安天实验室安全研究与应急处理中心(Antiy CERT)

第1章 事件背景

据F-Secure发布的公开报告，该团队在2014年夏发现Blackenergy恶意软件被用于收集乌克兰政府情报，相关样本被认为出自同一犯罪组织，该组织名为“Quedagh”，惯于将政府作为攻击目标。
BlackEnergy是一种颇为流行的犯罪软件，用于实施自动化犯罪活动，贩卖于俄罗斯的地下网络。其最早出现的时间可追溯到2007年。该软件最初被设计用于创建僵尸网络，实施DDoS攻击。逐渐演变为支持多种插件的工具，其插件可根据不同攻击意图，组合使用。
因为Blackenergy具有的特点，它已被多个团伙用于不同的目的。如，发送垃圾邮件、盗取银行证书。在2008年俄罗斯与格鲁吉亚冲突期间，曾用于实施格网络攻击。
据F-Secure报告，Blackenergy由生成器（builder）和服务端脚本组成。前者用于生成感染受害主机的客户端程序，后者用于配置C&C（命令控制服务器）。运行于C&C的脚本还会提供调用接口，供攻击者用于控制BOT。
BlackEnergy最早版本（BlackEnergy 1）出现于2007年。后续的变种（BlackEnergy 2）于2010年发布。另外还存在一个变种，该变种已被改造为使用不同的格式保存配置数据，且不再使用驱动组件，该变种被称为BlackEnergy 3。
根据CNCERT/CC需求，安天实验室于2015年1月13日18时，据各方资料收集、整理相关样本107个，并形成本简报初稿。

第2章 相关样本

截止目前，共收集相关样本107个。其中，以PE格式文件为主，其余为PDF、HTML、JAVA、RTF等，各样本文件格式所占比重如图1所示。根据目前掌握资料，RTF样本为格式溢出漏洞利用。初步认为PDF和HTML格式样本，也可能具有漏洞利用。

图1 样本文件格式分布

对于全部99个PE格式样本分类统计，其中DLL动态链接库程序有75个，其余为GUI或控制台界面程序，所占比重如图2所示。

图2 PE样本分类统计

第3章 样本分析

BlackEnergy 是一种基于http的僵尸网络主要用于DDoS攻击。与最常见的BOT不同,这种bot并不与僵尸网络IRC通信。同时,我们看不到任何发起攻击从这个服务器上,不像传统的IRC。这是一个小(小于50 kb)二进制的Windows平台的使用一个简单的程序。最早的BlackEnergy是在2007年出现的。

3.1 黑色能量1.7

下面的一个图为它的1.7版本生成器界面。

DDoS攻击的BlackEnergy僵尸网络可以启动控制的“洪水”命令的参数,如下:
icmp  --  一个基于的icmp ping洪水
syn     ----  基于TCP syn洪水
udp  ----  基于udp流量洪水
http  ----  http GET请求洪水。这个命令格式的洪水如下
URI http <主机名> <可选>”,例如“洪水http www.li-da.org index . php”。如果没有考虑到机器人URI将洪水' / '。
data  ---- 一个基本的二进制包洪水
dns   ----  dns请求洪水
WEB服务文件如下：

DB.sql文件是BlackEnergy僵尸网络的数据库文件，这个库文件比较简单内容如下：

WEB服务器运行界面如下：

可以看出Base64解码后的内容就是服务器上的配置信息加上一个上线ID号，这个在每个中毒机器上都不一样所以服务器发的信息不能当做特征，我们取的特征为：

post数据中有一个没加密明文id信息，所以提这个数据就可以了。Id=*-*_*&build_id=*
下面是部份分析代码：
程序在执行后，首先会查看一下当前系统是否安装病毒自身。如果没有运行过会释放文件到系统目录下名为：mssrv32.exe并创建一个互斥量来确保只运行一个程序。并删除自身程序，创建新的线程注入到SVCHOST.EXE中，连网访问服务器页面。

上图为释放文件到系统目录下并，创建互斥量的代码，在文件的.bdata节中，存放着Base64编码数据。解码后得到的是生成器的配置信息。

3.2 黑色能量2.0

“黑色能量”2.0依然是一个DDoS类僵尸网络程序，样本新增加密软件对自身加密处理，防止反病毒软件查杀。释放驱动文件以服务方式运行，注入系统进程，随后样本连接远程服务器，下载DDoS攻击插件，根据配置文件对目标发起DDoS攻击。
样本解密自身代码后分别执行：
创建互斥量确保只有一个进程运行，互斥量名："Global\{3D5A1694-CC2C-4ee7-A3D5-A879A9E3A009}"。

在WINDOWS\目录创建一个随机命名的文件。

随后向该文件写入数据，数据大小0xF000，数据来源0x174A10，是一个PE文件。

随后修改文件时间属性，修改为和系统文件相同的时间。

创建进程执行命令，命令功能为将WINDOWS\目录的文件移动到system32\drivers\aic78xx.sys，并添加服务，然后启动服务。

创建进程执行批处理命令，命令为循环删除自身

样本自身退出后，主要的行为就体现在启动服务里，也就是system32\drivers\ aic78xx.sys下的文件，该文件同样采用加密代码反制查杀。
文件以服务方式启动后，解密内部代码，将代码注入到svchost.exe进程中，并通过远线程运行注入的代码。
该代码主要功能为连接远程服务器，回传感染主机数据并下载DDoS攻击插件，随后根据远程服务器配置展开DDoS攻击。
攻击插件，目前服务器已经失效，通过第三方公开数据，下载到3个插件，分别syn、http、ddos攻击插件，插件下载后样本会将其加载到内存中执行，然后跟远程服务器配置展开攻击。
syn攻击指令："syn_start"

http攻击指令："http_start"
 

DDoS指令："ddos_start"

POST数据时发送固定格式内容，这些数据可以做为网络特征。
网络通信：
BlackEnergy僵尸网络通过POST数据的方式去C&C服务器上去取配置信息然后执行相关操作。服务器返回给客户端的信息通过Base64进行编码的。


在生成器上可以设制连接服务请求的时间，默认是30秒请求一次。受害机会根据请求回的数据进行相关操作。

3.3 网络特征

BlackEnergy僵尸网络已确定有三种不同的后门变种。变种分别的POST数据发送到控制服务器。　　
第一个变种:第一次使用一个简单的两部分数据字符串与web服务器进行通信,提出机器人主机ID和使用两个不同的变量构建ID

网络特征：

http.method==HTTP_POST&&http.url^".php"&&http.msgbody0^sequence("id=","&build_id=")
第二个变种:只使用一个变量,“数据”,提交这些信息,和冒号分隔这两个值(“:”) 　

网络特征：
http.method==HTTP_POST&&http.url^".php"&&http.msgbody0^sequence("id=","&ln=","&cn=","&nt=","&bid=")
第三个变种:相同的值(bot ID和build_ID)+ SOCKS/HTTP代理的地址。因样本未发网络数据包，而无法根据网络数据包提取特征，但在样本分析中，发现其格式包含(bot ID和build_ID)，所以，使用第一个变种的网络特征应该可以同样检出：
http.method==HTTP_POST&&http.url^".php"&&http.msgbody0^sequence("id=","&build_id=")

附录B  相关资料

黑色能量事件

标题	对BlackEnergy恶意软件威胁感到不安
报道时间	2014/11/11
报道单位	POWER  SOURCE
中文摘要	BlackEnergy旨在针对重大能源基础设施和被认为是起源于俄罗斯政府发起的黑客。 国土安全部的10月29日网络威胁警报系是，不幸的是，照旧许多国家的公司。 然而，随着水，电和国家关键基础设施与俄罗斯网络犯罪的其他功能的潜在攻击，民营企业内的安全做法已成为公众的生意。 “这的确是一个非常严重的问题，事实上，有时是很难检测[这种类型的恶意软件]，有时那家工业控制系统的地方可能会或可能不会遵循非常一致，非常严谨，安全的做法造成了巨大的问题， “詹姆斯·乔希，学校的信息安全保障计划的匹兹堡大学副教授和铅教员说。 美国国土安全部宣布，10月29日，一些工业控制系统 - 采用由私营公司来管理内部系统供应商出具的方案 - 已经被感染了名为BlackEnergy木马恶意程序的变种。
原文链接	http://powersource.post-gazette.com/powersource/companies-powersource/2014/11/11/BlackEnergy-spooks-nation/stories/201411110080

 

标题	Black.Energy僵尸重生
报道时间	2013/01/17
报道单位	Dr.web
中文摘要	俄罗斯反病毒公司的Web医生警告用户有关的另一个恶意程序BackDoor.BlackEnergy家庭。 在2012年7月不少大众媒体报道了关停的主要BlackEnergy服务器下来，但僵尸网络不再只是在2012年秋季完全操作和威胁的新的修改在2013年1月出现了
原文链接	http://news.drweb.com/?i=3228&c=9&lng=en&p=0

 

标题	最高通缉：“黑色能量”僵尸程序
报道时间	2010/07/24
报道单位	卡巴斯基
原文链接	http://www.kaspersky.com.cn/KL-AboutUs/news2010/07n/100722a.htm

 

标题	黑色能源加密 Black Energy Crypto
报道时间	2010/03/03
报道单位	Fireeye
原文链接	https://www.fireeye.com/blog/threat-research/2010/03/black-energy-crypto.html

 

标题	研究人员深入了解黑色能量病毒 Researchers Go Inside BlackEnergy Malware
报道时间	2014/11/04
报道单位	SECURITY WEEK
原文链接	http://www.securityweek.com/researchers-go-inside-blackenergy-malware

 

标题	关于黑色能量二代的分析 BlackEnergy Version 2 Analysis
报道时间	2010/03/03
报道单位
原文链接	http://www.secureworks.com/cyber-threat-intelligence/threats/blackenergy2/

 

 

 

标题	早在 2014年BlackEnergy锁定在乌克兰和波兰的攻击 Back in BlackEnergy *: 2014 Targeted Attacks in Ukraine and Poland
报道时间	201409/22
报道单位	welivesecurity
原文链接	http://www.welivesecurity.com/2014/09/22/back-in-blackenergy-2014/

 

 

标题	BlackEnergy网络间谍组针对Linux和思科 BlackEnergy cyberespionage group targets Linux and Cisco
报道时间	2014/11/04
报道单位	COMPUTERWORLD
原文链接	http://www.computerworld.com/article/2842869/blackenergy-cyberespionage-group-targets-linux-and-cisco.html

 

标题	BlackEnergy DDoS BotAnalysis BlackEnergy DDoS攻击博特分析
报道时间	2007年10月
报道单位	Arbor Networks
文件名	BlackEnergy+DDoS+Bot+Analysis.pdf

 

标题	犯罪软件的融合和APT攻击 The convergence of crimewareand APT attacks
报道时间
报道单位
文件名	blackenergy_whitepaper.pdf

 

 

 

附录一：关于安天

安天从反病毒引擎研发团队起步，目前已发展成为拥有四个研发中心、监控预警能力覆盖全国、产品与服务辐射多个国家的先进安全产品供应商。安天历经十五年持续积累，形成了海量安全威胁知识库，并综合应用网络检测、主机防御、未知威胁鉴定、大数据分析、安全可视化等方面经验，推出了应对持续、高级威胁（APT）的先进产品和解决方案。安天技术实力得到行业管理机构、客户和伙伴的认可，安天已连续四届蝉联国家级安全应急支撑单位资质，亦是CNNVD六家一级支撑单位之一。安天移动检测引擎是获得全球首个AV-TEST（2013）年度奖项的中国产品，全球超过十家以上的著名安全厂商都选择安天作为检测能力合作伙伴。

关于安天反病毒引擎更多信息请访问：	http://www.antiy.com（中文） http://www.antiy.net （英文）
关于安天反APT相关产品更多信息请访问：	http://www.antiy.cn

 

 

微信扫描关注 安天