JasperLoader：主攻義大利的惡意軟體載入器

簡介

在過去的幾個月里，出現了一種名為JasperLoader的新型惡意軟體載入器，它以義大利和其他歐洲國家為目標，分發Gootkit等銀行木馬。我們最近也發表過JasperLoader相關特性的全面分析，在報告發表後不久，與之有關的分發活動就停止了。但經過幾周的潛伏之後，我們發現JasperLoader的一個新版本正在傳播。與初始版本相比，此版本有幾個變化和改進的地方。JasperLoader通常用額外的惡意軟體payload來感染系統，這些payload可用於泄露敏感信息、破壞系統或對組織產生其他負面影響。

此次行動背後的攻擊者有計劃地控制惡意軟體的傳播，還採取了相應的措施避免安全人員的分析，同時用到了一種新的機制來改進受感染系統和C2之間的通信。目前，JasperLoader還在持續對義大利擴散著威脅，攻擊者也未間斷對此惡意軟體的改進工作，使之變得越來越複雜，在未來我們可能會看到JasperLoader的多種版本。

惡意軟體分發上的改變

正如我們之前在對JasperLoader的分析中所提到的，JasperLoader採用了一個多階段的感染過程，其特點是使用了幾種混淆技術，使得分析更加困難。在感染初始階段，攻擊者利用一個名為Posta Elettronica Certificata (PEC)的服務來分發惡意郵件，PEC是一種經過認證的電子郵件服務，2019年初，義大利通過了PEC相關法案，這項新立法要求義大利企業使用電子發票來交付B2B和B2C交易的發票。攻擊者嗅覺敏銳地意識到了可以利用新方案增加自身的可信度，誘使更多受害者打開惡意郵件。

不過現在，攻擊者對惡意軟體分發的方式做了一些改變。

我們最初看到的樣本中，郵件攜帶了一個ZIP文件，其中包含VBS文件，一旦打開便會開啟感染過程。而在當前版本中，攻擊者不再直接使用附件。

上圖是初始樣本的郵件內容，由義大利語編寫，並帶有一個惡意附件，該郵件標題為「postacert.eml」，打開電子郵件後會彈出以下內容：

上圖則是此次攻擊中發現的新樣本，也是分發過程開始開始轉變的地方。電子郵件不再攜帶附件，但是有一個超鏈接轉到地址hxxp:\tribunaledinapoli[.]recsinc[.]com/documento.zip，同時鏈接末端加上了郵件中的一個參數。例如，完整的URL是hxxp:\tribunaledinapoli[.]recsinc[.]com/documento.zip?214299，數字214299是電子郵件本身中引用的數字。該地址看似沒什麼問題，會得到來自Web伺服器的HTTP 302響應。 HTTP 302是用於臨時移動的重定向代碼，多年來一直被攻擊者濫用，比如幾年前流行的利用302緩衝的漏洞利用工具包。

該鏈接會重定向到www.cnnic [.] cn，即中國互聯網路信息中心（CNNIC）。顯然，這個域名對用戶而言是無害的，只會讓他們感到一頭霧水，所以我們決定開始研究潛在的地理定位。

地理定位是一種技術，攻擊者使用它來確保所有的受害者都來自特定的地區或國家，而像我們這樣的研究人員很難追蹤到這種活動。地理定位經常由APT組織使用，但不常用於像JasperLoader這樣的軟體。為了測試，我們將流量路由到了義大利IP空間。

當流量通過義大利IP空間路由時，結果會有很大差異。返回請求是一個ZIP文件，其中包含一個惡意VBS文件，該文件類似於我們發現的早期樣本。執行此VBS文件後，感染過程啟動並安裝載入程序。

這也說明JasperLoader在繼續利用域名陰影(Domain Shadowing)，並在攻擊者控制的子域之間快速移動。下圖顯示了與JasperLoader利用的某一C2域的DNS解析，雖然範圍有限，但能看出有超過95％的攻擊事件來自義大利，地理定位保護措施似乎是成功的。

JasperLoader的感染過程仍具有多階段的特徵，包括用於在系統上建立立足點，啟動與攻擊者控制的基礎設施的通信，並實現載入器的核心功能。雖然許多處理函數與我們之前對JasperLoader的分析中描述的類似，但是惡意軟體的操作有幾個顯著的變化，這些變化將在下面的小節中描述。

額外的混淆層

與之前在JasperLoader感染過程中所看到的類似，攻擊者依靠多層混淆來試圖隱藏惡意軟體的動作。混淆機制通常是利用字元替換機制，並在運行時通過數學計算來重構將要執行的PowerShell指令。惡意軟體利用的的Visual Basic腳本(VBS)下載器也使用相同的過程。

在當前行動中，攻擊者引入了額外一層混淆，用字元替換來進一步模糊底層的PowerShell。 對VBS進行反模糊處理後，底層PowerShell為：

對上圖中的每個字元替換後會變成第一階段的PowerShell，該文件用於從C2檢索其他階段。這一階段PowerShell的樣本是:

此PowerShell與之前的JasperLoader中的內容類似，但還有一些顯著差異。

誘餌文件

從第一階段的PowerShell中可以看出，它從指定的URL檢索PDF並將其顯示給用戶。 此PDF不是惡意的，只是設計用作誘餌文檔，這樣當用戶執行VBS時，就會有一個預期的結果。

雖然受害者只是看到上面的PDF，但在後台感染過程仍在繼續，惡意軟體會繼續檢索第二階段。

地理位置過濾

JasperLoader中的一個變化是引入了基於地理位置的過濾，用於感染過程的交付階段。在以前版本的JasperLoader中，感染過程的每個階段都使用了Get-UICulture PowerShell cmdlet，並在系統配置為使用與中國，俄羅斯，烏克蘭或白俄羅斯相關聯的語言包時終止。最新版本的JasperLoader添加了額外的檢查——羅馬尼亞語，如果用戶正在使用上述語言設置中的任意一個，則將中止感染進程。

最新版本的JasperLoader中添加的另一個新特性是對基於管理程序的環境的檢測。在許多情況下，惡意軟體將執行各種檢查，以確定它是否在虛擬環境中執行，如是則終止執行，以避免被沙箱或反惡意軟體解決方案分析。

JasperLoader的最新版本引入了查詢Windows管理工具子系統(WMI)的機制，以獲得被感染系統的模型，通過檢查模型標識符，看看它是否匹配以下管理程序:

VirtualBox

VMware

KVM

如果包含上述任一程序，惡意軟體都將終止執行，並且不會在系統上執行任何其他操作。此後在感染過程的每個階段都要進行同樣的檢查。

第3階段功能/Payload檢索

雖然第2階段發生了一些細微的變化，他們大多是相關文件存儲位置、文件命名約定和其他基礎上修改，但整體功能，包括檢索、去混淆、執行第二階段進入第三階段的過程仍相對不變。有關此過程如何工作的詳細信息，請參閱我們之前的文章。

大多數正在進行的開發活動似乎都集中在JasperLoader感染過程的第3階段，因為這是JasperLoader的大部分功能所在階段。最新版本的JasperLoader去掉了惡意軟體在重啟後也能保持存在的機制，引入了保護C2通信的機制，通過更強大的機制來確保JasperLoader的更新能有效地傳播到JasperLoader殭屍網路中的所有系統。

持久性機制

在以前版本的JasperLoader中，惡意軟體將通過在系統的Startup文件夾中創建惡意Windows快捷方式（LNK）來獲取受感染系統的持久性。最新版本的JasperLoader也使用Task Scheduler完成了這項工作。使用以下語句在受感染的系統上創建計劃任務：

schtasks.exe /create /TN "Windows Indexing Service" /sc DAILY /st 00:00 /f /RI 20 /du 24:59 /TR (Join-Path $bg_GoodPAth "WindowsIndexingService.js");

這將創建一個定期重新啟動JasperLoader的計劃任務。如果這個過程失敗，JasperLoader將恢復到使用快捷方式進行持久化。

自動恢復的C2機制

JasperLoader中新加的另一個功能就是基於時間流的自動恢復C2域名檢索機制，惡意軟體指定默認的C2域，如果該域不可用，則使用系統上的當前日期生成一系列恢復域名，惡意軟體將嘗試使用這些域進行C2通信。

與之前版本的JasperLoader不同的是，惡意軟體還實現了新的bot註冊和ID生成機制，並利用不同的信息為每個系統創建一個唯一的標識符。和以前一樣，此信息作為HTTP GET請求中的參數傳遞給C2，並使用以下內容生成：

一個有意思的PowerShell構件

與JasperLoader的第3階段相關聯的PowerShell中有一個有趣的構件，它位於一個名為BG_SelectDomen()函數中，該函數負責定義用於未來通信的C2域。「domen」一詞翻譯過來就是「領域」，這個詞在包括羅馬尼亞在內的多個國家被廣泛使用。

雖然這是一個低可信度指標，但對地理定位而言是很有意義的，以確定它是否應該繼續在受感染的系統上執行。

Payload傳遞

在分析最新的JasperLoader活動期間，我們無法接收到從攻擊者的C2基礎設施獲得惡意PE32所需的命令和URL信息，但C2通信通道仍然處於活動狀態，也還在發信號。

這可能是由於JasperLoader此時還沒有被攻擊者廣泛使用。殭屍網路操作人員可能為了構建其功能而正試圖獲取JasperLoader感染，以便將其貨幣化，好在之後能利用殭屍網路分發其他的惡意軟體。有報告表明GootKit可能再次成為之後行動的首選payload。

結論

新的JasperLoader活動已經表明，攻擊者在不斷改進他們的攻擊手段，以提高感染能力，同時盡量避免被檢測和分析到。JasperLoader進化速度是非常快的，攻擊者開發額外功能、增加混淆層，以及添加躲避虛擬機和地理定位的措施都是在較短時間內迭代的。從這點我們也能看出攻擊者致力於使JasperLoader成為一個健壯靈活的威脅體系，可以隨著安全控制和檢測能力的變化而快速更新。

雖然JasperLoader相對於其他成熟的惡意軟體載入器來說還是比較新的，但隨著其殭屍網路的不斷增長，它很可能會在未來承載更多惡意軟體payload，操作人員只需利用已經感染的系統，按下一個按鈕或發出一條命令，就能造成大規模的破壞。

IoC

Domains

breed[.]wanttobea[.]com

zzi[.]aircargox[.]com

nono[.]littlebodiesbigsouls[.]com

tribunaledinapoli[.]recsinc[.]com

tribunaledinapoli[.]prepperpillbox[.]com

tribunaledinapoli[.]lowellunderwood[.]com

tribunaledinapoli[.]rntman.com

IP addresses

185[.]158[.]251[.]171

185[.]158[.]249[.]116

Hashes

052c9895383eb10e4ad5bec37822f624e443bbe01700b1fe5abeeea757456aed

ee3601c6e111c42d02c83b58b4fc70265b937e9d4d153203a4111f51a8a08aab

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！