SSHBearDoor:BlackEnergy(黑暗力量)家族新宠

BlackEnergy(黑暗力量)是一个被各种犯罪团伙使用多年的工具。在2014年的夏季，F-Secure团队发现Blackenergy恶意软件的特定样本开始以乌克兰政府作为目标来收集情报。该恶意软件家族在2007年就已经存在，并在2014年曾卷土重来。同时，它在2015年也曾风光一度。

SSHBearDoor是一种SSH Service后门，BlackEnergy家族利用这个后门攻击新闻媒体和电气能源行业。

ESET最近发现，在针对乌克兰新闻媒体公司和电力行业的攻击中，BlackEnergy木马最近被当作后门，释放KillDisk(硬盘数据擦除)组件。在本文中，我们提供了2015年ESET发现的BlackEnergy样本细节，以及在攻击中所使用的KillDisk组件。此外我们还发现了一个未曾公布的SSH后门，这也是黑客访问感染系统的渠道之一。

2015年BlackEnergy的进化

一旦激活后，变异的BlackEnergy会使用恶意软件探针来检查受感染的电脑是否为预定目标。如果是的话，常规的BlackEnergy会把自己的变种推送到系统。BlackEnergy感染机制的细节，在我们的病毒公报和F-Secure的白皮书里都有描述。

BlackEnergy恶意软件将XML配置数据嵌入到DLL二进制流里：

除了CC服务器列表，BlackEnergy配置还包含一个叫build_id的值。该值是一个特殊字符串，它被用来甄别受感染个体，或者是BlackEnergy恶意软件探针的感染尝试。这些字符串中使用字母和数字的组合，有时候可以揭示活动和目标的信息。

下面是我们在2015年发现的Build ID值：

2015en

khm10

khelm

2015telsmi

2015ts

2015stb

kiev_o

brd2015

11131526kbp

02260517ee

03150618aaa

11131526trk

由上面这些字符串组合，我们可以推测出一些特殊的意义。比如2015telsmi，可能是包含了俄罗斯缩写SMI(Sredstva Massovoj Informacii)。2015en可能指的是能源，至于Kiev也看起来很明显。

KillDisk组件

在2014年，一些变异的BlackEnergy木马包含了一个为破坏受感染系统而生的插件dstr。而在2015年，BlackEnergy团队开始使用新的破坏型组件，ESET产品将其定义为Win32/KillDisk.NBB、Win32/KillDisk.NBC以及Win32/KillDisk.NBD变异木马。

这个组件的主要目的是破坏电脑上的数据，它会使用随机数据覆盖文件，并且让系统无法重启。

首个已知案例是BlackEnergy的KillDisk组件，事见2015年11月CERT-UA的文档。在那个案例中，大量新媒体公司在2015年乌克兰大选的时间被黑。文档里表示，关于大选的很大一部分视频材料和各种文档在那次攻击中被毁去。

值得注意的是，被用于针对这些媒体公司的Win32/KillDisk.NBB变种，更倾向于破坏各种类型的文件和文档。其配置里有一长串文件扩展作为目标，它会根据这个逐个去覆盖删除，其中文件后缀超4000个：

用于攻击能源公司的KillDisk组件与乌克兰那次是有点区别的，我们的样品分析表明，最新版本的主要变化有：

现在它会接受命令行参数，可以设置定时激活破坏型payload。

删除windows事件日志：应用程序、安全设置启动项、系统相关。

不太关注对文件的删除，只有35个文件后缀。

它也能够删除系统文件，让系统无法启动，这是典型的破坏型木马。电力公司似乎也检测到一些KillDisk组件，专为破坏工业系统而设定。

一旦激活，这个KillDisk组件变种会寻找，并试图kill掉下面两个非标准进程：

komut.exe

sec_service.exe

可惜的是，我们并没有找到关于第一个进程komut.exe的信息。然而第二个进程则可能属于ASEM Ubiquity软件，它被用于工控系统(ICS)、或者ELTIMA系列以太网连接器。在进程被发现后，恶意软件并不是只将其kill，而且还用随机数据覆盖掉了可执行文件。

SSH后门

除了已经提到的恶意软件家族，我们还发现了一个BlackEnergy组织使用的有趣样本。在我们检测其中一个受感染服务器时，我们发现了一个程序，乍一看可能是一个叫Dropbear SSH的合法SSH服务端。

为了运行SSH服务端，黑客创建了一个VBS文件，内容如下：

Set WshShell = CreateObject(“WScript.Shell”)

WshShell.CurrentDirectory = “C:\WINDOWS\TEMP\Dropbear\”

WshShell.Run “dropbear.exe -r rsa -d dss -a -p 6789″, 0, false

这里我们可以看到，SSH服务器接受对6789端口的连接。通过在受感染的网络里运行SSH，黑客可以随时卷土重来。

然而出于某种原因，这是不够的。详细分析后，我们发现，SSH服务端的二进制流实际上包含了一个后门：

在上图我们可以看到，该版本的Dropbear SSH会验证密码passDs5Bu9Te7，然而才允许进入。同样的情况也适用于密钥配对，服务端包含一个预定义的常数公钥，只有在使用特定私钥才能认证成功。

ESET把这个情况定义为Win32/SSHBearDoor.A木马。

IOC(攻击指示器)

下面是BlackEnergy的CC服务器列表：

5.149.254.114

5.9.32.230

31.210.111.154

88.198.25.92

146.0.74.7

188.40.8.72

感染后的XLS文档SHA-1：

AA67CA4FB712374F5301D1D2BAB0AC66107A4DF1

BlackEnergy轻量释放器SHA-1:

896FCACFF6310BBE5335677E99E4C3D370F73D96

BlackEnergy重级释放器SHA-1:

896FCACFF6310BBE5335677E99E4C3D370F73D96

BlackEnergy驱动SHA-1:

069163E1FB606C6178E23066E0AC7B7F0E18506B

0B4BE96ADA3B54453BD37130087618EA90168D72

1A716BF5532C13FA0DC407D00ACDC4A457FA87CD

1A86F7EF10849DA7D36CA27D0C9B1D686768E177

1CBE4E22B034EE8EA8567E3F8EB9426B30D4AFFE

20901CC767055F29CA3B676550164A66F85E2A42

2C1260FD5CEAEF3B5CB11D702EDC4CDD1610C2ED

2D805BCA41AA0EB1FC7EC3BD944EFD7DBA686AE1

4BC2BBD1809C8B66EECD7C28AC319B948577DE7B

502BD7662A553397BBDCFA27B585D740A20C49FC

672F5F332A6303080D807200A7F258C8155C54AF

84248BC0AC1F2F42A41CFFFA70B21B347DDC70E9

A427B264C1BD2712D1178912753BAC051A7A2F6C

A9ACA6F541555619159640D3EBC570CDCDCE0A0D

B05E577E002C510E7AB11B996A1CD8FE8FDADA0C

BD87CF5B66E36506F1D6774FD40C2C92A196E278

BE319672A87D0DD1F055AD1221B6FFD8C226A6E2

C7E919622D6D8EA2491ED392A0F8457E4483EAE9

CD07036416B3A344A34F4571CE6A1DF3CBB5783F

D91E6BB091551E773B3933BE5985F91711D6AC3B

E1C2B28E6A35AEADB508C60A9D09AB7B1041AFB8

E40F0D402FDCBA6DD7467C1366D040B02A44628C

E5A2204F085C07250DA07D71CB4E48769328D7DC

KillDisk组件SHA-1：

16F44FAC7E8BC94ECCD7AD9692E6665EF540EEC4

8AD6F88C5813C2B4CD7ABAB1D6C056D95D6AC569

6D6BA221DA5B1AE1E910BBEAA07BD44AFF26A7C0

F3E41EB94C4D72A98CD743BBB02D248F510AD925

VBS/Agent.AD木马SHA-1：

72D0B326410E1D0705281FDE83CB7C33C67BC8CA

Win32/SSHBearDoor.A木马SHA-1：

166D71C63D0EB609C4F77499112965DB7D9A51BB