些信息上传到某些特定的C&C服务器(这些服务器根据杀毒工具的检测时常变化)。
在调查攻击者控制的服务器和恶意文件后,我们发现这起攻击事件与俄罗斯官方安全机构有关。
通过分析Web服务器、恶意文件及各种脚本,我们得出以下结论:
①涉及格鲁吉亚新闻的网站被黑。
(只针对含有特定信息的网页注入恶意脚本)
②访问注入恶意脚本的网页之后,计算机会被恶意程序感染。
(发现感染第一时间内,任何专杀工具都无法检测到这一威胁)。
③ 当这些恶意脚本被执行时,它们会完全控制受感染机器。
④恶意程序可在文档里搜索敏感词汇。
⑤通过内置摄像头和麦克风抓取音频和视频文件。
2 攻击目标
网络攻击事件都经过非常巧妙的部署。某些特定的包含格鲁吉亚相关新闻网页被黑(例如,《北约代表团访问格鲁吉亚》;《美国-格鲁吉亚协议会议》和《格鲁吉亚军事新闻》等)。
尽管目标计算机和网络系统上安装了安全防范措施和杀毒软件,但这种高级威胁软件仍能成功感染涉及此类敏感信息的计算机或网络。这种攻击手段高度加密的同时,还使用了现代隐匿技术,因此没有安全检测工具能够识别它。
www.caucasustimes.com– 高加索地区相关新闻网站
www.cei.ge – 高加索地区能源和基础设施网站
www.psnews.ge – 格鲁吉亚新闻网站
ema.gov.ge
www.opentext.ge
www.presa.ge
www.presage.tv
www.psnews.info
www.resonancedaily.com
*译者注:原文中突然出现上述域名,且没有配套说明文字,应系前文“某些特定的包含格鲁吉亚相关新闻网页”对应的URL列表。
3 恶意软件功能
完全控制受感染机器。
恶意文件从微软办公软件和PDF文档里搜索敏感词汇。
• 发送任何本地硬盘驱动器文件至远程服务器;
• 窃取证书;
• 搜索硬盘驱动器里的Microsoft Word文档里的敏感词汇;
• 搜索硬盘驱动器查找远程电脑配置文件和pbk文件;
• 抓取截图;
• 使用麦克风录制音频文件;
• 使用网络摄像头录制视频;
• 扫描同一局域网络内的其他主机;
• 在受感染的机器上执行任意命令。
敏感词汇
攻击的最后一步是窃取匹配的文件并将其上传至服务器。
4 C & C 服务器
2010年9月—georgiaonline.xp3.biz (美国)FreeWebHostingArea.com
2011年3月—ema.gov.ge (格鲁吉亚)被黑的Web服务器
2011年4月—178.32.91.70 (法国)OVH虚拟机
2011年6月—88.198.240.123 / 88.198.238.55 (德国)DME虚拟机
2011年10月—94.199.48.104 (匈牙利)Net23.hu
2011年11月—173.212.192.83 (美国)
2011年12月—31.31.75.63 (捷克共和国)
2012年1月—31.214.140.214 (德国)DME虚拟机
2012年3月—78.46.145.24 (德国)DME虚拟机
这些服务器根据安全工具的检测改变目标国家和IP地址。
共有390台受感染机器:
• 70%位于格鲁吉亚
• 5%位于美国
• 4%位于加拿大,乌克兰,法国和中国
• 3%位于德国
• 3%位于俄罗斯
来自美国受感染机器的信息:
5 恶意文件不断的改善和扩散
2011年3月30日 —— 病毒窃取文档和证书信息
2011年9月14日 —— 改变感染机制,绕过专杀工具/防火墙/IDS的新方法
2011年11月25日—— 病毒使用更复杂的加密算法,感染Windows 7系统
2011年12月12日 —— 增加视频录制功能,通过网络扫描和感染计算机,改变传播途径。
此病毒包含2.1到5.5之间的版本。
6 感染机制
1. 向合法Web站点注入脚本或iFrame;
2. iframe 的Frame.php包含漏洞开发包;
3. 网页挂马并执行calc.exe程序;
4. Calc.exe向Explorer.exe注入自毁代码块;
5. 创建顽固的usbserv.exe病毒。
第一步:注入脚本
frame.php内的Shellcode /开发包文件
1) 我们发现一个经过精心构造和代码经过混淆的frame.php文件,该文件内嵌溢出攻击代码,可将用户重定向至其他存在漏洞的网页:该文件使用CVE-2010-0842,CVE-2006-3730, MS06-057和其他未知漏洞。
2) frame.php使用的溢出代码通过Trojan Downloader:JS/SetSlice加密,该病毒通过“WebViewFolderIcon”的ActiveX控件利用MS06-057漏洞。
3) 一些用来攻击PDF和JAR文件的0day漏洞。
未经主要杀毒产品检测到的恶意软件
(1/47 Virustoal, Dr.Web 检测结果—可疑文件)
绕过经防火墙启用修复的Windows 7SP1:
25.03.2011, 20.06.2011, 16.01.2012, 25.03.2012
恶意软件运行后,执行以下行为:
– 安装bot之前检查计算机是否位于UTC+3, UTC+4时区;
– 将自身注入iexplorer.exe,与被感染站点通信,供C&C地址检索;
– 在应用程序数据目录里创建usbserv.exe bot文件,把它写入windows注册表自动运行。
7 Bot控制机制
1) 在恶意程序的二进制文件里写入C&C服务器地址。
2) 如果所有的C&C服务器都无法访问含有特殊头的html页面,那么这个页面就是被感染的格鲁吉亚政府站点之一:
8 恶意软件升级新方法
恶意软件的新版本是从不同服务器上同时下载的经过base64编码的纯文本组合而成的文件。
9 恶意软件新特性
1) 搜索文件名及pdf, word, xls, txt, rtf, ppt文档里的敏感词汇;
2) 通过Web摄像头录制skype会话和现场直播内容的视频文件;
3) 修改C&C Web 控制面板的恶意代码;
4) 使用汇编语言自创开发包和加密算法(躲避AV);
5) 更新感染机制及来自不同C&C服务器且被编译过的明文(躲避IPS/IDS);
6) 在0环打开网络Socket(躲避防火墙)/ TDSS Rootkit修改。
10 感染对象
格鲁吉亚被感染的大部分机器来自政府机构或者关键信息基础设施部门。
10.1 攻击目标
1) 政府各部门
2) 议会
3) 关键信息基础设施部门
4) 银行
5) 非政府组织
10.2 应急响应步骤
1) 根据该国3个主要ISP(互联网服务提供商)的检测,阻断每一个C&C IP地址(立即响应);
2) 格鲁吉亚CERT确定所有位于格鲁吉亚地区被感染的IP,并向受感染的机构和组织提供应对策略和病毒清除工具;
3) 结合杀毒软件和IDS/IPS方案,创建清除工具和签名(Microsoft, Eset, Snort, Cisco,各类黑名单);
4) 与FBI,美国国家安全局,美国机密服务机构,美国CERT, 德国CERT, 乌克兰CERT, 波兰CERT及微软网络安全事业部合作;
5) 虚拟机服务提供商小组,关闭实施攻击的服务器;
6) 执法机构获取日志文件和系统映像,进行相关分析。
10.3 打击网络犯罪(揭开攻击者的面纱)
格鲁吉亚CERT获取访问C&C服务器权限,解密其通信机制和恶意文件。经过对所收集信息的深入分析,确定了实施此次攻击的组织和个人。
在2011—2012年间,新一轮的网络间谍战里,我们再次发现俄罗斯安全局的身影。
我们已经发现3个指向俄罗斯国家官方组织的重要事实。
Warynews.ru——用来控制格鲁吉亚计算机的站点——IP和域名服务器属于俄罗斯商业网(各个黑名单均有提及,臭名昭著的网站)。
www.rbc.ru——被直接写入恶意程序里,用于在其他所有通信渠道被关闭的条件下,与攻击者通信。官方名称“Russian Business Consalting”——官网,与俄罗斯商业网相连。
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c
http://legalcrf.in/images/t/4b178e605583cca28c850943e805aabc.html
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf
http://legalcrf.in/images/4b178e605583cca28c850943e805aabc.jar
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/3
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1
Legalcrf.in —— 通过来自admin@President.gov.ge的垃圾邮件发送恶意文件。
10.4 主机漏洞文件
模糊的域名注册商, 只有印度的WHOIS服务才能发现。
莫斯科,卢比扬卡13号——俄罗斯内政部,物流学系。
——组织开发通讯系统,促进信息通信技术和信息保护技术。
俄罗斯联邦安全局(FBS)——莫斯科。
2012年3月,ESET公司发布名为《Georbot:From Russia With Love》(Georbot: 来自俄罗斯的爱)的报告。随后,俄罗斯新闻机构根据ESET的报告,借题发挥指责格鲁吉亚政府网站(该网站确实被黑)提供恶意服务。但对此报告中涉及的位于其他国家的6个C&C服务器只字未提。
我们在实验室里用这种病毒感染自己的机器,然后把携带该病毒的ZIP存档提供给网络攻击者,并将存档命名为《格鲁吉亚—北约协议》。
攻击者窃取该存档资料,然后执行恶意文件。
当我们访问BOT控制面板后,就能控制攻击者的PC。之后,我们能够抓取“他”的个人视频,从而获得攻击者创建恶意模块的过程。
我们已经获得有关俄罗斯信息的邮件,邮件内容对如何使用这个恶意软件,以及如何感染目标机器,给予说明。
我们确定“他”与德国或俄罗斯黑客之间存在某种关系。
接下来我们掌握了他确定的目标城市,互联网提供商及邮件等等。
如上图:OllyDbg的反汇编过程
昵称:ESHKINKOT——存储在恶意软件的可执行文件里
相同的邮件地址,位于俄罗斯的同一城市
在俄罗斯Xakep论坛里寻求漏洞开发帮助
提供互联网服务的城市
10.5 各类会议对此次攻击事件相关信息的披露
1) 2012年关键基础设施安全防护与效率会议——捷克共和国,布拉格
2012年5月30日——6月1日
ONRG(全球海军研究办公室)提供相关支持。
2) 网络攻击事件和关键基础设施保护研讨会——爱沙尼亚,塔林
2012年6月18日——19日
3) NATO(北约)—SPS(和平与安全科学)—METU(中东技术大学)—为阿富汗IT专家提供格鲁吉亚网络事件案例——土耳其,安卡拉
2012年5月21日——6月1日