muncy歹意软件剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

muncy歹意软件剖析

申博_行业观察 申博 551次浏览 已收录 0个评论

一、简介

在过去的几天里,DHL为全球用户推出了一个名为“DHL托运关怀”的网络。

芒西是si-lab对这种威胁的称呼。今天,恶意软件面向全球用户,并通过网络垂直伦动传播开来。

恶意攻击者使用它来设置有问题的SMTP服务器。用邮件技巧伪装DHL;著名的快递公司;将装运说明发送到用户的电子邮件收件箱。

用于执行此攻击的电子邮件是:<[email protected][.]com>。

这种技术并不新鲜,而且许多在线可用的Web服务器都没有准确的安全设置来防止此类攻击。

muncy歹意软件剖析

接见电子邮件的用户须要提取歹意附件。歹意软件是一个.exe文件,用于扫描用户的盘算机并网络信息,包孕FTP数据。

下面的流程图显现了歹意软件的事变道理。

muncy歹意软件剖析

歹意软件已加壳,初次实行后,将建立并实行新历程(解压缩的歹意软件)。 该历程在用户的C:\驱动器中实行批量扫描,猎取敏感信息,发送到由骗子治理的域名sameerd[.]net。

在歹意软件沾染生命周期时期,用户装备中未发明持久性。

吸收此类电子邮件的用户应当晓得他们是交际工程运动的一局部。若是没有任何定单,那末疏忽它。

SI-LAB已关照了DHL公司,但现在并没有公然批评。

有关细致信息,请参阅下文。

二、手艺剖析

· 要挟名: DHL Original Receipt_PDF.exe
· 原始文件名: Muncy.exe
· MD5: 4df6d097671e0f12b74e8db080b66519
· SHA-1: 568035f0e96b9e065049491004ccee5a4cd180c7
· Imphash: 8a6e3bc29ee49f829483143f1dc39442

在上周,Segurança Informática(SI)实验室肯定了旨在经由历程DHL货运关照装置Muncy歹意软件的沾染实验。歹意电子邮件包罗针对引诱受害者量身定制的经由历程网络垂纶运动流传的特定木马。

1.DHL网络垂纶运动试图假装DHL

应用毛病的SMTP服务器设置装备摆设,歹意进击者正在发送假装DHL的网络垂纶电子邮件(拜见图1)。

muncy歹意软件剖析

图1:电子邮件正文和歹意附件

对歹意电子邮件的开端剖析显现,域名(duntonintlsrc.com)用于向目的SMTP服务器day EHL。设置装备摆设毛病的SMTP服务器是流传歹意运动的载体。

muncy歹意软件剖析

图2:电子邮件诳骗和DHL模仿

细致地说,视察到的第一波运动发作在2019年2月12日。这是一个值得记着的重要目标。

电子邮件正文不是纯文本邮件,而是嵌入了PNG图象 ,我们能够视察到电子邮件已从当地途径增添:C:/Users/Administrator/Desktop/DHL.png。

muncy歹意软件剖析

图3: 邮件体

2、Muncy歹意软件 – 近来呈上升趋势

Muncy歹意软件是如今最活泼的特洛伊木马之一。由于其原始称号在可实行文件中硬编码,SI-LAB将其称为Muncy。Muncy歹意软件的各阶段组织如图4所示。

muncy歹意软件剖析

图4:Muncy歹意软件的事变道理

歹意软件已加壳,在剖析时期,我们没法脱壳。第一次实行后,它将解压缩到PE File .data局部,该局部在启动时为空。该要挟对一切C:\驱动器实行扫描,试图查找敏感数据和文件(主如果FTP文件),并将发送到由crooks治理的终端(sameerd.net)。

3、深切探讨

乍一看,它看起来像一个PDF文件 – 一种诳骗最大意用户的旧手艺。

muncy歹意软件剖析

图5:Muncy增添了一个PDF图标

此要挟得名于其原始文件名Muncy。请注重,英语是骗子检测和运用的重要言语,用于开辟此歹意软件。

其他风趣的字符串是CompanyName:Somers2和ProductName:HARPALUS8。

嗯,实在非常风趣。我们来视察一下吧。

· Somers2:没什么好玩的。

· Harpalus:Harpalus luteicornis是一种原产于Palearctic的甲虫。

muncy歹意软件剖析

让我们看下一个能够找到上述信息的图。

muncy歹意软件剖析

muncy歹意软件剖析

图6:原始Muncy

FileVersion也很风趣(1.01.0005) – 这类要挟好像仍在开辟中。

让我们仔细看看吧。该文件具有高熵,并且注重到两个偏移(0x71000和0x7F400)的熵在增添。

muncy歹意软件剖析

muncy歹意软件剖析

图7:Muncy熵偏移

视察熵增添的偏移很有意义。为了证明我们的发明,让我们看一下图8中描写的熵曲线。

muncy歹意软件剖析

图8:文件熵曲线

重点强调两个风趣的看法:

· .text段熵(7.47):有些是加壳的。

· .data段巨细为(零)。该段用于解压缩一些器械。

别的,可实行文件中显现的数字证书也对.text局部中的高熵有贡献。我们能够很轻易的视察到下面显现的文件叠加偏移量。

muncy歹意软件剖析

muncy歹意软件剖析

图9: 可实行的掩盖,数字证书建立日期、称号和组织

别的,我们须要注重以下三点:

· 垂纶邮件于2月12日收到。

· 证书建立日期为2月11日(前一天)。

· 我们稍后会议论这一点

4、继承剖析Muncy

PE文件有三个段:.text,.data和.rsrc; 个中两个是可疑的。为何?请注重。

.text段加壳并具有高熵。一般发明没有与高熵相干的数据。比方,加密的代码片断具有高熵联系关系。

第二个注重:.data段; 它的巨细等于零(它是空的),并且假造巨细(0xbb4)。脱壳后会将歹意软件注入此处。这是一个运转时加壳顺序!

muncy歹意软件剖析

图10: 歹意软件熵和可疑段

下图确认大局部二进制数据被加壳(拜见熵 – 中央)。

muncy歹意软件剖析

图11: 二进制数据

Muncy歹意软件是在VisualBasic 6.0中开辟的,并运用p代码编译,以下所示。

muncy歹意软件剖析

图12: 用于开辟Muncy歹意软件的编译器

5、Bonus:为何歹意软件会运用VB 5.0 / 6.0?

在Visual Basic(VB)剧本上实行剖析很难。不幸的是,当Visual Basic被编译为Windows可移植可实行文件(PE)时,它可能成为很多歹意软件剖析职员和逆向工程职员的恶梦。

由于编译的很多方面与规范C / C二进制文件分歧,Visual Basic二进制文件因使剖析职员事变难题而著名。要剖析VB PE二进制文件,须要熟习VB剧本语法和语义,由于它们的组织将出如今全部二进制文件的反汇编中。VB二进制文件有本身的由Microsoft的VB假造机诠释(VB 6.0运用msvbvm60.dll)的API。很多API都封装的是其他体系DLL中经常使用的Win32 API。

逆向VB二进制文件一般触及针对种种VB API的逆向,这是很多人怕惧的义务。

VB5 / 6能够编译为native或pcode。纵然在原生顺序中,顺序流与进口点不是线性的,而是基于在启动时通报到vb运转时的表单,模块和类组织。

细致地说,歹意软件导入MSVBM60.DLL(Microsoft Visual Basic Machine,如JVM  –  Java假造机)。IAT中存在的另一个重要DLL是shell.dll,它将用于实行多个操纵,如翻开、建立和删除文件,翻开Windows PowerShell等。

muncy歹意软件剖析

muncy歹意软件剖析

图13:歹意软件的IAT

MSVBVM60.DLL中的很多导入函数如今被AV引擎归类为歹意(拜见图14)。

muncy歹意软件剖析

图14:歹意软件IAT中被列入黑名单的函数

但请记着,良性软件也可准确运用黑名单里的函数。从这个意义上讲,从图14中提取的信息将是误报。

6、Muncy – 歹意软件反编译

经由历程剖析歹意软件,能够反汇编歹意软件的p代码。 这是剖解这一要挟的准确要领。

我们能够看到在API声明中声清楚明了四个子例程,即从shell32.dll导入的inconforming5,farfel3和ondascop9,从kernel32 DLL导入的子例程waterbed。

muncy歹意软件剖析

图15: 源代码中的API声明

细致地说,歹意软件具有声清楚明了一些工具的表单(passagang)。只管如此,一切反汇编的代码都没有为我们的剖析增添太多细节,由于图15中所示和上面议论的子例程的源代码未加载(API子例程)。之所以发作这类状况,是由于歹意软件已加壳并正在躲避逆向工程。

muncy歹意软件剖析

图16: 歹意软件反编译

固然,若是顺序编译为p代码(本例),则反编译成功率会下降,并且不会纪录其他输入。

代码非常难,并且加壳。

muncy歹意软件剖析

muncy歹意软件剖析

图17: 加壳的歹意软件

然则,发清楚明了一些在歹意软件中硬编码的字符串 – 它们用于对照图15中一个加壳API的效果。我们没法取得更多细节,但我们疑心它们用于实行FTP暴力进击。

muncy歹意软件剖析

图18: 在歹意软件中硬编码的字符串

我们在歹意软件实行时期实行内存转储。如图所示,发清楚明了其他字符串 – 多是在开始时隐蔽并硬编码在加壳的歹意软件。

muncy歹意软件剖析

图19: 从内存中提取的字符串和检测到的歹意端点

在这里,须要剖析一个风趣的看法,发清楚明了crooks治理的端点被(http://sameerd[.]net/grace/panelnew/gate.php)。稍后将对其举行进一步剖析。

7、深切Muncy – 动态剖析

VB6的一个重要方面与VB6缺乏官方文档有关。关于没有深切相识atmsvbvm60.dll的人来讲,VB6假造机的内部事变道理及其导出函数的功用关于任何人来讲都是一个谜。

将歹意软件加载到调试器中,我们能够看到以下内容。

muncy歹意软件剖析

图19: Muncy的进口点

在挪用MSVBVM60.ThunRTMain之前,我们正位于可实行文件的第一条指令上,该指令将地点压入客栈(arg1)。

检察ThunRTMain函数,我们发明它只须要一个参数(地点0x4763BC被推送到客栈),该参数是指向VBHeader组织的指针,该组织通知应用顺序怎样启动。这个VBHeader组织出如今内存中,如图所示(图20):

muncy歹意软件剖析

图20: Muncy VBHeader组织

在这些值中,分配给SubMain(0x00000000)的地点是最重要的,由于它是在设置可实行文件情况后将挪用的main函数的地点。

只管如此,以下面的图20所示,该地点为空。若是SubMain值为0000 0000,那末它是加载情势挪用。

muncy歹意软件剖析

图21: Muncy — 原始进口点(OEP)

在歹意软件剖析时期,未找到OEP。当歹意软件在调试器内实行时,它会瓦解并触发EXCEPTION_ACCESS_VIOLATION。 因而,调试器对此要挟剖析不起作用。

muncy歹意软件剖析

图22: 调试歹意软件时会发作EXCEPTION_ACCESS_VIOLATION

依据文献,若是发作EXCEPTION_ACCESS_VIOLATION(0xC0000005)或EXCEPTION_GUARD_PAGE(0x80000001)非常并且不在内存断点的范围内,则钩子返回未处理事宜的状况。 这隐蔽了珍爱页面检测要领中的调试器。

接下来,又运用了几种反VM和反调试手艺来解压歹意软件,但它们没有发挥出来作用。

8、继承

回到动态剖析,当歹意软件被实行时,它会激活CPU; 事实上,脱壳历程已启动。

muncy歹意软件剖析

muncy歹意软件剖析

图23: 解压缩歹意软件时CPU峰值

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

如图4中所示的歹意软件进历程,在歹意软件生命周期中建立了两个历程。

关于脱壳义务的第一个(PID 580)和与歹意软件行为本身有关的第二个(PID 1256)。一切歹意行为都在此处举行。

muncy歹意软件剖析

图24: 歹意软件实行时期建立的两个历程

脱壳后歹意软件所做的事变之一(第二个历程,PID 1256)是在机械中大范围扫描,试图从FTP文件中网络敏感信息。

muncy歹意软件剖析

图25:歹意软件试图从FTP文件网络信息

别的,歹意软件会在Windows Temp文件夹中建立一个临时文件(DFF90D.tmp)。没法从该文件中提取敏感信息。

muncy歹意软件剖析

图26: 歹意软件在Windows临时文件夹中建立文件

别的,还会在临时文件中建立一个.bat文件,然后经由历程Windows PowerShell(PID 2552)实行该文件。

muncy歹意软件剖析

muncy歹意软件剖析

muncy歹意软件剖析

图27: 歹意软件建立的.bat文件

该文件由歹意软件(父PID = 1256)建立,它吸收argv向量中的参数 – 目的文件。该文件已删除。别的,删除歹意软件实行时期建立的一切文件。powershell历程正在运转.bat文件中的代码。

.bat文件删除本身,其他文件名经由历程argv数组通报。检察文件中的源代码。

:ktk   
  del %1  
  
if exist %1
  goto ktk
  
del %0

如今监控机械上的一切网络流量,但未衔接Internet。

9、下一阶段 —装置目的软件 

为猎取有关歹意软件的更多细致信息,我们在新盘算机上再次运转歹意软件。该机械装置并实行了Firefox浏览器,CutePDF和Filezilla。

在这个阶段,我们发明歹意软件查找一些目的文件夹和文件!

muncy歹意软件剖析

图27: 找到了一些目的文件

此时,在歹意软件实行以后,视察到与特定域名的通讯。

歹意软件实验剖析DNS:sameerd.net。

muncy歹意软件剖析

图28: 歹意软件剖析域名sameerd.net

事前,我们模仿了一个子虚的互联网,并收到了歹意要求。

muncy歹意软件剖析

图29: P由Muncy歹意软件实行的OST要求

歹意软件试图在端口80上向/grace/panelnew/gate.php发送POST要求。

muncy歹意软件剖析

图30: POST要求的内容

POST内容以二进制编码,没法解码其内容。Wireshark实行的解压缩历程也产生了毛病。

为了考证域名是不是在端口80上相应,实行telnet衔接。如图所示,DNS还没有剖析。

[[email protected] ~]$ telnet sameerd.net 80
telnet: could not resolve sameerd.net/80: Name or service not known

该域名处于脱机状况,但能够在Shodan上取得一些目标,它在2019-02-12举行末了一次更新。

muncy歹意软件剖析

图31: 歹意DNS的可用端口

依据VirusTotal,能够考证此域名与近来几天的三次检测相干 – 正在剖析的歹意软件。

该歹意软件于2月12日由SI-LAB初次提交(初次在VT上)。

muncy歹意软件剖析

图32:VT歹意软件检测

如图所示,该域名于2月12日建立。

muncy歹意软件剖析

图33: 域名建立日期

别的,另有其他passive DNS也在2月4日至12日之间建立(文章末端的完全列表)。

muncy歹意软件剖析

图34: passive DNS

三、总结

Muncy歹意软件显现歹意行为者怎样疾速转变进击手艺和组件特性。因而,检测其企图非常难题,这使歹意软件剖析职员的事变变得越发难题!

如图所示,静态代码剖析以至调试器的运用都变得低效,并且当调试器运转时,歹意软件只是触发了躲避剖析的毛病。

只管有这些细节,但经由历程动态剖析网络了有关此要挟的目标。一些风趣的行为,比方视察到扫描FTP文件。

IoC

Hashes

· 7eb38ece89e903d298d7cf03b3aec69d
· 4df6d097671e0f12b74e8db080b66519

C2

· http://sameerd.net/group2/panelnew/gate.php
· 157.230.41.249

DNS replication

1. 2019-02-12 sameerd.net 

2. 2019-02-12 sameerd.org

3. 2019-02-12 totamnd.com

4. 2019-02-12 sameerd.info

5. 2019-02-12 totamnd.net

6. 2019-02-12 teamdodman.com

7. 2019-02-12 womned.com

8. 2019-02-12 dodmantv.com

9. 2019-02-12 dodmen.com

10. 2019-02-12 yourdodman.com

11. 2019-02-12 sameerd.com

12. 2019-02-12 sameer-d.com

13. 2019-02-12 womned.info

14. 2019-02-12 totamnd.info

15. 2019-02-12 wom-ned.com

16. 2019-02-12 totamnd.co

17. 2019-02-12 womned.org

18. 2019-02-12 totamnd.org

19. 2019-02-11 wromandf.info

20. 2019-02-11 e-moran.com

21. 2019-02-11 wromandf.net

22. 2019-02-11 emorat.live

23. 2019-02-11 wromandf.org

24. 2019-02-11 solutionsofds.com

25. 2019-02-11 emorat.co

26. 2019-02-11 smofds.net

27. 2019-02-11 smofds.org

28. 2019-02-11 emoran.net

29. 2019-02-11 wromandf.live

30. 2019-02-11 emoran.info

31. 2019-02-11 emorat.org

32. 2019-02-11 smofds.info

33. 2019-02-11 wromandfsolutions.com

34. 2019-02-11 emorat.net

35. 2019-02-11 smofds.biz

36. 2019-02-11 emoran.org

37. 2019-02-11 emorats.com

38. 2019-02-09 buydcsaevadfr.com

39. 2019-02-09 thedcsaevadfrgroup.com

40. 2019-02-09 dcsaevadfrrealestate.com

41. 2019-02-09 dcsaevadfr.com

42. 2019-02-09 thedcsaevadfrproject.com

43. 2019-02-09 dcsaevadfrco.com

44. 2019-02-09 dcsaevadfrs.com

45. 2019-02-09 mbvyr-rt.net

46. 2019-02-09 mjnbhgui87ue.net

47. 2019-02-09 mbvyr-rt.com

48. 2019-02-09 mbvyrrtmail.com

49. 2019-02-09 themjnbhgui87uestore.com

50. 2019-02-09 mjnbhgui87ue.com

51. 2019-02-09 mjnbhgui87ues.com

52. 2019-02-09 themjnbhgui87uegroup.com

53. 2019-02-09 a7trhn.com

54. 2019-02-09 themjnbhgui87ue.com

55. 2019-02-09 a7trhnasa.net

56. 2019-02-09 a7trhnasa.com

57. 2019-02-09 vreqvq53.com

58. 2019-02-09 vreqvq53.net

59. 2019-02-09 sfdgaewsrg.net

60. 2019-02-09 sfdgaewsrg.com

61. 2019-02-09 dvsdfes.com

62. 2019-02-09 asdvwae.net

63. 2019-02-09 dvsdfes.net

64. 2019-02-09 dfbhasd.com

65. 2019-02-09 dfbhasd.net

66. 2019-02-09 asdvwae.com

67. 2019-02-07 ydshfgkdsfs.com

68. 2019-02-07 ourydshfgkdsf.com

69. 2019-02-07 theydshfgkdsfgroup.com

70. 2019-02-07 theydshfgkdsf.com

71. 2019-02-07 theydshfgkdsfstore.com

72. 2019-02-04 jacobnpowers.me

73. 2019-02-04 michaelkirbyco.me

Yara 划定规矩

import "pe"

rule Muncy_Trojan_201902 {
meta:
  description = "Yara rule for Muncy Trojan - February version"
  author = "SI-LAB - https://seguranca-informatica.pt"
  last_updated = "2019-02-12"
  tlp = "white"
  category = "informational"
strings:
  $a1 = "DOMICILIATING2" 
  $a2 = "chokepoint"
  $a3 = "kalie"
condition:
  all of ($a*) and pe.number_of_sections == 3 and (pe.version_info["OriginalFilename"] contains "Muncy.exe" and pe.version_info["ProductName"] contains "HARPALUS8") or (pe.version_info["OriginalFilename"] contains "  NUMA10.exe")
 }

申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明muncy歹意软件剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址