BlackEnergy
Author
Albert FloresBlackEnergy je malware, který byl poprvé zpozorován v roce 2007 jako nástroj pro útoky typu DDoS. V roce 2010 se objevil znovu jako BlackEnergy2 (BE2) s ještě většími schopnostmi než pouze DDoS a v roce 2014 byl tento malware rozšířen o podporu rozšiřujících plug-in modulů. S tímto malwarem je spojená ruská hackerská skupina Sandworm (též známá i jako Voodoo Bear). Útok byl prováděn pomocí infikovaného dokumentu Microsoft Word nebo Microsoft PowerPoint zaslaného v příloze e-mailové zprávy a nabádající uživatele k otevření na první pohled legitimního souboru.
BlackEnergy 1 (BE1)
Kód malwaru BlackEnergy obsahuje různé techniky útoku pro infekci strojů oběti. Malware je též vybaven skripty pro serverovou stranu, což umožňuje útočníkům převést tento malware na řídícího server. +more Kyberkriminálníci používají nástroje pro vygenerování vlastní sady souborů pro infekci oběti, povětšinou šířené v podobě spamových e-mailů či phishingových e-mailových kampaní. BlackEnergy1 nemá schopnosti exploitace zařízení a spoléhá se na externí nástroje.
Klíčové vlastnosti
může se zaměřit více než jen jednu IP adresu v rámci jednoho stroje * podporuje šifrování a dešifrování za běhu, aby se vyhnul přímé detekci antivirovým softwarem * skrývá své procesy za systémový ovladač (syssrv.sys)
Typy příkazů
příkazy pro útok typu DDoS * stahování příkazů ze vzdáleného serveru či aktualizace před jejich provedením * řídící příkazy (např. pro zastavení či ukončení)
Detekce
BalckEnergy1 může být detekován pomocí tzv. YARA signatur, které poskytlo Ministerstvo vnitřní bezpečnosti Spojených států amerických (United States Department of Homeland Security, DHS).
BlackEnergy 2 (BE2)
BlackEnergy2 používá chytřejší metody než svůj předchůdce, robustnější šifrování a modulární architekturu. Malware dešifruje binární kód svého rootkitu Denial of service a instaluje jej na stroj oběti jako server pod náhodně vygenerovaným názvem. +more Oproti BlackEnergy1 kombinuje zdrojový kód staršího rootkitu s novými funkcemi pro rozbalování a zavádění modulů do uživatelských procesů. Zabalený obsah je komprimován pomocí algoritmu LZ77 a zašifrován pomocí upravené verze RC4 šifry. Pevně zadaný 128bitový klíč dešifruje vložený obsah. Pro dešifrování síťového provozu se jako klíč používá jednoznačný identifikační řetězec. Druhá varianta šifrování a komprese přidává navíc i inicializační vektor k upravenému RC4 šifrování pro ztížení detekce.
Vlastnosti
dokáže spustit lokální soubory * dokáže stahovat a spouštět soubory * aktualizuje sám sebe a své rozšiřující plug-in moduly z řídících serverů * dokáže spustit příkazy pro ukončení sama sebe
BlackEnergy 3 (BE3)
Nejnovější verze BlackEnergy se objevila v roce 2014. Změny především zjednodušují kód samotného malwaru. +more Tato verze instaluje hlavní dynamicky linkovanou knihovnu DLL přímo do datové složky místní aplikace. Tato varianta malwaru byla využita k útoku na energetickou síť na Ukrajině v prosinci 2015.
Rozšiřující moduly plug-in
fs. dll - Operace se souborovým systémem * si. +moredll - Systémové informace * jn. dll - Funkce pro rozšíření infekce * ki. dll - Logování stisků kláves * ps. dll - Kradení hesel * ss. dll - Snímkování obrazovky * vs. dll - Síťové funkce pro objevování zařízení v síti * tv. dll - Team viewer * rd. dll - Jednoduchá implementace "vzdálené plochy" * up. dll - Aktualizace malware * dc. dll - Získávání informací o uživatelích Windows * bs. dll - Získávání informací o harware * dstr. dll - Rutina pro zničení systému * scan. dll - Síťový skener.