概述

VB2022 于2022年 9 月 28 日至 30 日在捷克共和国布拉格举行。

主题页面

https://www.virusbulletin.com/conference/vb2022/programme/

重精华主题

威胁比执行更强大：2020 年代黑客行动主义的现实

https://www.virusbulletin.com/conference/vb2022/abstracts/threat-stronger-execution-realities-hacktivism-2020s/

本文探讨了当代黑客行动主义的状态，从松散集体的形成和活动开始，然后继续描述区域黑客行动主义生态系统中黑客行动主义团体的性质、互动和运作。然后，它通过成为真正的黑客活动团体中的异常者的视角来审视网络游击队，从而得出结论性分析，以分析反对或支持国家政府运作的高级黑客活动实体的发展的更广泛影响。

EvilPlayout：针对伊朗国家电视台和广播公司的攻击

https://www.virusbulletin.com/conference/vb2022/abstracts/evilplayout-attack-against-irans-state-tv-and-radio-broadcaster/

我们将首先概述针对伊朗基础设施和针对该国境内目标的组织的最新网络攻击。然后，我们将深入研究 IRIB 攻击的技术细节，并剖析我们发现的多种恶意软件和取证工件。我们还将分享我们对此次攻击背后可能力量的见解。最后，我们讨论研究公开后出现的细节：其他研究人员分享的其他技术文章、伊朗网络社区从该出版物中得出的一些结论，以及不出所料的新一轮攻击浪潮演员。

在针对乌克兰的网络战中的俄罗斯擦拭者

https://www.virusbulletin.com/conference/vb2022/abstracts/russian-wipers-cyberwar-against-ukraine/

• 乌克兰使用俄罗斯擦除器的故事始于 2015 年，当时 APT28 组织（俄罗斯 GRU）使用 BlackEnergy 后门和 KillDisk 擦除器攻击乌克兰电网，以关闭配电中心的 SCADA 服务器。因此，袭击者使乌克兰西部的 230,000 名居民断电 6 个小时。
• 两年后，即 2017 年 6 月，同一个 APT28 组织通过另一个名为 NotPetya 的擦除器发起了供应链攻击，NotPetya 是 Petya 勒索软件的补丁版本，但无法解密 MFT。
• 2022年，我们看到了俄罗斯针对乌克兰政府组织和关键基础设施发起的前所未有的一系列网络攻击，使用的是各种不同的擦除器，这些擦除器毫无共同之处。
  • 这一切都始于微软于 2022 年 1 月 13 日发现的针对乌克兰金融和政府机构的 WhisperGate 操作，该操作使用了相当复杂的擦除器，不仅重写了 MBR，还重写了处于启动模式时所有硬盘上的部分数据.
  • 在俄罗斯军队入侵乌克兰的前一天（2022 年 2 月 23 日），HermeticWiper 恶意软件被用于对乌克兰至少五个政府组织的攻击。擦除器使用来自 EaseUS Partition Master 软件的合法驱动程序来直接访问磁盘分区。
  • 第二天（2022 年 2 月 24 日），ESET的研究人员检测到另一个雨刷器，他们称之为 IsaacWiper。
  • 后来，在 2022 年 3 月 14 日，ESET发现了一个更基本的擦除器 CaddyWiper，它只是用零填充磁盘的前 1920 个字节，使目标系统无法启动。
  • 4 月，CERT-UA 报告了针对乌克兰电网的新攻击，其中使用了俄罗斯 Sandworm 组织在 2016 年使用的新版 Industroyer 恶意软件，以及使用补丁版本启动和解码的已知 CaddyWiper 的编码版本所有逆向工程师都知道的远程 IDA 调试器服务器“win32_remote.exe”。攻击者于 2022 年 2 月建立了立足点，并计划在 2022 年 4 月 8 日星期五晚上拆除能源系统。
  • 最后一次攻击可能表明俄罗斯 GRU（APT28，Sandworm）没有足够的资源来开发新的网络武器，并转向了恶意软件重用实践或“恶意软件回收”。此外，这种策略在 2017 年已经出现，当时俄罗斯 APT28 组织正在使用 XData（最初是 AES-NI 勒索软件，其源代码已被盗）、PsCrypt (Globe)、WannaCry 等开源或被盗勒索软件的克隆.NET（类似于 WannaCry，EternalBlue 漏洞用于 .NET 版本的勒索软件），NotPetya（Petya 的二进制文件被修补以不可逆地破坏 MFT）通过受感染的 MEDoc 软件进行供应链攻击。

在黑暗中发光的令人毛骨悚然的东西：深入了解 POLONIUM 的未记录工具

https://www.virusbulletin.com/conference/vb2022/abstracts/creepy-things-glow-dark-deep-look-poloniums-undocumented-tools/

POLONIUM 是一种威胁行为者，微软研究人员于 2022 年 6 月首次公开记录了该行为者，他们认为该行为者自 2022 年 2 月起就在黎巴嫩以外的地方开展活动，针对以色列 IT、制造和国防部门的组织部署他们的定制植入程序 CreepyDrive 和 CreepySnail .

虽然该组织活动的公众可见度非常有限，但我们的遥测数据显示该组织实际上至少从 2021 年 9 月开始就活跃起来，直到今天还在不断开发新工具并改进现有工具。除了 CreepyDrive 和 CreepySnail 之外，我们还发现该组织还使用了其他四个以前未记录的后门，以及几个内部开发的工具，包括可以处理阿拉伯语和希伯来语的自定义键盘记录器，或者从网络摄像头捕获快照的工具。该组织以滥用云存储服务进行命令和控制而著称，我们观察到他们在之前使用的 OneDrive 和 Dropbox 服务之上滥用 Mega。

在本演示中，我们将了解 POLONIUM 工具集的各个组件。我们不仅会分析它们各自的特点，还会分析描述 POLONIUM 编码风格的共性。我们将分享有关该组织如何运作、受害者情况和网络基础设施的见解。我们将分析他们用来逃避检测的技巧，以及他们如何滥用云存储服务进行命令和控制。最后，我们将评估与其他 APT 组织的可能重叠。

SHAREM：具有仿真、反汇编程序和永恒调试功能的 shellcode 分析框架

https://www.virusbulletin.com/conference/vb2022/abstracts/sharem-shellcode-analysis-framework-emulation-disassember-and-timeless-debugging/

SHAREM 是一个新的 shellcode 分析框架，由 NSA 拨款资助。SHAREM 为恶意软件分析人员提供了许多功能，因为该框架拥有强大的模拟器、专用的 shellcode 反汇编程序、永恒的调试以及通过强力去混淆或通过仿真去混淆 shellcode 的能力。

SHAREM 不仅支持模拟和记录 16,000 个 WinAPI 函数，而且还是第一个支持模拟 Windows 系统调用的项目，支持 98% 的用户模式系统调用，识别系统调用及其参数。在测试中，我们在一个大型复杂的 shellcode 中模拟并记录了 300 多个 API。

现有的反汇编程序在提供现代 Windows shellcode 的准确反汇编方面相对较差。SHAREM 的专用反汇编器使用静态分析来创建更准确的 shellcode 反汇编。此外，SHAREM 可以使用仿真来增强反汇编，它还实现了完整的代码覆盖算法，确保执行 shellcode 中的每条指令。这样一来，我们可以枚举所有 WinAPI 及其参数，甚至是那些通常不会达到的参数，并且获得的反汇编几乎可以完美无缺。

使用 SHAREM，可以通过仿真对重度编码的 shellcode 进行反混淆，反汇编器将不显示编码的 shellcode，而是显示解码的 shellcode，所有 WinAPI 调用都被标记，颜色鲜艳。用户可以在解码和编码的 shellcode 之间切换。API 表也在反汇编中被发现和识别，并且识别出许多与 shellcode 相关的独特指令。对于喜欢极简交互的用户，配置文件可以设置许多可自定义的选项，生成详细的文本报告和 JSON 输出。虽然 SHAREM 可以由个人恶意软件分析师使用，但它也可以作为网络服务的一部分进行部署，从而允许对 shellcode 进行全面分析，并在线显示结果。

对抗 .NET 恶意软件中的控制流扁平化

https://www.virusbulletin.com/conference/vb2022/abstracts/combating-control-flow-flattening-net-malware/

对于目标恶意软件开发人员而言，创建利用控制流转换技术的自定义复杂混淆器已变得越来越流行。一种这样的技术是控制流扁平化。它基本上以混乱的方式重新排列代码行，从而使分析变得乏味。

虽然之前已经在 C 和 C++ 二进制文件的上下文中研究了控制流扁平化，但实际上没有人关注扁平化 .NET 程序。此外，在 C/C++ 程序中消除非扁平化的现有反混淆软件不能应用于 .NET 二进制文件。这是因为 .NET 代码不是编译为 x86 程序集，而是编译为称为通用中间语言的虚拟字节码。

高级威胁参与者喜欢使用控制流扁平化来保护他们的 .NET 植入程序。例如，在 Kazuar 后门的早期版本中使用了这种混淆。最近还在 DoubleZero 中发现了它，DoubleZero 是 2022 年 3 月在乌克兰发现的一种擦拭器。

在这项研究中，我们以 DoubleZero 擦拭器为例，详细介绍了如何从 .NET 二进制文件中删除控制流扁平化。为了执行去扁平化，我们修改了 de4​​dot 的源代码，de4dot 是一种流行的 .NET 反混淆框架。在论文中，我们首先讲解了如何还原DoubleZero的原始控制流程。然后，我们从一般转向具体，并演示如何将自定义反混淆器模块添加到 de4dot。之后，我们描述了 de4​​dot 的块去混淆组件如何派上用场来实现去扁平化算法。在此过程中，我们提供了有关如何使用 de4dot 的其他功能的多个提示。

该论文附有 unflattener 的广泛注释代码。它设法成功地反混淆了 DoubleZero 的所有功能。可以使用此代码作为创建其他 .NET 恶意软件系列的反扁平化程序的基础。

ScarCruft 的信息收集活动

https://www.virusbulletin.com/conference/vb2022/abstracts/scarcufts-information-gathering-activities/

韩国互联网安全局 (KISA) 正在对各种旨在泄露个人数据的安全事件进行调查。在此过程中，我们能够捕捉到针对居住在韩国的人们的信息收集活动，这似乎是 ScarCruft 的活动。

我们对被认为是 ScarCruft 攻击的各种安全事件进行了详细分析。这项活动从 2021 年持续到 2022 年第一季度。

这种攻击的特点是（个人PC、移动）攻击收集个人活动信息，而不是公司信息和金钱。

作为初始访问方法，攻击者会发送一封带有恶意 Word 文档的鱼叉式网络钓鱼电子邮件。之后，通过执行恶意文档从远程服务器下载下一个有效负载。下载的代码在受害者的系统上执行 Powershell 恶意软件。

攻击者能够通过此 Powershell 恶意软件执行远程控制。除了 Powershell 恶意软件外，此次攻击还使用了以信息收集为目的的 Windows 恶意软件。Windows 恶意软件通过屏幕捕获功能定期将受害系统的屏幕捕获传送到攻击者的服务器。

攻击者的 C2 服务器正在利用攻击韩国公司的域名作为基地。

我们能够获取并调查攻击者正在利用的服务器。

在此过程中，我们能够识别在攻击者的服务器上识别出的攻击者的恶意活动（webshel​​l、命令控制代码、泄露的信息）。

在本次演讲中，我们将分享此次行动何时开始、事件调查是如何进行的以及发现了哪些文物。此外，我们将根据分析结果描述攻击者的战术、技术和程序（TTP），从而分享操作的渗透方法和信息收集方法。