APT34组织数据擦除工具Dustman分析

近年来APT34黑客组织频繁在中东地区进行网络活动并保持较高的活跃度，在19年末IBM情报网站曾披露一种名叫ZeroCleare的破坏性数据清除恶意软件，该软件以删除设备的数据为目的，瞄准的是中东的能源和工业部门，根据情报分析ZeroCleare很有可能是由伊朗APT组织APT34(Oilrig)与xHunt合作开发。

在最新的在野攻击样本中我们发现了巴林石油公司Bapco公司受到了Dustman恶意工具的攻击，而该工具是ZeroCleare的变种主要变化是，使用了Turla Driver Loader (TDL)技术绕过DSE加载未签名的恶意驱动，从而执行恶意代码，并优化了部分代码。

一、执行流程

二、样本分析

1、Dustman是在完成渗透或是完成攻击后，用来扫尾的黑客工具，该工具只支持win7x64以上的系统,这是因为Turla Driver Loader (TDL)技术的限制，运行完成后系统会直接蓝屏。

2、该样本首先会创建互斥体“Down With Bin Salman“，以避免工具多次运行，导致后续代码执行失败，并且判断当前系统版本是否大于Windows7。

3、随后查询注册表，这里应该判断是否注册过VirtualBox的驱动。（这里很奇怪因为这个函数的返回值并没有在主逻辑中被使用而是在后续注册服务时使用，由于代码开发一般而言都是会把相关代码放在一起，方便后续使用，由此可见该代码有可能是借用了部分代码或是由其他代码修改而来。）

4、接着获得当前进程目录并拼接字符串将该字符和资源编号103，传入loadRescource函数。

5、loadRescource函数函数，首先会查找资源位置随后访问该资源，并申请内存地址将资源文件与0x7070707070707070异或后赋值给新申请的内存地址处。（这里也印证了之前的猜测，该段代码使用NT内核层代码与3环API混用，其原因很有可能是在开源代码的基础修改的，很明显原本的作者使用的大部分API都是NT层的。）

6、资源共有3个，编号分别是1，103，106

7、随后会将该资源写入当前EXE运行的目录下，该资源名为elrawdsk.sys，并判断是否写入成功。（也就是为签名的恶意驱动）

8、随后内存加载1号资源并将其解密，也是和0x7070707070707070异或解密，接着打开服务寻找指定服务VBoxUSBMon，VBoxNetAdp，VBoxNetLwf，只要找到就结束该服务，随后将上述解密的资源命名为assistant.sys(即vboxdrv.sys驱动)写入当前程序运行目录，接着根据之前查询的注册表项判断是否需要注册服务，随便启动该服务，并测试服务是否启动成功。（这里的代码与之前一样，有很强的分割性，解密完资源又去做其他事情了。）

9、随后将elrawdsk.sys字符串传入1ab4函数。

10、该函数内部首先会使用nt层Load加载elrawdsk.sys驱动并返回该驱动的PE头，并解密字符串"ntoskr"并使用Nt层加载ntoskr.exe,随后解密字符串“ExAllocatepoolWithTag”,” IoCreateDriver”,” PsCreateSystemThread”并调用nt层GetProcedureAddress获取这些函数的函数地址方便后续使用。