目录
0X01 前言 1
0X02 BLACKENGERGY木马介绍 4
BlackEnergy 1 5
BlackEnergy 2 5
BlackEnergy 3 5
0X03 BLACKENGERGY木马分析 4
攻击流程 5
木马结构组成 5
木马组件功能 5
0X03 BLACKENGERGY木马攻击还原 4
攻击场景搭建 5
木马行为分析 5
0X04 总结 4

前言

2015 年 12 月 14 日，乌克兰的伊万诺—弗兰科夫斯克州地区发生多处同时停电的事件，黑客控制了电力系统，并远程关闭了电网。紧接着，2015 年 12月 27日，乌克兰电力公司网络系统再次遭到黑客攻击，这是首次由黑客攻击行为导致的大规模停电事件，据统计，此次影响导致成千上万的乌克兰家庭无电可用。
2016年1月22日，有关组织发现了一种新型的针对乌克兰的BlackEnergy APT文档类攻击。此次，该病毒采用Word文档内嵌宏病毒来进行攻击，本次报告，也将着重分析这个木马程序。

BlackEnergy木马介绍

BlackEnergy 1
最早的 BlackEnergy 主要用于 DDoS 攻击。 它配有一套完整的生成器，被触发后就会自动生成客户端程序和基于 C&C（指挥和控制）服务器的命令生成脚本。攻击者使用它建立僵尸网络， 只需在 C&C 服务器端下达简单指令，僵尸网络受害主机便会统一地执行这一指令。与众不同的是，这种 bot 并不与僵尸网络 IRC 通信，也看不到任何从这个服务器上发起的攻击。不同于传统的IRC，这是一个小（小于 50 kB）二进制的 Windows 平台使用的简单程序。

BlackEnergy 2
BlackEnergy 2[依然是一个 DDoS 类僵尸网络 程序，但在新的样本中发现增加了加密程序，以 欺瞒病毒软件。驱动文件释放后以名为服务方式 注入系统进程，随后远程连接服务器，下载攻击 插件，根据配置文件对目标发起DDoS 攻击。其工作原理如下图所示：

任何可以接触到 BlackEnergy 2 的人都可以非常容易地利用它发起攻击，而不需要复杂的部 署和管理。黑客利用支持升级的组件更容易修改和扩展其功能，只要远程控制中心发布命令，就可以快速实现组件的安装和升级。 BlackEnergy 2 的 3 个主要功能组件是SYN、 HTTP 以及 DDoS 攻击组件，样本将下载后的攻击组件加载到内存中执行，实现对服务器的远程控制。 BlackEnergy 利用 Windows Installer 安装包，将自身的安装程序伪装成名为 msiexec.exe 的系统进程。此版本的最核心功能位于主 DLL组件。该组件可以根据攻击者的目标定制一个维护僵尸网络的框架，用于与 C&C 进行通信，同时它本身被隐藏在驱动组件中，文件系统无法察觉。

BlackEnergy 3
根据 2014 年 9月 F-Secure发布的报告，BlackEnergy 又出现了新的变种，BlackEnergy 2 的代码几乎全部被重写而且采用不同的格式对配置数据进行保存。该变种不再使用驱动组件，但目前对该版本的攻击事件还比较稀少。 BlackEnergy 3的释放器会在前台打开一个看似无害的文件，从而悄然释放病毒文件并执行。曾经检测到样本伪装成一个 Adobe Flash 安装程序、Excel文档宏以及本次报告中分析的Word文档宏，它不使用任何欺骗性的文档或应用层程序，而且重启后便不再运行。此版本实现了代理服务器技术、使用 Windows 64 bit环境下绕过UAC和驱动程序签名的相关技术。随着不断地演化，BlackEnergy 不仅可以向 Windows计算机发起攻击，还对基于ARM 或 MIPS 架构的路由器和 Linux系统造成破坏。

BlackEnergy木马分析

攻击流程
本次攻击主要对象时乌克兰一个名为“Pravii Sekto”的右翼部门，该党是乌克兰民族主义政党。攻击者首先诱导该部门负责人下载钓鱼邮件，该邮件存在一个word文档附件，实质是一个嵌入了宏病毒的文件。下载文件后 ，通过诱导文档操作者打开该word文档，在打开文档时，word会向用户建议启用宏已查看文档对话框。一旦用户点击启用宏，便会运行木马，下载必要的文件、修改注册表并安装后门通过80端口以连接远程服务器：5.149.254.114与C&C服务器进行连接，从而下达攻击指令。

木马结构组成
该木马MD5值为：（e15b36c2e394d599a8ab352159089dd2），使用oledump提取word中的宏代码，如下图所示：

可以看出，宏指令在内存中创建一个字符串，这个字符串文件问候被创建，并写入“vba_macro.exe”。这个文件随后通过shell执行。这个“vba_macro.exe”随后释放另外一个名为“FONTCACHE.DAT”的dll文件和一个.lnk文件
故该木马组成主要是由宏病毒运行后，在本地产生一个“vba_macro.exe”释放文件，释放出“FONTCACHE.DAT”和.lnk文件，以及一个C&C服务器。

木马组件功能

1. vba_macro.exe（md5：ac2d7f21c826ce0c449481f79138aebd）: 该可执行文件被宏代码运行后创建，位于C：\user\用户名\Appdata\Local\Temp\中，实质是一个释放文件。该文件通过shell命令被执行，主要功能是在C：\user\用户名\Appdata\Local\中创建一个名为“FONTCACHE.DAT”的文件，并在C：\user\用户名\Appdata\Local\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\中创建了一个名为“{FC7D32E4-E9AD-4448-B751-865A6162FB99}.lnk”的文件。
2. {FC7D32E4-E9AD-4448-B751-865A6162FB99}.lnk主要用于在系统启动时启动该木马程序，保持与C&C服务器的通信。
3. FONTCACHE.DAT （md5: 3fa9130c9ec44e36e52142f3688313ff）作为一个dll文件，通过rundll32.exe被执行，如下图rundll32进程开始运行：

该文件被执行时，会调用svchost.exe进程对以下文件进行代码注入，方便后期调用iexplore.exe进程，修改文件如下：
C：\Windows\appcompat\programs\RecentFileCache.bcf
C：\Windows\SoftwareDistribution\DataStore\DataStore.edb
C：\Windows\SoftwareDistribution\DataStore\Logs\edb.chk
C：\Windows\SoftwareDistribution\DataStore\Logs\edb.log
最后，FONTCACHE.DAT文件发挥其作用下载其他所需要的恶意软件，通过80端口与C&C服务器进行通信，发送HTTP-POST请求，寻求C&C服务器的指示，待接受服务器的命令后执行破坏行为。每一次通信，它将按照其配置数据上指示的值休眠X秒，并尝试发送信息并接受来自CnC服务器的新命令。

BlackEnergy木马攻击还原

攻击场景搭建

由于BlackEnergy 3可以感染Windows系统，并利用Office2013及以前版本的Word携带宏病毒，故在本次攻击还原过程中，作者选择了Windows 7 （64位）操作系统作为靶机。同时在靶机上安装了Office2007，并使用Word2007作为木马传播载体。
【注】：在进行木马攻击还原时，虚拟机需设置为仅主机模式下工作以保证其他网络主机的安全性。同时，需要关闭Windows防火墙等一系列安全机制。

1) 发送钓鱼邮件

在前言中介绍，这款BlackEnergy木马攻击对象是乌克兰右翼民族主义政党。所以发送的邮件内容与接收对象必须引诱接受者接受Word文档附件并打开。
在本次攻击还原场景中，我们假定攻击对象为某组织财务部（假定该组织财务部使用的是我们的靶机），故编写钓鱼邮件内容具体如下图所示：

2) 诱导靶机用户打开文件执行宏
想法与用户交流，诱导其开启宏并执行才能看到完整内容（一般来说，用户会根据提示，自己就会启用宏），用户选择启用宏后，该靶机便成为被感染blackenergy木马的主机。

3） 木马自行安装必要恶意程序
该木马通过宏代码执行后，通过shell执行vba_macro.exe文件后释放后续文件，后续文件通过与C&C服务器交互安装其他恶意程序。由于该木马所指定的所有C&C服务器已关闭连接，故作者利用国外一个网站（app.any.run）沙箱来模拟靶机与C&C服务器：5.149.254.114的通信，可以看到由于FONTCACHE.DAT作用，靶机发送HTTP-POST请求下载文件：URL:http://5.149.254.114/Microsoft/Update/KC074913.php

可看到POST请求内容为base64编码的内容，将其进行解码后可以看到一些数据，如下图：

base64解码后如下图所示：

我们可以看到POST请求中包含了b_id，这可以使得C&C服务器能够区分在同一网络环境中是哪一台受感染主机在请求数据。
4） 假设已建立与远程服务器的连接后，FONTCACHE.DAT可接收的4个命令如下：
 删除-删除指定的文件
 Ldplg-加载插件
 Unlplg-卸载插件
 Dexec-下载并执行二进制文件
5） 接收命令后可进行如下破坏工作：
 输入/输出（IO）操作，删除文件和擦除痕迹
 收集系统信息
 键盘记录器
 密码窃取者
 拍摄截图
 远程访问，SSH或RDP

木马行为分析

1) 文件分析
 由word宏释放vba_macro.exe
 由vba_macro.exe释放FONTCACHE.DAT文件和用于开机自启木马的.lnk文件
 开机时由.lnk文件指向FONTCACHE.DAT文件，使其启动
 由FONTCACHE.DAT文件与服务器进行交互安装其他恶意程序，等待破坏命令
 样本有对NTUSER.DAT.LOG文件的读写(由FONTCACHE.DAT创建，初始为0字节)
 C&C服务器发送破坏命令，位于靶机上的恶意程序开始破坏系统

2) 进程分析
 结束进程，关闭Windows安全机制
 主要结束两个进程：lsass.exe和wininit.exe
Lsass.exe是一个系统进程，用于微软Windows系统的安全机制。它用于本地安全和登陆策略 wininit.exe的工作是开启一些主要的Vista-Win7、Win8后台服务，比如*服务管理器Service Central Manager (SCM)，本地安全验证子系统Local Security Authority Subsystem (LSASS) 和本地会话管理器Local Session Manager (LSM.EXE)。
 对系统中的svchost.exe进行代码注入，注入代码的主要功能是调用iexplore.exe,由于FONTCACHE.DAT会寻求网络连接，故会启动iexplore.exe进程

3) 注册表分析
在分析FONTCACHE.DAT程序时发现，其中的一个名为“PacketAllocatePacket”的函数通过rundll32.exe执行后，造成了注册表的一些变化：

 该函数修改/创建了以**册表：
Software \ Microsoft \ Internet Explorer \ Main Check_Associations
Software \ Microsoft \ Internet Explorer \ InformationBar FirstTime
Software \ Microsoft \ Internet Explorer \ PhishingFilter Enabled
Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Cache Persistent
Software \ Microsoft \ Internet Explorer \ TabbedBrowsing WarnOnCloseAdvanced
Software \ Microsoft \ Internet Explorer \ TabbedBrowsing WarnOnClose
Software \ Microsoft \ Internet Explorer \ Main DisableFirstRunCustomize
Software \ Microsoft \ Internet Explorer \ Recovery NoReopenLastSession
Software \ Microsoft \ Internet Explorer \ Main NoProtectedModeBanner
Software \ Microsoft \ Internet Explorer \ TabbedBrowsing
Software \ Microsoft \ Internet Explorer \ Recovery
Software \ Microsoft \ Internet Explorer \ New Windows PopupMgr
 其中一个注册表的PopupMgr值发生了变化

总结

BlackEnergy木马经历了从最初仅是纯粹的DDOS攻击发展到如今融合了多种攻击手段的APT攻击，已经十分成熟。近年来，其影响范围从工业控制设备延伸至用户广泛的Windows系统，可见其危害非同一般。这次分析的BlackEnergy 3 利用了Word文档宏嵌入病毒代码，其感染过程简单快速，可以发起的攻击类型多种多样，必须引起重视。
企业单位应加强计算机操作者安全意识的培养，防止被社会工程学所欺骗下载木马病毒；同时，应及时更新操作系统中所使用的软硬件版本，及时安装更新补丁程序。