APT组织BlackEnergy继任者:GreyEnergy,台湾研华公司证书被其盗取
https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/
PDF下载:
https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf
IOC列表文件下载
https://github.com/eset/malware-ioc/tree/master/greyenergy
关键句:
GreyEnergy,BlackEnergy APT小组的继任者,
BlackEnergy组织的攻击踪影最后一次出现在2015年12月的第一次因网络攻击造成的停电期间。这起事件导致大约有230,000人断电。
此后,出现了另一个恶意软件框架GreyEnergy。在过去的三年里,GreyEnergy一直被用来攻击乌克兰和波兰的能源公司和其他高价值目标。
GreyEnergy的恶意软件框架与BlackEnergy有许多相似之处,各模块均通过组织确认进行上传,其中模块都用于间谍和侦察目的(即后门,文件提取,截屏,键盘记录,密码和凭证窃取等)。
GreyEnergy组织一直在战略性地瞄准运行SCADA软件和服务器的ICS控制工作站,这些工作站往往是关键任务系统,除了定期维护之外从来不会进入脱机状态。
该组织还是有与我国相关:
一些GreyEnergy样本是使用中国台湾工业和物联网硬件制造商 研华 的证书签署的。这些很可能从该公司窃取而来,就像Stuxnet[https://www.welivesecurity.com/2010/07/19/win32stuxnet-signed-binaries/]和中国台湾D-Link&全景安全公司证书被盗,且被APT组织blacktech利用案例一样。
Serial Number: 15:f4:8f:98:c5:79:41:00:6f:4c:9a:63:9b:f3:c1:ccValidity: Not Before: Feb 10 00:00:00 2014 GMT Not After : Feb 26 23:59:59 2017 GMTSHA1 Fingerprint=97:53:AD:54:DF:6B:D6:73:E0:6C:00:36:3D:34:6A:06:00:7A:0A:9B
这几个恶意框架的联系与时间线,还是比较概括的。
以下为几点认为GreyEnergy和BlackEnergy存在关联的原因
1、GreyEnergy在野外的出现恰逢BlackEnergy的消失。
2、至少有一个受GreyEnergy攻击的受害者过去曾被BlackEnergy瞄准。两个小组都对能源部门和关键基础设施感兴趣。两人都有受害者,主要是在乌克兰,波兰排名第二。
3、恶意软件框架之间存在强烈的架构相似性。两者都是模块化的,并且在获得管理员权限并部署完整版之前,都使用了迷你或轻型后门。
4、GreyEnergy恶意软件使用的所有远程C&C服务器都是活动的Tor中继节点。BlackEnergy和Industroyer也是如此。可以说明是该大组织的一大统一隐蔽手段。如下图,整个攻击链条和C&C服务器配置。
从公布的样本种类大概可以确认GreyEnergy的攻击手段
鱼叉:
GreyEnergy document
宏下载
GreyEnergy mini
GreyEnergy droppers
GreyEnergy dropped DLLs
GreyEnergy in-memory-only DLLs
这里指的是petya的早期没有永恒之蓝扩散模块的代码与GreyEnergy存在代码重叠
Moonraker Petya,这个版本重启后是这样的。
WEB服务器后门
PHP and ASP scripts
横向移动手段
Mimikatz
WinExe
PsExec
Nmap
Custom port scanner
GreyEnergy的http通信报文特征,其他大部分为https通信。
该恶意软件仅将选定的模块推送到选定的目标,一些GreyEnergy模块使用AES-256进行部分加密,有些仅在内存中运行。为了掩盖他们的踪迹,GreyEnergy通常会从受害者的硬盘驱动器中安全地擦除恶意软件组件。
最后,可以确认的是,TeleBots和GreyEnergy两个APT组织之间存在交流与合作。
- 发表于:
- 原文链接:https://kuaibao.qq.com/s/20181017G2CKX200?refer=cp_1026
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
