伊朗_1

  • 时间:
  • 浏览:32
  • 来源:it300
伊朗

研究人员分析了伊朗相关的“OilRig”黑客小组如何在攻击中使用恶意文件

Palo Alto Networks安全研究人员分析了伊朗相关网络间谍组织OilRig参与的测试过程2018年8月袭击了一个中东政府。

这些攻击针对感兴趣的个人提供恶意文件,旨在提供BONDUPDATER,这是一个具有DGA(域生成算法)功能的下载器。攻击是在8月26日进行的,威胁演员在前一周创建了大量的传递文件,以测试反病毒检测率。

也被追踪为APT34并被认为与伊朗政府有关系,OilRig至少自2014年以来一直活跃,主要是targ中东的金融,政府,能源,电信和化学组织。

众所周知,该小组将测试交付文件和TwoFace webshel​​l,并且演员最近观察到的操作节奏再次显示了对手如何使用在线公共反病毒扫描工具来确定检测率并找到逃避它们的方法。

为准备8月26日进行的攻击,该演员创造了大量的测试文件,并在六天前将它们提交给反病毒引擎。总共进行了三次测试,以确保较低的检测率。

Palo Alto Networks安全研究人员透露,最终的测试文件是在交付文件创建之前不到8小时创建的。最后的文件是d在创建后的20分钟内通过鱼叉式网络钓鱼邮件向目标受害者发送邮件。

在几个公共反病毒测试站点共提交了11个样本。有趣的是,虽然测试文档是Microsoft Excel电子表格,但交付文档是Microsoft Word文件。

对测试文档进行的一些更改导致检测率提高,但帮助参与者确定文件中的哪些特定内容会导致反病毒检测,这有助于他们创建实际交付文档。

在分析文件创建和测试模式时,研究人员观察到文件创建时间和测试时间之间平均为33秒,并且作者不关心关于打破宏功能。

作者还更改了运行丢弃的VBScripts的功能,添加了避开沙箱的睡眠功能,并且似乎还有一个首选的字符串混淆技术(用十六进制形式的每个字符替换一个字符串连接在一起)。[ [115]分析,Palo Alto Networks说,揭示了Excel和Word文档中的宏之间的一系列相似之处,这表明OilRig黑客“使用恶意Excel文档中的宏作为恶意Word的基础文档。“

演员对两个宏使用相同的字符串混淆技术。该技术用于混淆嵌入式VBScript中的“powershell”和“cmd.exe”字符串,以及内置shell功能。

宏被修改为创建交付文档,添加了一个函数,用于将混淆的BONDUPDATER PowerShell脚本保存到文件中。作者还修改了用于存储VBScript的变量,并从宏中删除了显示包含诱饵内容(Word文档不需要)的隐藏电子表格的函数。

“在活动广告系列中最终使用的恶意软件与开发中的恶意软件之间的比较使我们能够了解对每次恶意软件迭代进行了哪些修改和修改。此外,目睹恶意软件本身内部的特定功能变化,我们尝试在新旧功能之间建立关联,“安全研究人员同意UDE。

相关:伊朗黑客改善最近使用的网络武器

相关:伊朗黑客在最近的攻击中使用新木马

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01