區(qū)塊鏈安全咨詢公司 曲速未來(lái) 消息：一個(gè)新的高級(jí)威脅行動(dòng)者現(xiàn)在在敵人的公共地圖上，目標(biāo)是關(guān)鍵基礎(chǔ)設(shè)施部門(mén)的系統(tǒng)。名稱是GreyEnergy，它顯示與BlackEnergy組的相似之處。

GreyEnergy惡意軟件目前沒(méi)有破壞性功能，它似乎專注于運(yùn)行SCADA軟件和服務(wù)器的工業(yè)控制系統(tǒng)工作站上的間諜和偵察操作，很可能為破壞性攻擊做準(zhǔn)備。

但是，它具有模塊化架構(gòu)，這意味著它的功能可以進(jìn)一步擴(kuò)展。

安全研究人員觀察到的插件提供了諸如后門(mén)訪問(wèn)，文件泄露，抓取屏幕截圖，記錄擊鍵和竊取憑據(jù)等功能。

用于惡意目的的合法工具

安全研究人員注意到，最初的攻擊階段使用了不同的惡意軟件，他們稱之為“GreyEnergy mini”-也稱為FELIXROOT，它不需要管理員權(quán)限。

它的任務(wù)是映射網(wǎng)絡(luò)并收集憑據(jù)，使主要惡意軟件具有完全控制網(wǎng)絡(luò)所需的權(quán)限。Nmap和Mimikats是為安全研究目的而設(shè)計(jì)的免費(fèi)工具。

使用的其他合法工具包括SysInternals PsExec和WinExe，用于在受損網(wǎng)絡(luò)中執(zhí)行橫向移動(dòng)。

與BlackEnergy和TeleBots的鏈接

自2015年以來(lái)，研究人員一直在追蹤GreyEnergy，當(dāng)時(shí)發(fā)現(xiàn)它針對(duì)波蘭的一家能源公司。還認(rèn)為它是BlackEnergy的繼任者，并且還發(fā)現(xiàn)了與2017年NotPetya攻擊而聞名的TeleBots威脅組織的聯(lián)系。

BlackEnergy威脅演員負(fù)責(zé) 在網(wǎng)絡(luò)攻擊中使用同名惡意軟件和KillDisk導(dǎo)致2015年12月在烏克蘭停電。

“過(guò)去三年，已經(jīng)看到GreyEnergy參與了對(duì)烏克蘭和波蘭的能源公司和其他高價(jià)值目標(biāo)的攻擊。”負(fù)責(zé)該研究的高級(jí)安全研究員說(shuō)。

除了兩者同時(shí)出現(xiàn)之外，還觀察到GreyEnergy與TeleBots子組之間的另一個(gè)鏈接。2016年12月，就注意到GreyEnergy部署早期版本的TeleBots的NotPetya蠕蟲(chóng)病毒的實(shí)例-在改變，改進(jìn)和部署歷史上最具破壞性的勒索軟件爆發(fā)前半年。此勒索軟件組件與GreyEnergy核心模塊之間存在大量代碼重用。然后稱這個(gè)早期版本為“Moonraker Petya”，基于惡意軟件編寫(xiě)者對(duì)文件名的選擇-很可能是對(duì)詹姆斯邦德電影的引用。它沒(méi)有臭名昭著的EternalBlue傳播機(jī)制，因?yàn)樗?dāng)時(shí)沒(méi)有泄露。

專為隱身操作而設(shè)計(jì)

觀察到兩種不同的感染媒介：“傳統(tǒng)的”魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)，以及面向公眾的網(wǎng)絡(luò)服務(wù)器的妥協(xié)。當(dāng)這種易受攻擊的Web服務(wù)器在內(nèi)部托管并連接到目標(biāo)組織網(wǎng)絡(luò)的其余部分時(shí)，攻擊者將嘗試橫向移動(dòng)到其他工作站。該技術(shù)不僅用作主要感染載體，還用作備用再感染載體。

Stealth似乎是GreyEnergy的主要屬性之一，因?yàn)樗拿詈涂刂疲–2）服務(wù)器僅與受感染網(wǎng)絡(luò)上的特定計(jì)算機(jī)進(jìn)行通信，這些計(jì)算機(jī)充當(dāng)受感染工作站的代理。

在Duqu中可以看到這種操作方式，它被設(shè)計(jì)用于隱藏間諜活動(dòng)，因?yàn)槭芨腥镜挠?jì)算機(jī)與將信息中繼到C2的內(nèi)部服務(wù)器進(jìn)行通信，而不是外部系統(tǒng)，這將是一個(gè)紅旗。值得注意的是，C2服務(wù)器充當(dāng)Tor中繼。

其中在一個(gè)惡意軟件樣本中發(fā)現(xiàn)了一個(gè)有趣的發(fā)現(xiàn)，該惡意軟件使用證書(shū)進(jìn)行數(shù)字簽名，該證書(shū)是使用臺(tái)灣工業(yè)和物聯(lián)網(wǎng)硬件制造商研華的證書(shū)簽署的。這些很可能是從公司偷來(lái)的，就像Stuxnet和最近的Plead惡意軟件活動(dòng)一樣。

由于發(fā)現(xiàn)使用完全相同的證書(shū)來(lái)簽署Advantech的干凈，非惡意軟件，所以認(rèn)為該證書(shū)很可能被盜。值得注意的是，發(fā)現(xiàn)的樣本沒(méi)有副簽名，這意味著數(shù)字簽名證書(shū)的有效期屆滿后，該證書(shū)無(wú)效，

惡意軟件可以持久化或不持久化

區(qū)塊鏈安全咨詢公司 曲速未來(lái) 表示：GreyEnergy根據(jù)其滲透的機(jī)器類(lèi)型部署其惡意軟件。據(jù)研究，一種方法是在系統(tǒng)內(nèi)存中運(yùn)行惡意軟件。選擇此方法的服務(wù)器具有較長(zhǎng)的正常運(yùn)行時(shí)間，重新啟動(dòng)很少。

目標(biāo)的第二類(lèi)系統(tǒng)是惡意軟件需要持久性的系統(tǒng)，因?yàn)楦叩闹貑⒖赡苄浴Ｔ谶@種情況下，將選擇現(xiàn)有服務(wù)并添加新的ServiceDLL注冊(cè)表項(xiàng)。此方法可能會(huì)破壞系統(tǒng)，并且為了避免這種結(jié)果，惡意軟件刪除程序需要運(yùn)行篩選過(guò)程以搜索滿足一組要求的服務(wù)。

研究人員表示，GreyEnergy的目的是深入滲透到目標(biāo)網(wǎng)絡(luò)并收集信息。與TeleBots不同，它不屬于破壞行業(yè)，但這并不排除破壞性能力在某一時(shí)刻可用的可能性。

但可以肯定的是，“對(duì)于GreyEnergy負(fù)責(zé)的威脅演員在他們的堅(jiān)持和隱身方面極其危險(xiǎn)。”研究人員總結(jié)道。