muncy惡意軟體分析

一、簡介

在過去幾天，來自DHL的名為「DHL發貨通知」的網路釣魚活動針對全球用戶。

Muncy是SI-LAB對該威脅的稱呼。現在，該惡意軟體針對全球用戶，並通過網路釣魚活動進行傳播。

惡意攻擊者正在使用來配置錯誤的SMTP伺服器。電子郵件欺騙技術用於冒充DHL; 一家有名的快遞公司; 將發貨通知發送到用戶的電子郵件收件箱。

用於執行此攻擊活動的電子郵件是：。

此技術並不新穎，許多在線可用的Web伺服器沒有正確的安全配置來防止此類攻擊。

訪問電子郵件的用戶需要提取惡意附件。惡意軟體是一個.exe文件，用於掃描用戶的計算機並收集信息，包括FTP數據。

下面的流程圖顯示了惡意軟體的工作原理。

惡意軟體已加殼，首次執行後，將創建並執行新進程（解壓縮的惡意軟體）。 該進程在用戶的C:驅動器中執行批量掃描，獲取敏感信息，發送到由騙子管理的域名sameerd[.]net。

在惡意軟體感染生命周期期間，用戶設備中未發現持久性。

接收此類電子郵件的用戶應該知道他們是社交工程活動的一部分。如果沒有任何訂單，那麼忽略它。

SI-LAB已經通知了DHL公司，但目前並沒有公開評論。

有關詳細信息，請參閱下文。

二、技術分析

·威脅名: DHL Original Receipt_PDF.exe

·原始文件名: Muncy.exe

·MD5: 4df6d097671e0f12b74e8db080b66519

·SHA-1: 568035f0e96b9e065049491004ccee5a4cd180c7

·Imphash: 8a6e3bc29ee49f829483143f1dc39442

在上周，Seguran?a Informática（SI）實驗室確定了旨在通過DHL貨運通知安裝Muncy惡意軟體的感染嘗試。惡意電子郵件包含針對誘惑受害者量身定製的通過網路釣魚活動傳播的特定木馬。

1.DHL網路釣魚活動試圖冒充DHL

利用錯誤的SMTP伺服器配置，惡意攻擊者正在發送冒充DHL的網路釣魚電子郵件（參見圖1）。

圖1：電子郵件正文和惡意附件

對惡意電子郵件的初步分析顯示，域名（duntonintlsrc.com）用於向目標SMTP伺服器day EHL。配置錯誤的SMTP伺服器是傳播惡意活動的載體。

圖2：電子郵件欺騙和DHL模擬

詳細地說，觀察到的第一波活動發生在2019年2月12日。這是一個值得記住的重要指標。

電子郵件正文不是純文本郵件，而是嵌入了PNG圖像 ，我們可以觀察到電子郵件已從本地路徑添加：C:/Users/Administrator/Desktop/DHL.png。

圖3: 郵件體

2、Muncy惡意軟體 - 最近呈上升趨勢

Muncy惡意軟體是現在最活躍的特洛伊木馬之一。由於其原始名稱在可執行文件中硬編碼，SI-LAB將其稱為Muncy。Muncy惡意軟體的各階段結構如圖4所示。

圖4：Muncy惡意軟體的工作原理

惡意軟體已加殼，在分析期間，我們無法脫殼。第一次執行後，它將解壓縮到PE File .data部分，該部分在啟動時為空。該威脅對所有C:驅動器執行掃描，試圖查找敏感數據和文件（主要是FTP文件），並將發送到由crooks管理的終端（sameerd.net）。

3、深入探究

乍一看，它看起來像一個PDF文件 - 一種欺騙最粗心用戶的舊技術。

圖5：Muncy添加了一個PDF圖標

此威脅得名於其原始文件名Muncy。請注意，英語是騙子檢測和使用的主要語言，用於開發此惡意軟體。

其他有趣的字元串是CompanyName：Somers2和ProductName：HARPALUS8。

嗯，其實非常有趣。我們來調查一下吧。

·Somers2：沒什麼好玩的。

·Harpalus：Harpalus luteicornis是一種原產於Palearctic的甲蟲。

讓我們看下一個可以找到上述信息的圖。

圖6：原始Muncy

FileVersion也很有趣（1.01.0005） - 這種威脅似乎仍在開發中。

讓我們仔細看看吧。該文件具有高熵，並且注意到兩個偏移（0x71000和0x7F400）的熵在增加。

圖7：Muncy熵偏移

觀察熵增加的偏移很有意思。為了證實我們的發現，讓我們看一下圖8中描繪的熵曲線。

圖8：文件熵曲線

重點強調兩個有趣的觀點：

·.text段熵（7.47）：有些是加殼的。

·.data段大小為（零）。該段用於解壓縮一些東西。

此外，可執行文件中呈現的數字證書也對.text部分中的高熵有貢獻。我們可以很容易的觀察到下面顯示的文件疊加偏移量。

圖9: 可執行的覆蓋，數字證書創建日期、名稱和組織

另外，我們需要注意以下三點：

·釣魚郵件於2月12日收到。

·證書創建日期為2月11日（前一天）。

·我們稍後會討論這一點

4、繼續分析Muncy

PE文件有三個段：.text，.data和.rsrc; 其中兩個是可疑的。為什麼？請注意。

.text段加殼並具有高熵。正常發現沒有與高熵相關的數據。例如，加密的代碼片段具有高熵關聯。

第二個注意：.data段; 它的大小等於零（它是空的），並且虛擬大小（0xbb4）。脫殼後會將惡意軟體注入此處。這是一個運行時加殼程序！

圖10: 惡意軟體熵和可疑段

下圖確認大部分二進位數據被加殼（參見熵 - 中間）。

圖11: 二進位數據

Muncy惡意軟體是在VisualBasic 6.0中開發的，並使用p代碼編譯，如下所示。

圖12: 用於開發Muncy惡意軟體的編譯器

5、Bonus：為什麼惡意軟體會使用VB 5.0 / 6.0？

在Visual Basic（VB）腳本上執行分析很難。不幸的是，當Visual Basic被編譯為Windows可移植可執行文件（PE）時，它可能成為許多惡意軟體分析人員和逆向工程人員的噩夢。

由於編譯的許多方面與標準C / C二進位文件不同，Visual Basic二進位文件因使分析人員工作困難而聞名。要分析VB PE二進位文件，需要熟悉VB腳本語法和語義，因為它們的構造將出現在整個二進位文件的反彙編中。VB二進位文件有自己的由Microsoft的VB虛擬機解釋（VB 6.0使用msvbvm60.dll）的API。許多API都封裝的是其他系統DLL中常用的Win32 API。

逆向VB二進位文件通常涉及針對各種VB API的逆向，這是許多人畏懼的任務。

VB5 / 6可以編譯為native或pcode。即使在原生程序中，程序流與入口點不是線性的，而是基於在啟動時傳遞到vb運行時的表單，模塊和類結構。

詳細地說，惡意軟體導入MSVBM60.DLL（Microsoft Visual Basic Machine，如JVM - Java虛擬機）。IAT中存在的另一個重要DLL是shell.dll，它將用於執行多個操作，如打開、創建和刪除文件，打開Windows PowerShell等。

圖13:惡意軟體的IAT

MSVBVM60.DLL中的許多導入函數現在被AV引擎歸類為惡意（參見圖14）。

圖14:惡意軟體IAT中被列入黑名單的函數

但請記住，良性軟體也可正確使用黑名單里的函數。從這個意義上講，從圖14中提取的信息將是誤報。

6、Muncy – 惡意軟體反編譯

通過分析惡意軟體，可以反彙編惡意軟體的p代碼。 這是解剖這一威脅的正確方法。

我們可以看到在API聲明中聲明了四個子常式，即從shell32.dll導入的inconforming5，farfel3和ondascop9，從kernel32 DLL導入的子常式waterbed。

圖15: 源代碼中的API聲明

詳細地說，惡意軟體具有聲明了一些對象的表單（passagang）。儘管如此，所有反彙編的代碼都沒有為我們的分析添加太多細節，因為圖15中所示和上面討論的子常式的源代碼未載入（API子常式）。之所以發生這種情況，是因為惡意軟體已經加殼並正在規避逆向工程。

圖16: 惡意軟體反編譯

當然，如果程序編譯為p代碼（本例），則反編譯成功率會降低，並且不會記錄其他輸入。

代碼非常難，而且加殼。

圖17: 加殼的惡意軟體

但是，發現了一些在惡意軟體中硬編碼的字元串 - 它們用於比較圖15中一個加殼API的結果。我們無法獲得更多細節，但我們懷疑它們用於執行FTP暴力攻擊。

圖18: 在惡意軟體中硬編碼的字元串

我們在惡意軟體執行期間執行內存轉儲。如圖所示，發現了其他字元串 - 可能是在開始時隱藏並硬編碼在加殼的惡意軟體。

圖19: 從內存中提取的字元串和檢測到的惡意端點

在這裡，需要分析一個有趣的觀點，發現了crooks管理的端點被（http://sameerd[.]net/grace/panelnew/gate.php）。稍後將對其進行進一步分析。

7、深入Muncy – 動態分析

VB6的一個重要方面與VB6缺少官方文檔有關。對於沒有深入了解atmsvbvm60.dll的人來說，VB6虛擬機的內部工作原理及其導出函數的功能對於任何人來說都是一個謎。

將惡意軟體載入到調試器中，我們可以看到以下內容。

圖19: Muncy的入口點

在調用MSVBVM60.ThunRTMain之前，我們正位於可執行文件的第一條指令上，該指令將地址壓入堆棧（arg1）。

查看ThunRTMain函數，我們發現它只需要一個參數（地址0x4763BC被推送到堆棧），該參數是指向VBHeader結構的指針，該結構告訴應用程序如何啟動。這個VBHeader結構出現在內存中，如圖所示（圖20）：

圖20: Muncy VBHeader結構

在這些值中，分配給SubMain（0x00000000）的地址是最重要的，因為它是在設置可執行文件環境後將調用的main函數的地址。

儘管如此，如下面的圖20所示，該地址為空。如果SubMain值為0000 0000，那麼它是載入形式調用。

圖21: Muncy — 原始入口點（OEP）

在惡意軟體分析期間，未找到OEP。當惡意軟體在調試器內執行時，它會崩潰並觸發EXCEPTION_ACCESS_VIOLATION。 因此，調試器對此威脅分析不起作用。

圖22: 調試惡意軟體時會發生EXCEPTION_ACCESS_VIOLATION

接下來，又使用了幾種反VM和反調試技術來解壓惡意軟體，但它們沒有發揮出來作用。

8、繼續

回到動態分析，當惡意軟體被執行時，它會激活CPU; 事實上，脫殼進程已經啟動。

圖23: 解壓縮惡意軟體時CPU峰值

如圖4中所示的惡意軟體進過程，在惡意軟體生命周期中創建了兩個進程。

關於脫殼任務的第一個（PID 580）和與惡意軟體行為本身有關的第二個（PID 1256）。所有惡意行動都在此處進行。

圖24: 惡意軟體執行期間創建的兩個進程

脫殼後惡意軟體所做的事情之一（第二個進程，PID 1256）是在機器中大規模掃描，試圖從FTP文件中收集敏感信息。

圖25:惡意軟體試圖從FTP文件收集信息

此外，惡意軟體會在Windows Temp文件夾中創建一個臨時文件（DFF90D.tmp）。無法從該文件中提取敏感信息。

圖26: 惡意軟體在Windows臨時文件夾中創建文件

此外，還會在臨時文件中創建一個.bat文件，然後通過Windows PowerShell（PID 2552）執行該文件。

圖27: 惡意軟體創建的.bat文件

該文件由惡意軟體（父PID = 1256）創建，它接收argv向量中的參數 - 目標文件。該文件已刪除。此外，刪除惡意軟體執行期間創建的所有文件。powershell進程正在運行.bat文件中的代碼。

.bat文件刪除自身，其他文件名通過argv數組傳遞。查看文件中的源代碼。

:ktk

del %1

if exist %1

goto ktk

del %0

現在監控機器上的所有網路流量，但未連接Internet。

9、下一階段 —安裝目標軟體

為獲取有關惡意軟體的更多詳細信息，我們在新計算機上再次運行惡意軟體。該機器安裝並執行了Firefox瀏覽器，CutePDF和Filezilla。

在這個階段，我們發現惡意軟體查找一些目標文件夾和文件！

圖27: 找到了一些目標文件

此時，在惡意軟體執行之後，觀察到與特定域名的通信。

惡意軟體嘗試解析DNS：sameerd.net。

圖28: 惡意軟體解析域名sameerd.net

事先，我們模擬了一個虛假的互聯網，並收到了惡意請求。

圖29: P由Muncy惡意軟體執行的OST請求

惡意軟體試圖在埠80上向/grace/panelnew/gate.php發送POST請求。

圖30: POST請求的內容

POST內容以二進位編碼，無法解碼其內容。Wireshark執行的解壓縮過程也產生了錯誤。

為了驗證域名是否在埠80上響應，執行telnet連接。如圖所示，DNS尚未解析。

[ptavares@ ~]$ telnet sameerd.net 80

telnet: could not resolve sameerd.net/80: Name or service not known

該域名處於離線狀態，但可以在Shodan上獲得一些指標，它在2019-02-12進行最後一次更新。

圖31: 惡意DNS的可用埠

根據VirusTotal，可以驗證此域名與最近幾天的三次檢測相關 - 正在分析的惡意軟體。

該惡意軟體於2月12日由SI-LAB首次提交（首次在VT上）。

圖32:VT惡意軟體檢測

如圖所示，該域名於2月12日創建。

圖33: 域名創建日期

此外，還有其他passive DNS也在2月4日至12日之間創建（文章末尾的完整列表）。

圖34: passive DNS

三、總結

Muncy惡意軟體顯示惡意行為者如何快速改變攻擊技術和組件特徵。因此，檢測其意圖非常困難，這使惡意軟體分析人員的工作變得更加困難！

如圖所示，靜態代碼分析甚至調試器的使用都變得低效，並且當調試器運行時，惡意軟體只是觸發了規避分析的錯誤。

儘管有這些細節，但通過動態分析收集了有關此威脅的指標。一些有趣的行為，例如觀察到掃描FTP文件。

IoC

Hashes

·7eb38ece89e903d298d7cf03b3aec69d

·4df6d097671e0f12b74e8db080b66519

C2

·http://sameerd.net/group2/panelnew/gate.php

·157.230.41.249

DNS replication

1. 2019-02-12 sameerd.net

2. 2019-02-12 sameerd.org

3. 2019-02-12 totamnd.com

4. 2019-02-12 sameerd.info

5. 2019-02-12 totamnd.net

6. 2019-02-12 teamdodman.com

7. 2019-02-12 womned.com

8. 2019-02-12 dodmantv.com

9. 2019-02-12 dodmen.com

10. 2019-02-12 yourdodman.com

11. 2019-02-12 sameerd.com

12. 2019-02-12 sameer-d.com

13. 2019-02-12 womned.info

14. 2019-02-12 totamnd.info

15. 2019-02-12 wom-ned.com

16. 2019-02-12 totamnd.co

17. 2019-02-12 womned.org

18. 2019-02-12 totamnd.org

19. 2019-02-11 wromandf.info

20. 2019-02-11 e-moran.com

21. 2019-02-11 wromandf.net

22. 2019-02-11 emorat.live

23. 2019-02-11 wromandf.org

24. 2019-02-11 solutionsofds.com

25. 2019-02-11 emorat.co

26. 2019-02-11 smofds.net

27. 2019-02-11 smofds.org

28. 2019-02-11 emoran.net

29. 2019-02-11 wromandf.live

30. 2019-02-11 emoran.info

31. 2019-02-11 emorat.org

32. 2019-02-11 smofds.info

33. 2019-02-11 wromandfsolutions.com

34. 2019-02-11 emorat.net

35. 2019-02-11 smofds.biz

36. 2019-02-11 emoran.org

37. 2019-02-11 emorats.com

38. 2019-02-09 buydcsaevadfr.com

39. 2019-02-09 thedcsaevadfrgroup.com

40. 2019-02-09 dcsaevadfrrealestate.com

41. 2019-02-09 dcsaevadfr.com

42. 2019-02-09 thedcsaevadfrproject.com

43. 2019-02-09 dcsaevadfrco.com

44. 2019-02-09 dcsaevadfrs.com

45. 2019-02-09 mbvyr-rt.net

46. 2019-02-09 mjnbhgui87ue.net

47. 2019-02-09 mbvyr-rt.com

48. 2019-02-09 mbvyrrtmail.com

49. 2019-02-09 themjnbhgui87uestore.com

50. 2019-02-09 mjnbhgui87ue.com

51. 2019-02-09 mjnbhgui87ues.com

52. 2019-02-09 themjnbhgui87uegroup.com

53. 2019-02-09 a7trhn.com

54. 2019-02-09 themjnbhgui87ue.com

55. 2019-02-09 a7trhnasa.net

56. 2019-02-09 a7trhnasa.com

57. 2019-02-09 vreqvq53.com

58. 2019-02-09 vreqvq53.net

59. 2019-02-09 sfdgaewsrg.net

60. 2019-02-09 sfdgaewsrg.com

61. 2019-02-09 dvsdfes.com

62. 2019-02-09 asdvwae.net

63. 2019-02-09 dvsdfes.net

64. 2019-02-09 dfbhasd.com

65. 2019-02-09 dfbhasd.net

66. 2019-02-09 asdvwae.com

67. 2019-02-07 ydshfgkdsfs.com

68. 2019-02-07 ourydshfgkdsf.com

69. 2019-02-07 theydshfgkdsfgroup.com

70. 2019-02-07 theydshfgkdsf.com

71. 2019-02-07 theydshfgkdsfstore.com

72. 2019-02-04 jacobnpowers.me

73. 2019-02-04 michaelkirbyco.me

Yara 規則

import "pe"rule Muncy_Trojan_201902

參見: https://github.com/sirpedrotavares/SI-LAB-Yara_rules

在線沙盒

https://www.virustotal.com/#/domain/sameerd.net

https://www.hybrid-analysis.com/sample/9275a67d256685193901bd62bd5abb5fa51d6442131ca2b0b1fed70e11db293d

https://www.hybrid-analysis.com/sample/9275a67d256685193901bd62bd5abb5fa51d6442131ca2b0b1fed70e11db293d/5c695f997ca3e1467b7358b3

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！