一、前言

Sednit组织（Strontium，APT28，Fancy Bear，Sofacy） 自2004年以来一直很活跃，其主要目标是从特定目标窃取机密信息，本文是2017年11月ESET在BlueHat上发布的后续报告。2016年下半年，我们发布了一个白皮书，介绍2014年至2016年期间Sednit的活动。今天简要概述其攻击行为和工具集更新方面的情况。

二、攻击行为

在过去的几年中，Sednit组织使用多种技术在目标计算机上部署各种组件，其攻击通常以恶意链接或恶意附件的电子邮件方式开始。不过，今年我们看到该组织的攻击方法已经发生了变化。过去，Sedkit是他们的首选，但是这个攻击工具包自2016年下半年以来已经完全消失。从我们的白皮书发布以来，DealersChoice攻击平台一直是他们的首选，但该组织也会使用了其他方法，比如使用Microsoft Word DDE（动态数据交换）。

接下来以三个方面介绍Sednit组织在目标系统上获得初始立足点的不同方法。通常此类攻击会先尝试在目标系统上安装Seduploader，以便用来评估目标的重要性。如果目标确实是他们所关注的，那么最终Sednit很可能会在其上安装Xagent。

Sedkit 工具包(Sednit Exploit Kit)

Sedkit是Sednit组织独家使用的一个漏洞攻击工具包。Sedkit可以利用各种应用程序中的漏洞，主要是Adobe Flash和Internet Explorer。当Sedkit首次被发现时，受害者会重新定向到其登陆页。之后，他们的首选方法就是嵌入恶意链接并发送到目标的电子邮件。Sedkit的工作流程如下图所示：

 

在2016年8月和9月之间，我们看到多个不同的邮件攻击，试图吸引收件人到Sedkit登录页面。而当时Sedkit的目标主要是大使馆和中欧政党。下图显示了一个包含恶意链接的电子邮件：

 

这封邮件的链接最终会链接到一个有趣的新闻，而此封邮件中的文章是关于2016年8月在罗马附近发生的一场地震。虽然邮件模仿受害者会使人信赖，不过细心的收件人可以从这个两个方面识别出这封邮件是假的，第一个是拼写错误（例如“Greetigs！”），拼写错误在恶意的Sednit邮件中很常见。第二个是URL的域名部分，这是一个纯粹的恶意域名，但实际上URL的路径模仿了一个真实、合法的链接。在链接中，URL路径与BBC有关这次地震的新闻使用的路径相同。这是一个常用的Sednit策略，使用在合法新闻网站上发现的热点文章，并在点击邮件中发送的URL浏览真实网页时，重新定向到Sedkit登录页面。除了英国广播公司（BBC），赫芬顿邮报（Huffington Post）是另一个受欢迎的媒体，他们喜欢利用它来作为诱饵。

下面显示的电子邮件，链接重定向到Sedkit，展现了一些特点。

 

首先，电子邮件的主题与URL路径不一致：前者指向叙利亚和阿勒颇，而后者则是WADA和俄罗斯黑客。其次有两个明显的拼写错误，第一是再次使用“Greetigs！”，第二是“Unated Nations”。

2016年包括Sednit在内的大多数漏洞攻击行为呈下降趋势，原因可能归于Microsoft和Adobe的代码强化。

更多关于Sedkit细节可以在我们之前发布的白皮书中找到。

DealersChoice

2016年8月，Palo Alto Networks在其博客中发布了Sednit首次攻破目标系统的新平台。这个他们称为DealersChoice的平台能够生成嵌入了Adobe Flash Player漏洞的恶意文档。此平台有两个版本，第一个版本是检查系统上安装的Flash Player版本，然后从3个不同的漏洞选择；第二个版本首先联系C＆C服务器，该服务器将提供选定的漏洞利用和最终的恶意payload。当然，第二个版本更难分析，因为交付给目标的文档并不完整。

目前，Sednit仍然在使用这个平台。利用一些国际新闻报道，试图引诱目标打开恶意文件附件。有时候，他们也会使用其他特殊计划。在2016年12月，他们用了一个相当不寻常的（对于这个团体而言）诱饵：

 

 

这封邮件于12月22日和23日被发送给欧洲多个国家的外交部和使馆，其中包含一个Word文档附件，内容是一张圣诞电子贺卡。值得关注的是，这是我们第一次看到Sednit组织使用政治钓鱼策略试图攻陷目标。如果Word文档被打开，则会使用DealersChoice尝试攻击系统。

 

我们没有找到此次特定攻击活动的邮件，但根据恶意文档，我们推测其攻击目标是政府工作人员。值得关注的是Proofpoint的报告中，他们详细介绍了DealersChoice平台上一个新的Adobe Flash Player漏洞。这表明该平台仍在使用，并在不断发展。

Macros, VBA and DDE

除Sedkit和DealersChoice之外，Sednit的攻击人员还使用“大众”方法，如Microsoft Office等等。2017年4月，一起针对东欧外交部的攻击引起了很多人关注。以下电子邮件已发送给MFA人员：

 

该附件包含了两个0 day漏洞：本地特权升级（LPE）和远程代码执行（RCE）， ESET向微软报告了这两个0 day漏洞。有关此次攻击的详细分析可以在我们的博客中找到。

此处强调的最后一个案例说明了Sednit的组织者密切关注新的安全技术发展。在2017年10月初，SensePost研究人员撰写了一篇关于Microsoft Word动态数据交换（DDE）协议的文章。DDE是在应用程序之间交换数据的一种方式，例如，它允许使用Excel文档中包含的数据更新Word表格。这很方便，但是在Word和Excel中，如果用户忽略了几个警告提示，它就可以用来执行任意代码。在这篇文章发表之后不久，就发现Sednit使用DDE从C＆C服务器执行代码。在McAfee记录的这些攻击活动中，诱饵文档为空，但包含隐藏字段，其中包含以下代码：

这只是我们白皮书发表以来Sednit如何试图攻击新受害者的一个简要概述。 正如你所看到的，他们对此非常专注，并且不断地针对全球各地的政府。如果潜在受害者打开文档并选择忽略警告，就会执行上述脚本，从C＆C服务器下载Seduploader二进制文件并在目标系统上执行。

三、工具集

上述文章展示了一年来Sednit组织感染方式方面的情况。下面我们介绍下该组织对其工具集所做的改进。2016年，ESET对每个组件进行了深入分析，详情参阅此处。

多年来，该组织开发了许多组件来感染、收集和窃取目标信息。其中部分组件已经消失，还有一部分组件已经改进。

Seduploader

Seduploader作为恶意侦察软件，它由两个不同的组件组成：一个dropper（释放器），以及由该dropper安装的持久payload。Sednit组织虽然仍然使用Seduploader，但已经做了一些改进。在2017年4月的攻击期间，新版本的Seduploader推出了一些新功能，例如截图功能以及从C＆C服务器直接执行加载到内存中。最近，我们看到Seduploader dropper已经被PowerShell直接执行Seduploader payload所取代。

Xtunnel

Xtunnel是一个网络代理工具，可以在Internet上的C＆C服务器和本地网络内的计算机之间中继任何类型的网络数据。Xunnel仍然由Sednit组织使用。

Sedkit

Sedkit是Sednit的开发工具包，它只能用于有针对性的攻击，以植入高迷惑性合法URL的目标钓鱼邮件开始。2016年10月是我们最后一次见到使用Sedkit。

Sedreco

Sedreco作为间谍程序，其功能可以通过动态加载的插件来扩展。它由两个不同的组件组成：一个dropper和这个dropper安装的持久payload。自2016年4月以来我们没有看到过该工具。

USBStealer

USBStealer作为一个网络工具，用于隔离网络中提取敏感信息。自2015年中以来，我们再没有看到该工具。

Xagent

Xagent是一个具有诸如键盘记录和文件扫描之类间谍功能的模块化后门程序。 Xagent是该组织的旗舰后门，在攻击中被大量使用。几年前就已经出现了Linux和Windows的早期版本。之后，2015年出现了iOS版本。一年后，发现了一个Android版本，最后在2017年初，发现了Xagent OS X的样本。去年2月，我们看到了Xagent的Windows新版本。由于在二进制文件中发现了以下字符串，我们推断它是该后门第4版本。表1列出了不同版本的Xagent模块：

表 1. Xagent 版本

Xagent的第4版使用了字符串混淆的新技术，而且所有运行时类型信息（RTTI）也都被混淆了。这些技术显著改善了每个二进制文件中字符串的加密方式。先前版本的Xagent中使用XOR循环来解密字符串，而在新的加密算法中字符串是一系列在编译时生成的值。下图说明了代码的复杂性：

 

然而，HexRays反编译器做了一个超棒的简化工作。示例如下：

AgentKernel可以接收来自C＆C服务器的命令以便与模块和通道交互。一些以前见到的C＆C命令已被删除，并增加了一些新命令。

早期版本支持命令2—PING_REQUEST，这在版本4中已经被删除，但是攻击人员仍然可以使用GET_AGENT_INFO命令获取模块列表，这个命令比上一个命令更加冗长。命令34,35和36显示了与SET_PARAMETERS的相似之处，它允许与作为内核存储的LocalStorage进行交互，即用于与C＆C服务器进行通信的文件以及用于存储各种配置参数的Microsoft注册表项。

WinHttp通道中实现的新功能是用于后备域名的域名生成算法（DGA）， WinHttp通道负责与C＆C服务器通信。与常见的DGA从伪随机数中检索种子不同，给定样本得到一个特定的种子（可能在编译时生成）。其生成方式如下所示：

·1、一连串的操作生成种子；

·2、结果为三个不同的数组提供偏移量（为每个数组添加另一个种子）；

·3、一旦计算出新的偏移量（偏移+种子），解密该单词；

·4、连接所有单词（四个单词用于生成域名;第四个单词来自第一个数组，但具有不同的偏移量）；

·5、添加“.com”后缀。

在增加了新功能以及改进了与所有主流平台的兼容性之后，Xagent已成为该组织使用的核心后门。

DealersChoice

DealersChoice是一个平台，生成包含嵌入式Adobe Flash文件的恶意文档。Palo Alto Network的研究人员分析了两种变体：变体A是一个独立变体，包括payload及一起打包的Flash漏洞代码；变体B是一个模块化变体，可根据需要加载代码，这个新的组件在2016年出现，并仍在使用。

Downdelph

Downdelph是一个用Delphi编程语言开发的轻量级下载器。正如我们在白皮书中提到的那样，它的活动时间是从2013年11月到2015年9月，从那以后就没有新的变化了。

四、结论

毫无疑问Sednit组织仍然异常活跃，其旗舰后门的主要入口是钓鱼电子邮件，他们利用该技术取得了很大的成功。Xagent是他们的核心，我们现在可以在所有主流平台（包括移动平台）上找到。Xagent的最新版本非常有趣，可以看出Sednit在其中投入了大量的工作。自从发现Xagent的两个实例以来，我们已经看到了两种情况：一种是通道和未知模块 ，一种是所有模块（不包括未知模块）和通道。我们推测，Sednit组织首先植入一个只添加了几个模块的Xagent，并在其目标中添加了额外检查，如果受害者有足够吸引力，它将更新为包含所有模块的另一版本。

五、IoCs

钓鱼邮件

Seduploader 样本

Xagent样本