曲速未來(lái) 揭示:新的GreyEnergy惡意軟件針對(duì)ICS,與BlackEnergy和TeleBots捆綁在一起區(qū)塊鏈
曲速未來(lái):揭示臭名昭著的BlackEnergyAPT小組的繼任者,該小組針對(duì)關(guān)鍵基礎(chǔ)設(shè)施,很可能為破壞性攻擊做準(zhǔn)備。
區(qū)塊鏈安全咨詢公司 曲速未來(lái) 消息:一個(gè)新的高級(jí)威脅行動(dòng)者現(xiàn)在在敵人的公共地圖上,目標(biāo)是關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的系統(tǒng)。名稱是GreyEnergy,它顯示與BlackEnergy組的相似之處。
GreyEnergy惡意軟件目前沒(méi)有破壞性功能,它似乎專注于運(yùn)行SCADA軟件和服務(wù)器的工業(yè)控制系統(tǒng)工作站上的間諜和偵察操作,很可能為破壞性攻擊做準(zhǔn)備。
但是,它具有模塊化架構(gòu),這意味著它的功能可以進(jìn)一步擴(kuò)展。
安全研究人員觀察到的插件提供了諸如后門(mén)訪問(wèn),文件泄露,抓取屏幕截圖,記錄擊鍵和竊取憑據(jù)等功能。
用于惡意目的的合法工具
安全研究人員注意到,最初的攻擊階段使用了不同的惡意軟件,他們稱之為“GreyEnergy mini”-也稱為FELIXROOT,它不需要管理員權(quán)限。
它的任務(wù)是映射網(wǎng)絡(luò)并收集憑據(jù),使主要惡意軟件具有完全控制網(wǎng)絡(luò)所需的權(quán)限。Nmap和Mimikats是為安全研究目的而設(shè)計(jì)的免費(fèi)工具。
使用的其他合法工具包括SysInternals PsExec和WinExe,用于在受損網(wǎng)絡(luò)中執(zhí)行橫向移動(dòng)。
與BlackEnergy和TeleBots的鏈接
自2015年以來(lái),研究人員一直在追蹤GreyEnergy,當(dāng)時(shí)發(fā)現(xiàn)它針對(duì)波蘭的一家能源公司。還認(rèn)為它是BlackEnergy的繼任者,并且還發(fā)現(xiàn)了與2017年NotPetya攻擊而聞名的TeleBots威脅組織的聯(lián)系。
BlackEnergy威脅演員負(fù)責(zé) 在網(wǎng)絡(luò)攻擊中使用同名惡意軟件和KillDisk導(dǎo)致2015年12月在烏克蘭停電。
“過(guò)去三年,已經(jīng)看到GreyEnergy參與了對(duì)烏克蘭和波蘭的能源公司和其他高價(jià)值目標(biāo)的攻擊。”負(fù)責(zé)該研究的高級(jí)安全研究員說(shuō)。
除了兩者同時(shí)出現(xiàn)之外,還觀察到GreyEnergy與TeleBots子組之間的另一個(gè)鏈接。2016年12月,就注意到GreyEnergy部署早期版本的TeleBots的NotPetya蠕蟲(chóng)病毒的實(shí)例-在改變,改進(jìn)和部署歷史上最具破壞性的勒索軟件爆發(fā)前半年。此勒索軟件組件與GreyEnergy核心模塊之間存在大量代碼重用。然后稱這個(gè)早期版本為“Moonraker Petya”,基于惡意軟件編寫(xiě)者對(duì)文件名的選擇-很可能是對(duì)詹姆斯邦德電影的引用。它沒(méi)有臭名昭著的EternalBlue傳播機(jī)制,因?yàn)樗?dāng)時(shí)沒(méi)有泄露。
專為隱身操作而設(shè)計(jì)
觀察到兩種不同的感染媒介:“傳統(tǒng)的”魚(yú)叉式網(wǎng)絡(luò)釣魚(yú),以及面向公眾的網(wǎng)絡(luò)服務(wù)器的妥協(xié)。當(dāng)這種易受攻擊的Web服務(wù)器在內(nèi)部托管并連接到目標(biāo)組織網(wǎng)絡(luò)的其余部分時(shí),攻擊者將嘗試橫向移動(dòng)到其他工作站。該技術(shù)不僅用作主要感染載體,還用作備用再感染載體。
Stealth似乎是GreyEnergy的主要屬性之一,因?yàn)樗拿詈涂刂疲–2)服務(wù)器僅與受感染網(wǎng)絡(luò)上的特定計(jì)算機(jī)進(jìn)行通信,這些計(jì)算機(jī)充當(dāng)受感染工作站的代理。
在Duqu中可以看到這種操作方式,它被設(shè)計(jì)用于隱藏間諜活動(dòng),因?yàn)槭芨腥镜挠?jì)算機(jī)與將信息中繼到C2的內(nèi)部服務(wù)器進(jìn)行通信,而不是外部系統(tǒng),這將是一個(gè)紅旗。值得注意的是,C2服務(wù)器充當(dāng)Tor中繼。
其中在一個(gè)惡意軟件樣本中發(fā)現(xiàn)了一個(gè)有趣的發(fā)現(xiàn),該惡意軟件使用證書(shū)進(jìn)行數(shù)字簽名,該證書(shū)是使用臺(tái)灣工業(yè)和物聯(lián)網(wǎng)硬件制造商研華的證書(shū)簽署的。這些很可能是從公司偷來(lái)的,就像Stuxnet和最近的Plead惡意軟件活動(dòng)一樣。
由于發(fā)現(xiàn)使用完全相同的證書(shū)來(lái)簽署Advantech的干凈,非惡意軟件,所以認(rèn)為該證書(shū)很可能被盜。值得注意的是,發(fā)現(xiàn)的樣本沒(méi)有副簽名,這意味著數(shù)字簽名證書(shū)的有效期屆滿后,該證書(shū)無(wú)效,
惡意軟件可以持久化或不持久化
區(qū)塊鏈安全咨詢公司 曲速未來(lái) 表示:GreyEnergy根據(jù)其滲透的機(jī)器類(lèi)型部署其惡意軟件。據(jù)研究,一種方法是在系統(tǒng)內(nèi)存中運(yùn)行惡意軟件。選擇此方法的服務(wù)器具有較長(zhǎng)的正常運(yùn)行時(shí)間,重新啟動(dòng)很少。
目標(biāo)的第二類(lèi)系統(tǒng)是惡意軟件需要持久性的系統(tǒng),因?yàn)楦叩闹貑⒖赡苄浴T谶@種情況下,將選擇現(xiàn)有服務(wù)并添加新的ServiceDLL注冊(cè)表項(xiàng)。此方法可能會(huì)破壞系統(tǒng),并且為了避免這種結(jié)果,惡意軟件刪除程序需要運(yùn)行篩選過(guò)程以搜索滿足一組要求的服務(wù)。
研究人員表示,GreyEnergy的目的是深入滲透到目標(biāo)網(wǎng)絡(luò)并收集信息。與TeleBots不同,它不屬于破壞行業(yè),但這并不排除破壞性能力在某一時(shí)刻可用的可能性。
但可以肯定的是,“對(duì)于GreyEnergy負(fù)責(zé)的威脅演員在他們的堅(jiān)持和隱身方面極其危險(xiǎn)。”研究人員總結(jié)道。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為T(mén)MT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。