BlackEnergy

BlackEnergy je malware, který byl poprvé zpozorován v roce 2007 jako nástroj pro útoky typu DDoS.^[1] V roce 2010 se objevil znovu jako BlackEnergy2 (BE2) s ještě většími schopnostmi než pouze DDoS a v roce 2014 byl tento malware rozšířen o podporu rozšiřujících plug-in modulů.^[2] S tímto malwarem je spojená ruská hackerská skupina Sandworm (též známá i jako Voodoo Bear). Útok byl prováděn pomocí infikovaného dokumentu Microsoft Word nebo Microsoft PowerPoint zaslaného v příloze e-mailové zprávy a nabádající uživatele k otevření na první pohled legitimního souboru.^[3]

BlackEnergy 1 (BE1)[editovat | editovat zdroj]

Kód malwaru BlackEnergy obsahuje různé techniky útoku pro infekci strojů oběti. Malware je též vybaven skripty pro serverovou stranu, což umožňuje útočníkům převést tento malware na řídícího server. Kyberkriminálníci používají nástroje pro vygenerování vlastní sady souborů pro infekci oběti, povětšinou šířené v podobě spamových e-mailů či phishingových e-mailových kampaní.^[4] BlackEnergy1 nemá schopnosti exploitace zařízení a spoléhá se na externí nástroje.^[5]

Klíčové vlastnosti[editovat | editovat zdroj]

může se zaměřit více než jen jednu IP adresu v rámci jednoho stroje
podporuje šifrování a dešifrování za běhu, aby se vyhnul přímé detekci antivirovým softwarem
skrývá své procesy za systémový ovladač (syssrv.sys)

Typy příkazů[editovat | editovat zdroj]

příkazy pro útok typu DDoS
stahování příkazů ze vzdáleného serveru či aktualizace před jejich provedením
řídící příkazy (např. pro zastavení či ukončení)

Detekce[editovat | editovat zdroj]

BalckEnergy1 může být detekován pomocí tzv. YARA signatur, které poskytlo Ministerstvo vnitřní bezpečnosti Spojených států amerických (United States Department of Homeland Security, DHS).

BlackEnergy 2 (BE2)[editovat | editovat zdroj]

BlackEnergy2 používá chytřejší metody než svůj předchůdce, robustnější šifrování a modulární architekturu. Malware dešifruje binární kód svého rootkitu Denial of service a instaluje jej na stroj oběti jako server pod náhodně vygenerovaným názvem. Oproti BlackEnergy1 kombinuje zdrojový kód staršího rootkitu s novými funkcemi pro rozbalování a zavádění modulů do uživatelských procesů. Zabalený obsah je komprimován pomocí algoritmu LZ77 a zašifrován pomocí upravené verze RC4 šifry. Pevně zadaný 128bitový klíč dešifruje vložený obsah. Pro dešifrování síťového provozu se jako klíč používá jednoznačný identifikační řetězec. Druhá varianta šifrování a komprese přidává navíc i inicializační vektor k upravenému RC4 šifrování pro ztížení detekce.^[6]

Vlastnosti[editovat | editovat zdroj]

dokáže spustit lokální soubory
dokáže stahovat a spouštět soubory
aktualizuje sám sebe a své rozšiřující plug-in moduly z řídících serverů
dokáže spustit příkazy pro ukončení sama sebe

BlackEnergy 3 (BE3)[editovat | editovat zdroj]

Nejnovější verze BlackEnergy se objevila v roce 2014. Změny především zjednodušují kód samotného malwaru. Tato verze instaluje hlavní dynamicky linkovanou knihovnu DLL přímo do datové složky místní aplikace. Tato varianta malwaru byla využita k útoku na energetickou síť na Ukrajině v prosinci 2015.

Rozšiřující moduly plug-in[editovat | editovat zdroj]

fs.dll — Operace se souborovým systémem
si.dll — Systémové informace
jn.dll — Funkce pro rozšíření infekce
ki.dll — Logování stisků kláves
ps.dll — Kradení hesel
ss.dll — Snímkování obrazovky
vs.dll — Síťové funkce pro objevování zařízení v síti
tv.dll — Team viewer
rd.dll — Jednoduchá implementace "vzdálené plochy"
up.dll — Aktualizace malware
dc.dll — Získávání informací o uživatelích Windows
bs.dll — Získávání informací o harware
dstr.dll — Rutina pro zničení systému
scan.dll — Síťový skener

Reference[editovat | editovat zdroj]

V tomto článku byl použit překlad textu z článku BlackEnergy na anglické Wikipedii.

↑ NAZARIO, Jose. BlackEnergy DDoS Bot Analysis [online]. Arbor Networks, 2019-04-17 [cit. 2021-04-20]. Dostupné v archivu pořízeném dne 2020-02-21. (anglicky)
↑ McAfee Blogs [online]. 2016-01-14 [cit. 2021-04-20]. Dostupné online. (anglicky)
↑ CVE‑2014‑4114: Details on August BlackEnergy PowerPoint Campaigns. WeLiveSecurity [online]. 2014-10-14 [cit. 2021-04-20]. Dostupné online. (anglicky)
↑ BlackEnergy APT Malware. RSA Link [online]. 2016-03-23 [cit. 2021-04-20]. Dostupné v archivu pořízeném z originálu dne 2021-04-20. (anglicky)
↑ https://ewic.bcs.org/upload/pdf/ewic_icscsr2016_paper7.pdf [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)
↑ BlackEnergy Version 2 Threat Analysis. www.secureworks.com [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)

[1] NAZARIO, Jose. BlackEnergy DDoS Bot Analysis [online]. Arbor Networks, 2019-04-17 [cit. 2021-04-20]. Dostupné v archivu pořízeném dne 2020-02-21. (anglicky)

[2] McAfee Blogs [online]. 2016-01-14 [cit. 2021-04-20]. Dostupné online. (anglicky)

[3] CVE‑2014‑4114: Details on August BlackEnergy PowerPoint Campaigns. WeLiveSecurity [online]. 2014-10-14 [cit. 2021-04-20]. Dostupné online. (anglicky)

[4] BlackEnergy APT Malware. RSA Link [online]. 2016-03-23 [cit. 2021-04-20]. Dostupné v archivu pořízeném z originálu dne 2021-04-20. (anglicky)

[5] https://ewic.bcs.org/upload/pdf/ewic_icscsr2016_paper7.pdf [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)

[6] BlackEnergy Version 2 Threat Analysis. www.secureworks.com [online]. [cit. 2021-04-20]. Dostupné online. (anglicky)

[1]

[2]

[3]

[4]

[5]

[6]