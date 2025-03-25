IBM X-Force 发现了一组以前未知的恶意软件（Sheriff 后门），2024 年上半年，该恶意软件用于针对乌克兰国防部门内的一个实体进行网络间谍攻击。威胁参与者利用乌克兰的一家热门新闻门户网站 ukr.net 来托管 Sheriff 后门。该模块化后门能够执行攻击者指定的命令、截取屏幕截图，并通过 Dropbox 云存储 API 秘密窃取受害者数据。在调查过程中，X-Force 发现了类似于 CloudWizard APT 和 Turla（又名 ITG12）的威胁活动，两者都是针对乌克兰实体的与俄罗斯联系的威胁组织。
调查过程中，X-Force 团队还原了如下感染链：
所分析的样本为一款 x86 DLL 文件，仅包含一个导出函数 MyFunc。该样本在一个名为“LoaderPath”的俄语命名资源中，硬编码了指向 Sheriff 下载器模块 DLL 文件的相对路径。其硬编码路径为：
它会与下述路径进行拼接：“%USERPROFILE%\AppData\”。
随后该 DLL 文件调用 CLRCreateInstance API 来托管.NET 公共语言运行时 (CLR)。Sheriff 下载器模块 DLL 文件中的 Loader.MainCycle.Run 函数通过 ExecuteInDefaultAppDomain 方法执行。
该技术近期已在 X-Force 发布的一篇博客文章中被详细披露，被归类为红队技术。
此外，Deputy 加载器还会将两个 DLL 文件的路径作为参数传入，参数间以分号（";"）分隔。
Sheriff Downloader 模块是一款 x86 架构的.NET DLL 文件，其内部通过 Fody Costura 工具将一个名为 dotnetzip.dll 的库文件打包至资源段中。
“MainCycle”类中包含核心函数“Run”，该函数执行之初会先从二进制文件的俄语命名资源中读取四个预存值：
该样本利用这些尝试从
下载一个文件，并将其保存至以下文件夹
若目标文件已存在，则会跳过下载行为，此时该恶意软件仅充当加载器角色。
随后，它会通过自定义实现的“SymmetricCrypt”库及密码“BS7imxwRXueassn”对攻击载荷进行解密。经分析，其采用的加密算法与.NET 内置的 AES 加密算法 (https://gist.github.com/jbtule/4336842#file-aesthenhmac-cs) 完全一致。
解密生成的 ZIP 文件会在内存中被解压，解压后至少呈现出两个按文件大小排序的文件。最终，第一个文件（Sheriff 主模块）会以.NET 程序集的形式被反射加载，并调用其“MainClass.Run”方法。最后一个文件（Sheriff 初始化文件）则会被逐行读取，与 Deputy 加载器 DLL、Sheriff 下载器 DLL 的路径，以及下载所得的载荷文件“RDZXVh”的路径一起，作为列表对象参数传入正在执行的该程序集。
该下载链接引发了高度关注，其主机 ukr.net 在乌克兰访问量最高的网站中排名第四（根据 Semrush 的数据）。此外，ukr.net 不仅是一家互联网服务提供商 (ISP)、热门电子邮件服务商，还运营着乌克兰规模最大的新闻门户网站之一，月访问量超过 1 亿次。尽管 ukr.net 确实也提供主机托管服务，但通常情况下，用户无法在其主 Web 服务器的任意根目录下托管文件。因此，威胁参与者很可能在 2024 年 3 月初入侵了 ukr.net，并借此存储加密的 Sheriff 后门载荷。
调查期间，该载荷已无法获取，且 X-Force 团队未在 ukr.net 上发现其他托管的恶意载荷。推测威胁参与者的访问权限可能存在范围限制、仅在短时间内有效，或是被刻意谨慎使用。若威胁参与者能够入侵乌克兰规模最大的新闻门户网站之一，将使其具备实施一系列高影响力攻击的能力，且能通过该可信域名强化攻击的隐蔽性。在本次事件中，威胁参与者很可能是滥用了该可信域名托管恶意软件，以规避外界怀疑。
Sheriff 主模块是一个 x86 .NET DLL，同样通过 Costura 工具将一个名为 dotnetzip.dll 的库文件打包至资源段中。
首次执行时，主类中的“Run”函数会先从 Sheriff 初始化文件中读取以列表形式传入的参数，随后为以下变量赋值：
下表逐一说明各参数的含义：
姓名名称
含义
|_symKey
|用于解密配置的 AES 密钥
ConfName
配置文件的文件名
ModulesFolder
用于下载其他模块的文件夹的名称
UploadLocalFolder
用于渗漏数据的文件夹的名称
_defaultZipext
用于识别 ZIP 文件的默认扩展名
refreshToken
用于 Dropbox API 身份验证的 OAuth 刷新令牌
_guid
与序列号一起用作受害者 ID 的字符串
_a SymPrivKey
用于解密下载模块的 RSA 私钥
_a SymPubKey
渗漏之前，对数据进行加密的 RSA 公钥
这些非对称密钥源自两套不同的密钥对，这导致调查期间无法对窃取的渗漏数据进行解密。
接下来，Sheriff 创建本地上传和下载文件夹。若配置文件不存在，则会在 Sheriff 主模块首次执行时写入名为 mlvn.cfg 的配置文件。此后，该文件可被读取和修改，以便为每个模块维护独立的配置项。解密后的配置文件中，“主”块包含以下参数值，各参数值之间以分号（";"）分隔：
调查期间未发现“密钥”模块。该模块可能负责为 Deputy 加载器的 DLL 文件建立持久化机制，其会写入以下注册表项：
该注册表项包含执行 Deputy 加载器导出函数 MyFunc 的命令：
命令与控制通信通过一个名为 DbApiV2 的类进行管理，该类利用 Dropbox API 在 Dropbox 云存储上创建、查找、下载、上传、移动和解析远程文件及文件夹。它通过刷新令牌获取临时访问令牌以完成身份验证，认证请求的目标 URL 如下：
以下这些 API 端点用于管理远程文件和文件夹：
Sheriff 主模块在尝试下载文件前，会先上传一条日志信息，其中包含受害者主机的公网 IP 地址及已加载模块列表。该日志通过“受害者 ID”进行异或密，受害者 ID 由 GUID（源自参数或随机生成）与序列号组成。加密完成后，日志会被上传至 Dropbox 中一个与该受害者 ID 同名的文件夹内。
所有文件均从 Dropbox 中路径为 /<victim_id>/Dow/ 的文件夹获取，并下载至本地硬编码为 /DxyVS1 的“ModulsFolder”目录下。文件下载完成后，Dropbox 端的对应文件会被立即删除。接下来，我们将详细说明主模块对下载文件的处理流程。
上传流程首先会枚举“UploadLocalFolder”目录下的所有本地文件（该目录的硬编码路径为 /gyTufW）。根据文件扩展名，这些文件分为三类：
“PreparingForUpload”函数会先将所有明文文件压缩为一个新的 ZIP 文件。随后，所有 ZIP 文件将通过随机生成的 AES 密钥进行加密，该 AES 密钥会进一步使用 RSA 公钥加密，并与加密后的 ZIP 文件拼接在一起。执行过程中，该函数会删除文件夹内所有残留文件，仅保留完全压缩并加密后的文件。这些文件随后会被上传至 Dropbox 中路径为 /<victim_id>/Up/ 的文件夹，同时本地文件会被删除。
上传和下载功能均以异步方式执行，在分析的样本中，其运行计时器被硬编码为 30 秒。
调查期间，该关联的 Dropbox 账户已无任何文件托管，这一点可从存储空间使用情况看出：
该 Dropbox 账户显示如下信息：
Sheriff 主模块的任务是充当协调器来启动和管理不同的模块。这些模块可能通过上述流程下载获取，其中一个模块在调查期间被发现 (./DxyVS1/dowtuxZml)。
“LoadModuls”函数会遍历所有已下载文件，先通过 RSA 私钥解密得到 AES 密钥，再利用该 AES 密钥对文件进行解密。解密后的 ZIP 文件包含一条注释字符串，该字符串用于解析对应模块：
该注释通过竖线符号（"|"）拆分为多个值，各值再通过分号（";"）进一步拆分为子值。
以下是解析后各值的说明：
Sheriff 接受以下命令：
命令与描述
下方第二个表格详细列出了可通过“C”命令以文本文件形式读取的命令列表：
命令模式
说明
(tree)
<path_1>
<path_2>
...
从指定路径列表中上传文件。
(treedel)
<path_1>
<path_2>
...
从指定路径列表中删除文件，并上传日志消息：“已删除文件：<文件数量>”
(cmd);
该命令将每个值作为独立命令，在新进程中执行“cmd.exe /c <value>“，读取标准输出和标准错误输出，并将输出内容以 RSA 加密文件的形式上传至 Dropbox。
[modname];
将完整字符串插入配置文件。请注意，“modname”与模块的标记相同。
{modname};
如果“modname”是“Suicide”，Sheriff 将终止所有模块，删除所有文件并运行清理脚本。如果“modname”与加载的模块匹配，它将调用“KillMethod”并删除其相应的文件。
所有模块加载完成后，主模块的“Run”函数会遍历每个已加载的模块并调用其 “ConfigMethod”方法，同时将从原始配置文件解析出的对应模块配置项传入该方法。这一设计使得攻击者能够在各模块运行期间便捷地更新多个模块的配置。
屏幕截图模块是在调查过程中检索到的模块之一。当该模块被加载时，会从主模块接收以下参数：
该模块仍包含“defaultZip”的默认值“tgr”，此默认值会在此时被覆盖。主模块还可通过该模块的“ConfigMethod”方法指定以下配置项：
启动后，该模块将每隔 5 秒 (TimerCount) 检查一次是否可以截屏。截图需满足以下任一条件：
每次截图时，若截图数量达到配置项“ImageCount”，则会将已捕获的所有截图添加到一个 ZIP 压缩包中，压缩包内的截图文件命名格式为 {0:yyyy.MM.dd_HH.mm.ss}.jpg，由截图对应的“DateTime”对象填充。
ZIP 压缩包的命名格式为 {0:yyyy.MM.dd_HH.mm.ss.ffff}.，由压缩包创建时的“DateTime”对象填充。该 ZIP 文件还会添加一条注释，注释内容包含该模块的标识（“scr”），具体如下截图所示。
Sheriff 的主模块还包含一个可远程调用的 Suicide 函数。该函数会先停止所有上传和下载活动，然后遍历每个模块并调用对应的“KillMethod”。之后，它会删除包含主模块的整个目录，以及 Dropbox 上用于 C2 通信的全局文件夹。接下来，该函数会在以下注册表子项中搜索第一阶段加载器（Deputy 加载器）的 DLL 路径：
随后会删除所有包含该路径的注册表子项。
最后，恶意软件 Sheriff 会将“加载器”（即 Sheriff 下载器模块）和“loadDll”（Deputy 加载器）的路径写入以下 BAT 文件，将其释放到系统临时目录 (%TMP%) 并执行：
上述脚本会先删除 Sheriff 下载器模块和 Deputy 加载器的相关文件及其各自所在目录，最后自行删除。
分析过程中，多项初始指标指向该威胁参与者与俄罗斯相关，包括：
X-Force 评估认为，Sheriff 后门极有可能是一款专为网络间谍活动和情报收集设计的工具，而非以经济利益为目的的网络犯罪工具。该恶意软件的核心聚焦于数据窃取与截图捕获，同时采用低隐蔽性设计以实现长期驻留。其开发初衷明确指向“极致隐蔽”，确保通信过程及磁盘释放的大部分恶意组件均处于加密状态。网络通信层面通过滥用合法的 Dropbox API，以及利用乌克兰热门网站 ukr.net 作为恶意软件引导器。此外，Sheriff 还内置多项自毁功能，用于执行后清除痕迹。最后，其结构化的代码架构、规范的文件夹组织、模块化实现方式、完善的日志记录机制，以及全面的功能与可配置性，均显示出该恶意软件具备较高的技术成熟度，符合国家支持型威胁组织的工具特征。
调查还发现，该后门程序与此前已记录的、归因于知名俄罗斯关联威胁参与者 Turla（又名 ITG12）的多个攻击活动存在若干细微关联。例如，该组织的 Kazuar .NET 后门与 Sheriff 存在多项相似特征，具体包括：
值得注意的是，被 ESET 归因于 Turla 组织的 Crutch 后门，尽管并非基于.NET 开发，但其对 Dropbox API 的 C2 通信利用方式与 Sheriff 高度相似。
进一步研究还发现，Sheriff 与“诱饵行动”中的 Prikormka 后门存在关联，具体包括：
卡巴斯基实验室后续发布的报告指出，Prikormka 后门与 CloudWizard APT 之间存在显著关联。X-Force 团队同样发现 Sheriff 与 CloudWizard 存在多项相似特征，具体包括：
X-Force 认为，Sheriff 后门被用于一项针对性攻击行动。该恶意软件可能与俄罗斯关联的 CloudWizard APT 存在关联，后者已知在过往攻击中以乌克兰境内实体为目标。而由于战术、技术与程序 (TTP) 及恶意软件层面仅存在细微重叠，其与 Turla (ITG12) 威胁集群存在关联的可能性较低。
本报告详细阐述的 Sheriff 后门及其在网络间谍活动中的应用，展现出多项值得关注的特征。Sheriff 是一款设计成熟的模块化间谍工具，能够实现对受害者环境的长期控制。其模块化架构与自毁功能，凸显了开发者对工具被检测、被分析的防范意识。威胁参与者能够利用 ukr.net 作为恶意软件引导器，这一能力也印证了其具备较高的技术水平。
X-Force 建议乌克兰政府、军事或国防领域相关的个人及实体保持高级别安全防御状态，并采取以下措施：
为提升归因分析的透明度，并促进研究人员之间的进一步协作，IBM X-Force 已将相关恶意软件样本上传至 VirusTotal。
指示符
指标类型
情境化
60f20be29cafea3402c8cb396
SHA256
加密主模块“RDZXVh”
86b8d48df5787d57836276219
SHA256
Sheriff 初始化文件“n5K3B”
8832fb7ef434a56f9d151d8e1eb
SHA256
Deputy 加载器“t5cby.dll”
8c22326d08a6334181c06e25c6
SHA256
加密屏幕截图模块“dowtuxZmI”
8d4df90f4e7fc6d9d08d4b5a27
SHA256
Sheriff 主模块“1Pr3v”
92b9ef4e81610487ea9df255fa83
SHA256
Sheriff 配置文件“mInv.cfg”
e2b892533bd4135004778783b95
SHA256
解密屏幕截图模块 ZIP 文件
ec84ae8db92a88109bc68baefc3b
SHA256
Sheriff 屏幕截图模块“NeXSv”
f9e237a939b998fe071e0101904f7d
SHA256
Sheriff 下载器模块“DZtdI.dll”
http://ukr[.]net/8V3fDJ0U/RDZXV
URL
Sheriff 下载 URL。请注意，ukr.net 是合法网站。
https://api.ipify[.]org
URL
用于查询公网 IP 地址的合法服务，但常被恶意软件开发者滥用。
IBM X-Force Premier Threat Intelligence 现已与 OpenCTI 集成，可提供有关此类威胁活动及更多威胁的可操作威胁情报。获取威胁参与者、恶意软件及行业风险相关洞察。安装 OpenCTI Connector，借助 IBM X-Force 的专业能力增强威胁检测与响应效率，加固自身网络安全防线。保持领先——立即整合。
