借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

申博_安全预警 申博 145次浏览 未收录 0个评论

概述

FormBook是一个信息盗取范例的歹意软件。与大多数其他信息盗取类歹意软件一样,它在布置到受害者的盘算机上时,会实行很多操纵来回避反病毒厂商产物的检测。固然,正如我们在Ursnif、Hancitor、Dridex和其他木马中看到的那样,有很多变种可以或许经由历程多种体式格局吸收Payload。

在曩昔的一年中,要挟行动者最经常运用的分发FormBook歹意软件的要领是借助歹意垂纶邮件并应用CVE-2017-8570破绽。详细而言,攻击者会运用包罗歹意代码的.RTF格式文件来应用这一破绽。

在本文中,我将重点存眷歹意Payload,并详细剖析该歹意软件的行动和IoC。

FormBook运用的反剖析手艺

起首,我们先从FormBook怎样阻挠歹意软件研究人员调试和剖析歹意软件最先。我们参考了其他研究人员的剖析效果,相识FormBook起首会遍历受害者主机上正在运转的历程。若是存在任何列入黑名单的历程,那末Payload将会住手沾染盘算机。

该歹意软件运用了大批的反剖析手艺,比方:黑名单中的历程列表、虚拟机检测机制、内存中字符串殽杂等,这些都是为了制止设置装备摆设中的memdump,从而防备被平安研究人员发明相干的字符串。

下面是本文中提到的一些列入黑名单中的历程。须要注重的是,除此之外,歹意软件还会查找VMWare和Parallels虚拟机实例,这两种虚拟机都有可以或许会被研究人员运用:

Vmtoolsd.exe, vmwareservice.exe, vmwareuser.exe, vboxservice.exe, vboxtray.exe, netmon.exe, Sandboxiedcomlaunch.exe, Sandboxierpcss.exe, procmon.exe, filemon.exe, wireshark.exe, prl_tools_service.exe, vmsrvc.exe, Vmusrvc.exe, python.exe, perl.exe, regmon.exe

为了运用procmon举行事宜捕捉,我挑选了“启用启动日记纪录”(Enable boot logging)选项,如许一来,就会为procmon建立效劳和驱动条目,直至下次启动。这将许可procmon在下次启动时捕捉体系事宜:

C:\Windows\System32\drivers\PROCMON24.SYS

运转FormBook Payload

如今,我们可以或许实行Payload,并剖析其运转历程。我从VZ中恣意挑选了一个样本。

SHA-1:ecb7b646b21e4940b9e68b55722f7755057c933c

在主机上布置Payload后,我们就可以或许检察其历程树:

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

这是它在启动后的模样:

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

须要注重的是,在全部沾染链中,都是用了正当的历程。这是经由历程历程镂空(Process Hollowing)和代码注入来完成的。

在每次运转时,包罗从新启动时,历程树都邑有所分歧。这些历程中已被注入代码,而且可以或许实行歹意软件的功用。

下面是FormBook用于回避检测所运用的正当历程列表(局部):

taskhost.exe, explorer.exe, svchost.exe, dwm.exe, cscript.exe, netstat.exe, raserver.exe, wscript.exe, wuapp.exe, cmd.exe, ipconfig.exe, lsass.exe, rundll32.exe, msdt.exe, mstsc.exe, msiexec.exe, systray.exe, audiodg.exe, wininit.exe, services.exe, autochk.exe, autoconv.exe, autofmt.exe, cmstp.exe, wuauclt.exe, napstat.exe, lsm.exe, netsh.exe, chkdsk.exe, msg.exe, nbtstat.exe, spoolsv.exe, rdpclip.exe, control.exe

FormBook歹意软件布置流程

我以Admin用户身份运转了样本Payload。

在第一阶段,Payload在%appdata%\local\temp\subfolder文件夹中投放了explorer.vbs剧本和另一个名为explorer.exe的MZ。固然,这并非真正的资源管理器,正如我们依据文件哈希值看到的那样:

SHA-1:dbaf9e4fc18d8744d5ee9d80bf7f4ef6e2d18bf7

在这里,我们可以或许检察.vbs文件的内容,和增加注册表值的敕令。

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

随后,VBS剧本运转explorer.exe,并停止原始Payload历程。

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

在这时候,还会注入到正当的explorer.exe:1320,它将会派生出msiexec.exe。这也是接下来要注入到代码中运转的内容。

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

经由代码注入后的正当explorer.exe将投放一个相似的Payload,作为另一种耐久化要领,它与歹意的explorer.exe是雷同的文件。

该可实行文件发生DllHost来写入大局部文件,但我们还发明,该文件也会写入到一些文件当中。针对分歧的盘算机,其布置的文件名和文件夹称号都在发生变化。

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

至此,主机已被沾染,其他相干操纵正在实行中。

CVE-2019-3568: WhatsApp 0 day破绽剖析

概述 5月14日,《金融时报》(Financial Times)报道称攻击者正利用WhatsApp的一个漏洞向受害者手机注入以色列公司NSO Group开发的先进间谍软件。WhatsApp是最流行的消息应用之一,在全世界有15亿用户。该公司的研究人员是在本月初发现这个缓冲溢出漏洞的,编号为CVE-2019-3568的漏洞存在于应用程序的VOIP堆栈中,允许攻击者向目标手机号码发送特制的SRTCP包实现远程执行代码。在iPhone或Android设备上该漏洞可以通过WhatsApp呼叫功能进行利用。整个攻击过程中不需要用户交互,受害者并不需要接听电话,呼叫记录通常也不会显示在日志里。 WhatsApp公司称已经在上周五发布的更新中修改了该漏洞。加拿大多伦多大学公民实验室的研究人员称,在WhatsApp工程师忙于堵上漏洞时有攻击者利用该漏洞针对了一位英国人权律师。对于攻击者利用NSO Group的间谍软件,该公司表示正在进行调查。 该漏洞CVE编号为CVE-2019-3568,Check Point研究人员对该漏洞进行了技术分析。 技术细节 Facebook的安全建议描述该漏洞为SRTCP协议的缓冲区溢出漏洞,所以研究人员首先对更新后的WhatsApp与之前版本进行差异分析以找出修复的代码。最终研究人员发现了SRTCP模块中的两处代码补丁: Size Check #1 修

在我们的样本中,msiexec.exe将连结活泼状况,并注入到浏览器当中,一旦耐久化机制被删除,该文件将卖力从新沾染。

IoC

1. 建立下述文件夹和文件:

(依据我们的测试,文件夹称号和文件称号随主机的分歧而发生变化)

· C:\Program Files\Rwpj8mp\mpxpsj78jvx8ftbp.exe

2. 建立下述文件夹和文件:

(针对一切被沾染主机,文件夹和文件的称号都雷同)

· C:\Users\Test_PC\AppData\Local\Temp\subfolder\explorer.vbs

· C:\Users\Test_PC\AppData\Local\Temp\subfolder\explorer.exe

3. 为包管耐久性,将建立2个条目,它们离别对应上述第2点中的条目:

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

关于FormBook的更多IoC

在沾染链完成今后,我们可以或许看到歹意软件所运用的历程。我们还可以或许借助一些东西,来检察这些历程的内部,从而弄清楚歹意软件的事情道理。

比方,在cmd.exe:2524的内存地区中,包罗一个具有读写-实行(RWX)权限的内存地区和MZ。由此证明,在大多数情况下,如许的特性都是歹意的。

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

我们已事前相识,FormBook属于金融类歹意软件,该歹意软件可以或许会实验向浏览器注入代码,然后实验在相干函数上设置挂钩(Hook),以从浏览器中泄漏数据。

在Internet Explorer中,我们还可以或许在具有RWX权限的浏览器内存地区发明歹意软件的踪迹。我们还发明了针对记事本(Notepad)的挂钩,该挂钩一样被启用,而且其目标也是为了猎取用户信息。

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

这些信息是运用GMER东西剖析而获得的。

我们发明这些函数挂钩在上述的内存地点中,这里所运用的操纵码(Opcode)通常是CALL或许JMP。

在这里,我们发明这个段的肇端地点和珍爱级别,这也是推断歹意软件存在的一大依据。固然,RWX自身不代表歹意软件,还须要连系更多信息举行综合推断。

当歹意软件新沾染一台主机后,或被沾染主机启动后,歹意软件将会自动运转,它将触发打印屏幕,并将打印内容发送至C&C效劳器,以便举行侦察减缓。

在我的测试中,该文件位于C:\Users\Test_PC\AppData\Roaming\3Q5P0RE0\3Q5logim.jpeg。

借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析

文件夹C:\Users\Test_PC\AppData\Roaming\中还暂时生存了一些须要在今后删除的文件。

末了一个被歹意软件应用的历程是msiexec.exe:3052,它卖力将下面这些文件写入到磁盘中:

· C:\Users\Test_PC\AppData\Roaming\3Q5P0RE0\3Q5log.ini

· C:\Users\Test_PC\AppData\Roaming\3Q5P0RE0\3Q5logri.ini

· C:\Users\Test_PC\AppData\Roaming\3Q5P0RE0\3Q5logrv.ini

总结

跟着手艺的生长,歹意软件也在逐渐运用愈来愈壮大的手艺来回避反病毒产物的检测,我们所剖析的FormBook就是如许的一个案例。面临这一近况,平安研究人员在举行研究时,应当运用经由优越设置装备摆设的沙箱情况,而不应当仅仅运用罕见的虚拟机再加上原始的操纵体系情况。为提防此类歹意软件,用户应具有优越的平安意识,制止翻开可疑的电子邮件,并实时修复破绽。末了,借助一些行动AI引擎,可以或许在离线情况下检测并阻挠此类FormBook歹意软件。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明借助ProcessHollowing和代码注入沾染正当历程:信息盗取歹意软件FormBook剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址