DUKES—持续七年俄罗斯网络间谍组织大起底2

  2015: Dukes加大赌注

  在2015年1月,Duke活动数量开始显著增加,有上千人都接收到了包含CozyDuke恶意链接的钓鱼邮件。我们好奇的是,这些钓鱼邮件和e-fax主题的垃圾邮件非常类似,都是勒索软件和其他犯罪软件常用的传播方式。由于接收到邮件的用户数量太多,Dukes很可能没有向其他小数量活动一样,专门的定制邮件。

  但是,与常用垃圾邮件的相似性可能是为了更险恶的目的。不难想象,安全分析师在面对着沉重的网络攻击负担时,会把这种常见的垃圾邮件简单地看作 “一个犯罪活动”,致使这样的活动隐藏到 “芸芸众生”中。

  CozyDuke活动表现出Dukes行动有长期进行的趋势,使用了多种木马工具集来打击一个单一的目标。在这种情况下,Dukes首先会使用CozyDuke(以一种更明显的方式)尝试感染大量的潜在目标。然后,他们会使用工具集来收集关于受害者的初始信息,接着再判断应该继续攻击哪些受害者。对于感兴趣的受害者,Dukes接着会部署不同的工具集。

  我们认为,这种战术的主要目的是为了尝试躲避目标网络中的检测。即使受害者的组织注意到了最初的CozyDuke活动,或者遭到了曝光,防御者首先会查看的就是与CozyDuke工具集相关的入侵标志(IOC),但是,如果当时Dukes已经在受害者的网络中运行了,只要使用另一种工具集,而这个工具集的IOC与曝光的不一样,那么有理由相信,受害者的组织会用更长的时间才会注意到渗透。

  在先前的例子中,Dukes小组就曾经更换过木马工具集,无论是作为初始阶段或后续阶段的工具集。然而,对于这些CozyDuke活动,Dukes小组似乎应用了两个特殊的后阶段工具集-SeaDuke和HamerDuke,有意设计用于在攻破网络上留下维持后门。Hammeruke是一个后门系列,首先在野外发现是在2015年2月;而SeaDuke是一个跨平台后门,据赛门铁克称,首次在野外发现是在2014年10月。这两个工具集都是CozyDuke活动部署的。

  SeaDuke的特殊性在于它是用Python编写的,设计能在Windows和Linux系统上运行;这是我们首次发现Dukes使用了跨平台工具。其中一个可能的原因可能是开发这样灵活的木马可能会更多的遇到使用Linux作为操作系统的受害者。

DUKES---持续七年俄罗斯网络间谍组织大起底2

  图7-OnionDuke使用恶意Tor节点感染受害者的流程

DUKES---持续七年俄罗斯网络间谍组织大起底2

  图8-OnionDuke Botnet的地理分布

DUKES---持续七年俄罗斯网络间谍组织大起底2

  图9-OnionDuke CC推文,OnionDuke使用的推文,里面的链接指向了一个图像文件,这个图像文件中潜入了一个OnionDuke版本更新

  同时,HammerDuke是一个只能在Windows上运行的木马(用.NET编写),有两个变体。简单的那个会通过HTTP或HTTPS连接一个硬编码服务器,下载执行命令。更高级的那一个,会使用算法来生成定期更改的Twitter账号,然后尝试搜索从这个账号发出的推文,根据里面的链接下载执行命令。这样,高级的HammerDuke变体就能通过合法的Twiter使用,来隐藏其网络流量。这种方法并不是HammerDuke独家使用的,MiniDuke, OnionDuke和CozyDuke都会类似的利用Twitter(图9)来获取链接,另外下载payload或命令。

  2015: CloudDuke

  在2015年7月初,Dukes小组开始执行另一次大规模钓鱼活动。在这次活动中使用的木马工具集是以前没有出现过的,并且我们认为7月份的这次活动,标志着Dukes首次开始真正的部署工具集,而不是小规模的测试了。

  CloudDuke工具集至少包括一个loader,一个downloader和两个后门变体。这两个后门(作者内部称之为“BastionSolution” 和“OneDriveSolution”),允许操作员远程在入侵设备上执行命令。但是,这两个后门完成这一操作的方式是截然不同的。BastionSolution变体会简单的从一个受Dukes控制的硬编码服务器上获取命令,OneDriveSolution是利用微软的OneDrive云存储服务与主控通信,从而增加了防御者注意并拦截通信信道的难度。最重要的还要数2015年7月,CloudDuke活动的时间线。这次活动似乎包括两次独立的钓鱼攻击,一次是在7月初,另一次是从7月20号开始的。Palo Alto Networks在7月14日,发布了关于第一波攻击的CloudDuke详细技术分析报告。卡巴斯基随后又在7月16日公布了更多细节。

  这些公布都在第二波攻击之前,并且引起了公众的广泛关注。尽管引起了公众的注意,并曝光了大量的技术细节(包括IOC),Dukes还是继续发动了第二波钓鱼攻击,包括继续使用CloudDuke。Dukes小组并没有更改钓鱼邮件的内容,也没有更换邮件的格式,而是又恢复成了他们以前用过的efax主题格式,甚至重新使用了在一年前CozyDuke活动(2014年7月)中使用的诱饵文档。

  这次更加突出了Dukes小组的行为特征。首先,与2013年2月的MiniDuke和2014年夏天的CosmicDuke活动一样,Dukes又一次清楚地优化了行动顺序来保持隐秘性。其次,又突出了Dukes小组的胆大,傲慢和自信;他们对自己的能力有信心,能成功的入侵目标,即使自己的工具和技术都已经曝光,这样的情况下,他们也坚信自己的行动不会受到影响。

  2015: 继续用 CosmicDuke执行外科手术式的打击

  除了CozyDuke和CloudDuke这样肆无忌惮的大规模活动外,Dukes还在继续用CosmicDuke来执行更加毫不隐瞒,外科手术式的攻击活动。我们发现的最新活动开始于2015年春和2015年夏天的早些时候,这些活动使用了恶意文档来利用近期未修复的一些漏洞。

  波兰安全公司Prevenit发表文章详细地介绍了这些活动,他们称这两次活动的目标是波兰的一些机构,在钓鱼邮件中使用了用波兰语作为名称的恶意附件。类似的,我们观察到第三次活动攻击了格鲁吉亚的一些机构,使用了用格鲁吉亚语作为名称的恶意附加,翻译过来就是 “NATO加强对黑海的控制.docx”。

  据此,我们并不认为Dukes会抛弃原来隐秘的针对性活动,转而投向公开的投机性CozyDuke和CloudDuke式的活动。相反,我们认为他们只是在通过增加新的工具和技术来扩展自己的活动。

DUKES---持续七年俄罗斯网络间谍组织大起底2

  图10-Duke工具集的活动时间分布

  Dukes工具与技术

DUKES---持续七年俄罗斯网络间谍组织大起底2

  PinchDuke工具集包含多过loader和一个核心的信息窃取木马。与PinchDuke工具集关联的loader已经发现与CosmicDuke配合使用过。

  PinchDuke工具集包含多过loader和一个核心的信息窃取木马。与PinchDuke工具集关联的loader已经发现与CosmicDuke配合使用过。

  PinchDuke信息窃取木马会收集系统配置信息,窃取用户凭据并从入侵的主机上收集用户文件,然后通过HTTP(S)把这些文件转发到一个CC服务器上。我们认为PinchDuke的凭据窃取功能是基于Pinch凭据窃取木马的源代码(也就是LdPinch),最早是在21世纪初开发的,后来在地下论坛上传播过。

  PinchDuke的目标凭据与下面的这些软件或服务有关:

  The Bat! Yahoo! Mail.ruPassport.Net Google TalkNetscape Navigator Mozilla Firefox Mozilla Thunderbird Internet Explorer Microsoft Outlook WinInet Credential Cache Lightweight Directory Access Protocol (LDAP)

  PinchDuke还会查找在预定时间范围内创建的文件和在预定列表中出现的文件扩展。

  令人好奇的是,多数PinchDuke样本中都包含有下面的俄语错误信息: “Ошибка названия модуля! Название секции данных должно быть 4 баи?та!”

  大体意思是: “模块名有错误!数据节名称的长度必须是4字节!”

DUKES---持续七年俄罗斯网络间谍组织大起底2

  GeminiDuke工具集包括一个核心的信息窃取器,一个loader和多个与维持相关的组件。不同于CosmicDuke和PinchDuke,GeminiDuke主要是收集受害者计算机上的配置文件。收集的信息包括:

  本地用户账户网络设置网络代理设置已安装的驱动运行中的进程用户曾经执行过的程序在启动时自动运行的程序和服务环境变量值在任何用户的home文件夹中出现的文件和文件夹在任何用户的My Docments中出现的文件和文件夹安装到Program Files文件夹的程序近期访问的文件,文件夹和程序

  在木马中很常见,GeminiDuke的信息窃取器使用了一个互斥量来确保只有一个实例是在运行的。不常见的是,这个互斥量经常使用一个时间戳作为自己的名称。我们认为这些时间处是在GeminiDuke的编译期间,根据计算机的本地时间确定的。

  比较GeminiDuke的编译时间发现,它经常引用UTC+0时区的时间,把本地时间作为互斥量的名称,并根据预设的时区调整时差,我们注意到所有的互斥量名称都引用了一个时间和日期,这个日期就是在样本编译时间戳的几秒钟之内。另外,所有在冬天编译的GeminiDuke样本都使用了UTC+3作为时间戳的时区,而在夏天的编译的样本,就把UTC+4作为时间戳的时区。

  已经观察到的时区符合2011年以前的莫斯科标准时间(MSK)的定义,就是在冬天时区是UTC+3,在夏天是UTC+4。在2011年,MSK时间不再遵守夏令时间(DST),并且开始全年使用UTC+4,并在2014年全年使用UTC+3。某些GemiiDuke样本使用的互斥量就是当MSK还遵守夏时令时编译的,这些样本的时间戳符合当时的莫斯科时间定义。

DUKES---持续七年俄罗斯网络间谍组织大起底2

  莫斯科的时区图:粉色:MSK(UTC+3),橙色:UTC+4

  但是,在MSK修改后编译的GeminiDuke样本还是冬天用UTC+3,夏天用UTC+4。虽然,使用Windows的计算机会自动调整DST,但是更改时区需要安装Windows更新。因此,我们认为Dukes小组没有更新用来编译GeminiDuke样本的计算机,所有在之后出现的样本时间戳还是遵循以前的莫斯科标准时间定义。

  GeminiDuke信息窃取器有时还会封装一个loader,这可能是GeminiDuke都有的,以前也从未在其他的Duke工具集中发现过。GeminiDuke有时还会内嵌其他的可执行程序,尝试维持在受害者的计算机上。这些维持组件是经过特别定制的,为了配合GeminiDuke使用,但是他们还使用了相同的技术来作为CosmicDuke的维持组件。

DUKES---持续七年俄罗斯网络间谍组织大起底2

  CosmicDuke工具集是围绕一个主要的信息窃取组件设计的。这个信息窃取器附带了大量的组件,操作员会有选择的在主要的组件上添加其他的组件来提供额外的功能,比如多种建立维持的方法,以及尝试利用权限提升漏洞的模块,从而用更高的权限来执行CosmicDuke。CosmicDuke的信息窃取功能包括:

  键盘记录获取屏幕截图窃取粘贴板内容窃取符合定义列表的文件扩展导出用户的加密证书,包括私钥收集用户凭据,包括多种聊天和邮件程序,web浏览器的密码

  CosmicDuke可能使用HTTP,HTTPS,FTP或WebDav来把收集到的数据传输到一个硬编码CC服务器。虽然我们认为CosmicDuke是一个完全自定义编写的工具集,不会共用其他Duke工具集的代码,但是其很多高级功能的实现都与其他的Dukes武器有相通之处。

  具体来说,CosmicDuke用于从目标软件提取用户凭据和检测分析软件的技术,都是基于PinchDuke的技术。同样,许多CosmicDuke的维持组件使用的技术也用在了与GeminiDuke和CozyDuke相关的组件上。在所有的这些例子中,技术都是相同的,但是代码都经过了修改,导致在最后的实现上存在小区别。

  我们发现,有一小部分CosmicDuke样本中还有的组件会尝试利用近期公布的漏洞 CVE-2010-0232或CVE-2010- 4398权限提升漏洞。以CVE-2010-0232为例,这个利用似乎是直接建立在安全研究员Tavis Ormandy在披露漏洞时公布的概念验证代码上。我们认为,CVE- 2010-4398利用也是建立在公开的概念验证上。

  除了经常内嵌维持或权限提升组件外,CosmicDuke还偶尔会内嵌PinchDuke,GeminiDuke或MiniDuke的组件。应该注意的是,CosmicDuke并不会与后者交互操作,内嵌的木马会把木马写入到磁盘上执行。之后,CosmicDuke和第二个木马会独立操作,包括各自联系自己的CC服务器。有时候,两个木马会使用同一个CC服务器,但是其他情况下,甚至是使用的服务器也都不是一样的。

  最后值得注意,虽然多数CosmicDuke的编译时间戳看起来是真实的,但是我们还是注意到,有几个是伪造的。一起一个就是前文中提到的,可能是为了逃避检测。另一个是在2010年秋天与CosmicDuke和PinchDuke联合使用的一个loader变体。这些loader样本的编译时间戳都是在2001年9月24日或25日。但是,这些loader样本大都内嵌了CosmicDuke变体来利用CVE-2010- 0232权限提升漏洞,所以其编译时间戳不可能是真的。

  深度阅读:

  Timo Hirvonen; F-Secure Labs; CosmicDuke: Cosmu with a Twist of MiniDuke; published 2 July 2014; https://www.f-secure.com/ documents/996508/1030745/cosmicduke_ whitepaper.pdf GReAT; Securelist; Miniduke is back: Nemesis Gemina and the Botgen Studio; publishedJuly 2014; https://securelist.com/blog/ incidents/64107/miniduke-is-back-nemesis- gemina-and-the-botgen-studio/

DUKES---持续七年俄罗斯网络间谍组织大起底2

  MiniDuke工具集包括多个downloader和后门组件,卡巴斯基在最初的MiniDuke白皮书中成这些组件为MiniDuke “阶段1” “阶段2”和 “阶段3”组件。另外,有一个特别的loader经常会关联到MiniDuke工具集,称作 “MiniDuke loader”。

  这个loader经常与其他的MinDuke组件一起使用的同时,也还是经常与CosmicDuke和PinchDuke组件联用。事实上,我们发现这个loader样本最早还是与PinchDuke使用。但是,为了避免混淆,我们还是称这个loader为 “MiniDuke loader”。

  有两处关于MiniDuke组件的细节需要值得注意。首先,一些MiniDuke组件是用汇编语言编写的。虽然,很多木马都是在 “以前的那种好奇心驱使下”用汇编语言编写的,但是现在越来越少见。第二,一些MiniDuke组件中没有包含硬编码的CC服务器地址,而是通过Twitter来获取当前的CC服务器地址。使用Twitter来获取CC服务器的地址(或作为备份,如果没有硬编码的主要CC服务器响应)也是OnionDuke,CozyDuke和HammerDuke的特性。

  深度阅读:

  Costin Raiu, Igor Soumenkov, Kurt Baumgartner, Vitaly Kamluk; Kaspersky Lab; The MiniDuke Mystery: PDF 0-day Government Spy Assembler 0x29A Micro Backdoor; published 27 February 2013; http:// kasperskycontenthub.com/wp-content/ uploads/sites/43/vlpdfs/themysteryofthepdf0- dayassemblermicrobackdoor.pdf CrySyS Blog; Miniduke; published 27 February 2013; http://blog.crysys.hu/2013/02/miniduke/ Marius Tivadar, Bi?ro? Bala?zs, Cristian Istrate; BitDefender; A Closer Look at MiniDuke; published April 2013; http://labs.bitdefender. com/wp-content/uploads/downloads/2013/04/ MiniDuke_Paper_Final.pdf CIRCL – Computer Incident Response Center Luxembourg; Analysis Report (TLP:WHITE) Analysis of a stage 3 Miniduke sample; published 30 May 2013; https://www.circl.lu/files/tr-14/ circl-analysisreport-miniduke-stage3-public.pdf ESET WeLiveSecurity blog; Miniduke still duking it out; published 20 May 2014; http://www. welivesecurity.com/2014/05/20/miniduke-still- duking/

DUKES---持续七年俄罗斯网络间谍组织大起底2

  CozyDuke不是一个简单的木马工具集,而是一个模块化的木马平台,围绕一个核心的后门组件形成。CC服务器可以指令这个组件来下载并执行任意模块。并且这些模块能提供给CozyDuke丰富的功能。已知的CozyDuke模块有:

  命令执行模块,用于执行任意的Windows命令提示符命令木马窃取模块NT LAN管理器(NTLM)哈希窃取模块系统信息收集模块屏幕截图模块

  除了模块,CozyDuke还可以通过指令,来下载并执行其他独立的可执行程序。在某些观察到的例子中,这些可执行程序是自解压文档,其中包含着入侵工具,比如,PSExe和Mimikatz,还有执行这些工具的脚本文件。在其他情况下,CozyDuke还会下载和执行其他Duke工具集的工具,比如OnionDuke,SeaDuke和HamerDuke。

  深度阅读:

  Artturi Lehtio; F-Secure Labs; CozyDuke; published 22 April 2015; https://www.f-secure. com/documents/996508/ 1030745/CozyDuke (PDF) Kurt Baumgartner, Costin Raiu; Securelist; The CozyDuke APT; 21 April 2015; https://securelist. com/blog/research/69731/the-cozyduke-apt/

  CozyDuke中的PDB字符串实例

  E:/Visual Studio 2010/Projects/Agent_NextGen/Agent2011v3/Agent2011/Agent/tasks/bin/ GetPasswords/exe/GetPasswords.pdbD:/Projects/Agent2011/Agent2011/Agent/tasks/bin/systeminfo/exe/systeminfo.pdb/192.168.56.101/true/soft/Agent/tasks/Screenshots/agent_screeshots/Release/agent_ screeshots.pdb

DUKES---持续七年俄罗斯网络间谍组织大起底2

  OnionDuke工具集至少包括一个dropper,一个loader一个信息窃取器和多个模块变体。

  OnionDuke首先引起我们的注意是因为它是通过一个恶意的Tor退出节点进行传播。这个Tor节点会拦截所有下载下来的未加密可执行文件,并通过添加嵌入了OnionDuke的恶意封装器来篡改这些可执行文件。一旦受害者下载了这些文件并执行,封装器就会用OnionDuke感染受害者的计算机,然后执行原始的合法可执行文件。

  这个封装器还会用于封装合法的可执行文件,然后让用户从种子网站上下砸。这样,如果受害者下载的种子中包含封装后的可执行文件,他们就会感染OnionDuke。

  最后,我们还观察到,感染了OnionDuke的受害者首先已经感染了CozyDuke。在这种情况下,CozyDuke就会接收到CC服务器的指令,下载并执行OnionDuke工具集。

  深度阅读:

  Artturi Lehtio; F-Secure Weblog; OnionDuke: APT Attacks Via the Tor Network; published 14 November 2014; https://www.f-secure.com/ weblog/archives/00002764.html

DUKES---持续七年俄罗斯网络间谍组织大起底2

  SeaDuke是一个简单的后门,主要是执行从CC服务器上获取的命令,比如上传和下载文件,执行系统命令并评估额外的Python代码。SeaDuke很有趣的地方是它是用Python写的,并且是跨平台的,可以在Windows和Linux上运行。

  已知SeaDuke的唯一感染途径是通过现有的CozyDuke感染,由CozyDuke下载和执行SeaDuke工具集。

  类似于HammerDuke,当CoyDuke完成了初始感染并获取到可用信息后,SeaDuke似乎主要用作CozyDuke受害者上的一个二级后门。

  深度阅读:

  Symantec Security Response; “Forkmeiamfamous”: Seaduke, latest weapon in the Duke armory; published 13 July 2015; http://www.symantec.com/connect/blogs/ forkmeiamfamous-seaduke-latest-weapon- duke-armory Josh Grunzweig; Palo Alto Networks; Unit 42 Technical Analysis: Seaduke; published 14 July 2015; http://researchcenter.paloaltonetworks. com/2015/07/unit-42-technical-analysis- seaduke/ Artturi Lehtio; F-Secure Weblog; Duke APT group’s latest tools: cloud services and Linux support; published 22 July 2015; https://www.f- secure.com/weblog/archives/00002822.html (http://secure.com/weblog/archives/00002822.html)

  在SeaDuke源代码中发现的跨平台支持

DUKES---持续七年俄罗斯网络间谍组织大起底2

DUKES---持续七年俄罗斯网络间谍组织大起底2

  HammerDuke是一个简单的后门,设计的作用类似与SeaDuke。具体来说,HammerDuke的唯一已知感染途径是由CozyDuke下载和执行,这样,再结合HammerDuke简单的后门功能,表明Dukes小组主要是将其用作二级后门,首先是由CozyDuke执行初始感染,并窃取可用的受害者信息。

  但是,HammerDuke也是挺有意思的,因为是用.NET编写的,并且还偶尔会用Twitter作为CC通信信道。一些HammerDuke变体中只包含硬编码的CC服务器地址,从这上面获取命令,但是其他的HammerDuke变体首先会使用一个自定义算法根据当前日期,来生成一个Twitter账号。如果账号已经存在,HammerDuke就会搜索这个账户推文中的图像链接,其中包含有执行命令。

  HammerDuke使用Twitter和特制的图像文件和其他的Duke工具类似。OnionDuke和MiniDuke也使用了日期算法来生成Twitter账户,并搜索从这个账户中发表的推文,查找到像文件的链接。但是,对比来说,OnionDuke和MiniDuke的图像链接中嵌入了的是可以下载和执行的木马,而不是指令。

  类似的,GeminiDuke也会下载图像文件,但是这些文件中可能会嵌入工具集本身的配置信息。但是不同于HammerDuke,GeminiDuke下载的URL是硬编码在初始配置中的,而不是从Twitter中获取的。

  深度阅读:

  FireEye; HAMMERTOSS: Stealthy Tactics Define a Russian Cyber Threat Group; published July 2015; https://www2.fireeye.com/rs/848-DID-242/ images/rpt-apt29-hammertoss.pdf * APT29就是Dukes小组

DUKES---持续七年俄罗斯网络间谍组织大起底2

  CloudDuke这个工具集至少包括一个downloader,一个loader和两个后门变体。CloudDuke downloader会从预先定义的位置下载和执行另外的木马。有趣的是,这个位置可能是一个web地址,或一个OeDrive账户。

  这两个CloudDuke后门变体都支持简单的后门功能,与SeaDuke类似。其中一个变体会通过HTTP或HTTPS使用一个预先配置的CC服务器,另一个变体会使用OneDrive账户来交换命令和窃取到的数据。

  深度阅读:

  Artturi Lehtio; F-Secure Weblog; Duke APT group’s latest tools: cloud services and Linux support; published 22 July 2015; https://www.f-secure. com/weblog/archives/00002822.html Brandon Levene, Robert Falcone and Richard Wartell; Palo Alto Networks; Tracking MiniDionis: CozyCar’s New Ride Is Related to Seaduke; published 14 July 2015; http://researchcenter. paloaltonetworks.com/2015/07/tracking- minidionis-cozycars-new-ride-is-related-to- seaduke/ Segey Lozhkin; Securelist; Minidionis C one more APT with a usage of cloud drives; published16 July 2015; https://securelist.com/blog/ research/71443/minidionis-one-more-apt-with- a-usage-of-cloud-drives/ 感染途径

  Dukes主要是利用钓鱼邮件让受害者感染木马。这些钓鱼邮件有的特别伪装成垃圾信息来传播常见的犯罪软件,并发送给大量的接收人,有的是高度针对性的邮件,发送给少量的接收人(或一个人),其中的内容也是与预定目标高度相关的。在有些情况下,Dukes会利用已经被攻破的受害者向其他目标发送钓鱼邮件。

  Dukes小组利用的钓鱼邮件中,要么使用特制的恶意附件,或托管着木马的URL链接。当使用恶意附件时,这些附件有的是利用常用软件中的漏洞,比如Microsoft Word 或 Adobe Reader,或者是附件中包含有图标和文件名,经过混淆后看起来不像是一个可执行文件。

  我们只在一些实例中发现,Dukes小组没有使用钓鱼作为初始的感染途径,就是某些OnionDuke变体。这些变体在传播木马时,要么使用恶意的Tor节点在合法的应用中植入OnionDuke工具集,要么通过种子文件来下载植入了木马的合法应用。

  最后,需要注意,Dukes有时候在感染了受害者后,还会用另外的木马工具再感染这名受害者。比如,使用感染了CozyDuke的受害者又感染了SeaDuke, HammerDuke或 OnionDuke;感染了CosmicDuke的受害者还会感染PinchDuke,GeminiDuke或MiniDuke。

  诱饵

  Dukes小组通常会在感染途径中使用诱饵。这些诱饵可能是图像文件,文档,Flash视频或类似的文件,在感染过程中会显示给用户,从而迷惑受害者,防止他们注意到恶意活动。这些诱饵的内容有的是非针对性的材料,比如电视商业广告-办公室猴子;针对性文档,内容是与受害者相关的,比如报告,邀请或参数某项事件的人员名单。

  一般情况下,这些诱饵的内容可能来自公共来源,有的是复制的公共材料,比如新闻报道,或公开的合法文件。但是,在某些情况下,高度针对性的诱饵会使用非公共来源的材料。这些内容可能是窃取的其他的Duke工具集受害人。

  漏洞利用

  Dukes小组既在感染途经中利用漏洞,也在木马中利用了漏洞。但是,我们只发现了一个实例-利用CVE-2013-0640来部署MiniDuke-我们认为这个漏洞在当时是一个0-day漏洞。在所有已知的漏洞利用案例中,我们认为,Dukes并不是自己发现漏洞,也不是设计漏洞来利用,而是购买了漏洞。在其他的案例中,我们认为他们只是购买了漏洞或概念验证。

DUKES---持续七年俄罗斯网络间谍组织大起底2

  俄罗斯时区图,粉色:MSK(UTC+3);橙色:UTC+4

  归属和赞助国家

  归属判断一直是一个很难的问题,但是在理解这类威胁和与之对抗时,这个问题的答案又是很重要的。在文中,我们已经表达了观点,我们认为Dukes小组是俄罗斯赞助的一个间谍小组。为了得到这一结论,我们首先分析了这个小组的目的和动机。

  根据我们目前了解到的,在这7年中,Dukes小组是如何选择目标的,他们的目标中一直都有与外交政策和安全政策相关的实体。这些目标包括一些组织,比如外交部,大使馆,参议院,议会,国防部,国防承包商和智囊团。

  在其中一个有趣的例子中,Dukes的目标中还出现过涉及非法药品运输的实体。但是,即使是这样的目标也和他们的一贯目标相一致,考虑到毒品也与安全政策有关系。据此,我们对自己的判断有信心,Dukes小组的主要任务是通过收集情报来支持外交和安全政策的确定。

  很自然的,这就牵扯到了国家赞助的问题。根据这个小组的主要任务,我们认为主要的受益者是政府。但是Dukes小组或部门是属于政府机构的吗?还是外部承包商?只认钱的犯罪团伙?一群有技术的爱国分子?我们不清楚。

  根据Dukes的活动长度,我们推测在这些行动中投入的资源数量和活动数量只会越来越多。我们认为,这个小组掌握有大量,关键的,稳定的经济支撑。Dukes一直在实施大规模的活动,攻击高价值目标,同时也会参与小规模的目标更广的活动,很显然,他们协调的很好,没有遇到行动冲突。所有,我们认为Dukes是一家独立的,协调能力强的大型组织,有着明确的责任划分和目标。

  Dukes小组有时候会为了保持隐蔽性而重新安排行动的继续情况。他们的2015年CozyDuke和CloudDuke活动将这特点发挥到了极致。最极端的例子就是CloudDuke活动,当时的多家安全厂商都认为Dukes都曝光了CloudDuke活动后,他们又在2015年7月继续进行了活动。所以,我们认为Dukes的主要任务很有价值,其赞助者认为行动继续比一切都重要。

  就我们看来,Dukes小组对公众关注的无所谓,是因为其赞助者具有权势,并且一直紧密联系着Dukes,所以Dukes才能肆无忌惮的进行行动。我们认为唯一有权力提供这样全面的保护的就只能是国家政府。所以我们认为Dukes或者在政府内工作或直接就是效力于政府,绝不可能是犯罪团伙或其他第三方。

  最后一个问题:哪个国家?我们无法负责人的证明是哪个具体的国家在支持Dukes。但是,在我们看来,所有的证据都指向了俄罗斯。而且,目前我们也没有发现能有证据来驳斥这一理论。

  卡巴斯基实验室先前已经注意到,在一些Dukes木马样本中出现了俄语。我们也在很多PinchDuke样本中发现了俄语的错误信息:“Ошибка названия модуля! Название секции данных должно быть 4 баи?та!”,大体意思是 “模块名称有错误,数据节名称必须是4字节!”

  另外,卡巴斯基还指出,根据编译时间戳,Duke木马的作者主要是在周一至周五工作,从早上6点到下午4点, UTC+0时间。对应着UTC+3时区,也就是莫斯科时间的早9点和下午7点,基本涵盖了大部分俄罗斯西部,包括莫斯科和圣彼得堡。

  卡巴斯基实验室对Duke木马作者的工作时间分析也印证了我们自己的分析,以及FireEye的分析。很多GeminiDuke样本中的时间戳也支持这种根据时区的推断,这种相似性表明这个小组的工作地点位于莫斯科标志时区,详情请参考GeminiDuke技术分析部分。

  最后,Dukes小组的目标有-西欧国家的外交部,西方智囊团和政府组织,甚至是俄罗斯毒枭-都与俄罗斯外交和安全政策相关。虽然,Dukes的目标看起来是全球的政府,但是我们并没有发现他们针对俄罗斯政府。但是证据不足不代表就是没有证据,这是很有趣的一点。

  根据列出的证据和分析,我们认为,Duke工具集是一个独立的,掌握有大量资源的大型组织开发的(我们称之为Dukes小组),旨在为俄罗斯政府提供与外交和安全政策相关的情报,用于交换支持和保护。 归属判断一直是一个很难的问题,但是在理解这类威胁和与之对抗时,这个问题的答案又是很重要的。在文中,我们已经表达了观点,我们认为Dukes小组是俄罗斯赞助的一个间谍小组。为了得到这一结论,我们首先分析了这个小组的目的和动机。

  根据我们目前了解到的,在这7年中,Dukes小组是如何选择目标的,他们的目标中一直都有与外交政策和安全政策相关的实体。这些目标包括一些组织,比如外交部,大使馆,参议院,议会,国防部,国防承包商和智囊团。

  在其中一个有趣的例子中,Dukes的目标中还出现过涉及非法药品运输的实体。但是,即使是这样的目标也和他们的一贯目标相一致,考虑到毒品也与安全政策有关系。据此,我们对自己的判断有信心,Dukes小组的主要任务是通过收集情报来支持外交和安全政策的确定。

  很自然的,这就牵扯到了国家赞助的问题。根据这个小组的主要任务,我们认为主要的受益者是政府。但是Dukes小组或部门是属于政府机构的吗?还是外部承包商?只认钱的犯罪团伙?一群有技术的爱国分子?我们不清楚。

  根据Dukes的活动长度,我们推测在这些行动中投入的资源数量和活动数量只会越来越多。我们认为,这个小组掌握有大量,关键的,稳定的经济支撑。Dukes一直在实施大规模的活动,攻击高价值目标,同时也会参与小规模的目标更广的活动,很显然,他们协调的很好,没有遇到行动冲突。所有,我们认为Dukes是一家独立的,协调能力强的大型组织,有着明确的责任划分和目标。

  Dukes小组有时候会为了保持隐蔽性而重新安排行动的继续情况。他们的2015年CozyDuke和CloudDuke活动将这特点发挥到了极致。最极端的例子就是CloudDuke活动,当时的多家安全厂商都认为Dukes都曝光了CloudDuke活动后,他们又在2015年7月继续进行了活动。所以,我们认为Dukes的主要任务很有价值,其赞助者认为行动继续比一切都重要。

  就我们看来,Dukes小组对公众关注的无所谓,是因为其赞助者具有权势,并且一直紧密联系着Dukes,所以Dukes才能肆无忌惮的进行行动。我们认为唯一有权力提供这样全面的保护的就只能是国家政府。所以我们认为Dukes或者在政府内工作或直接就是效力于政府,绝不可能是犯罪团伙或其他第三方。

  最后一个问题:哪个国家?我们无法负责人的证明是哪个具体的国家在支持Dukes。但是,在我们看来,所有的证据都指向了俄罗斯。而且,目前我们也没有发现能有证据来驳斥这一理论。

  卡巴斯基实验室先前已经注意到,在一些Dukes木马样本中出现了俄语。我们也在很多PinchDuke样本中发现了俄语的错误信息:“Ошибка названия модуля! Название секции данных должно быть 4 баи?та!”,大体意思是 “模块名称有错误,数据节名称必须是4字节!”

  另外,卡巴斯基还指出,根据编译时间戳,Duke木马的作者主要是在周一至周五工作,从早上6点到下午4点, UTC+0时间。对应着UTC+3时区,也就是莫斯科时间的早9点和下午7点,基本涵盖了大部分俄罗斯西部,包括莫斯科和圣彼得堡。

  卡巴斯基实验室对Duke木马作者的工作时间分析也印证了我们自己的分析,以及FireEye的分析。很多GeminiDuke样本中的时间戳也支持这种根据时区的推断,这种相似性表明这个小组的工作地点位于莫斯科标志时区,详情请参考GeminiDuke技术分析部分。

  最后,Dukes小组的目标有-西欧国家的外交部,西方智囊团和政府组织,甚至是俄罗斯毒枭-都与俄罗斯外交和安全政策相关。虽然,Dukes的目标看起来是全球的政府,但是我们并没有发现他们针对俄罗斯政府。但是证据不足不代表就是没有证据,这是很有趣的一点。

  根据列出的证据和分析,我们认为,Duke工具集是一个独立的,掌握有大量资源的大型组织开发的(我们称之为Dukes小组),旨在为俄罗斯政府提供与外交和安全政策相关的情报,用于交换支持和保护。

发表评论