Jump to content

ЧерныйЭнергия

О вредоносном ПО BlackEnergy впервые сообщалось в 2007 году как набор инструментов на основе HTTP , который создавал ботов для выполнения распределенных атак типа «отказ в обслуживании». [1] В 2010 году BlackEnergy 2 появилась с возможностями, выходящим за рамки DDoS. В 2014 году BlackEnergy 3 поставлялся с множеством плагинов . [2] Базирующаяся в России группировка Sandworm (также известная как «Медведь Вуду») обвиняется в использовании целевых атак BlackEnergy. Атака распространяется через документ Word или вложение PowerPoint в электронном письме, заставляя жертв нажать на, казалось бы, законный файл. [3]

BlackEnergy 1 (BE1) [ править ]

Код BlackEnergy позволяет использовать различные типы атак для заражения целевых компьютеров. Он также оснащен серверными сценариями , которые злоумышленники могут разработать на сервере управления и контроля (C&C). Киберпреступники используют набор инструментов для создания ботов BlackEnergy для создания настраиваемых исполняемых файлов клиента-бота, которые затем распространяются среди целей посредством спама и фишинговых рассылок по электронной почте. [4] В BE1 отсутствуют функции эксплойта, и для загрузки бота используются внешние инструменты. [5] BlackEnergy можно обнаружить с помощью подписей YARA , предоставленных Министерством внутренней безопасности США (DHS).

Ключевые особенности [ править ]

[5]

  • Может использовать более одного IP-адреса для каждого имени хоста.
  • Имеет шифратор во время выполнения, позволяющий избежать обнаружения антивирусным программным обеспечением.
  • Скрывает свои процессы в системном драйвере (syssrv.sys)

Типы команд [ править ]

  • Команды DDoS-атаки (например, ICMP-флуд, TCP SYN-флуд, UDP-флуд, HTTP-флуд, DNS-флуд и т. д.) [1] [ нужны разъяснения ]
  • Загружайте команды для получения и запуска новых или обновленных исполняемых файлов со своего сервера.
  • Команды управления (например, стоп, ожидание или смерть)

BlackEnergy 2 (BE2) [ править ]

BlackEnergy 2 использует сложные методы внедрения руткитов /процессов, надежное шифрование и модульную архитектуру, известную как «дроппер». [6] При этом двоичный файл драйвера руткита расшифровывается и распаковывается, а затем устанавливается на компьютер жертвы в качестве сервера со случайно сгенерированным именем. Являясь обновлением BlackEnergy 1, он сочетает в себе исходный код старого руткита с новыми функциями для распаковки и внедрения модулей в пользовательские процессы. [6] Упакованный контент сжимается с помощью алгоритма LZ77 и шифруется с помощью модифицированной версии шифра RC4 . Жестко закодированный 128-битный ключ расшифровывает встроенный контент. Для расшифровки сетевого трафика шифр использует в качестве ключа уникальную идентификационную строку бота. Второй вариант схемы шифрования/сжатия добавляет вектор инициализации к модифицированному шифру RC4 для дополнительной защиты в дроппере и заглушке распаковки руткита, но не используется ни во внутреннем рутките, ни в модулях пользовательского пространства. Основная модификация реализации RC4 в BlackEnergy 2 заключается в алгоритме планирования ключей. [6]

Возможности [ править ]

  • Может выполнять локальные файлы
  • Может загружать и выполнять удаленные файлы
  • Обновляет себя и свои плагины с помощью серверов управления и контроля.
  • Может выполнять команды умереть или уничтожить

BlackEnergy 3 (BE3) [ править ]

Последняя полная версия BlackEnergy вышла в 2014 году. Изменения упростили код вредоносного ПО: установщик этой версии помещает основной компонент динамически подключаемой библиотеки (DLL) непосредственно в локальную папку данных приложения. [7] Этот вариант вредоносного ПО был задействован в кибератаке на энергосистему Украины в декабре 2015 года . [8]

Плагины [ править ]

[2]

  • fs.dll с файловой системой Операции
  • si.dll — Системная информация, «BlackEnergy Lite»
  • jn.dll — паразитический заразитель
  • ki.dll Регистрация нажатий клавиш
  • ps.dll — похититель паролей
  • ss.dll Скриншоты
  • vs.dll — обнаружение сети, удаленное выполнение
  • tv.dll — Командный просмотрщик
  • rd.dll — Простой псевдо «удаленный рабочий стол».
  • up.dll — Обновление вредоносного ПО
  • dc.dll — список учетных записей Windows
  • bs.dll — запросить информацию об оборудовании системы, BIOS и Windows.
  • dstr.dll — Уничтожить систему
  • scan.dll — Сканирование сети

Ссылки [ править ]

  1. Перейти обратно: Перейти обратно: а б Назарио, Хосе (октябрь 2007 г.). «Анализ DDoS-ботов BlackEnergy» (PDF) . Сети беседок . Архивировано из оригинала (PDF) 21 февраля 2020 года . Проверено 17 апреля 2019 г.
  2. Перейти обратно: Перейти обратно: а б «Обновленный троян BlackEnergy становится еще мощнее — блоги McAfee» . 14 января 2016 г.
  3. ^ «Подробности об августовских кампаниях BlackEnergy PowerPoint» . 4 октября 2014 г.
  4. ^ «Вредоносное ПО BlackEnergy APT — ссылка RSA» . сообщество.rsa.com . 23 марта 2016 г.
  5. Перейти обратно: Перейти обратно: а б Хан, Рафиулла; Мейнард, Питер; Маклафлин, Киран; Лаверти, Дэвид М.; Сезер, Сакир (1 октября 2016 г.). Анализ угроз вредоносного ПО BlackEnergy для управления и мониторинга в реальном времени на основе синхрофазора в интеллектуальных сетях (PDF) . Материалы 4-го Международного симпозиума по исследованиям кибербезопасности ICS и SCADA 2016 . дои : 10.14236/ewic/ICS2016.7 . Архивировано из оригинала (PDF) 20 октября 2016 года . Проверено 5 ноября 2022 г.
  6. Перейти обратно: Перейти обратно: а б с Джо Стюарт (3 марта 2010 г.). «Анализ угроз BlackEnergy версии 2» . www.secureworks.com .
  7. ^ «Отчет ThreatSTOP: BlackEnergy» (PDF) . ThreatStop.com . 7 марта 2016 г. Архивировано (PDF) из оригинала 28 мая 2022 г. . Проверено 5 ноября 2022 г.
  8. ^ Черепанов А., Липовский Р. (7 октября 2016 г.). «BlackEnergy – что мы действительно знаем о пресловутых кибератаках» (PDF) .
Retrieved from "https://en.wikipedia.org/w/index.php?title=BlackEnergy&oldid=1183574619"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 53bd6abe667962790f397f6d60422fcd__1699148100
URL1:https://arc.ask3.ru/arc/aa/53/cd/53bd6abe667962790f397f6d60422fcd.html
Заголовок, (Title) документа по адресу, URL1:
BlackEnergy - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)