来自Mandiant公司的研究人员详细分析了APT29如何利用秘密后门访问目标系统。
APT29使用的秘密后门被称为POSHSPY,研究人员认为这是APT29以防丢失首选后门的访问权限而设置的一个次要后门。Mandiant公司首次于2015年的一次事件响应中发现了POSHSPY,并在过去两年的多家组织机构网络中发现了它的踪迹。
跟APT29使用的其它恶意软件类似,POSHSPY利用PowerShell和WMI管理框架。WMI能用于获取系统信息、开始和技术进程并配置条件出发。
在POSHSPY中,WMI被用于运行能够从WMI属性中直接解密并执行后门代码的一个PowerShell命令,以此来确保硬件上不会留下任何工件。POSHSPY的WMI组件在当地时间的每周一、周二、周四、周五和周六上午11:33执行PowerShell组件。安全专家指出使用合法Windows工具和其它技术能够增加后门不被检测到的几率。
攻击者能够利用这款恶意软件下载并执行其它PowerShell代码和可执行文件。这个后门跟位于利用域名生成算法而生成URL的C&C服务器进行通信。这个域名生成算法依赖于域名、TLD、子域名、URI、文件名称和文件扩展。C&C通信通过AES和RSA公钥密码学进行加密。
研究人员并未透露这个POSHSPY后门针对的是哪些国家或者哪种类型的组织机构。APT29已通过多种方式来提高躲避检测的几率。本月初,火眼公司曾详述了该组织通过“域前置”方式伪装恶意流量。
APT29制止又被称为The Dukes、Cozy Bear和Cozy Duke。该组织被认为参与了干涉美国总统大选,并攻击挪威高级别组织机构。
本文由测腾代码卫士编译,不代表测腾观点,转载请注明“转自测腾代码卫士www.codesafe.cn”。