Stealth Falcon黑客組織,自2012年以來一直活躍,其主要目標是中東的政治活動家和記者。citizen lab機構在2016年發表了一份針對某一網絡攻擊的分析報告。2019年1月,路透社發表了一份關於「Raven計劃」的調查報告,該計劃目標與Stealth Falcon相同。根據這兩份關於同一目標和攻擊的報告可以看出Stealth Falcon和Raven計劃實際上是同一個群體。
citizen lab報告中記錄的攻擊中關鍵組件是一個基於powershell的後門,該後門通過一個包含在惡意電子郵件中的附件文檔進行傳播。
近期發現了一個以前未報告的二進位後門,我們命名為win32/stealthfacon。在本文中,我們將分析介紹新二進位後門和powershell腳本之間的相似之處。這些相似之處證明了win32/stealthfelcon屬於Stealth Falcon黑客組織。
Win32/StealthFalcon後門是在2015年創建的,允許攻擊者遠程控制受損的計算機。在阿聯、沙特、泰國和荷蘭發現了該後門。
C&C通信在與C&C伺服器的通信中,Win32/StealthFalcon使用標準的Windows組件Background Intelligent Transfer Service(BITS)。BITS的設計目的是在不消耗大量網絡帶寬的情況下傳輸大量數據,從而不影響其他應用程式的帶寬需求。它通常用於更新程序、信使和其他設計為在後臺運行的應用程式。
與傳統的通過api函數的通信相比,BITS機制是通過com接口,因此安全產品很難檢測到。傳輸因網絡中斷、用戶註銷或系統重新啟動等原因中斷後會自動恢復。此外,由於BITS根據可用帶寬調整文件傳輸速率,因此不會讓用戶產生懷疑。
win32/stealthfalcon可以在兩個c&c伺服器之間切換通信,這兩個伺服器的地址與其他配置值一起存儲在註冊表項中,並且可以通過後門命令進行更新。如果後門無法聯繫到C&C伺服器,後門會在多次失敗後將自己從受損系統中移除。
後門功能win32/stealthfalcon是一個dll文件,在執行之後,它將自己設置為用戶登錄時運行。它只支持基本的命令。
後門程序的關鍵功能,下載和執行文件,是通過定期檢查執行惡意軟體的目錄中名為「win*.dll」或「std*.dll」的庫並加載這些庫來實現的。
此外,win32/stealthfalcon通過在臨時文件夾中存儲一個帶有硬編碼前綴的加密副本來收集文件並進行過濾。後門會定期檢查這些文件,並自動過濾它們。在文件成功地被過濾後,惡意軟體刪除所有日誌文件和收集的文件,在刪除文件之前,它用隨機數據重寫它們,以防止被分析和恢復刪除的數據。
配置值存儲在hkey_current_user\software\microsoft\windows\currentversion\shell extensions註冊表項中。所有值的前綴都是惡意軟體的文件名(不帶擴展名)。
在任何惡意有效載荷啟動之前會有300多個引用,但根本不使用它們,它總是返回並繼續執行有效載荷,並且沒有條件檢查。
與Stealth Falcon的聯繫Citizen Lab分析中描述的win32/StealthFalcon和基於powershell的後門共享同一個C&C伺服器:在Citizen Lab分析的後門中,地址windowsearchcache[.]com被用作「第二階段C2伺服器域」,在一個版本的win32/Stealt中也是如此。
這兩個後門在代碼上都顯示出顯著的相似性——儘管它們是用不同的語言編寫的,但底層邏輯是相同的。兩者都使用硬編碼標識符(很可能是活動ID/目標ID)。在這兩種情況下,來自目標主機的所有網絡通信都以標識符為前綴,並使用硬編碼密鑰用rc4加密。
對於c&c伺服器通信都使用https,並為連接設置特定的標誌以忽略伺服器證書。
結論我們發現並分析了一個後門,它採用了一種罕見的C&C通信技術,使用Windows BITS以及一些先進的技術來阻礙檢測和分析,代碼和基礎框架與Stealth Falcon先前已知的惡意軟體相似。以上可知,win32/StealthFalcon後門歸屬於該黑客組織。
IoCsSHA-131B54AEBDAF5FBC73A66A**1CCB35943CC9B7F72
50973A3FC57D70C7911F7A952356188B9939E56B
244EB62B9AC30934098CA4204447440D6F**E259
5C8F83C**FF57E7C67925DF4D9DAABE5D0CC07E2
R** keys258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA3
2519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A2
3EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F6
8DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE
Malware file namesImageIndexer.dll
WindowsBackup.dll
WindowsSearchCache.dll
JavaUserUpdater.dll
Log file name patterns%TEMP%\dsc*
%TEMP%\sld*
%TEMP%\plx*
Registry keys/valuesHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
X-MRUList
X-MRUData
X-FontDisposition
X-IconDisposition
X-IconPosition
X-PopupPosition
X is the malware’s filename (without extension)
MITRE ATT&CK*參考來源:welivesecurity,由Kriston編譯,轉載請註明來自FreeBuf.COM