当我们通过逆向样本特征来溯源背后的攻击者时,往往需要非常深入的对该样本进行分析,这是个非常花时间的过程,如果该样本的关键逻辑部分还是抄的开源的代码那我们即使通过详细的分析也无法溯源到背后的组织。
但有些组织在攻击时会留下一系列的样本,这些组织通过模块的方式来实现完整的功能,通过组合这些样本的特征我们在不用太过深入分析每一个样本的情况下便能够确定背后的组织。
下面是通过一些样本组合来进行溯源组织的案例,这种溯源组织的方式并不是百分之百准确,但是如果在分析时提前有相关组织的印象,会加快我们的溯源过程。
蔓灵花背景
蔓灵花组织通常会通过鱼叉攻击投递恶意chm,docx,pdf等文件来释放下载器。下载器下载后续的组件和模块并通过ShellExecuteA来执行他们。
在这种情况下我们可以通过现场获取到的流量和镜像来确定下载到哪些新的样本,或者C2上还有哪些样本。
由于从19年开始蔓灵花的这些组件仅仅只新增过一些模块,所以很容易通过组合这些样本的模块名和大致的功能来确定攻击背景。
出现频率最大的模块名和功能如下。
模块名 | 大致的功能 |
Igfxsrvk | 键盘记录 |
MSAServices | 远控 |
MSAServicet | 远控 |
Lsap | 收集文件列表 |
Putty | 正常的登录工具 |
部分功能代码如下所示
Raccoon Stealer背景
Raccon Stealer是一个木马家族,主要的功能是该木马的功能也是窃取登录信息,各个浏览器或关键目录中保存的加密货币网站有关的数据,以及金融信息。
无论是V1还是V2版本的样本为了实现其完整的功能,都会从C&C上下载大量的DLL。这些DLL名完全不会改变,通过从流量或着镜像中获取到的DLL名的组合基本上就能判断出使用的样本属于RaccoonStealer家族。
Energetic Bear背景
Energetic Bear是俄背景的组织。它在通过web漏洞攻下服务器后一般会把服务器作为中转节点,在该节点上植入它的webshell或者放上供其他节点下载使用的工具包。
我们在取证过程中通过扫描工具便可以扫到在web应用中植入的加密的WSO webshell。
结合Everything搜索web应用目录中的压缩包文件格式的黑客工具,便能较为肯定的确定背后的组织为俄方向的Energetic Bear。
总结
上面用三个例子来讲述了通过样本组合的方式在不需要深入分析二进制代码的情况下来溯源攻击者背景。
可以看出能够通过样本组合进行溯源的组织都有一些特点,一是攻击者投递的恶意文件会释放下载器(downloader),下载器会从远程下载一批模块组件比如这里的蔓灵花,Raccoonstealer,二是攻击者的释放器(dropper)第一阶段就会释放多种类型的样本,比如这里的Engertic Bear,还有一些印度或朝鲜使用的SFX自解压程序等。
在日常的取证或狩猎中多多关注并收集一些下载器和释放器的特点,可以让我们在不需要太多逆向的情况下较快的溯源到攻击背后的组织。