【公益译文】Operation Groundbait:监视工具分析

Operation Groundbait(俄语:Прикормка,Prikormka)是一个针对乌克兰特定人群的持续性网络监视行动。此行动背后的团体已经开展了有针对性的可能出于政治动机的攻击行动来暗中监视特定人群行为。

翻译:李东宏 史龙安 李丹

本文基于ESET对恶意软件家族的研究,介绍了Operation Groundbait的相关情况。其中包含Prikormka恶意软件家族的技术细节分析、传播机制以及部分有价值的攻击活动。

主要调查结果:

  • 从2008年开始此类恶意软件大多数出现于乌克兰。
  • Operation Groundbait的主要目标是乌克兰东部地区城市顿涅茨克和卢甘斯克(这两个市经过公投成为独立的人民共和国)的反政府分裂分子。
  • 其他目标,包括乌克兰政府官员、政治家、记者等。
  • 攻击很可能在乌克兰境内进行。

原文信息

  • 原文名称:Operation Groundbait: Analysis of a surveillance toolkit
  • 原文作者:ANTON CHEREPANOV
  • 原文出处:http://www.welivesecurity.com/wp-content/uploads/2016/05/Operation-Groundbait.pdf
  • 发布单位:ESET
  • 发布时间:2016年5月
  • 文章译者:“安全加”社区小蜜蜂公益翻译组

文章译者声明

由绿盟科技博客与“安全加”社区小蜜蜂公益翻译组合作完成,免责声明及相关责任由“安全加”社区承担。

主要目录

1 发现 1
2 活动 2
2.1 反对分裂主义活动 3
2.2 反对乌克兰民族的政党竞选活动 8
2.3 其他活动 8
3 技术细节 11
3.1 DROPPER(病毒释放器) 11
3.2 PRIKORMKA模块 14
3.3 持续性模块(PERSISTENCE MODULE) 15
3.4 下载模块(DOWNLOADER MODULE) 16
3.5 核心模块(CORE MODULE) 17
3.6 文件窃取模块(DOCS_STEALER MODULE) 18
3.7 密码记录模块(KEYLOGGER MODULE) 18
3.8 屏幕截图模块(SCREENSHOTS MODULE) 19
3.9 麦克风模块(MICROPHONE MODULE) 19
3.10 SKYPE 模块(SKYPE MODULE) 19
3.11 日志加密模块(LOGS_ENCRYPTER MODULE) 20
3.12 地理定位模块(GEOLOCATION MODULE) 21
3.13 系统信息收集模块(OS_INFO MODULE) 21
3.14 密码收集模块(PASSWORDS MODULE) 22
3.15 文件浏览模块(FILE_TREE MODULE) 22
4 C&C服务器 23
5 溯源(ATTRIBUTION) 26
6 结论 27
7 附录A PRIKORMKA细节 28
8 附录B INDICATORS OF COMPROMISE (IOC) 29

发现

2015年第三季度,ESET发现了未知的模块化恶意软件家族——Prikormka。通过进一步的研究发现,这种恶意软件至少在2008年就已经开始活动,且大多数出现在乌克兰地区。由于此恶意软件在2015年之前感染率较低,因此在很长时间里都未被发现。2015年,此恶意软件的感染数目激增。

ESET检索的独特样本数

]1 ESET检索的独特样本数

图1显示了2008年以来每年编译的Prikormka的样本数(根据PE头文件时间戳标识)。但是,在通常情况下,其自身的时间戳并不是一个可靠的指标,因此本文的数据精确度由ESET LiveGrid®遥测证实。

在实验室分析了该恶意软件的样本prikormka.exe。俄罗斯和乌克兰语言中的prikormka(Прикормка)含义为暗中监视,其本身含义是一种扔进水中来吸引鱼的鱼饵。在研究过程中,我们使用这个代称并将之保留,因此恶意软件的名称分别的Win32/Prikormka和Win64/ Prikormka。

活动

们将展示最值得关注的和突出的活动及与这些活动相关的诱骗文档。

下图是基于ESETLiveGrid®统计的国家检测统计:

根据ESETLiveGrid®的Prikormka恶意软件检测统计

]2 根据ESETLiveGrid®的Prikormka恶意软件检测统计

根据遥测,大部分Prikormka软件出现在乌克兰境内。此外,研究表明,此恶意软件背后的攻击者使用乌克兰语和俄语,并且对乌克兰目前的政治局势非常了解。

技术细节

从技术方面详细介绍了Prikormka恶意软件,包括软件架构、C&C(命令与控制)通信及对所使用模块的具体分析。

Prikormka恶意软件架构简化方案

]3 Prikormka恶意软件架构简化方案

溯源

我们通过攻击者故意或无意中留下的线索,尝试寻找攻击的来源;

  • 大多数Prikormka的C&C服务器位于乌克兰,并由该国托管公司托管
  • 这一威胁背后的团队掌握了流利俄罗斯和乌克兰语。这一点可在诱骗文档和和恶意软件的二进制文件得到印证。
  • 有些PDB路径泄露攻击者使用的俄文目录名。
  • 在所有已分析的Prikormka dropper中,其PE资源中都包含与乌克兰或俄国相关的语言代码(乌克兰0x0422,俄国0x0419,如图所示)。
dropper的语言代码分布

]4 dropper的语言代码分布

Prikormka的二进制文件编译时间戳表明此恶意软件作者使用了东欧时区的时间。

C&C服务器日志表明,一些参与Operation Groundbait的恶意软件操作者已通过基辅和马里乌波尔的互联网服务提供商,获得连接。

结论

我们对这些攻击活动以及Prikormka恶意软件的研究表明,此恶意软件家族威胁是首次公开的用于特定目标攻击的乌克兰恶意软件。在技术先进性方面而言,攻击者没有使用任何复杂方法或新技术。但是攻击者是否使用了新技术并不重要,重要的是他们能够达到最终目的:从目标计算中窃取他们所需要的敏感信息。

译文下载:Operation Groundbait监视工具分析01

如果您需要了解更多内容,可以
加入QQ群:486207500、570982169
直接询问:010-68438880-8669

发表评论