APT组织BlackEnergy继任者：GreyEnergy，台湾研华公司证书被其盗取

https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/

PDF下载：

https://www.welivesecurity.com/wp-content/uploads/2018/10/ESET_GreyEnergy.pdf

IOC列表文件下载

https://github.com/eset/malware-ioc/tree/master/greyenergy

关键句：

GreyEnergy，BlackEnergy APT小组的继任者，

BlackEnergy组织的攻击踪影最后一次出现在2015年12月的第一次因网络攻击造成的停电期间。这起事件导致大约有230,000人断电。

此后，出现了另一个恶意软件框架GreyEnergy。在过去的三年里，GreyEnergy一直被用来攻击乌克兰和波兰的能源公司和其他高价值目标。

GreyEnergy的恶意软件框架与BlackEnergy有许多相似之处，各模块均通过组织确认进行上传，其中模块都用于间谍和侦察目的（即后门，文件提取，截屏，键盘记录，密码和凭证窃取等）。

GreyEnergy组织一直在战略性地瞄准运行SCADA软件和服务器的ICS控制工作站，这些工作站往往是关键任务系统，除了定期维护之外从来不会进入脱机状态。

该组织还是有与我国相关：

一些GreyEnergy样本是使用中国台湾工业和物联网硬件制造商 研华 的证书签署的。这些很可能从该公司窃取而来，就像Stuxnet[https://www.welivesecurity.com/2010/07/19/win32stuxnet-signed-binaries/]和中国台湾D-Link&全景安全公司证书被盗，且被APT组织blacktech利用案例一样。

Serial Number: 15:f4:8f:98:c5:79:41:00:6f:4c:9a:63:9b:f3:c1:ccValidity: Not Before: Feb 10 00:00:00 2014 GMT Not After : Feb 26 23:59:59 2017 GMTSHA1 Fingerprint=97:53:AD:54:DF:6B:D6:73:E0:6C:00:36:3D:34:6A:06:00:7A:0A:9B

这几个恶意框架的联系与时间线，还是比较概括的。

以下为几点认为GreyEnergy和BlackEnergy存在关联的原因

1、GreyEnergy在野外的出现恰逢BlackEnergy的消失。

2、至少有一个受GreyEnergy攻击的受害者过去曾被BlackEnergy瞄准。两个小组都对能源部门和关键基础设施感兴趣。两人都有受害者，主要是在乌克兰，波兰排名第二。

3、恶意软件框架之间存在强烈的架构相似性。两者都是模块化的，并且在获得管理员权限并部署完整版之前，都使用了迷你或轻型后门。

4、GreyEnergy恶意软件使用的所有远程C＆C服务器都是活动的Tor中继节点。BlackEnergy和Industroyer也是如此。可以说明是该大组织的一大统一隐蔽手段。如下图，整个攻击链条和C&C服务器配置。

从公布的样本种类大概可以确认GreyEnergy的攻击手段

鱼叉：

GreyEnergy document

宏下载

GreyEnergy mini

GreyEnergy droppers

GreyEnergy dropped DLLs

GreyEnergy in-memory-only DLLs

这里指的是petya的早期没有永恒之蓝扩散模块的代码与GreyEnergy存在代码重叠

Moonraker Petya，这个版本重启后是这样的。

WEB服务器后门

PHP and ASP scripts

横向移动手段

Mimikatz

WinExe

PsExec

Nmap

Custom port scanner

GreyEnergy的http通信报文特征，其他大部分为https通信。

该恶意软件仅将选定的模块推送到选定的目标，一些GreyEnergy模块使用AES-256进行部分加密，有些仅在内存中运行。为了掩盖他们的踪迹，GreyEnergy通常会从受害者的硬盘驱动器中安全地擦除恶意软件组件。

最后，可以确认的是，TeleBots和GreyEnergy两个APT组织之间存在交流与合作。