亚洲城误乐城ca88网站针对乌克兰国内电力基础设备的网络攻

近来,针对乌克兰境内电力基础设备的网络攻击活动直接持续不断。

前几日,大家的平安探讨人员发现了针对乌克兰(УКРАЇНА)(克兰)电力基础设备的新一轮网络攻击。在此次攻击事件中,乌克兰(УКРАЇНА)国内的一大半电力集团的发电设备受到了抨击,随之而来的便是1六月时所发出的广泛停电。其中特地有意思的少数是,黑客在拓展此轮网络攻击时所使用的恶心软件并非恶意软件布莱克(Black)Energy,这一意识使得我们当前依然鞭长莫及确定此次攻击活动背后的始作俑者是什么人。在此次攻击者所发现的恶意软件基于一个可以公开获取的开源后门,而那也会使得我们以为此次攻击事件并不是由少数国家或政党所中央的。

布莱克Energy是一种木马病毒,从2007年Arbor网络集团首次刊登了关于它的分析报告之后,该恶意软件的听从经历了十分了不起的生成。最初,那款恶意软件是一个相对简单的DDoS(分布式拒绝服务)木马,现在它曾经演化成了一个有着模块化结构的,全部架构非凡复杂的恶意软件了。对于攻击者而言,那款恶意软件也就变成她们发送垃圾邮件,举办网上银行诈骗,以及发动有针对性攻击的高明工具了。依照Alienware公司安全体门于二〇一〇年发表的一篇文档,布莱克Energy在其第四个版本中就布局了rootkit技术。近年来所爆发的乌克兰(Ukraine)(克兰(Crane))停电事件也作证了网络犯罪分子照旧在选用那款恶意软件。

攻击详情

本次攻击事件的大致景况与大家在头里的小说中所描述的并没有多大的区分。前天,攻击者向目的主机发送了大气的垂钓邮件。与事先的钓鱼邮件一样,那个邮件会顺便一个恶意XLS文件。

亚洲城误乐城ca88网站 1
上图突显的是目标主机在二〇一六年四月19日时收到到的垂钓邮件。

那封电子邮件包括有HTML格式的情节。邮件中含有一个指向.PNG文件(该文件位于一台远程服务器之中)的链接,目的用户在点击了那条链接之后,攻击者便会吸收到对应的通报音信。那样一来,只要目的用户点击了链接,攻击者便会应声了解。值得一提的是,大家发现布莱克Energy协会在很久从前也曾使用过那种有趣的口诛笔伐技术。

亚洲城误乐城ca88网站 2

上图展示的是电子邮件中的HTML内容,其中带有有一条指向远程服务器中PNG文件的地点链接。

再有一个妙不可言的地点,那么些PNG文件的文本名是一个由此了base64编码处理的字符串”
mail_victim’s_email”。

亚洲城误乐城ca88网站 3

上图显示的是攻击者在这一次攻击活动中所使用的恶意XLS文件。

这些启用了恶意宏的XLS文件与大家在头里的口诛笔伐活动中所发现的黑心附件很相似。这么些XLS文件会尝试通过社会工程学的技艺来欺上瞒下钓鱼邮件的收信人忽略微软Office套件内嵌的乌海提醒音讯,那样一来,目的主机将不可防止地执行恶意的宏命令。这份文件中的文字为乌克兰(Crane)语,翻译成汉语就是:请小心!这份文件是在新型版本的微软Office中创制的。系统内需启用相应的宏成效来展现文档中的内容。

执行了这几个恶意宏命令之后,将会促成目的系统启动一个恶意木马下载程序,那个程序会尝试下载并举行远程服务器中的恶意抨击载荷。

亚洲城误乐城ca88网站 4

上图体现的是此事件中的部分恶意代码。

加载了恶心抨击载荷的服务器放在乌克兰(УКРАЇНА)(克兰(Crane))国内,在得到了CERT-UA和CyS-CERT等机关的打招呼之后,该服务器近日已经下线。

俺们在进展解析以前,曾梦想过那个最后的恶心攻击载荷就是黑心软件布莱克(Black)Energy。但在对此次风云进展了详实的切磋和分析将来,我们发现这一回攻击事件中的攻击者使用的却是另一款恶意软件。攻击者使用了一个经过改动的开源gcat后门(那一个后门程序行使了Python编程言语进行开发)。我们可以利用PyInstaller程序来将以此Python脚本转换成独立的可执行程序。

亚洲城误乐城ca88网站 5

上图展现的是GCat后门代码。

攻击者可以运用那么些后门来下载可执行程序,并在对象主机中推行shell命令。除此之外,GCat后门还有好多别的的法力,例如屏幕截图、键盘记录以及上传文件等等,但这个效能都早就被攻击者从源代码中移除了。攻击者通过一个Gmail邮箱帐号来决定这几个后门,那也使得大家对网络通讯信息的检测变得更加的困顿。

ESET集团的威慑监测音讯如下:

VBA/TrojanDropper.Agent.EY

Win32/TrojanDownloader.Agent.CBC

Python/Agent.N

反躬自省和结论

大家很早以前就曾经发现了这么些攻击,并且将那些音信以小说的样式发布了出来。从大家发布了第一篇小说先河,相关的风浪就收获了媒体的大面积关怀。原因有以下七个地点:

l   那也许是历史上首次由恶意软件攻击所引起的大范围停电事件。

l  
近来,主流媒体普遍认为这么些攻击事件背后的始作俑者就是俄国。因为,有多家网络安全信用社代表使用布莱克Energy的黑客社团(Sandworm或Quedagh)是由俄联邦政党所协助的。

大家率先须要考虑的题材即使,那一个停电事件是由恶意软件直接引起的,仍然攻击者通过恶意软件对电力设备举办不合法操作而引起的。即使那二种看法之间存在技术上边的距离,而且我们在对恶意软件拓展解析时,我们往往会对内部的细节消息感兴趣,不过从更高的一个范畴而言,那个实际并不重大。事实上,那几个攻击事件中最重视的某些就是:电力系统在感染了恶心后门之后,攻击者便足以对那一个受感染的序列开展违法的中远距离访问。

附带要求考虑的题材则尤其富有争议。正如大家在前头所讲述的,在事变时有爆发之后,对少数社团或国家展开指责是绝非多大实际意义的,咱们应有采用丰富的伊春措施来保管相应设备的安全性。近年来,大家还未曾发觉别的的凭证可以表明此次攻击事件背后的始作俑者是哪个人,大家明天仅能通过乌克兰当下的政治时势来推断攻击者的地点,但这么得出的答案并不牢靠。但不管如何,按照大家眼前所得到的新闻,大家也只能进展如此的测算了。

总而言之,大家对那些针对乌克兰(УКРАЇНА)(Crane)的抨击事件开展了剖析和检察,可是并从未意识任何有价值的音信。从另一个角度来想,那种景况也指示了俺们绝不草率地去下定论。

侵略音讯

IP地址:

193.239.152.131

62.210.83.213

恶意XLS文件的SHA-1:

1DD4241835BD741F8D40BE63CA14E38BBDB0A816

可执行文件的SHA-1:

920EB07BC8321EC6DE67D02236CF1C56A90FEA7D

BC63A99F494DE6731B7F08DD729B355341F6BF3D