原文地址:http://drops.wooyun.org/papers/9293

原文：http://dea.gov.ge/uploads/CERT%20DOCS/Cyber%20Espionage.pdf

譯者按: 這是一篇對 <<DUKES---||-持續七年的俄羅斯網絡間諜組織大起底>>文章的補充文章. 披露的是格魯吉亞CERT在2011年對俄羅斯軍方黑客的一次調查. 文章中諸多亮點現在看還是常看常新:比如反制黑客的手段是誘使黑客執行了一個木馬. 另外將此篇文章對比最近ThreatCONNECT發布的camerashy報告,讓我們不禁感慨的是,政府的反APT實在是比商業公司的反APT純粹多了,專業多了.

0x00 概述

2011年3月，格魯吉亞“計算機應急響應小組”（CERT）發現了一次網絡攻擊事件，似乎是一起網絡間諜活動。

在活動中使用的高級惡意軟件主要是收集與格魯吉亞,美國相關的敏感機密的安全文件，然后再把這些信息上傳到某些CC服務器上（CC會經常變化）。

在調查了攻擊者利用的服務器和惡意文件后，我們發現這次網絡攻擊活動與俄羅斯官方安全機構有關系。

在分析了web服務器，惡意文件和幾個腳本后，我們發現：

1. 一些與新聞行業相關的格魯吉亞網站被黑了。（惡意腳本只注入到了頁面上，在這些頁面上出現了一些特定的信息）
2. 只要瀏覽了這些網頁，計算機就會感染未知的惡意程序。（當時，所有的殺毒產品都無法識別這一威脅）
3. 在執行時，惡意文件會完全控制受感染的計算機。
4. 在受害者計算機中搜索 “敏感詞匯”。
5. 使用內置的攝像頭和麥克風捕捉視頻和音頻.

0x01 受害者

這次網絡攻擊活動設計的十分聰明。多家與新聞相關的格魯吉亞網站都被黑了，并且只有幾個特定的新聞網頁遭到了篡改（比如，NATO delegation Visit in Georgia-NATO代表團訪問格魯吉亞, US- Georgian Agreements and Meetings-美國格魯吉亞協議與會面, Georgian Military NEWS-格魯吉亞軍事新聞）。

只有對這類信息感興趣的用戶才會感染這個高級威脅，無論目標計算機和網絡系統上使用了什么安全防御措施或軟件。這個威脅的加密程度很高，并且使用了最新的隱藏技術，因此，還沒有安全工具能識別這個威脅。

• www.caucasustimes.com - 關于高加索地區的新聞網站
• www.cei.ge - 高加索能源與基礎設施
• www.psnews.ge - 格魯吉亞新聞網站
• ema.gov.ge
• www.opentext.ge
• www.presa.ge
• www.presage.tv
• www.psnews.info
• www.resonancedaily.com

0x02 木馬功能

完全控制受感染的計算機。 木馬會搜索受害者MS Office和PDF中的敏感詞匯。

• 將任意本地硬盤上的文件發送到遠程服務器
• 竊取憑據
• 在硬盤上搜索Microsoft Word文檔
• 在硬盤上搜索遠程桌面配置文件，pbk文件
• 獲取屏幕截圖
• 使用麥克風記錄聲音
• 使用攝像頭記錄視頻
• 掃描本地網絡，識別同一網絡中的其他主機
• 在受感染的系統上執行任意命令

0x03 敏感詞匯

最后，攻擊者會竊取匹配的文件并上傳到服務器。

0x04 CC服務器

木馬會受根據受害者的地理位置相應的改變它的CC服務器位置。

大約有390臺計算機受到了感染：

• 70%來自格魯吉亞
• 5% 來自美國
• 4% - 加拿大，烏克蘭，法國，中國
• 3% - 德國
• 3% - 俄羅斯

美國受感染的計算機實例

0x05 惡意文件在逐漸進化和發展

2011年3月30日– 病毒竊取敏感的文檔，證書

2011年9月14日– 更改了感染機制，使用了新的繞過AV,Firewall,IDS的方法.

2011年11月25日– 病毒的加密和混淆更復雜，支持感染Win7.

2011年12月月12日– 增加了視頻錄制功能，可以通過網絡掃描和感染計算機，更換了傳播途徑

病毒已經從2.1版本進化到了5.5版本。

0x06 感染機制

1. 向合法網站注入script標簽或iframe標簽.
2. 使用iframe標簽加載帶有載荷的iframe.php.
3. Drive-By下載&執行calc.exe
4. calc.exe在Explorer.exe中注入代碼并自毀.
5. 創建起維持作用的usbserv.exe病毒

第一步-注入腳本

frame.php中的shellcode/漏洞載荷

1. 我們發現了一個特別制作且經過混淆的frame.php文件，在這個文件中攜帶著一些漏洞代碼，并且會把用戶重定向到其他的漏洞頁面：利用了CVE-2010-0842，CVE-2006-3730，MS06-057和其他未知的漏洞。
2. frame.php中使用的漏洞代碼是完成版的TrojanDownloader:JS/SetSlice，通過使用'WebViewFolderIcon' ActiveX控件（Web View）來利用漏洞MS06-057。
3. 另外，還通過PDF，JAR文件，利用了一些0-day漏洞

各大主要的殺毒產品都沒能檢測出這些惡意文件（1/4Virustoal，Dr.Web結果-可疑）。繞過了開啟防火墻的Win7 sp1。截止到25.03.2011，20.06.2011，16.01.2012，25.03.2012。

在執行后，木馬主要干3件事：

• 在安裝bot前，先檢查這臺計算機所在的時區是不是UTC+3，UTC+4：
• 把自己注入到iexplorer.exe并與釣魚網站通信，獲取CC地址
• 在Application Data目錄中創建usbserv.exe bot文件。并寫入到Windows注冊表中自動運行

0x07 Bot控制機制

1. CC服務器地址會硬編碼到木馬的二進制文件中.
2. 如果所有的這些地址都無法連接，木馬會釣魚網站中讀取回連地址.(此處的釣魚網站指上文闡述的已經被黑客事先入侵的新聞網站)

0x08 新的木馬更新方法

新版本的木馬文件，會用base64明文編碼，從不同的網站上同時下載，然后整合成一個文件。

特點

1. 搜索敏感文件名字， 搜索pdf，word，xls，text，rtf，ppt文檔中的敏感字符.
2. 從webcam中記錄視頻：在Skype對話時，能夠捕捉直播流.
3. 從CC Web控制面板修改木馬的代碼文件.
4. 自創建的Packer，用匯編語言編寫的Cryptor（繞過A/V）.
5. 更新機制，基于明文編碼，同時從不同的CC服務器上下載.
6. 用ring0權限打開網絡socket（繞過防火墻）/TDSS Rootkit修改.

0x09 受感染的組織

多數受感染的格魯吉亞計算機都是來自政府機構和關鍵信息基礎設施。

目標：

1. 內閣
2. 議會
3. 關鍵信息基礎設施
4. 銀行
5. NGO

0x0A 響應過程

1. 根據檢測，通過國家的三大主要ISP來攔截這6個CC IP地址（快速響應）
2. CERT-GOV-GE確定所有受感染的格魯吉亞IP，并提供應對策略，清除這些工具.
3. 與AV/IDS/IPS廠商合作，開發應對木馬威脅的工具和識別木馬的簽名（Microsoft, Eset, Snort, Cisco, Blacklists, Blocklists）
4. 與FBI，國土安全局，美國特勤局，美國CERT，德國CERT，烏克蘭CERT，波蘭CERT，微軟安全部合作
5. 要求托管服務提供商自家的監控小組關閉攻擊服務器.
6. 執法部門獲取日志文件和系統鏡像進行取證分析.

0x0B 網路情報對抗（揭開攻擊者的面紗）

格魯吉亞CERT小組 獲取了CC服務器的權限，解密了木馬的通信機制。在分析了所有收集到的信息后，我們已經識別了網絡攻擊者和攻擊組織的身份。

“在2008年，俄羅斯與格魯吉亞的網絡戰期間”，兩家獨立的美國組織發現這些網絡攻擊者與俄羅斯政府部門和組織存在關聯。

“United States Cyber Consequences Unit” and “Project Grey Goose”

Jefrey Carr, GreyLogic (為政府部門提供的網絡情報服務) Sanjay Goel,紐約州信息分析與保證中心， Mike Himley, *Eagle Intelligence的CEO/主席*

他們調查了整個針對格魯吉亞的網絡攻擊活動，并且發現一個網絡犯罪小組“Russian Business Network”與2008年的網絡攻擊活動有關系。

他們已經報道，黑客使用的一些資源和憑據屬于 “俄羅斯國防部研究所”-國外軍事力量研究中心。

在2011-2012年期間，在這次新出現的網絡間諜活動期間，我們又再次發現了背后的俄羅斯特工痕跡。

我們已經發現了：3點主要事實都指向了俄羅斯官方的政府組織。

Warynews.ru – 用于控制受感染的格魯吉亞計算機 – 屬于 **Russian Business Network(在 Blacklist, Bad Reputation中提到) **的IP和DNS

www.rbc.ru – 直接硬編碼在木馬代碼中，如果所有信道都關閉了，則與攻擊者通信。官方名稱“Russian Business Consalting” –官方網站，與RBN有關聯。

http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c 
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf 
http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c http://legalcrf.in/t/19ebfd07a13d3edf82fcc121a0e4643c http://legalcrf.in/images/t/4b178e605583cca28c850943e805aabc.html 
http://legalcrf.in/images/np/4b178e605583cca28c850943e805aabc.pdf 
http://legalcrf.in/images/4b178e605583cca28c850943e805aabc.jar 
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/3 
http://legalcrf.in/f/4b178e605583cca28c850943e805aabc/1

Legalcrf.in –通過“admin@President.gov.ge”發送垃圾郵件來傳播惡意文件

0x0C 托管漏洞文件

注冊人信息不明確，通過印度Whois服務發現

Lubianka 13, Moscow. - 俄羅斯內務部， 后勤部- 組織開發和通信系統， 組織發展和通信系統，提升信息和通信技術和信息技術保障；

在他旁邊的是：俄羅斯聯邦安全服務部 (FSB) – 莫斯科

在2012年3月，ESET安全公司公布了一份報告-“Georbot: From Russia With Love” (根據我們小組的技術支持)

在此之后，俄羅斯新聞機構，根據ESET的報告散布虛假消息，指控格魯吉亞的政府網站上托管著惡意文件（實際上遭到了黑客攻擊）。但是，他們沒有評論托管在不同國家的這6個真正的CC服務器。

我們在實驗室中感染了我們的PC，然后向攻擊者提供了虛假的Zip文檔，其中包含著他自己的病毒，文件名稱是“Georgian-Nato Agreement”。

我們創建了一個病毒文件名字是”Georgian-Nato Agreement”,隨后我們故意感染了黑客的木馬并誘使黑客偷去了我們制作好的病毒文件. 最后黑客執行了這個病毒.

如此一來訪問黑客的CC控制面板,控制黑客的個人計算機就不在話下了。

然后，我們捕捉到了一個他的視頻。也捕獲到了一個進程正在創建新的惡意模塊。

我們已經從他的郵件中獲取到了一份俄語文檔，在文件中，他講解了如何使用這個惡意軟件感染目標。

我們發現他與德國和俄羅斯的黑客有聯系。

然后，我們獲取到了他的所在城市，ISP，郵件等。

正在使用OllyDbg進行反匯編

Nickname: ESHKINKOT – 木馬可執行程序內部也出現了

相同的郵件地址，俄羅斯城市

在俄羅斯的 Xakep 論壇，尋求別人幫助他編寫EXPLOIT.

他使用的網絡提供商名字,他所在的城市.

多個會議上都出現了關于此次事件的信息：

1. SSECI 2012 (關鍵基礎設施的安全，保障和效率) – Prague, Czech Republic 30 may – 01 June 2012*(with support of ONRG – Office of Naval Research Global) *
2. 網絡事件和關鍵基礎設施保護研討會 – Tallin, Estonia 18-19 June 2012
3. NATO – 和平與安全科學 (SPS) - METU - 中東技術大學阿富汗IT專家分析格魯吉亞網絡案例 , Turkey 21 May - 01 Jun 2012