总部位于斯洛伐克布拉迪斯拉的安全公司ESET在近日发布了一份长达19页的技术分析报告，详细介绍了他们在针对乌克兰政府机构的网络间谍活动中同时被使用的三种恶意软件，包括恶意软件的功能和规避安全检测的技巧，以及攻击者是如何传播它们的。

ESET在这份报告中指出，他们自2017年年中开始追踪这群黑客，并可以将其活动追溯到2015年10月，甚至于更早。尽管黑客似乎并不具备高水平的技能或使用零日漏洞的能力，但他们的确已经成功地利用了社会工程来实现了传播恶意软件的目的，并且多年来一直被没有被发现。

最新的活动针对了乌克兰政府机构，黑客在其活动同时使用了三种不同的.NET恶意软件——Quasar RAT、Sobaken（一种基于Quasar的RAT）和一种名为“Vermin”的自定义RAT，目前是对目标进行监控，以及从它们的系统中窃取数据。

ESET表示，根据其遥测数据，黑客主要使用恶意垃圾电子邮件作为这三种恶意软件的主要传播渠道，并在利用社会工程来引诱目标下载并执行恶意软件方面取得了成功。在大多数情况下，文件名都是采用乌克兰文编写的，并涉及与目标职业相关的特定主题。其中一些文件命名示例如下：

• “ІНСТРУКЦІЯ з організації забезпечення військовослужбовців Збройних Сил України та членів їх сімей” -（大致翻译为“关于为乌克兰军人及其家属提供安保的指示”）
• “новий проекту наказу, призначення перевірки вилучення”-（大致翻译为“一份关于查封的新指令草案”）
• “Відділення забезпечення Дон ОВК. Збільшення ліміту” -（大致翻译为“供应科Don OVK。信用额度增加”）

除了使用垃圾电子邮件和基本的社会工程技术之外，黑客还使用了另外三种更具技术性的方法来进一步提高其活动的成功概率。

方法一：使用一种被称为“Right-to-left override”的技巧来隐藏电子邮件附件中的实际文件扩展名，并使用Word、Excel、PowerPoint或Acrobat Reader图标使恶意文件看起来更可信，而这些文件实质上是可执行文件。

示例文件名如图3所示，“Перевезення твердого палива (дров) для забезпечення опалювання_<>xcod.scr”（翻译为“运输木柴以提供供暖”），粗心的人很可能会将其看成.DOCX扩展名。

方法二：伪装成RAR自解压存档的电子邮件附件。

这里有一个示例：电子邮件附件为一个名为“Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.rar”（翻译为“国防部令，第440号指令附录”）的RAR自解压存档。在这个文件中，包含有一个名为“Наказ_МОУ_Додатки_до_Iнструкцii_440_ост.exe”的可执行文件，使用了RAR SFX图标。受害者可能会运行这个文件，认为可以从自解压存档中提取出更多内容，但实际上会在无意中启动恶意的可执行文件。

方法三：CVE-2017-0199漏洞利用。

当目标打开一个由黑客特制的Word文档时，就会触发此漏洞。Word进程会发送一个HTTP请求，以获取一个HTA文件，而该文件包含了一个位于远程服务器上的恶意脚本。

下面让我们来看看这三种恶意软件到底是什么，以及它们包含了哪些恶意功能：

第一种恶意软件：Quasar。

Quasar是一个开源的RAT（远程访问工具），可以在托管平台GitHub上免费获得。ESET表示，他们已经在多起活动中看到了它的使用。最早的一起活动开始于2015年10月，一直持续到2016年4月，而接下来的两起活动分别发生在2017年2月和2017年7月。

第二种恶意软件：Sobaken。

Sobaken应该算是一个在Quasar的基础上经过大量修改后的版本。比较Quasar和Sobaken的程序结构时，就能发现很多的相似之处。

黑客删除了Quasar中的大量功能，从而创建了一个更小的可执行文件（即Sobaken），这使得它更难以防病毒产品检测到。此外，黑客还为Sobaken增加了反沙箱及其他规避安全检测的技巧。

第三种恶意软件：Vermin。

Vermin应该是这群黑客的一个定制后门，仅供他们自己使用，首次被记录是在Palo Alto Networks公司于2018年1月发布的报告中。该报告指出，它首次出现是在2016年年中，并且到目前为止仍在被使用。 就像Quasar和Sobaken一样，它也是采用.NET编写的。为了使分析变得困难，它使用了代码保护管理系统.NET Reactor或开源.NET混淆器ConfuserEx来保护自己的代码。

Vermin是一个功能齐全的后门，并付带有多个可选组件。比如，音频记录器（AudioManager）盘记录器（KeyboardHookLib）、密码窃取器（PwdFetcher）和U盘文件窃取器（UsbGuard）。

顾名思义，AudioManager可以通过目标计算机上的麦克风录制音频，而收集的数据将使用Speex编解码器压缩，并以SOAP格式上载到Vermin的C＆C服务器。

KeyboardHookLib用于记录目标的击键，以及剪贴板内容和活动窗口标题，并通过Vermin的主组件将数据上传有攻击者控制的服务器。

PwdFetcher被用于从浏览器（Chrome、Opera）中提取已保存的密码，其大部分代码似乎是从俄罗斯论坛Habrahabr上的一篇文章中复制粘贴的。

UsbGuard是一个小型且独立的程序，可以监视连接到计算机的USB驱动器，并复制由攻击者指定的所有文件。被窃取的文件随后通过Vermin的主组件进行上传。攻击者将具有以下扩展名的文件设定为了目标：.doc、.docx、.xls、.xlsx、.zip、.rar、.7z、.docm、.txt、.rtf、.xlsm、.pdf、.jpg、.jpeg、.tif、.odt 和.ods。

尽管这群黑客已经活跃了至少近3年的时间，但他们的攻击活动并没有引起太多的公众关注，这可能开源于他们在开发出自己的恶意软件（Vermin）之前，使用的都是一些开源的恶意软件。

在同一活动中使用多种恶意软件，可能表明这群黑客由多个团队组成，并且在独立开发恶意软件，而同时使用多种恶意软件的原因可能是他们在对恶意软件以及一些攻击技术进行测试。

无论如何，在过去的三年里，这群黑客的确已经开发出了多种恶意软件，并且使用一些最基本的技术（如社会工程）就成功地实施了攻击。这充分表明，在计算机网络安全防护的体系中，个人的安全意识和相关知识掌握是何等重要。

扫一扫或点击进入“上海奥航智能科技有限公司”官网：www.aohsmart.com                                扫一扫或点击进入“中国移动安全信息网”：cn-mobi.com              

免责声明：本文仅代表作者个人观点，与www.smart-alliance.com网站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。