攻防最前線：伊朗黑客組織OilRig升級釣魚郵件中的誘餌木馬

近日，網路安全公司Palo Alto Networks的研究人員家分析了伊朗黑客組織OilRig在針對特定目標正式實施攻擊之前測試他們的誘餌文件的活動。

OilRig，又名Helix Kitten或NewsBeef，是一個被指得到伊朗政府支援的APT組織，據稱至少在2015年就已經存在。從那時起，該組織的主要目標就是美國和中東國家的金融、政府、能源、電信和化工行業的機構。

由Palo Alto Network分析的測試活動是在OilRig於2018年8月攻擊中東政府之前進行的，該組織向一個政府辦公室傳送了針對性極強的魚叉式網路釣魚電子郵件，其中包含一個BondUpdater木馬的升級版本。

“在2018年8月，Unit 42觀察到OilRig針對政府機構使用了魚叉式網路釣魚電子郵件來交付被稱為 BONDUPDATER 的木馬的更新版本。BONDUPDATER是FireEye於2017年11月中旬首次發現的基於Shell/">PowerShell的木馬程式，OilRig在當時針對的是另一家中東政府機構。”Palo Alto Networks在其釋出的分析報告中寫道，“魚叉式網路釣魚電子郵件附帶了一個Microsoft Word文件，其中包含一個巨集，負責安裝BONDUPDATER的新變種。”

從Palo Alto Network的分析報告我們得知，OilRig使用了魚叉式網路釣魚電子郵件來交付基於PowerShell的BondUpdater木馬新變種。該木馬變種實現了常見的後門功能，例如上傳和下載檔案，以及在受感染系統上執行命令。

魚叉式網路釣魚電子郵件使用了帶有巨集的誘餌文件，BondUpdater變種就是由這個巨集來負責下載和執行的。另外，這個巨集還會執行VBScript“AppPool.vbs”，以建立一個每分鐘執行一次的計劃任務，從而確保BONDUPDATER木馬的永續性。

正式攻擊是在8月26日實施的，但OilRig在幾天前就製作了大量的誘餌檔案來測試惡意程式碼逃避安全檢測的能力。在實施正式攻擊的前六天，OilRig將建立的誘餌文件提交給了幾個公共反病毒測試網站。Palo Alto Network的研究人員表示，他們一共觀察了三波的測試活動，分別是在8月20日、21日和26日進行的，而最後一份測試文件是在正式攻擊開始前的不到8小時提交的。

研究人員表示，OilRig在幾個公共反病毒測試網站共提交了11個樣本。公共反病毒測試網站的原始出發點是向用戶提供免費和快速的反病毒測試服務，但同樣也能夠幫助攻擊者瞭解哪些反病毒引擎能夠檢測出他們的惡意軟體，從而在無形中向攻擊者提供了一份“質量保證服務”。

簡單來說，OilRig在每次對誘餌文件進行修改之後，都會將它們上傳到公共反病毒測試網站，測試結果有助於他們確定其程式碼修改部分的有效性，從而使得最終交付的誘餌文件能夠儘可能地避免安全產品的檢測。

在下圖中，我們可以看到在OilRig每次對誘餌文件進行修改後，檔案檢出率的變化情況。相比而言，修改的數量對於OilRig來說並不是首要的。相反，變化的質量更有助於OilRig降低檢出率，同時向他們提供有關如何逃避這些檢測的資訊。這一點可以在第二個修改版本中看到，OilRig只是刪除了使用“wscript”執行被放入的VBScript指令碼的程式碼行，就導致檢出率從16降到了6。

最後，如果大家感興趣，有關這些測試活動的更多詳細資訊以及應用於這些文件的修改，請參閱Palo Alto Networks釋出的原始分析報告。

宣告：本文來自黑客視界，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在於傳遞更多資訊。如需轉載，請聯絡原作者獲取授權。