安基网 首页 资讯 安全报 查看内容

研究发现新后门,疑似出自黑客组织“隐形猎鹰”之手

2019-9-19 13:32| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: “隐形猎鹰(Stealth Falcon)”是一个被认为与阿联酋政府存在关联的黑客组织,自2012年以来一直保持活跃,主要攻击目标是中东的政治活动家和记者,公民实验室(Citizen Lab)曾在2016年5月份对该组织的活动进行了分析。今年1月份,国际特赦组织的高级技术专家Claudio Guarnieri基于公民实验室的分析报 ...
“隐形猎鹰(Stealth Falcon)”是一个被认为与阿联酋政府存在关联的黑客组织,自2012年以来一直保持活跃,主要攻击目标是中东的政治活动家和记者,公民实验室(Citizen Lab)曾在2016年5月份对该组织的活动进行了分析。

今年1月份,国际特赦组织的高级技术专家Claudio Guarnieri基于公民实验室的分析报告和路透社发布的一份关于阿联酋情报项目“乌鸦计划(Project Raven)”的调查报告得出结论,“隐形猎鹰”极有可能就是躲藏在“乌鸦计划”背后的黑客组织。

图1. Claudio Guarnieri将“隐形猎鹰”与“乌鸦计划”联系在一起

网络安全公司ESET于近日发文称,他们发现了一个与此前从未被报道过的后门(被ESET命名为“Win32/StealthFalcon”),它与公民实验室分析报告中提到的PowerShell脚本之间存在很多相似之处。也就是说,它很有可能也出自“隐形猎鹰”之手。

Win32/StealthFalcon的C&C通信

ESET表示,Win32/StealthFalcon后门似乎是在2015年创建的,它允许攻击者远程控制受感染的计算机,目前已经出现在了阿联酋、沙特阿拉伯、泰国和荷兰。

与此前被披露的大多数后门不同,Win32/StealthFalcon在与命令和控制(C&C)服务器的通信中使用的是标准的Windows组件后台智能传输服务(BITS),而不是API 函数。

ESET认为,“隐形猎鹰”之所以选择使用BITS,原因可能有三个。

首先,BITS可以在不占用大量网络带宽的情况下传输大量数据,通常被设计为在后台操作的更新程序、消息传递程序和其他应用程序所使用,这也就意味着它可能被大多数防火墙所允许。

其次,与传统的通过API函数进行通信相比,BITS机制是通过COM接口公开的,这使得安全产品很难将恶意软件检测出来。

最后,BITS还允许文件传输在由于网络中断、用户注销或者系统重启等原因中断后能够自动恢复。

Win32/StealthFalcon的功能

Win32/StealthFalcon是一个DLL文件,在执行之后,它将自己调度为在每个用户登录时运行的任务。虽然仅支持基本命令,但依然实现了数据收集、数据过滤、下载其他恶意软件和更新配置等功能。

图2.后门命令

其中,后门的核心功能——下载和执行文件,是通过定期核对并加载恶意软件执行目录中名为“win*.dll”或“std*.dll”的库来实现的。

此外,Win32/StealthFalcon通过在临时文件夹中存储带有硬编码前缀的加密副本来收集文件,并为文件的过滤做好准备。然后,它会定期核对这些文件,并自动过滤它们。在文件被成功过滤后,恶意软件会安全删除所有日志文件以及收集到的文件。

在删除文件之前,Win32/StealthFalcon会用随机数据重写这些文件,以防止安全研究人员发现痕迹及恢复被删除的数据。

配置值存储在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionShell Extensions注册表项中,所有值都以恶意软件的文件名作为前缀(没有扩展名)。

图3.存储在注册表中的配置数据

Win32/StealthFalcon的逃避检测技巧

在Win32/StealthFalcon的源代码中,ESET发现了一个有趣的函数,它在任何恶意有效载荷启动之前都会执行,这看起来很多余。

另外,它还引用了300多个导入函数,但根本不使用它们。相反,它总是返回并在之后继续执行有效载荷,没有条件检查。

图4. 引用数百个不使用的导入函数

ESET表示,他们尚不清楚这个函数的确切意图,但怀疑它是某种逃避检测的尝试,或者是恶意软件作者使用的更大框架的一些遗留问题。

Win32/StealthFalcon与“隐形猎鹰”的关联

首先,Win32/StealthFalcon使用的C&C域名(windowsearchcache[.]com)与公民实验室分析报告中提到的PowerShell脚本使用的C&C域名完全相同。

其次,尽管两个后门是采用不同的语言编写的,但它们在代码逻辑上具有明显的相似性。另外,它们还使用了相同的硬编码标识符,且使用的都是RC4加密算法。

最后,它们都使用HTTPS进行C&C通信。

结论

Win32/StealthFalcon是一种此前从未被报道过的后门,它使用了一种不常见的C&C通信技术——Windows BITS。此外,它还使用了一些先进的技术来逃避安全产品的检测以及安全研究人员的分析。

从基础设施和代码来看,Win32/StealthFalcon后门与公民实验室分析报告中提到的PowerShell脚本有很多相似之处,这也就意味着它很有可能也出自“隐形猎鹰”之手。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6735339575905878535/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部