当受害者遭后门侵略并被进犯者操控时会发作什么？这是一个很难答复的问题，即便经过逆向工程代码也难以彻底解析。而在本文中，咱们将剖析Sednit安排在近期行为中发送到方针的指令。 Sednit安排，也被称为APT28, Fancy Bear（奇幻熊）, Sofacy 或STRONTIUM，是一个自2004年以来运转的进犯安排，其主要目的是盗取方针的秘要信息。他们的行为在曩昔几年中常常成为头条新闻。 上一年九月，咱们披露了一个名为LoJax的UEFI rootkit的存在，并将其归于Sednit安排。UEFI rootkit答应黑客在方针核算机上植入持久性歹意软件，这些歹意软件能在硬盘驱动器擦除后持续存在。此次发现也标明Sednit能够运用非常复杂的东西来进行间谍活动。 三年前，Sednit安排在中东和中亚各国传达了一类歹意软件新组件——Zebrocy。从那时起，组件的数量和多样性开端急剧添加。咱们的研讨人员和其他安全研讨机构的同行们对这些组件做了许多研讨，不过在本文中，咱们将要点重视受害者体系运转了Zebrocy Delphi后门后，进犯者的行为。 “熊”的钓饵 在2019年8月底，Sednit安排发起了一项鱼叉式 *** 垂钓电子邮件活动，邮件中包括的短链接会跳转到Zebrocy组件之一阶段歹意软件的下载站点。在曩昔，Sednit也运用过相似的技能进行凭据垂钓，可是运用此技能直接传递其歹意软件组件的行为是不常见的，在这之前，Sednit一般只运用缝隙来传递和履行之一阶段的歹意软件，而在此项行为中，Sednit则彻底依托交际工程来招引受害者进入感染链。图1中显现了Sednit在此系列行为中运用的短链的Bitly计算信息。 图1.Bitly URL的计算信息 在创立URL的同一周内，这个链接记录了大约20次点击，不过实践下载数应该是少于20个的，因为可能有点击两次乃至屡次的状况发作。 尽管遥测数据显现该URL是经过鱼叉式垂钓邮件发送的，但咱们没有此类邮件的样本，无法了解进犯者的目的。下载的档案包括两个文件：之一个是一个可履行文件，而第二个是一个钓饵PDF文档。 图2.从存档中提取的文件（乌克兰语的“CATALOGUE – (2019).exe”和“Order 97.pdf”） 请注意，可履行文件的文件名中存在拼写过错——应该是“ДОВIДНИК”而不是“ДОВIДНIК”。 履行二进制文件后，会弹出一个暗码提示的对话框，暗码验证的成果总是显现过错，但在几回测验验证之后会翻开钓饵PDF文档。该文档看似是空的，实践运用Delphi编写的下载器持续在后台运转。在硬编码到之一个二进制下载器的URL中也运用了IP地址。 “熊”的巢穴 之一阶段的下载程序将下载并履行一个用C ++编写的新下载器，它与其他Zebrocy下载器没有太大差异，之后该下载器将创立ID并下载一个新后门，此后门由Delphi编写。 正如咱们在最近关于Zebrocy的博文中所解说的那样，后门的装备存储在资源部分中，并分为四个不同的十六进制编码的加密数据块，各个数据块包括不同部分的装备。 图3.包括不同部分装备的数据块 一旦后门发送出受害者体系的基本信息，进犯者就会操控后门并当即开端发送指令。下载程序运转后与进犯者发送的之一个指令之间的时刻距离仅为几分钟。 捕获“熊”的踪影 在本节中，咱们将更具体地描述进犯者经过Delphi后门手动履行的指令。 可用的指令坐落前面说到的一个装备数据块中（图3中的“commands”数据块），指令数量跟着版别的迭代而添加，在最新版别的后门中支撑的指令超过了30个。因为咱们没有依照调用指令的次序识别模式，因而咱们以为进犯者是手动履行它们的。 之一组指令搜集有关受害者核算机和环境的信息： 上述指令通常在进犯者初次连接到新激活的后门时履行。它们的Argument都为空，不过光看称号也不言自明。在这些后门被激活后不久通常会履行其他的指令，如下： 那些现已读过咱们之前关于Zebrocy的文章的读者会注意到，前几个阶段会一次又一次地发送或多或少相同类型的信息。信息是在初始侵略后几分钟内恳求的，进犯者将不得不处理相当大的数据量。 为了搜集更多的信息，Zebrocy的操作人员会不时地在受害者的机器上上传和运用dumper。现在的dumper与该安排曾经运用的dumper有一些相似之处。在本例中，Yandex Browser、Chromium、7Star Browser(一种根据chrome的浏览器)和CentBrowser以及从1997年到2019年版别的Microsoft Outlook都是方针: 这些dumper经过创立日志文件来指示是否存在要转储的潜在数据库: 当没有要转储的数据库时，当时dumper包括以下输出: %LOCALAPPDATA%YandexYandexBrowserUser DataDefaultLogin Data not found[1][2]黑客接单网