攻击中东欧的间谍工具集20160714反连邮件-http隧道的后门

图1

在过去的一年里，ESET检测并分析了若干有针对性的进行间谍活动的恶意软件，被称作SBDH工具集。它使用了强大的过滤器，多种通信方式以及非常有意思的驻留技术。

它的目的是从政府或公共研究机构中窃取特定类型的文件，主要与中东欧的经济增长和合作相关。

这个工具集将双扩展名的可执行文件附加到钓鱼邮件中（指望Windows默认隐藏扩展名），以这种方式进行传播。为了增加让接收者运行的机会，它使用了一些正常的微软应用程序或者Word文档的图标。

一旦成功运行，恶意软件访问一个远程地址，下载工具集中其它两个重要的组件：一个后门和一个数据窃取工具。这些模块互相组合，攻击者不仅可以远程控制被攻下的机器，也可以高效地盗取数据。

使用文件扩展名，创建日期，文件大小以及其它条件，强大的过滤器可以指定要窃取的数据的详细信息。这些条件可以通过恶意软件的配置文件来修改。

由于这个间谍工具集里的所有组件都要与C&C服务器建立连接，恶意软件严重依赖于网络通信。

为了增加通信的机会，它使用了多种连接方法。首先，它尝试使用HTTP协议。如果失败了，SBDH恶意软件会选择第二种方法，尝试通过SMTP协议访问免费的外部网关。

最后的手段，它可以通过向Micrsoft Outlook Express注入一个构造的邮件来通信。在这种方式下，会以当前登录用户的身份发送注入的邮件。恶意软件可以绕过安全防护措施（假设用户有权限发送和接受邮件）。为了避免被发现，恶意软件产生的恶意消息会在发送之后直接移动到受害者的发件箱中。

在接收命令时。恶意软件搜索受害者的收件箱，识别特定主题的邮件。如果工具集找到了这样的邮件，他们解析并检查恶意软件的命令。最后，修改这些邮件的主题，防止被恶意软件再次检查到。

然而，最后一个方法只用到了2006年，那年，新的Windows Mail application代替了outlook Express。在那之后，工具集的开发者将注意力集中到了改进HTTP通信方法上，开始使用伪造的图像文件承载数据，来掩饰与C&C服务器的通信。

以防C&C服务器的不能访问，后门组件还有另外一个备选方案，一个硬编码的指向图片的URL，图片包含了C%C服务器的地址。

这个工具的一些样本使用了一个有趣的驻留方法，恶意软件替换了Word文档的处理程序，当感染的系统尝试打开或编辑Word文档的时候，恶意软件就会执行。

最后，这个工具集的名称的来源。在下载者的编译路径中发现了“SBDH”字符串，而且“B64SBDH”字符串作为一个触发器，会触发从远程服务器下载其它剩下的组件。

SBDH间谍工具集说明，即便是高级威胁任然使用简单的攻击向量进行传播，比如恶意的邮件附件。当然，经过适当培训的员工可以认出这个危险行为，通过实现一个多层次的安全解决方案可以避免被攻击的危险。

哈希

1345B6189441CD1ED9036EF098ADF12746ECF7CB

15B956FEEE0FA42F89C67CA568A182C348E20EAD

F2A1E4B58C9449776BD69F62A8F2BA7A72580DA2

7F32CAE8D6821FD50DE571C40A8342ACAF858541

5DDBDD3CF632F7325D6C261BCC516627D772381A

4B94E8A10C5BCA43797283ECD24DF24421E411D2

D2E9EB26F3212D96E341E4CBA7483EF46DF8A1BE

09C56B14DB3785033C8FDEC41F7EA9497350EDAE

*本文翻译自：http://www.welivesecurity.com/2016/07/01/espionage-toolkit-targeting-central-eastern-europe-uncovered/，译者：felix，转载须注明来自FreeBuf（FreeBuf.COM）