歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

Stealth Falcon黑客組織無文件后門分析

來源:本站整理 作者:佚名 時間:2019-10-07 TAG: 我要投稿

Stealth Falcon黑客組織,自2012年以來一直活躍,其主要目標是中東的政治活動家和記者。citizen lab機構在2016年發表了一份針對某一網絡攻擊的分析報告。2019年1月,路透社發表了一份關于“Raven計劃”的調查報告,該計劃目標與Stealth Falcon相同。根據這兩份關于同一目標和攻擊的報告可以看出Stealth Falcon和Raven計劃實際上是同一個群體。

citizen lab報告中記錄的攻擊中關鍵組件是一個基于powershell的后門,該后門通過一個包含在惡意電子郵件中的附件文檔進行傳播。
近期發現了一個以前未報告的二進制后門,我們命名為win32/stealthfacon。在本文中,我們將分析介紹新二進制后門和powershell腳本之間的相似之處。這些相似之處證明了win32/stealthfelcon屬于Stealth Falcon黑客組織。
Win32/StealthFalcon后門是在2015年創建的,允許攻擊者遠程控制受損的計算機。在阿聯酋、沙特、泰國和荷蘭發現了該后門。
C&C通信
在與C&C服務器的通信中,Win32/StealthFalcon使用標準的Windows組件Background Intelligent Transfer Service(BITS)。BITS的設計目的是在不消耗大量網絡帶寬的情況下傳輸大量數據,從而不影響其他應用程序的帶寬需求。它通常用于更新程序、信使和其他設計為在后臺運行的應用程序。
與傳統的通過api函數的通信相比,BITS機制是通過com接口,因此安全產品很難檢測到。傳輸因網絡中斷、用戶注銷或系統重新啟動等原因中斷后會自動恢復。此外,由于BITS根據可用帶寬調整文件傳輸速率,因此不會讓用戶產生懷疑。
win32/stealthfalcon可以在兩個c&c服務器之間切換通信,這兩個服務器的地址與其他配置值一起存儲在注冊表項中,并且可以通過后門命令進行更新。如果后門無法聯系到C&C服務器,后門會在多次失敗后將自己從受損系統中移除。
后門功能
win32/stealthfalcon是一個dll文件,在執行之后,它將自己設置為用戶登錄時運行。它只支持基本的命令。

后門程序的關鍵功能,下載和執行文件,是通過定期檢查執行惡意軟件的目錄中名為“win*.dll”或“std*.dll”的庫并加載這些庫來實現的。
此外,win32/stealthfalcon通過在臨時文件夾中存儲一個帶有硬編碼前綴的加密副本來收集文件并進行過濾。后門會定期檢查這些文件,并自動過濾它們。在文件成功地被過濾后,惡意軟件刪除所有日志文件和收集的文件,在刪除文件之前,它用隨機數據重寫它們,以防止被分析和恢復刪除的數據。
配置值存儲在hkey_current_user\software\microsoft\windows\currentversion\shell extensions注冊表項中。所有值的前綴都是惡意軟件的文件名(不帶擴展名)。

在任何惡意有效載荷啟動之前會有300多個引用,但根本不使用它們,它總是返回并繼續執行有效載荷,并且沒有條件檢查。


與Stealth Falcon的聯系
Citizen Lab分析中描述的win32/StealthFalcon和基于powershell的后門共享同一個C&C服務器:在Citizen Lab分析的后門中,地址windowsearchcache[.]com被用作“第二階段C2服務器域”,在一個版本的win32/Stealt中也是如此。
這兩個后門在代碼上都顯示出顯著的相似性——盡管它們是用不同的語言編寫的,但底層邏輯是相同的。兩者都使用硬編碼標識符(很可能是活動ID/目標ID)。在這兩種情況下,來自目標主機的所有網絡通信都以標識符為前綴,并使用硬編碼密鑰用rc4加密。
對于c&c服務器通信都使用https,并為連接設置特定的標志以忽略服務器證書。
結論
我們發現并分析了一個后門,它采用了一種罕見的C&C通信技術,使用Windows BITS以及一些先進的技術來阻礙檢測和分析,代碼和基礎框架與Stealth Falcon先前已知的惡意軟件相似。以上可知,win32/StealthFalcon后門歸屬于該黑客組織。
IoCs
SHA-1
31B54AEBDAF5FBC73A66A**1CCB35943CC9B7F72
50973A3FC57D70C7911F7A952356188B9939E56B
244EB62B9AC30934098CA4204447440D6F**E259
5C8F83C**FF57E7C67925DF4D9DAABE5D0CC07E2
R** keys
258A4A9D139823F55D7B9DA1825D101107FBF88634A870DE9800580DAD556BA3
2519DB0FFEC604D6C9A655CF56B98EDCE10405DE36810BC3DCF125CDE30BA5A2
3EDB6EA77CD0987668B360365D5F39FDCF6B366D0DEAC9ECE5ADC6FFD20227F6
8DFFDE77A39F3AF46D0CE0B84A189DB25A2A0FEFD71A0CD0054D8E0D60AB08DE
Malware file names
ImageIndexer.dll
WindowsBackup.dll
WindowsSearchCache.dll
JavaUserUpdater.dll
Log file name patterns
%TEMP%\dsc*
%TEMP%\sld*
%TEMP%\plx*
Registry keys/values
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions
X-MRUList
X-MRUData
X-FontDisposition
X-IconDisposition
X-IconPosition
X-PopupPosition
X is the malware’s filename (without extension)
MITRE ATT&CK

【聲明】:黑吧安全網(http://www.fhetww.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        江西十一选五走势图爱彩乐