BlackEnergy

malware

BlackEnergy je malware, který byl poprvé zpozorován v roce 2007 jako nástroj pro útoky typu DDoS.[1] V roce 2010 se objevil znovu jako BlackEnergy2 (BE2) s ještě většími schopnostmi než pouze DDoS a v roce 2014 byl tento malware rozšířen o podporu rozšiřujících plug-in modulů.[2] S tímto malwarem je spojená ruská hackerská skupina Sandworm (též známá i jako Voodoo Bear). Útok byl prováděn pomocí infikovaného dokumentu Microsoft Word nebo Microsoft PowerPoint zaslaného v příloze e-mailové zprávy a nabádající uživatele k otevření na první pohled legitimního souboru.[3]

BlackEnergy 1 (BE1)Editovat

Kód malwaru BlackEnergy obsahuje různé techniky útoku pro infekci strojů oběti. Malware je též vybaven skripty pro serverovou stranu, což umožňuje útočníkům převést tento malware na řídícího server. Kyberkriminálníci používají nástroje pro vygenerování vlastní sady souborů pro infekci oběti, povětšinou šířené v podobě spamových e-mailů či phishingových e-mailových kampaní.[4] BlackEnergy1 nemá schopnosti exploitace zařízení a spoléhá se na externí nástroje.[5]

Klíčové vlastnostiEditovat

  • může se zaměřit více než jen jednu IP adresu v rámci jednoho stroje
  • podporuje šifrování a dešifrování za běhu, aby se vyhnul přímé detekci antivirovým softwarem
  • skrývá své procesy za systémový ovladač (syssrv.sys)

Typy příkazůEditovat

  • příkazy pro útok typu DDoS
  • stahování příkazů ze vzdáleného serveru či aktualizace před jejich provedením
  • řídící příkazy (např. pro zastavení či ukončení)

DetekceEditovat

BalckEnergy1 může být detekován pomocí tzv. YARA signatur, které poskytlo Ministerstvo vnitřní bezpečnosti Spojených států amerických (United States Department of Homeland Security, DHS).

BlackEnergy 2 (BE2)Editovat

BlackEnergy2 používá chytřejší metody než svůj předchůdce, robustnější šifrování a modulární architekturu. Malware dešifruje binární kód svého rootkitu Denial of service a instaluje jej na stroj oběti jako server pod náhodně vygenerovaným názvem. Oproti BlackEnergy1 kombinuje zdrojový kód staršího rootkitu s novými funkcemi pro rozbalování a zavádění modulů do uživatelských procesů. Zabalený obsah je komprimován pomocí algoritmu LZ77 a zašifrován pomocí upravené verze RC4 šifry. Pevně zadaný 128bitový klíč dešifruje vložený obsah. Pro dešifrování síťového provozu se jako klíč používá jednoznačný identifikační řetězec. Druhá varianta šifrování a komprese přidává navíc i inicializační vektor k upravenému RC4 šifrování pro ztížení detekce.[6]

VlastnostiEditovat

  • dokáže spustit lokální soubory
  • dokáže stahovat a spouštět soubory
  • aktualizuje sám sebe a své rozšiřující plug-in moduly z řídících serverů
  • dokáže spustit příkazy pro ukončení sama sebe

BlackEnergy 3 (BE3)Editovat

Nejnovější verze BlackEnergy se objevila v roce 2014. Změny především zjednodušují kód samotného malwaru. Tato verze instaluje hlavní dynamicky linkovanou knihovnu DLL přímo do datové složky místní aplikace. Tato varianta malwaru byla využita k útoku na energetickou síť v Ukrajině v prosinci 2015.

Rozšiřující moduly plug-inEditovat

  • fs.dll — Operace se souborovým systémem
  • si.dll — Systémové informace
  • jn.dll — Funkce pro rozšíření infekce
  • ki.dll — Logování stisků kláves
  • ps.dll — Kradení hesel
  • ss.dll — Snímkování obrazovky
  • vs.dll — Síťové funkce pro objevování zařízení v síti
  • tv.dll — Team viewer
  • rd.dll — Jednoduchá implementace "vzdálené plochy"
  • up.dll — Aktualizace malware
  • dc.dll — Získávání informací o uživatelích Windows
  • bs.dll — Získávání informací o harware
  • dstr.dll — Rutina pro zničení systému
  • scan.dll — Síťový skener

ReferenceEditovat

V tomto článku byl použit překlad textu z článku BlackEnergy na anglické Wikipedii.

  1. NAZARIO, Jose. BlackEnergy DDoS Bot Analysis [online]. Arbor Networks, 2019-04-17 [cit. 2021-04-20]. Dostupné v archivu pořízeném dne 2020-02-21. (anglicky) 
  2. McAfee Blogs [online]. 2016-01-14 [cit. 2021-04-20]. Dostupné online. (anglicky) 
  3. CVE‑2014‑4114: Details on August BlackEnergy PowerPoint Campaigns. WeLiveSecurity [online]. 2014-10-14 [cit. 2021-04-20]. Dostupné online. (anglicky) 
  4. BlackEnergy APT Malware. RSA Link [online]. 2016-03-23 [cit. 2021-04-20]. Dostupné online. (anglicky) 
  5. https://ewic.bcs.org/upload/pdf/ewic_icscsr2016_paper7.pdf [online]. [cit. 2021-04-20]. Dostupné online. (anglicky) 
  6. BlackEnergy Version 2 Threat Analysis. www.secureworks.com [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)