针对此次事件中以钓鱼邮件入侵的手段,还可以申请试用反垃圾邮件服务,通过这项服务用户可以对电子邮件系统进行全面安全防御,申请链接如下:
#/krosa/views/initcdr/productandservice?pid=1&sid=0&cid=1
专家团队检测服务
1) 绿盟科技工程师前往客户现场检测。
2) 使用绿盟科技的工控漏扫定期对主机进行漏洞检测。
木马专杀解决方案
1) 短期服务:绿盟科技工程师现场木马后门清理服务(人工服务+NIPS+TAC)。确保第一时间消除网络内相关风险点,控制事件影响范围,提供事件分析报告。
2) 中期服务:提供3-6个月的风险监控与巡检服务(NIPS+TAC+人工服务)。根除风险,确保事件不复发。
3) 长期服务:能源行业业务风险解决方案(威胁情报 + 攻击溯源 + 专业安全服务 + 行业工控安全解决方案)
在绿盟科技制定应对方案的同时,为了帮助用户能够对此次攻击事件有更深入的了解,绿盟科技工控安全专家联合威胁响应中心的技术专家,对事件涉及的木马进行了深入分析。
BlackEnergy木马分析
该样本是一个复合样本,包含多个文件。下面绿盟科技的工程师模拟重现这个分析过程。
执行架构
样本的执行架构图如下所示:
执行架构
样本的启动方式
样本结构
该样本是一个复合型样本,包含多个文件。
表1 各个文件的基本信息介绍
复合型样本
详细文件功能
XLS
MD5: 97b7577d13cf5e3bf39cbe6d3f0a7732
主要功能:释放C:\Users\Dell\AppData\Local\Temp\vba_macro.exe文件, 并启动执行。
XLS中的宏代码
vba_macro.exe
MD5: abeab18ebae2c3e445699d256d5f5fb1
FONTCACHE.DAT
MD5: cdfb4cda9144d01fb26b5449f9d189ff
RPC通道监听
首先对svchost.exe进行代码注入:
svchost.exe进程中注入的代码
注入的代码的主要功能是调用iexplore.exe进程。
svchost.exe创建iexplore.exe进程
Iexplore.exe有网络请求,网址已经失效,所以,请求失败。
explore.exe的网络操作
Droper2.exe
MD5: 1d6d926f9287b4e4cb5bfc271a164f51
文件名:C:\Windows\system32\drivers\adpu320.sys(e60854c96fab23f2c857dd6eb745961c)并加载执行。adpu320.sys文件名是随机生成的。
加载方式为:
12345
使用函数:CreateProcessA参数:ModuleFileName="C:\Windows\system32\cmd.exe",CommandLine="/c "ping localhost-n8&move/Y"C:\Windows\adpu320s""C:\Windows\system32\drivers\adpu320.sys"&ping localhost-n3&net start adpu320""。
user32.dll.mui中保存了系统的版本与水印信息。
123456789
获取文件所有权使用函数:CreateProcessA参数:CommandLine="C:\Windows\system32\cmd.exe /c C:\Windows\System32\takeown.exe /f "C:\Windows\System32\zh-CN\user32.dll.mui""恢复文件所有权使用函数:CreateProcessA参数:ModuleFileName=NULL0018EF440018EF74|CommandLine="C:\Windows\system32\cmd.exe /c "C:\Windows\System32\icacls.exeC:\Windows\System32\zh-CN\user32.dll.mui/grant%username%:F""
