Palo Alto Networks公司旗下威胁情报团队Unit 42在本周二（9月4日）发表的一篇博文中指出，伊朗黑客组织OilRig仍在继续使用他们所常用的工具和战术，针对中东地区的政府实体发动持续不断的攻击。

正如在最近几起攻击中所观察到的那样，该组织目前所使用的工具并非是其常用工具的完全复制品，而是更新升级后的新变种。例如，在最新发现的一起攻击中，钓鱼电子邮件的附件就包含了一个OopsIE木马（于2018年2月被Unit 42发现）的变种。

与之前的版本相比，虽然说这个新的OopsIE木马变种在通用功能方面基本上没有太多的变化，但增加了反分析和反虚拟机功能，能够进一步规避自动防御系统的检测。

攻击细节

在2018年7月，Unit 42报道了两起由OilRig实施的网络攻击，目标包括一家技术服务提供商和一个政府实体。对于这两起攻击而言，OilRig的主要目的在于传播一个名为QUADAGENT的PowerShell后门，进而开展间谍活动。

然而，Unit 42在周二发表的这篇博文中透露，在这两起攻击中被传播的恶意软件并非QUADAGENT一种，他们在一部分电子邮件附件中还发现了上述提到的OopsIE木马变种。用于传播这个OopsIE木马变种的电子邮件使用了与传播QUADAGENT的电子邮件不同的主题，大致可翻译为“业务连续性管理培训”（采用阿拉伯文编写）。

规避技术

如上所述，这个OopsIE木马变种代码的运行会首先从执行一系列反虚拟机和反沙箱检查开始。如果与预先设定的条件匹配，它则会推出而不运行其他任何功能代码。根据Unit 42的说法，这些规避技术都旨在阻止自动分析以规避检测。所检查的项目具体如下：

• CPU风扇（CPU Fan）检查——通过执行WMI查询：Select * from Win32_Fan；
• CPU温度检查——通过执行WMI查询：SELECT * FROM MSAcpi_ThermalZoneTemperature；
• 鼠标指针检查——通过执行WMI查询：Select * from Win32_PointingDevice；
• 硬盘检查——通过执行WMI查询：Select * from Win32_DiskDrive；
• 主板检查——通过执行WMI查询：Select * from Win32_BaseBoard；
• Sandboxie DLL检查——木马将尝试通过LoadLibrary加载dll模块；
• VBox DLL检查——木马将检查系统目录中是否存在文件dll；
• VMware DLL检查——木马将检查系统目录中是否存在文件dll或vmbusres.dll；
• 时区检查——木马将检查系统是否已配置为以下时区之一：阿拉伯（Arabic）夏令时（UTC+3）、阿拉伯（Arab）夏令时（UTC+3）、阿拉伯（Arabian）夏令时（UTC+4）、中东夏令时（UTC+2）和伊朗夏令时（UTC+3.5）；
• 人机交互检查——在执行其功能代码之前，木马会显示一个对话框，其中包含以下代码行：
  MsgBox(encodedStringClass.return_user32_bogus_errorcode_(3), MsgBoxStyle.Critical, null);
  此对话框显示处理user32.dll！时发生错误，只有在用户必须单击“确定”按钮之后，木马才会运行功能代码。

Unit 42表示，其中大多数规避技术同样可以在其他恶意软件家族中找到，但有一些技术是全新的。比如，CPU风扇检查。并且在VMware Windows 7虚拟机中测试WMI查询，我们看不到任何结果，如图1所示：

图1.对于虚拟机上的Win32_Fan类的WMI查询，不返回任何统计信息

但是，当我们在运行Windows 7的真实系统中运行相同的查询时，我们看到了Win32_Fan类的内容，如图2所示。这个OopsIE木马变种可以通过查询的结果来判断它是否运行在虚拟机上。

图2.对于真实机上的Win32_Fan的WMI查询，会返回统计信息

再有就是CPU温度检查，这种规避技术之前是由GravityRAT使用的。正如思科Talos团队所分析的那样，虽然这种规避技术也可以用检测虚拟机，但也会存在误判，因为一些真实机也不支出这个WMI查询。

最后一种特别有意思的规避技术就是时区检查，如果系统设置的不是上述5个时区，那么木马就不会运行它的功能代码。从微软所提供的信息来看，这5个时区覆盖了10个国家（包括伊朗、阿拉伯，以及其他一些中东国家），这也从侧面反映出OilRig组织的攻击极具针对性。

结论

OilRig组织仍然是中东地区的一个长期对手。虽然在战术方面并未发生太大的改变，但他们仍在继续升级更新他们的工具，并为它们添加新的功能。Unit 42表示，在追踪该组织的期间，他们发现该组织一再表现很乐意在其工具中添加一些并不常见的功能。例如，在后门中大量使用DNS隧道或在webshel​​l中添加身份验证。虽然这些功能实际上并不会给实际攻击带来太大的变化，但现在我们也看到他们在工具中添加了新的反分析功能。

尽管如此，Unit 42表示，该组织所采用的战术通常不会太复杂，这意味着一些普通的防病毒产品就足以帮助我们保护自己在一定程度上免受该组织的侵害。