欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_人物事迹正文

Advisorsbot要回归了

b9e08c31ae1faa592019-02-2046

Cybaze- Yoroi ZLab平安研究人员近来剖析了一个特别的歹意软件样本。该歹意软件样本看起来像一个正当的email附件,名为invoice.doc。含有宏的兵器化的office文档是流传歹意软件最经常运用和最有用的要领之一,由于这些文档一样平常都运用简朴的社会工程技能来诱运用户启用宏。

歹意软件的沾染链工作流如下图所示:

1549202746835192.png Advisorsbot要回归了  第1张

图1 – 歹意软件工作流

手艺剖析

1549201549158720.png Advisorsbot要回归了  第2张

表1 – 开释器信息

1549201565491447.png Advisorsbot要回归了  第3张

表2 – 捏造的PNG, powershell剧本信息

翻开后,文档会请求用户启用宏剧本,而宏剧本是严峻殽杂了的能够绕过静态检测。

1549202790167457.png Advisorsbot要回归了  第4张

图2 – 请求用户启用宏

宏代码会经由过程powershell挪用WebClient工具来下载一个文本字符串,然后生存为.png文件扩大,然后经由过程iex运转该文件。

1549202805322039.png Advisorsbot要回归了  第5张

图3 – 启动歹意软件沾染的VBS剧本片断

该剧本含有分歧的base64编码的渣滓数据,如图4所示。

1549202833628122.png Advisorsbot要回归了  第6张

图4 –捏造的PNG图象中base64编码的代码片断

反殽杂后发明了C2的IP地点,该地点与下载全部剧本的IP地点是雷同的。

1549202841182812.png Advisorsbot要回归了  第7张

图5 – 反殽杂的C2 IP

符号为$jdH9C的第二个剧本片断是紧缩的Gzip流工具。解码后研究人员发明可实行文件生存在内存流中:

1549202858869657.png Advisorsbot要回归了  第8张

图6 – 硬编码在捏造的PNG剧本中的DLL

对二进制文件的剖析拜见下一局部:DLL剖析。

Base64代码是直接经由过程iex原语实行的。然则它挪用的都黑白库函数,即从之前援用的dll文件中加载的函数。

在剧本中,研究人员发明nvtTvqn能够收集关于受害者机械的信息。

1549202877523251.png Advisorsbot要回归了  第9张

图7 – 歹意软件盗取的信息

歹意软件盗取的信息包孕:

· 体系信息

· 计算机IP地点

· 收集状况

· 运转的历程列表

· 可用的权限

· 用户名

· 域管理员

· 桌面的文件

-------------------------------------

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

-------------------------------------

· 计算机中装置的反病毒产物

另一个风趣的函数就是j2aYhH:

1549202965162886.png Advisorsbot要回归了  第10张

图8 – 歹意软件盗取的账户和邮件

函数j2aYhH会盗取受害者机械上注册的一切邮件账号。在代码中有一个函数CRIZ可用考证是不是装置了Outlook客户端。

1549202983896092.png Advisorsbot要回归了  第11张

 图9 – 歹意软件搜刮注册表key

DLL剖析

Powershell剧本会运用从可实行文件中导出的函数。

1549201620500615.png Advisorsbot要回归了  第12张

 表3 – DLL信息

该文件是一个重要平安平台还没有纪录的动态链接库。

1549203011325906.png Advisorsbot要回归了  第13张

图10 – Virus Total中的DLL效果

该库嵌入了运转在.NET框架上的MSIL代码,以是可用直接规复源码。

1549203170700482.png Advisorsbot要回归了  第14张

图11 –DLL的静态剖析

提取的代码含有用于多个功用的有用函数,好比天生伪随机的装置途径。

1549203184962362.png Advisorsbot要回归了  第15张

图12 –DLL中的函数源码

实际上函数kaYchi会接办3个参数,分别是id, status, post,可用建立.asp和jpg两种扩大的文件,若是post参数为true就建立.asp扩大的文件,不然就建立.jpg扩大的文件。

1549203203841561.png Advisorsbot要回归了  第16张

图13 –天生.asp或.jpg扩大的文件来写入/发送受害者信息到C2的函数

研究人员剖析时C2服务器(162.244.32.180)已下线了。

歹意软件会实验从C2下载其他组件,并用iex原语实行。

近来的DNS运动是在2018年12月。现在多个平安社区已将该IP地点符号为歹意的了。该IP地点位于美国。

1549203224508175.png Advisorsbot要回归了  第17张

图14 –C2的DNS

1549203236126661.png Advisorsbot要回归了  第18张

图15 – C2的干系图

域名zosmogroel.com停止2018年12月18日照样活泼的,研究人员还发明了一个与SHA-1署名98b637715fa6429a60eed9b58447e967bf7e1018相干的证书。

1549203292865214.png Advisorsbot要回归了  第19张

图16 – zosmogroel.com证书

该署名与凌驾80个IP地点相干,进一步剖析发明这些IP地点曩昔被其他歹意软件样本用作dropurl。

1549203260794967.png Advisorsbot要回归了  第20张

剖析的样本是AdvisorsBot,最早是2018年8月23日由Proofpoint剖析的,研究人员也在大众沙箱上发明了一些证据,长途C2 162.244.32.180在客岁8月以SHA256 030531a784f72f145bef98a3240283da88fe623904c066be179fbbe3a9150c48流传了Ursnif/Gozi变种162.244.32.180/yak0810.exe。末了的证据申明该基础设施也被用来流传其他歹意软件。

结论

研究人员的恶意软件勒索图中,通过电子邮件传播的武器化办公文件居首,其次是cve-2017-11882,这些文件滥用了DDE协议。原因之一是,万益软件并不依赖于成本低廉的0天缺陷应用程序,而是使用一种混乱的工艺层绕过最终解决方案。许多APT结构使用harpoon trilon电子邮件和武器化办公文档作为附件。类似的攻击向量也出现在APT28的攻击运动中。

Cybaze-Yoroi ZLAB的研究人员敦促用户也这样做:在正常情况下不要启用宏,而是深入研究邮件的来源。

网友评论