ЧерныйЭнергия - BlackEnergy

BlackEnergy Вредоносное ПО впервые было сообщено в 2007 году как инструментарий на основе HTTP, который генерировал ботов для выполнения Распределенный отказ в обслуживании атаки.[1] В 2010, BlackEnergy 2 появились с возможностями, выходящими за рамки DDoS. В 2014, BlackEnergy 3 были оснащены различными плагины.[2] Российская группа, известная как Sandworm (также известная как Voodoo Bear), приписывается использованию целевых атак BlackEnergy. Атака распространяется через документ Word или вложение PowerPoint в электронном письме, заманивая жертву щелкнуть по внешне законному файлу.[3]

BlackEnergy 1 (BE1)

Код BlackEnergy облегчает различные типы атак для заражения целевых машин. Он также оснащен серверные скрипты которые преступники могут развить в Командование и контроль (C&C) сервер. Киберпреступники используют набор инструментов для создания ботов BlackEnergy для создания настраиваемых исполняемых файлов бот-клиента, которые затем распространяются среди целей через электронный спам и фишинг рассылки по электронной почте. [4] В BE1 отсутствуют функции эксплойтов, и он использует внешние инструменты для загрузки бота. [5] BlackEnergy можно обнаружить с помощью ЯРА подписи предоставлены Министерство внутренней безопасности США (DHS).

Ключевая особенность

[5]

• может ориентироваться на более чем один айпи адрес на имя хоста

• имеет шифровальщик времени выполнения, чтобы избежать обнаружения антивирусным ПО

• скрывает свои процессы в системном драйвере (syssrv.sys)

Типы команд

• Команды DDoS-атаки (например, ICMP-флуд, TCP SYN-флуд, UDP-флуд, HTTP-флуд, DNS-флуд и т. Д.)[1][требуется разъяснение ]

• команды загрузки для извлечения и запуска новых или обновленных исполняемых файлов со своего сервера

• команды управления (например, остановка, ожидание или смерть)

BlackEnergy 2 (BE2)

BlackEnergy 2 использует сложные руткит / методы внедрения процессов, надежное шифрование и модульная архитектура, известная как «дроппер». [6] Это расшифровывает и распаковывает двоичный файл драйвера руткита и устанавливает его на машину жертвы как сервер со случайно сгенерированным именем. В качестве обновления BlackEnergy 1 он сочетает в себе старый исходный код руткита с новыми функциями для распаковки и внедрения модулей в пользовательские процессы. [6] Упакованный контент сжимается с помощью LZ77 алгоритма и зашифрованы с использованием модифицированной версии RC4 шифр. 128-битный ключ с жесткой кодировкой расшифровывает встроенный контент. Для расшифровки сетевого трафика шифр использует уникальную строку идентификации бота в качестве ключа. Второй вариант схемы шифрования / сжатия добавляет вектор инициализации к модифицированному шифру RC4 для дополнительной защиты в дроппере и заглушке распаковки руткита, но не используется ни во внутреннем рутките, ни в модулях пользовательского пространства. Основная модификация реализации RC4 в BlackEnergy 2 заключается в алгоритме планирования ключей. [6]

Возможности

• может выполнять локальные файлы

• может загружать и запускать удаленные файлы

• обновляет себя и свои плагины с помощью серверов управления и контроля

• может выполнять команды умереть или уничтожить

BlackEnergy 3 (BE3)

Последняя полная версия BlackEnergy появилась в 2014 году. Изменения упростили код вредоносной программы: установщик этой версии удаляет основной динамически подключаемая библиотека (DLL) непосредственно в локальную папку данных приложения.[7]Этот вариант вредоносной программы был задействован в Декабрь 2015 Кибератака на энергосистему Украины.[8]

Плагины

[2]

fs.dllФайловая система операции

si.dll - Системная информация, «BlackEnergy Lite»

jn.dll - Паразитарный инфектор

ki.dllРегистрация нажатия клавиш

ps.dll - Кража паролей

ss.dllСкриншоты

vs.dll - Обнаружение сети, удаленное выполнение

tv.dll - Просмотр команды

rd.dll - Простой псевдо «удаленный рабочий стол»

up.dll - Обновление вредоносного ПО

dc.dll - Список учетных записей Windows

bs.dll - Запрос системного оборудования, BIOS и информации Windows

dstr.dll - Система уничтожения

scan.dll - Сканирование сети

Рекомендации

  1. ^ а б Назарио, Хосе (октябрь 2007 г.). "BlackEnergy DDoS-бот-анализ" (PDF). Arbor Networks. Получено 17 апреля 2019.
  2. ^ а б «Обновленный троян BlackEnergy становится все мощнее - блоги McAfee». 14 января 2016 г.
  3. ^ «Подробная информация об августовских кампаниях BlackEnergy PowerPoint». 4 октября 2014 г.
  4. ^ «Вредоносное ПО BlackEnergy APT - RSA Link». community.rsa.com.
  5. ^ а б https://ewic.bcs.org/upload/pdf/ewic_icscsr2016_paper7.pdf
  6. ^ а б c Джо Стюарт (3 марта 2010 г.). «Анализ угроз BlackEnergy версии 2». www.secureworks.com.
  7. ^ http://www.threatstop.com/sites/default/files/threatstop_blackenergy.pdf
  8. ^ Черепанов А., Липовский Р. (7 октября 2016 г.). «BlackEnergy - что мы действительно знаем о пресловутых кибератаках» (PDF).