图1.Bitly URL的计算信息 在创立URL的同一周内，这个链接记录了大约20次点击，不过实践下载数应该是少于20个的，因为可能有点击两次乃至屡次的状况发作。 尽管遥测数据显现该URL是经过鱼叉式垂钓邮件发送的，但咱们没有此类邮件的样本，无法了解进犯者的目的。下载的档案包括两个文件：第一个是一个可履行文件，而第二个是一个钓饵PDF文档。

图2.从存档中提取的文件（乌克兰语的“CATALOGUE – (2019).exe”和“Order 97.pdf”） 请注意，可履行文件的文件名中存在拼写过错——应该是“ДОВIДНИК”而不是“ДОВIДНIК”。 履行二进制文件后，会弹出一个暗码提示的对话框，暗码验证的成果总是显现过错，但在几回测验验证之后会翻开钓饵PDF文档。该文档看似是空的，实践运用Delphi编写的下载器持续在后台运转。在硬编码到第一个二进制下载器的URL中也运用了IP地址。 “熊”的巢穴 第一阶段的下载程序将下载并履行一个用C ++编写的新下载器，它与其他Zebrocy下载器没有太大差异，之后该下载器将创立ID并下载一个新后门，此后门由Delphi编写。 正如咱们在最近关于Zebrocy的博文中所解说的那样，后门的装备存储在资源部分中，并分为四个不同的十六进制编码的加密数据块，各个数据块包括不同部分的装备。

图3.包括不同部分装备的数据块 一旦后门发送出受害者体系的基本信息，进犯者就会操控后门并当即开端发送指令。下载程序运转后与进犯者发送的第一个指令之间的时刻距离仅为几分钟。 捕获“熊”的踪影 在本节中，咱们将更具体地描述进犯者经过Delphi后门手动履行的指令。 可用的指令坐落前面说到的一个装备数据块中（图3中的“commands”数据块），指令数量跟着版别的迭代而添加，在最新版别的后门中支撑的指令超过了30个。因为咱们没有依照调用指令的次序识别模式，因而咱们以为进犯者是手动履行它们的。 第一组指令搜集有关受害者核算机和环境的信息：

上述指令通常在进犯者初次连接到新激活的后门时履行。它们的Argument都为空，不过光看称号也不言自明。在这些后门被激活后不久通常会履行其他的指令，如下：

那些现已读过咱们之前关于Zebrocy的文章的读者会注意到，前几个阶段会一次又一次地发送或多或少相同类型的信息。信息是在初始侵略后几分钟内恳求的，进犯者将不得不处理相当大的数据量。 为了搜集更多的信息，Zebrocy的操作人员会不时地在受害者的机器上上传和运用dumper。现在的dumper与该安排曾经运用的dumper有一些相似之处。在本例中，Yandex Browser、Chromium、7Star Browser(一种根据chrome的浏览器)和CentBrowser以及从1997年到2019年版别的Microsoft Outlook都是方针:

这些dumper经过创立日志文件来指示是否存在要转储的潜在数据库:

当没有要转储的数据库时，当时dumper包括以下输出: %LOCALAPPDATA%YandexYandexBrowserUser DataDefaultLogin Data not found[1][2]黑客接单网