from:https://www.f-secure.com/documents/996508/1030745/dukes_whitepaper.pdf
Duke網絡間諜小組手頭掌握有充足的資源,他們目標明確,行動有條理。我們認為,Duke小組至少從2008年開始就為俄羅斯聯邦效力,幫助俄羅斯收集情報,從而制定外交和安全政策。
Duke的主要目標是西方政府以及與西方政府有關系的一些組織,比如政府部門和機構,政府智囊團和政府性承包商。他們的目標還有英聯邦國家;亞洲,非洲和中東政府;與車臣極端分子有關系的組織,以及非法參與藥品毒品貿易的俄羅斯人。
Duke小組最出名的一點就是持有大量的惡意軟件工具,比如我們已經發現的MiniDuke, CosmicDuke, OnionDuke, CozyDuke, CloudDuke, SeaDuke, HammerDuke, PinchDuke, 和GeminiDuke。近年來,Duke每年都會發動兩次大規模的釣魚活動,攻擊上百名甚至上千名與政府機構及其附屬組織相關的人員。
這些活動利用了“打砸搶掠”方法,用最少的時間收集和竊取盡可能多的數據。如果入侵目標有價值,Duke就會立刻還用另外的工具,轉而采用長期隱藏策略,長時間的收集情報。
除了這些大規模的活動,Duke同時還在不停的實施一些小規模活動,這些活動的針對性更強,使用了不同的工具。這些針對性活動已經至少持續了7年。其目標和持續時間都是根據俄羅斯聯邦當時的外交和安全政策而確定。
Duke會時刻關注與他們的工具相關的研究報告,并采取相應的對策。但是,因為Duke(或他們的贊助者)非常重視他們的行動,所以他們會不斷的修改自己的工具,避免檢測并重新隱藏起來。他們不會中斷自己的行動,而是會在修改工具的同時,持續執行原定的計劃。
在一些極端情況下,即使安全公司和媒體注意到了一些工具時,Duke還可能會繼續使用這些不經修改的工具來參與一些活動。從中不難看出,即使他們的工具被曝光,Duke還是相信自己能成功地完成入侵。
正如現在所熟知的,Duke小組的故事以PinchDuke惡意軟件工具集為開篇。這個工具集包括多個loader和信息竊取木馬。最重要的是,PinchDuke木馬樣本中總是會出現一個引人注意的文本字符串,我們認為Duke小組會用這個字符串來區分并行的攻擊活動。在這些活動標識符中,經常會標明活動日期和活動目標,借此我們可以了解Duke小組更早期的行動。
我們確定Duke小組最早的行動是2008年11月開始的兩次PinchDuke行動。這些活動中使用了PinchDuke樣本,其時間戳顯示為2008年11月5日和12日。這兩個樣本中的活動標識符分別是“alkavkaz.com20081105” 和 “cihaderi. net20081112”。
樣本中的第一個活動標識符,是在5號編譯的,引用了alkavkaz.com,這個域名關聯到了一個土耳其網站,宣稱是“車臣信息中心”(圖1,第5頁)。第二個活動標識符是在12號變異的,引用了cihaderi.net,這也是一家土耳其網站,宣稱提供“伊斯蘭圣戰新聞”,并且網站上有一個車臣板塊。
由于缺少其他從2008年開始或更早期的PinchDuke樣本,我們也無法估計Duke小組最早的活動是從什么時間開始的。但是,根據我們對2008年PinchDuke樣本的技術分析,我們認為PinchDuke是在2008年夏天部署的。
事實上,我們認為到2008年秋天,Duke已經開發了至少兩個不同木馬工具集。我們這一推斷是建立在另一個最早的Duke相關工具集-GeminiDuke,這個工具集的編譯時間是2009年1月26日。這個樣本,類似于早期的PinchDuke樣本,已經是一個很成熟的樣本,這也是我們認為GeminiDuke是在2008年秋天開發的原因。
Duke在2008年下半年就已經開發和操作了至少兩個木馬工具集,因此,我們推測有兩種情況,一種是當時Duke的間諜活動規模就已經足夠大,需要這樣的工具;另一種是Duke預計他們的行動規模會大幅擴張,在未來有必要開發這樣的工具。接下來,我們在本文的“工具與技術”章節,更詳細地檢查了這些Duke工具集。
Duke工具集的命名可以追溯到卡巴斯基實驗室,卡巴斯基的研究員把他們發現的首個Duke木馬命名為了“MiniDuke”。他們在白皮書中說到,他們驚奇的發現MiniDuke后門在傳播時利用的漏洞,就是ItaDuke使用的漏洞。名稱中的“Duke”是因為研究員聯想到了臭名昭著的Duqu威脅。雖然,在名稱上有歷史淵源,但是,并不是說Duke工具集和ItaDuke木馬或Duqu有任何形式的聯系。
隨著研究員繼續發現其他由MiniDuke的創建小組開發和使用的工具集,“Duke”也一直沿用了下來,所以,我們也用“Dukes”來代指操作這些工具集的那個小組。另外“APT29”指的也是這個小組。
當然,并不是所有的名稱都是嚴格符合這樣的命名習慣,也有例外,具體還要看特定的Duke工具集,其他常用的名稱都列在了“工具與技術”章節。
根據在2009年PinchDuke樣本中發現的活動標識符,Duke小組在2009年的攻擊目標有格魯吉亞國防部,土耳其和烏干達外交部等組織。另外,從中也可以看出,Duke小組在2009年的時候就已經開始注意與美國和北約相關的政治事件,因為Duke運行了很多針對美國對外政策智囊團的活動,另外的一系列活動針對的是北約在歐洲的一些演習,第三次活動的目標是格魯吉亞“在北約的信息中心”。
在這些活動中,最突出的是兩類的活動。第一個系列的活動是從2009年4月16日-17日,目標是美國外交政策智囊團,以及波蘭和捷克共和國的政府研究所(圖1).這些活動利用了特別制作的惡意Microsoft Word文檔和PDF文件,通過郵件附件發送給不同的人員,嘗試滲透目標組織。
我們認為這類活動有一個共同的目標,就是收集目標國家對美國在波蘭設立“歐洲攔截站”導彈防御基地和在捷克設立雷達站的看法。考慮到這些活動的時間,有趣的是,就在奧巴馬總統剛剛在4月5日發表了演講表明其部署這些導彈防御系統的意圖,就在之后的11天,他們就開始了相關行動。
第二類活動包括兩次行動,主要是想收集關于格魯吉亞與北約關系的信息。第一次行動實用的活動標識符是“natoinfo_ge”,引用的www.natoinfo.ge網站屬于格魯吉亞政府實體,之后重命名為“北約和歐盟信息中心”。雖然,這個標識符本身沒有包含日期,我們認為活動開始的日期在2009年6月7日左右,也是PinchDuke的編譯日期。我們的論斷是通過分析了所有其他PinchDuke樣本得到的,樣本標識符的日期和編譯日期是在同一天中。我們懷疑的第二個活動標識符是一個月后的“mod_ge_2009_07_03”,其目標是格魯吉亞國防部。
圖1-2008年和2009年的早期活動(左:alkavkaz.com網站的截圖,由2008年的PinchDuke樣本引用;下:2009年,PinchDuke活動中的誘餌文檔,攻擊目標有波蘭,捷克和美國智囊團。內容好像是從BBC新聞中復制的)
2010年春天,PinchDuke活動攻擊了土耳其和格魯吉亞,但是還有大量的活動攻擊了其他英聯邦獨立國家成員,比如哈薩克斯坦,吉爾吉斯斯坦,阿塞拜疆和烏茲別克斯坦。在這些活動中,有一個活動的標識符是“kaz_2010_07_30”,其目標可能是哈薩克斯坦,值得注意的是這是我們觀察到的最后一次PinchDuke活動。我們認為,在2010年上半年,Duke小組慢慢地不再使用PinchDuke,轉而利用了一個全新的信息竊取木馬,我們稱之為CosmicDuke。
第一個已知的CosmicDuke工具集是在2010年1月16日編譯的。在當時,CosmicDuke任然還沒有后來加入的憑據竊取功能。我們認為,在2010年春天,PinchDuke的憑證和文件竊取功能正逐漸的加入到CosmicDuke上,PinchDuke就完全棄用了。
在過渡期間,CosmicDuke經常會內嵌PinchDuke,這樣在執行時,CosmicDuke會寫入到磁盤上,并執行PinchDuke。然后,PinchDuke和CosmicDuke會在受害主機上獨立運行,包括執行獨立的信息收集,數據竊取和CC通信- 雖然這兩個木馬經常使用同一個CC服務器。我們認為其目的是“實地考察”最新的CosmicDuke工具,同時用已經經過考驗的PinchDuke來保證行動能成功。
在測試和開發CosmicDuke期間,Duke作者還開始實驗利用權限提升漏洞。特別是在2010年1月19日,安全研究員Tavis Ormandy發現了一個本地權限提升漏洞(CVE-2010-0232)影響了微軟Windows系統。Ormandy還附上了漏洞的POC利用源代碼。就在七天后,1月26日,Duke編譯了一個CosmicDuke組件來利用這個漏洞,允許工具在高權限下運行。
一個loader加載一切
Duke小組除了編譯組件,在2010年的時候他們還主動開發了和測試了一個新的loader-這個組件會打包所有的核心木馬代碼并提供另一層混淆。
這個loader的第一個樣本是在2010年6月26日編譯的,也就是“MiniDuke”loader的前身,之后的版本在MiniDuke和CosmicDuke得到了廣泛的應用。
我們在2014年發布了一份CosmicDuke白皮書,在其中我們提了提“MiniDuke loader”的歷史,在當時,我們觀察到這個loader在與MiniDuke使用之前,已經與CosmicDuke使用過。這個loader的第一個樣本在2010年夏天投入使用,最近的樣本大多是在2015年春天投入使用。
在這5年來,這個loader與Dukes小組的很多工具都有聯系,比如這一版的loader就是用來從三個Dukes工具集中加載木馬,包括CosmicDuke,PinchDuke和MiniDuke。
圖2-WHOIS注冊信息對比(左:natureinhome.com的原始whois注冊信息,是Duke CC服務器的一個域名,由John Kasa在2011年1月29日注冊;右:修改后的whois信息,感受一下Dukes小組的幽默)
在2011年,Dukes又豐富了自己的木馬工具集和CC基礎設施。雖然Dukes應用了黑掉的網站和有意租來的服務器來作為其CC基礎設施,Duke小組很少注冊自己的域名,而是通過IP地址來連接他們自己管理的服務器。
但是,在2010年初,Duke打破常規,分兩批注冊了大量域名;第一批是在1月29日注冊的,第二批是在2月13日注冊的。所有這些域名都是用同一個化名注冊的:“John Kasai of Klagenfurt, Austria”(圖2)。Duke小組在很多活動中都使用了這些域名和木馬,一直到2014年。和“MiniDuke loader”一樣,這些“John Kasai”域名還提供了一個常用的線程來綁定這些工具和Dukes的基礎設施。
到2011年,Duke已經開發了至少3個不同的木馬工具集,包括一些支持組件,比如loader和維持模塊。事實上,在開發了新的工具集后,他們會完全棄用一些木馬工具集,由此可見他們的武器庫范圍很廣。
在2011年的時候,Dukes繼續擴展了他們的武器庫,新增了另外兩個工具集:MiniDuke和CozyDuke。前期的工具集-GeminiDuke,PinchDuke和CosmicDuke都是圍繞一個信息竊取組件設計的,而MiniDuke是一個簡單的后門組件,其目的是在受害主機上實現遠程命令執行。我們發現的第一個MiniDuke后門組件樣本是在2011年5月發現的。但是,這個后門組件的技術與GeminiDuke非常接近,從某種程度上我們認為它們共用了一樣的源代碼。因此,MiniDuke的起源可以追溯到GeminiDuke,最早發現的編譯日期是2009年1月。
不同于簡單的MiniDuke工具集,CozyDuke是一個用途豐富,模塊化的木馬“平臺”,其功能并不集中于一個核心組件,而是可以通過指令從CC服務器上下載的一系列模塊。這些模塊用于有選擇地給CozyDuke提供必要的功能來完成手頭上的任務。CozyDuke的模塊平臺明顯區別于之前的Duke工具集設計風格。
CozyDuke和先前工具集的風格區別在編碼方式上體現的更明顯。前面提到的4個工具集都是用木馬常用的極簡化風格編寫的;MiniDuke使用了很多用匯編語言編寫的組件。但是,CozyDuke則完全相反。CozyDuke沒有用匯編語言或C語言,而是用了C++,抽象性增加了,代價就是復雜性更高了。
不同于木馬,早期的CozyDuke版本還沒有混淆或隱藏自己的特性。事實上,它們很開放,功能很詳細-比如,早期的樣本中有一個沒有加密的日志信息。對比來說,甚至是最早期的GeminiDuke樣本會加密所有的字符串,避免暴露木馬的真實特性。
最后,早期的CozyDuke版本還有很多元素都會讓人聯系到傳統軟件開發項目上,而不是木馬。比如,最早的CozyDuke版本利用了Microsoft Visual C++的一個特性-運行時錯誤檢查。這個特性能讓程序執行的關鍵部分自動檢查錯誤,但是,對于木馬來說,代價就是木馬的功能更容易逆向了。
圖3-MINIDUKE使用的誘餌,以烏克蘭為主題的誘餌文檔,2013年2月,MiniDuke活動利用
根據CozyDuke與其他工具集之間的的風格差異,我們推測以前的Duke系列的作者可能有編寫木馬的背景(或有黑客經歷),CozyDuke的作者可能有軟件開發經歷。
我們還了解一些關于2012年Duke活動的情況。根據2012年的Duke木馬樣本,Duke小組似乎在繼續使用和開發他們的工具。在這之中,CosmicDuke和MiniDuke的使用越來越頻繁,但是只接收鏡像更新。從另一方面來看,GeminiDuke和CozyDuke很少用于真正的行動中,但是一直在開發中。
在2013年2月12日,FireEye公布了一份博客,提醒用戶注意新發現的Adobe Readers 0-day漏洞CVE-2013-0640?和CVE-2013-0641,有很多攻擊活動都在利用這兩個漏洞。在FireEye發布文章的8天后,卡巴斯基發現這個漏洞被用于傳播另一個不同的木馬系列。在2月27日,卡巴斯基和CrySyS實驗室公布了一份關于這個木馬系列的研究報告,并稱之為MiniDuke。
如我們所知,到2013年2月,在至少4年半的時間中,Dukes小組一直在操作MiniDuke和其他工具集。但是,在這期間他們的木馬就被檢測到了。事實上,在2009年,AV產品測試組織開始用木馬集來對比測試AV產品,其中就有PinchDuke樣本。但是直到2013年,更早的Duke工具集才開始放入了合適的上下文。這一點從2013年開始變化。
使用這些漏洞傳播的MiniDuke樣本是在2月20號編譯的,當時人們已經都知道了這個漏洞的存在。你可能會說既然是在漏洞公布之后,Duke小組只需要復制就可以了。但是我們不是這樣認為的。正如卡巴斯基所說的,雖然MiniDuke活動利用的這些漏洞與FireEye公布的基本一致,但是還是有小區別的。其中,最關鍵的就是MiniDuke漏洞中存在的PDB字符串。當使用特定的編譯設置時,編譯器就會生成這些字符串,也就是說MiniDuke使用的漏洞組件必須獨立編譯,這點不同于FireEye的描述。
我們不知道Duke是不是自己編譯的這些組件,還是找別人變異的。但是,Duke不可能像FireEye所說的那樣,簡單的復制了漏洞二進制,然后再重新利用。
我們看來,Duke小組在漏洞遭曝光后還堅持使用有三點原因。第一,Duke小組可能對自己的能力相當自信(認為對手的應對速度不夠快),他們不在意自己的目標是不是在檢查自己有沒有被人盯上。第二,Duke認為MiniDuke活動能提供的價值值得去冒險。第三,在FireEye發出提醒之前,Duke小組可能在活動中投入了很多,他們可能無法承受中途而費的代價。
我們認為,從某種情況上說這三種情況可能是共存的。在這份報告中,你會注意到,這種情況不是個例,而是經常發生的,即使這樣,他們還是要按計劃執行他們的行動,而不是采取應對策略。
與卡巴斯基白皮書中說明的一樣,MiniDuke活動從2013年2月開始通過釣魚郵件來發送惡意的PDF附件。這些PDF文件會偷偷地用MiniDuke感染受害人,同時顯示一個誘餌文檔來迷惑受害者。這些文檔的標題有“Ukraine’s NATO Membership Action Plan (MAP) Debates烏克蘭加入北約成員行動計劃辯論”, “The Informal Asia-Europe Meeting (ASEM) Seminar on Human Rights非正式亞歐會議人權研討會”和 “Ukraine’s Search for a Regional Foreign Policy烏克蘭探求區域外交政策” (圖3)。這些活動的目標,據卡巴斯基級稱,有的位于比利時,匈牙利,盧森堡和西班牙。根據從MiniDuke的CC服務器上獲取的日志文件,卡巴斯基還發現了一些高價值受害者,分別來自烏克蘭,比利時,羅馬尼亞,捷克共和國,冰島,美國和匈牙利。
在2月的活動之后,MiniDuke的活動數量有所減少,但是在2013年中并沒有完全停止。不過,整個Dukes小組并沒有要停下來的跡象。事實上,我們發現了另一個Duke木馬工具集-OnionDuke,首次出現在2013年。和CozyDuke類似,OnionDuke設計有豐富的功能,也采用了類似的模塊化平臺方法。OnionDuke工具集中包括多種模塊,用于竊取密碼,信息收集,DDoS攻擊,甚至是向俄羅斯媒體的網絡VKontakte發送垃圾郵件。OnionDuke工具集中還有一個投放器,一個信息竊取器變體和多個不同版本的核心組件,負責與不同的模塊交互。
OnionDuke奇怪的原因是它從2013年夏天開始使用的感染載體。為了傳播這個工具集,Dukes小組使用了一個封裝器在合法應用程序中整合OnionDuke,創建的種子文件包含有植入了木馬的應用。然后上傳到托管種子的網站上(圖4)。使用這些種子文件下載應用的受害者會感染上OnionDuke。
圖4-ONIONDUKE的木馬種子,在這個種子文件中包含有一個植入了OnionDuke工具集的可執行程序
對于我們觀察到的大多數OnionDuke組件,我們注意到的第一個版本是在2013年夏天編譯的,說明在這段時間中Duke在開發這個工具集,。但是,我們觀察到的第一個OnionDuke 投放器樣本,只會和這個工具集中的組件配合使用,這個樣本是在2013年2月編譯的。這點很重要,因為由此表明在任何Duke行動進入公眾視野前,OnionDuke就已經在開發中了。所以,OnionDuke的開發絕對不可能簡單的是為了替換過時的Duke木馬,而是為了配合其他工具集的使用。由此可見,Dukes計劃并行使用這5個木馬工具集,Dukes掌握有龐大的資源和能力。
在2013年,Dukes采用的多數誘餌文檔都涉及到烏克蘭,包括烏克蘭外交部首席副部長簽署的一封信,由冰島駐烏克蘭大使館發給烏克蘭外交部的一封信,以及一份名為“烏克蘭探尋地區性外交政策”的文檔。
但是,這些誘餌文檔是在2013年11月歐洲抗議烏克蘭動蕩之前編寫的。這點非常重要,因為不同于預測,我們真正觀察到當Dukes注意到烏克蘭局勢后,與烏克蘭相關的活動量開始下降了,而不是增長。
這點不同于其他的俄羅斯攻擊者(比如Operation Pawn Storm),他們在烏克蘭危機后增加了針對烏克蘭的活動。這也和我們的分析一致,Dukes的目標是收集情報來支持外交政策的制定。在烏克蘭危機之前,當時俄羅斯還在權衡烏克蘭的選擇,所以,當時烏克蘭是Dukes的目標。但是當俄羅斯直接采取行動后,Dukes對烏克蘭的態度就不一樣。
圖5-COSMICDUKE的誘餌,誘餌文檔的截圖,似乎是一份購買生長激素的訂單,用于2013年9月的CosmicDuke活動
在2013年9月,出現了一次轉折性事件,CosmicDuke活動攻擊了參與非法化學物質貿易的俄羅斯人(圖5)。
卡巴斯基實驗室,有時會用‘Bot Gen Studio’來代指CosmicDuke,我們推測‘Bot Gen Studio’是一個木馬平臺,也叫做“合法間諜軟件”工具;因此,他們認為可能是有兩個獨立的機構在使用CosmicDuke分別來打擊毒品經銷商和政府部門。但是,我們感覺,攻擊毒品銷售商和政府的CosmicDuke操控者一定不是兩個完全獨立的部門。可能是因為公用了同一家木馬提供商,但是這也無法解釋行動技術和CC基礎設施上為什么會出現這么多的重疊。另外,我們感覺攻擊毒品經銷商是Duke分部的一個新任務,可能是因為毒品貿易涉及到了安全政策問題。我們還任務這項任務是臨時的,因為在2014年春天之后,就再也沒有觀察到類似的活動目標。
在2013年的時候,研究人員都注意到了MiniDuke活動,因此其數量大幅的減少了,但是2014年初,這個工具集又全力回歸了。所有的MiniDuke組件,從loader到下載器到后門,都經過了簡單的升級和修改。有意思的是,通過這些修改我們能了解到其主要目的是重新隱藏自己,避免被檢測到。
在這些修改中,最重要的就要數loader的修改。正是因為這些修改才有了后來的“Nemesis Gemina loader”,因為我們在很多樣本中都找到了PDB字符串。但是,這還是迭代后的早期MiniDuke loader。
我們發現的第一個Nemesis Gemina loader樣本(2013年11月14日)是用于加載更新后的MiniDuke后門,但是在2014年春,CosmicDuke中也使用了Nemesis Gemina loader。
在MiniDuke曝光后,CosmicDuke也遭到了曝光,F-Security在2014年7月2日公布了一份關于CosmicDuke的白皮書。第二天,卡巴斯基也公布了自己的木馬研究報告。值得注意的是,雖然CosmicDuke已經使用了超過4年,并且也經過了幾次鏡像修改和更新,甚至最近的CosmicDuke樣本中也常常內嵌維持模塊,其中有些能追溯到2012年。這些樣本的功能也涵蓋了2010年時候CosmicDuke的功能。
因此,能觀察到在7月初,Dukes小組又開始恢復CosmicDuke的一些活動,這也是很有價值的。在當月月底,我們發現了一些在7月30日編譯的CosmicDuke樣本,在這些樣本中,一些在以前版本的樣本中出現的無用代碼都被刪除了。同樣,這么多年以來,CosmicDuke樣本中也有很多硬編碼值是沒有修改過的。我們認為木馬作者修改或移除了一些他們覺得可能有助于識別和檢測的部分,從而避免工具被檢測到。
在修改CosmicDuke的同時,Dukes小組也在修改他們的loader。類似于CosmicDuke工具集,從2010年第一個樣本之后,MiniDuke和CosmicDuke使用的loader也經過了重大更新(Nemesis Gemina更新)。同樣,大部分的修改工作也是集中在移除多余的代碼,嘗試區別于舊版本的loader。但是,有意思的是,木馬作者還嘗試了另外的逃逸技巧-偽造loader的編譯日期。
圖6-COZUDUKE誘餌,左:偽裝成美國信件傳真的誘餌文檔,用于CozyDuke活動;右-猴子視頻誘餌,也是用于CozyDuke活動
第一個CosmicDuke樣本是我們在首次研究了CosmicDuke之后發現的,這個樣本是在2014年7月30日編譯的。這個樣本使用的loader據說是在2010年3月25日編譯的。但是,根據在編譯中遺留下來的一些痕跡,我們知道這個loader使用的Boost庫版本是1.54.0,只在2013年7月1日公布過。因此,這個編譯時間戳一定是偽造的。或許,Dukes小組認為偽造一個更早的時間可能會迷惑到研究人員。
在2014年到2015年春,Dukes繼續在修改CosmicDuke來逃避檢測,同時也在實驗異或loader的方法。但是,在實驗的同時,Dukes小組還在開發全新的loader,我們在2015年春的CosmicDuke活動中發現了首個全新的樣本。
雖然,不出意外,Dukes會根據各大安全公司發布的報告來修改自己的工具集,但是,他們的應對方式還是值得注意的。和2013年2月的MiniDuke報告類似,Dukes小組似乎又優化了接下來的活動優先級來隱藏自己。他們本可以停止使用所有的CosmicDuke(至少是在他們開發出新的loader之前),或讓CosmicDuke完全退役,因為他們還有一些其他的工具集是可以使用的。但是,他們只沉寂了很短的時間,在稍微對工具集進行修改后,就又繼續行動了。
雖然,我們知道CozyDuke從2011年末出現以來,一直在發展,但是知道2014年7月初,首次大規模的CozyDuke活動才進入了我們的視野。這次活動,和之后的CozyDuke活動一樣,首先是用釣魚釣魚郵件來模擬成常見的垃圾郵件。這些釣魚郵件的一些鏈接最終會導致用戶感染CozyDuke。
在7月初,一些CozyDuke釣魚郵件會偽裝成e-fax送達通知,一種垃圾郵件慣用的主題;并且還使用了“US letter?fax test page”誘餌文檔,一年后的CloudDuke也是使用了這個誘餌。但是,在不止一個例子中,郵件中沒有使用鏈接,而是用了壓縮文檔“Office Monkeys LOL Video.zip”,這個文件托管在DropBox云服務上。有趣的是,這個例子沒有使用常規的虛假PDF文件,而是用了一個Flash視頻作為誘餌,更具體的說就是2007年的超級碗廣告,辦公室里的猴子(圖6)。
在2014年10月23日,Leviathan 安全集團公布了一份文章,描述了他們發現的一個惡意Tor退出節點。他們注意到這個節點似乎在惡意篡改通過HTTP連接從這個節點上下載的所有可執行程序。如果執行了這些經過篡改的應用,受害者可能就會感染木馬。在11月14日,F-Security公布了一份文章,把木馬命名為OnionDuke,并發現這個木馬與CosmicDuke和其他的Duke工具集存在關系。
根據我們對OnionDuke的調查,我們認為從2014年4月開始到Leviathan在2014年10月公布報告的大約7個月中,研究人員發現的這個Tor退出節點被被用于包裝與OnionDuke相關的可執行程序(圖7)。這種方式與2013年夏天通過種子文件來傳播木馬應用的方式類似。
在調查通過Tor節點傳播的這個OnionDuke變體期間,我們又發現了另一個OinionDuke變體在2014年春成功入侵了一個受害者,這名受害者來自某個東歐國家的外交部。這個變體與通過Tor節點傳播的木馬在功能上存在很大的差別,也就是說這些不同的功能是為了針對不同的受害者。
我們認為,這個通過Tor節點傳播的OinionDuke變體,不是為了執行攻擊活動,而是為了構成小型的botnet,以便日后使用。這個OnionDuke變體與2013年夏天通過種子文件傳播的一個木馬有關聯。這兩種感染途徑,與Dukes經常使用的釣魚郵件相比,都非常隨意,也沒有針對性。
另外, 這個OnionDuke變體的功能是由很多模塊提供的。有的是收集信息,有的會嘗試竊取受害者的用戶名和密碼,這些功能都是針對性攻擊木馬經常具備的。另外還有兩個已知的OnionDuke模塊則完全相反,一個設計用于DoS攻擊,另一個是為了向俄羅斯VKontakte社交網站發送預定的信息。這種功能在犯罪型botnet中更常見,而不是國家贊助的針對性攻擊。
至此,我們已經至少識別了兩個獨立的OnionDuke botnet。我們認為第一個botnet是在2014年1月開始形成的,使用了未知的感染途徑和已知的惡意Tor節點,并且一直持續到11月份,直到我們發布了文章。對于第二個botnet,我們認為是在2014年8月開始形成的,并且一直持續到了2015年1月。我們還沒能確定第二個botnet使用的感染途徑,但是其使用的CC服務器已經公開了目錄列表,允許我們獲取文件中存在的受害人IP列表。這些IP的地理分布(圖8)驗證了我們的猜測,這些OnionDuke變體不是為了在針對性攻擊中打擊高價值目標。
有一種看法是認為這些botnet是Dukes小組的犯罪業務部分。但是,如果是為了商業DoS攻擊或垃圾郵件,這個botnet的規模(大約1400個bots)就太小了。不過,OnionDuke也會竊取受害人的用戶憑據,作為另外的收入來源。但是,反對這種聲音的原因是因為這種方式取得的價值在黑市上太低了。
在2015年1月,Duke活動數量開始顯著增加,有上千人都接收到了包含CozyDuke惡意鏈接的釣魚郵件。我們好奇的是,這些釣魚郵件和e-fax主題的垃圾郵件非常類似,都是勒索軟件和其他犯罪軟件常用的傳播方式。由于接收到郵件的用戶數量太多,Dukes很可能沒有向其他小數量活動一樣,專門的定制郵件。
但是,與常用垃圾郵件的相似性可能是為了更險惡的目的。不難想象,安全分析師在面對著沉重的網絡攻擊負擔時,會把這種常見的垃圾郵件簡單地看作 “一個犯罪活動”,致使這樣的活動隱藏到 “蕓蕓眾生”中。
CozyDuke活動表現出Dukes行動有長期進行的趨勢,使用了多種木馬工具集來打擊一個單一的目標。在這種情況下,Dukes首先會使用CozyDuke(以一種更明顯的方式)嘗試感染大量的潛在目標。然后,他們會使用工具集來收集關于受害者的初始信息,接著再判斷應該繼續攻擊哪些受害者。對于感興趣的受害者,Dukes接著會部署不同的工具集。
我們認為,這種戰術的主要目的是為了嘗試躲避目標網絡中的檢測。即使受害者的組織注意到了最初的CozyDuke活動,或者遭到了曝光,防御者首先會查看的就是與CozyDuke工具集相關的入侵標志(IOC),但是,如果當時Dukes已經在受害者的網絡中運行了,只要使用另一種工具集,而這個工具集的IOC與曝光的不一樣,那么有理由相信,受害者的組織會用更長的時間才會注意到滲透。
在先前的例子中,Dukes小組就曾經更換過木馬工具集,無論是作為初始階段或后續階段的工具集。然而,對于這些CozyDuke活動,Dukes小組似乎應用了兩個特殊的后階段工具集-SeaDuke和HamerDuke,有意設計用于在攻破網絡上留下維持后門。Hammeruke是一個后門系列,首先在野外發現是在2015年2月;而SeaDuke是一個跨平臺后門,據賽門鐵克稱,首次在野外發現是在2014年10月。這兩個工具集都是CozyDuke活動部署的。
SeaDuke的特殊性在于它是用Python編寫的,設計能在Windows和Linux系統上運行;這是我們首次發現Dukes使用了跨平臺工具。其中一個可能的原因可能是開發這樣靈活的木馬可能會更多的遇到使用Linux作為操作系統的受害者。
圖7-OnionDuke使用惡意Tor節點感染受害者的流程
圖8-OnionDuke Botnet的地理分布
圖9-OnionDuke CC推文,OnionDuke使用的推文,里面的鏈接指向了一個圖像文件,這個圖像文件中潛入了一個OnionDuke版本更新
同時,HammerDuke是一個只能在Windows上運行的木馬(用.NET編寫),有兩個變體。簡單的那個會通過HTTP或HTTPS連接一個硬編碼服務器,下載執行命令。更高級的那一個,會使用算法來生成定期更改的Twitter賬號,然后嘗試搜索從這個賬號發出的推文,根據里面的鏈接下載執行命令。這樣,高級的HammerDuke變體就能通過合法的Twiter使用,來隱藏其網絡流量。這種方法并不是HammerDuke獨家使用的,MiniDuke, OnionDuke和CozyDuke都會類似的利用Twitter(圖9)來獲取鏈接,另外下載payload或命令。
在2015年7月初,Dukes小組開始執行另一次大規模釣魚活動。在這次活動中使用的木馬工具集是以前沒有出現過的,并且我們認為7月份的這次活動,標志著Dukes首次開始真正的部署工具集,而不是小規模的測試了。
CloudDuke工具集至少包括一個loader,一個downloader和兩個后門變體。這兩個后門(作者內部稱之為“BastionSolution” 和“OneDriveSolution”),允許操作員遠程在入侵設備上執行命令。但是,這兩個后門完成這一操作的方式是截然不同的。BastionSolution變體會簡單的從一個受Dukes控制的硬編碼服務器上獲取命令,OneDriveSolution是利用微軟的OneDrive云存儲服務與主控通信,從而增加了防御者注意并攔截通信信道的難度。最重要的還要數2015年7月,CloudDuke活動的時間線。這次活動似乎包括兩次獨立的釣魚攻擊,一次是在7月初,另一次是從7月20號開始的。Palo Alto Networks在7月14日,發布了關于第一波攻擊的CloudDuke詳細技術分析報告。卡巴斯基隨后又在7月16日公布了更多細節。
這些公布都在第二波攻擊之前,并且引起了公眾的廣泛關注。盡管引起了公眾的注意,并曝光了大量的技術細節(包括IOC),Dukes還是繼續發動了第二波釣魚攻擊,包括繼續使用CloudDuke。Dukes小組并沒有更改釣魚郵件的內容,也沒有更換郵件的格式,而是又恢復成了他們以前用過的efax主題格式,甚至重新使用了在一年前CozyDuke活動(2014年7月)中使用的誘餌文檔。
這次更加突出了Dukes小組的行為特征。首先,與2013年2月的MiniDuke和2014年夏天的CosmicDuke活動一樣,Dukes又一次清楚地優化了行動順序來保持隱秘性。其次,又突出了Dukes小組的膽大,傲慢和自信;他們對自己的能力有信心,能成功的入侵目標,即使自己的工具和技術都已經曝光,這樣的情況下,他們也堅信自己的行動不會受到影響。
除了CozyDuke和CloudDuke這樣肆無忌憚的大規模活動外,Dukes還在繼續用CosmicDuke來執行更加毫不隱瞞,外科手術式的攻擊活動。我們發現的最新活動開始于2015年春和2015年夏天的早些時候,這些活動使用了惡意文檔來利用近期未修復的一些漏洞。
波蘭安全公司Prevenit發表文章詳細地介紹了這些活動,他們稱這兩次活動的目標是波蘭的一些機構,在釣魚郵件中使用了用波蘭語作為名稱的惡意附件。類似的,我們觀察到第三次活動攻擊了格魯吉亞的一些機構,使用了用格魯吉亞語作為名稱的惡意附加,翻譯過來就是 “NATO加強對黑海的控制.docx”。
據此,我們并不認為Dukes會拋棄原來隱秘的針對性活動,轉而投向公開的投機性CozyDuke和CloudDuke式的活動。相反,我們認為他們只是在通過增加新的工具和技術來擴展自己的活動。
圖10-Duke工具集的活動時間分布
PinchDuke工具集包含多過loader和一個核心的信息竊取木馬。與PinchDuke工具集關聯的loader已經發現與CosmicDuke配合使用過。
PinchDuke工具集包含多過loader和一個核心的信息竊取木馬。與PinchDuke工具集關聯的loader已經發現與CosmicDuke配合使用過。
PinchDuke信息竊取木馬會收集系統配置信息,竊取用戶憑據并從入侵的主機上收集用戶文件,然后通過HTTP(S)把這些文件轉發到一個CC服務器上。我們認為PinchDuke的憑據竊取功能是基于Pinch憑據竊取木馬的源代碼(也就是LdPinch),最早是在21世紀初開發的,后來在地下論壇上傳播過。
PinchDuke的目標憑據與下面的這些軟件或服務有關:
PinchDuke還會查找在預定時間范圍內創建的文件和在預定列表中出現的文件擴展。
令人好奇的是,多數PinchDuke樣本中都包含有下面的俄語錯誤信息: “Ошибка названия модуля! Название секции данных должно быть 4 баи?та!”
大體意思是: “模塊名有錯誤!數據節名稱的長度必須是4字節!”
GeminiDuke工具集包括一個核心的信息竊取器,一個loader和多個與維持相關的組件。不同于CosmicDuke和PinchDuke,GeminiDuke主要是收集受害者計算機上的配置文件。收集的信息包括:
在木馬中很常見,GeminiDuke的信息竊取器使用了一個互斥量來確保只有一個實例是在運行的。不常見的是,這個互斥量經常使用一個時間戳作為自己的名稱。我們認為這些時間處是在GeminiDuke的編譯期間,根據計算機的本地時間確定的。
比較GeminiDuke的編譯時間發現,它經常引用UTC+0時區的時間,把本地時間作為互斥量的名稱,并根據預設的時區調整時差,我們注意到所有的互斥量名稱都引用了一個時間和日期,這個日期就是在樣本編譯時間戳的幾秒鐘之內。另外,所有在冬天編譯的GeminiDuke樣本都使用了UTC+3作為時間戳的時區,而在夏天的編譯的樣本,就把UTC+4作為時間戳的時區。
已經觀察到的時區符合2011年以前的莫斯科標準時間(MSK)的定義,就是在冬天時區是UTC+3,在夏天是UTC+4。在2011年,MSK時間不再遵守夏令時間(DST),并且開始全年使用UTC+4,并在2014年全年使用UTC+3。某些GemiiDuke樣本使用的互斥量就是當MSK還遵守夏時令時編譯的,這些樣本的時間戳符合當時的莫斯科時間定義。
莫斯科的時區圖:粉色:MSK(UTC+3),橙色:UTC+4
但是,在MSK修改后編譯的GeminiDuke樣本還是冬天用UTC+3,夏天用UTC+4。雖然,使用Windows的計算機會自動調整DST,但是更改時區需要安裝Windows更新。因此,我們認為Dukes小組沒有更新用來編譯GeminiDuke樣本的計算機,所有在之后出現的樣本時間戳還是遵循以前的莫斯科標準時間定義。
GeminiDuke信息竊取器有時還會封裝一個loader,這可能是GeminiDuke都有的,以前也從未在其他的Duke工具集中發現過。GeminiDuke有時還會內嵌其他的可執行程序,嘗試維持在受害者的計算機上。這些維持組件是經過特別定制的,為了配合GeminiDuke使用,但是他們還使用了相同的技術來作為CosmicDuke的維持組件。
CosmicDuke工具集是圍繞一個主要的信息竊取組件設計的。這個信息竊取器附帶了大量的組件,操作員會有選擇的在主要的組件上添加其他的組件來提供額外的功能,比如多種建立維持的方法,以及嘗試利用權限提升漏洞的模塊,從而用更高的權限來執行CosmicDuke。CosmicDuke的信息竊取功能包括:
CosmicDuke可能使用HTTP,HTTPS,FTP或WebDav來把收集到的數據傳輸到一個硬編碼CC服務器。雖然我們認為CosmicDuke是一個完全自定義編寫的工具集,不會共用其他Duke工具集的代碼,但是其很多高級功能的實現都與其他的Dukes武器有相通之處。
具體來說,CosmicDuke用于從目標軟件提取用戶憑據和檢測分析軟件的技術,都是基于PinchDuke的技術。同樣,許多CosmicDuke的維持組件使用的技術也用在了與GeminiDuke和CozyDuke相關的組件上。在所有的這些例子中,技術都是相同的,但是代碼都經過了修改,導致在最后的實現上存在小區別。
我們發現,有一小部分CosmicDuke樣本中還有的組件會嘗試利用近期公布的漏洞 CVE-2010-0232或CVE-2010- 4398權限提升漏洞。以CVE-2010-0232為例,這個利用似乎是直接建立在安全研究員Tavis Ormandy在披露漏洞時公布的概念驗證代碼上。我們認為,CVE- 2010-4398利用也是建立在公開的概念驗證上。
除了經常內嵌維持或權限提升組件外,CosmicDuke還偶爾會內嵌PinchDuke,GeminiDuke或MiniDuke的組件。應該注意的是,CosmicDuke并不會與后者交互操作,內嵌的木馬會把木馬寫入到磁盤上執行。之后,CosmicDuke和第二個木馬會獨立操作,包括各自聯系自己的CC服務器。有時候,兩個木馬會使用同一個CC服務器,但是其他情況下,甚至是使用的服務器也都不是一樣的。
最后值得注意,雖然多數CosmicDuke的編譯時間戳看起來是真實的,但是我們還是注意到,有幾個是偽造的。一起一個就是前文中提到的,可能是為了逃避檢測。另一個是在2010年秋天與CosmicDuke和PinchDuke聯合使用的一個loader變體。這些loader樣本的編譯時間戳都是在2001年9月24日或25日。但是,這些loader樣本大都內嵌了CosmicDuke變體來利用CVE-2010- 0232權限提升漏洞,所以其編譯時間戳不可能是真的。
深度閱讀:
https://www.f-secure.com/ documents/996508/1030745/cosmicduke_ whitepaper.pdf https://securelist.com/blog/ incidents/64107/miniduke-is-back-nemesis- gemina-and-the-botgen-studio/MiniDuke工具集包括多個downloader和后門組件,卡巴斯基在最初的MiniDuke白皮書中成這些組件為MiniDuke “階段1” “階段2”和 “階段3”組件。另外,有一個特別的loader經常會關聯到MiniDuke工具集,稱作 “MiniDuke loader”。
這個loader經常與其他的MinDuke組件一起使用的同時,也還是經常與CosmicDuke和PinchDuke組件聯用。事實上,我們發現這個loader樣本最早還是與PinchDuke使用。但是,為了避免混淆,我們還是稱這個loader為 “MiniDuke loader”。
有兩處關于MiniDuke組件的細節需要值得注意。首先,一些MiniDuke組件是用匯編語言編寫的。雖然,很多木馬都是在 “以前的那種好奇心驅使下”用匯編語言編寫的,但是現在越來越少見。第二,一些MiniDuke組件中沒有包含硬編碼的CC服務器地址,而是通過Twitter來獲取當前的CC服務器地址。使用Twitter來獲取CC服務器的地址(或作為備份,如果沒有硬編碼的主要CC服務器響應)也是OnionDuke,CozyDuke和HammerDuke的特性。
深度閱讀:
http:// kasperskycontenthub.com/wp-content/ uploads/sites/43/vlpdfs/themysteryofthepdf0- dayassemblermicrobackdoor.pdf http://blog.crysys.hu/2013/02/miniduke/ http://labs.bitdefender. com/wp-content/uploads/downloads/2013/04/ MiniDuke_Paper_Final.pdf https://www.circl.lu/files/tr-14/ circl-analysisreport-miniduke-stage3-public.pdf http://www. welivesecurity.com/2014/05/20/miniduke-still- duking/ CozyDuke不是一個簡單的木馬工具集,而是一個模塊化的木馬平臺,圍繞一個核心的后門組件形成。CC服務器可以指令這個組件來下載并執行任意模塊。并且這些模塊能提供給CozyDuke豐富的功能。已知的CozyDuke模塊有:
除了模塊,CozyDuke還可以通過指令,來下載并執行其他獨立的可執行程序。在某些觀察到的例子中,這些可執行程序是自解壓文檔,其中包含著入侵工具,比如,PSExe和Mimikatz,還有執行這些工具的腳本文件。在其他情況下,CozyDuke還會下載和執行其他Duke工具集的工具,比如OnionDuke,SeaDuke和HamerDuke。
深度閱讀:
https://www.f-secure. com/documents/996508/ 1030745/CozyDuke (PDF) https://securelist. com/blog/research/69731/the-cozyduke-apt/ CozyDuke中的PDB字符串實例
OnionDuke工具集至少包括一個dropper,一個loader一個信息竊取器和多個模塊變體。
OnionDuke首先引起我們的注意是因為它是通過一個惡意的Tor退出節點進行傳播。這個Tor節點會攔截所有下載下來的未加密可執行文件,并通過添加嵌入了OnionDuke的惡意封裝器來篡改這些可執行文件。一旦受害者下載了這些文件并執行,封裝器就會用OnionDuke感染受害者的計算機,然后執行原始的合法可執行文件。
這個封裝器還會用于封裝合法的可執行文件,然后讓用戶從種子網站上下砸。這樣,如果受害者下載的種子中包含封裝后的可執行文件,他們就會感染OnionDuke。
最后,我們還觀察到,感染了OnionDuke的受害者首先已經感染了CozyDuke。在這種情況下,CozyDuke就會接收到CC服務器的指令,下載并執行OnionDuke工具集。
深度閱讀:
https://www.f-secure.com/ weblog/archives/00002764.html SeaDuke是一個簡單的后門,主要是執行從CC服務器上獲取的命令,比如上傳和下載文件,執行系統命令并評估額外的Python代碼。SeaDuke很有趣的地方是它是用Python寫的,并且是跨平臺的,可以在Windows和Linux上運行。
已知SeaDuke的唯一感染途徑是通過現有的CozyDuke感染,由CozyDuke下載和執行SeaDuke工具集。
類似于HammerDuke,當CoyDuke完成了初始感染并獲取到可用信息后,SeaDuke似乎主要用作CozyDuke受害者上的一個二級后門。
深度閱讀:
http://www.symantec.com/connect/blogs/ forkmeiamfamous-seaduke-latest-weapon- duke-armory http://researchcenter.paloaltonetworks. com/2015/07/unit-42-technical-analysis- seaduke/ https://www.f- secure.com/weblog/archives/00002822.html (http://secure.com/weblog/archives/00002822.html)在SeaDuke源代碼中發現的跨平臺支持
HammerDuke是一個簡單的后門,設計的作用類似與SeaDuke。具體來說,HammerDuke的唯一已知感染途徑是由CozyDuke下載和執行,這樣,再結合HammerDuke簡單的后門功能,表明Dukes小組主要是將其用作二級后門,首先是由CozyDuke執行初始感染,并竊取可用的受害者信息。
但是,HammerDuke也是挺有意思的,因為是用.NET編寫的,并且還偶爾會用Twitter作為CC通信信道。一些HammerDuke變體中只包含硬編碼的CC服務器地址,從這上面獲取命令,但是其他的HammerDuke變體首先會使用一個自定義算法根據當前日期,來生成一個Twitter賬號。如果賬號已經存在,HammerDuke就會搜索這個賬戶推文中的圖像鏈接,其中包含有執行命令。
HammerDuke使用Twitter和特制的圖像文件和其他的Duke工具類似。OnionDuke和MiniDuke也使用了日期算法來生成Twitter賬戶,并搜索從這個賬戶中發表的推文,查找到像文件的鏈接。但是,對比來說,OnionDuke和MiniDuke的圖像鏈接中嵌入了的是可以下載和執行的木馬,而不是指令。
類似的,GeminiDuke也會下載圖像文件,但是這些文件中可能會嵌入工具集本身的配置信息。但是不同于HammerDuke,GeminiDuke下載的URL是硬編碼在初始配置中的,而不是從Twitter中獲取的。
深度閱讀:
https://www2.fireeye.com/rs/848-DID-242/ images/rpt-apt29-hammertoss.pdf * APT29就是Dukes小組CloudDuke這個工具集至少包括一個downloader,一個loader和兩個后門變體。CloudDuke downloader會從預先定義的位置下載和執行另外的木馬。有趣的是,這個位置可能是一個web地址,或一個OeDrive賬戶。
這兩個CloudDuke后門變體都支持簡單的后門功能,與SeaDuke類似。其中一個變體會通過HTTP或HTTPS使用一個預先配置的CC服務器,另一個變體會使用OneDrive賬戶來交換命令和竊取到的數據。
深度閱讀:
https://www.f-secure. com/weblog/archives/00002822.html http://researchcenter. paloaltonetworks.com/2015/07/tracking- minidionis-cozycars-new-ride-is-related-to- seaduke/ https://securelist.com/blog/ research/71443/minidionis-one-more-apt-with- a-usage-of-cloud-drives/ Dukes主要是利用釣魚郵件讓受害者感染木馬。這些釣魚郵件有的特別偽裝成垃圾信息來傳播常見的犯罪軟件,并發送給大量的接收人,有的是高度針對性的郵件,發送給少量的接收人(或一個人),其中的內容也是與預定目標高度相關的。在有些情況下,Dukes會利用已經被攻破的受害者向其他目標發送釣魚郵件。
Dukes小組利用的釣魚郵件中,要么使用特制的惡意附件,或托管著木馬的URL鏈接。當使用惡意附件時,這些附件有的是利用常用軟件中的漏洞,比如Microsoft Word 或 Adobe Reader,或者是附件中包含有圖標和文件名,經過混淆后看起來不像是一個可執行文件。
我們只在一些實例中發現,Dukes小組沒有使用釣魚作為初始的感染途徑,就是某些OnionDuke變體。這些變體在傳播木馬時,要么使用惡意的Tor節點在合法的應用中植入OnionDuke工具集,要么通過種子文件來下載植入了木馬的合法應用。
最后,需要注意,Dukes有時候在感染了受害者后,還會用另外的木馬工具再感染這名受害者。比如,使用感染了CozyDuke的受害者又感染了SeaDuke, HammerDuke或 OnionDuke;感染了CosmicDuke的受害者還會感染PinchDuke,GeminiDuke或MiniDuke。
Dukes小組通常會在感染途徑中使用誘餌。這些誘餌可能是圖像文件,文檔,Flash視頻或類似的文件,在感染過程中會顯示給用戶,從而迷惑受害者,防止他們注意到惡意活動。這些誘餌的內容有的是非針對性的材料,比如電視商業廣告-辦公室猴子;針對性文檔,內容是與受害者相關的,比如報告,邀請或參數某項事件的人員名單。
一般情況下,這些誘餌的內容可能來自公共來源,有的是復制的公共材料,比如新聞報道,或公開的合法文件。但是,在某些情況下,高度針對性的誘餌會使用非公共來源的材料。這些內容可能是竊取的其他的Duke工具集受害人。
Dukes小組既在感染途經中利用漏洞,也在木馬中利用了漏洞。但是,我們只發現了一個實例-利用CVE-2013-0640來部署MiniDuke-我們認為這個漏洞在當時是一個0-day漏洞。在所有已知的漏洞利用案例中,我們認為,Dukes并不是自己發現漏洞,也不是設計漏洞來利用,而是購買了漏洞。在其他的案例中,我們認為他們只是購買了漏洞或概念驗證。
俄羅斯時區圖,粉色:MSK(UTC+3);橙色:UTC+4
歸屬判斷一直是一個很難的問題,但是在理解這類威脅和與之對抗時,這個問題的答案又是很重要的。在文中,我們已經表達了觀點,我們認為Dukes小組是俄羅斯贊助的一個間諜小組。為了得到這一結論,我們首先分析了這個小組的目的和動機。
根據我們目前了解到的,在這7年中,Dukes小組是如何選擇目標的,他們的目標中一直都有與外交政策和安全政策相關的實體。這些目標包括一些組織,比如外交部,大使館,參議院,議會,國防部,國防承包商和智囊團。
在其中一個有趣的例子中,Dukes的目標中還出現過涉及非法藥品運輸的實體。但是,即使是這樣的目標也和他們的一貫目標相一致,考慮到毒品也與安全政策有關系。據此,我們對自己的判斷有信心,Dukes小組的主要任務是通過收集情報來支持外交和安全政策的確定。
很自然的,這就牽扯到了國家贊助的問題。根據這個小組的主要任務,我們認為主要的受益者是政府。但是Dukes小組或部門是屬于政府機構的嗎?還是外部承包商?只認錢的犯罪團伙?一群有技術的愛國分子?我們不清楚。
根據Dukes的活動長度,我們推測在這些行動中投入的資源數量和活動數量只會越來越多。我們認為,這個小組掌握有大量,關鍵的,穩定的經濟支撐。Dukes一直在實施大規模的活動,攻擊高價值目標,同時也會參與小規模的目標更廣的活動,很顯然,他們協調的很好,沒有遇到行動沖突。所有,我們認為Dukes是一家獨立的,協調能力強的大型組織,有著明確的責任劃分和目標。
Dukes小組有時候會為了保持隱蔽性而重新安排行動的繼續情況。他們的2015年CozyDuke和CloudDuke活動將這特點發揮到了極致。最極端的例子就是CloudDuke活動,當時的多家安全廠商都認為Dukes都曝光了CloudDuke活動后,他們又在2015年7月繼續進行了活動。所以,我們認為Dukes的主要任務很有價值,其贊助者認為行動繼續比一切都重要。
就我們看來,Dukes小組對公眾關注的無所謂,是因為其贊助者具有權勢,并且一直緊密聯系著Dukes,所以Dukes才能肆無忌憚的進行行動。我們認為唯一有權力提供這樣全面的保護的就只能是國家政府。所以我們認為Dukes或者在政府內工作或直接就是效力于政府,絕不可能是犯罪團伙或其他第三方。
最后一個問題:哪個國家?我們無法負責人的證明是哪個具體的國家在支持Dukes。但是,在我們看來,所有的證據都指向了俄羅斯。而且,目前我們也沒有發現能有證據來駁斥這一理論。
卡巴斯基實驗室先前已經注意到,在一些Dukes木馬樣本中出現了俄語。我們也在很多PinchDuke樣本中發現了俄語的錯誤信息:“Ошибка названия модуля! Название секции данных должно быть 4 баи?та!”,大體意思是 “模塊名稱有錯誤,數據節名稱必須是4字節!”
另外,卡巴斯基還指出,根據編譯時間戳,Duke木馬的作者主要是在周一至周五工作,從早上6點到下午4點, UTC+0時間。對應著UTC+3時區,也就是莫斯科時間的早9點和下午7點,基本涵蓋了大部分俄羅斯西部,包括莫斯科和圣彼得堡。
卡巴斯基實驗室對Duke木馬作者的工作時間分析也印證了我們自己的分析,以及FireEye的分析。很多GeminiDuke樣本中的時間戳也支持這種根據時區的推斷,這種相似性表明這個小組的工作地點位于莫斯科標志時區,詳情請參考GeminiDuke技術分析部分。
最后,Dukes小組的目標有-西歐國家的外交部,西方智囊團和政府組織,甚至是俄羅斯毒梟-都與俄羅斯外交和安全政策相關。雖然,Dukes的目標看起來是全球的政府,但是我們并沒有發現他們針對俄羅斯政府。但是證據不足不代表就是沒有證據,這是很有趣的一點。
根據列出的證據和分析,我們認為,Duke工具集是一個獨立的,掌握有大量資源的大型組織開發的(我們稱之為Dukes小組),旨在為俄羅斯政府提供與外交和安全政策相關的情報,用于交換支持和保護。 歸屬判斷一直是一個很難的問題,但是在理解這類威脅和與之對抗時,這個問題的答案又是很重要的。在文中,我們已經表達了觀點,我們認為Dukes小組是俄羅斯贊助的一個間諜小組。為了得到這一結論,我們首先分析了這個小組的目的和動機。
根據我們目前了解到的,在這7年中,Dukes小組是如何選擇目標的,他們的目標中一直都有與外交政策和安全政策相關的實體。這些目標包括一些組織,比如外交部,大使館,參議院,議會,國防部,國防承包商和智囊團。
在其中一個有趣的例子中,Dukes的目標中還出現過涉及非法藥品運輸的實體。但是,即使是這樣的目標也和他們的一貫目標相一致,考慮到毒品也與安全政策有關系。據此,我們對自己的判斷有信心,Dukes小組的主要任務是通過收集情報來支持外交和安全政策的確定。
很自然的,這就牽扯到了國家贊助的問題。根據這個小組的主要任務,我們認為主要的受益者是政府。但是Dukes小組或部門是屬于政府機構的嗎?還是外部承包商?只認錢的犯罪團伙?一群有技術的愛國分子?我們不清楚。
根據Dukes的活動長度,我們推測在這些行動中投入的資源數量和活動數量只會越來越多。我們認為,這個小組掌握有大量,關鍵的,穩定的經濟支撐。Dukes一直在實施大規模的活動,攻擊高價值目標,同時也會參與小規模的目標更廣的活動,很顯然,他們協調的很好,沒有遇到行動沖突。所有,我們認為Dukes是一家獨立的,協調能力強的大型組織,有著明確的責任劃分和目標。
Dukes小組有時候會為了保持隱蔽性而重新安排行動的繼續情況。他們的2015年CozyDuke和CloudDuke活動將這特點發揮到了極致。最極端的例子就是CloudDuke活動,當時的多家安全廠商都認為Dukes都曝光了CloudDuke活動后,他們又在2015年7月繼續進行了活動。所以,我們認為Dukes的主要任務很有價值,其贊助者認為行動繼續比一切都重要。
就我們看來,Dukes小組對公眾關注的無所謂,是因為其贊助者具有權勢,并且一直緊密聯系著Dukes,所以Dukes才能肆無忌憚的進行行動。我們認為唯一有權力提供這樣全面的保護的就只能是國家政府。所以我們認為Dukes或者在政府內工作或直接就是效力于政府,絕不可能是犯罪團伙或其他第三方。
最后一個問題:哪個國家?我們無法負責人的證明是哪個具體的國家在支持Dukes。但是,在我們看來,所有的證據都指向了俄羅斯。而且,目前我們也沒有發現能有證據來駁斥這一理論。
卡巴斯基實驗室先前已經注意到,在一些Dukes木馬樣本中出現了俄語。我們也在很多PinchDuke樣本中發現了俄語的錯誤信息:“Ошибка названия модуля! Название секции данных должно быть 4 баи?та!”,大體意思是 “模塊名稱有錯誤,數據節名稱必須是4字節!”
另外,卡巴斯基還指出,根據編譯時間戳,Duke木馬的作者主要是在周一至周五工作,從早上6點到下午4點, UTC+0時間。對應著UTC+3時區,也就是莫斯科時間的早9點和下午7點,基本涵蓋了大部分俄羅斯西部,包括莫斯科和圣彼得堡。
卡巴斯基實驗室對Duke木馬作者的工作時間分析也印證了我們自己的分析,以及FireEye的分析。很多GeminiDuke樣本中的時間戳也支持這種根據時區的推斷,這種相似性表明這個小組的工作地點位于莫斯科標志時區,詳情請參考GeminiDuke技術分析部分。
最后,Dukes小組的目標有-西歐國家的外交部,西方智囊團和政府組織,甚至是俄羅斯毒梟-都與俄羅斯外交和安全政策相關。雖然,Dukes的目標看起來是全球的政府,但是我們并沒有發現他們針對俄羅斯政府。但是證據不足不代表就是沒有證據,這是很有趣的一點。
根據列出的證據和分析,我們認為,Duke工具集是一個獨立的,掌握有大量資源的大型組織開發的(我們稱之為Dukes小組),旨在為俄羅斯政府提供與外交和安全政策相關的情報,用于交換支持和保護。
