25期报告汇总

安天发布《黑暗力量文档样本分析报告》
 
       近日,乌克兰伊万诺-弗兰科夫斯克地区大约有一半的家庭(约为一百四十万的人口)遭受了停电的困扰,整个停电事件持续了数小时之久。据乌克兰的新闻媒体TSN电视台的报道,此次停电事件是由黑客攻击所导致的,并且在发电站遭受攻击的同一时间,乌克兰境内的其他多家能源公司也遭受到了黑客有针对性的网络攻击。据调查,黑客使用了高度破坏性的恶意软件BlackEnergy(黑暗力量)在乌克兰境内的三处变电站制造了严重的破坏性事件。

       根据ESET公司公布的黑暗力量攻击乌克兰事件的样本信息,安天追影小组通过态势感知平台获取了相关样本。针对其中一个xls格式文档进行分析后发现,文档原始名称可能为Додаток1.xls 即“应用程序1.xls”,打开后会出现包含俄语的信息。利用追影威胁分析系统(PTA)可以自动对其进行检测,发现该xls文档包含恶意的宏代码,宏运行后释放名称为FONTCACHE.DAT的PE文件,Black Energy NTP plugin在自启动目录添加快捷方式自启动,注入IE进程进行反弹连接C2控制IP信息 5.149.254.114。

       安天追影小组发现黑暗力量进行DDoS攻击时会使用NTP 反射/放大技术。这个技术需要欺骗源 IP 地址的数据包,而 Windows 限制TCP/IP 数据包使用伪造的源 IP 地址进行发送数据。黑暗力量通过释放安装winpcap,利用这个库进行原始数据包构造,把源 IP 修改为攻击目标的 IP。在 UDP 协议中正常情况下,客户端发送请求包到服务端,服务端返回响应包到客户端。但是 UDP 协议是面向无连接的,所以客户端发送请求包把源 IP 修改为受害者的 IP,最终NTP服务端会返回响应包到受害者的 IP,这就形成了一次反射攻击。NTP 包含一个 monlist 功能,也被成为 MON_GETLIST,主要用于监控 NTP 服务器,NTP 服务器响应 monlist 后就会返回与 NTP 服务器进行过时间同步的最后 600 个客户端的 IP,响应包按照每 6 个 IP 进行分割,最多有 100 个响应包,这就达到了放大攻击的效果。