BlackEnergy(黑暗力量)是一种长期被各类犯利用的工具。早在2014年夏季,F-Secure团队就注意到Blackenergy恶意软件的特定样本开始以乌克兰为目标进行情报收集。这个恶意软件家族早在2007年就已存在,且在2014年和2015年都曾活跃一时。
SSHBearDoor是一种SSH服务后门,BlackEnergy家族利用这个后门攻击新闻媒体和电气能源行业。ESET最近发现,在针对乌克兰新闻媒体公司和电力行业的攻击中,BlackEnergy木马被用作后门,释放KillDisk(硬盘数据擦除)组件。本文旨在详细介绍2015年ESET发现的BlackEnergy样本的细节,以及攻击中所使用的KillDisk组件。我们还揭示了一个此前未被公开的SSH后门,这是访问感染系统的重要渠道之一。
在2015年,BlackEnergy经历了显著的演变。一旦激活,变种的BlackEnergy会使用恶意软件探针检查受感染的电脑是否为其目标。如果是,常规的BlackEnergy就会将其变种推送到该系统。关于BlackEnergy的感染机制,我们的病毒公报和F-Secure的都有详尽的描述。
BlackEnergy恶意软件将XML配置数据嵌入到DLL二进制流中。除了CC服务器列表,BlackEnergy配置还包含一个名为build_id的值。这个特殊字符串用于识别受感染的个体,或者是BlackEnergy恶意软件探针的感染尝试。这些字符串由字母和数字组合而成,有时能透露出活动和目标的信息。
以下是我们在2015年发现的一些Build ID值:
2015en、khm10、khelm、2015telsmi、2015ts、2015stb、kiev_o、brd2015、11131526kbp、02260517ee、03150618aaa以及11131526trk等。
通过分析这些字符串组合,我们可以推测出一些特定的含义。“2015telsmi”可能包含了俄罗斯缩写I(Sredstva Massovoj Inform),这表明BlackEnergy的攻击范围和目的可能涉及更广泛的地区和行业。这些Build ID值的发现对于我们理解BlackEnergy的运作方式和其攻击目标具有重要意义。