是什么缘由让Dridex能够举行云云猖獗的繁衍 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

是什么缘由让Dridex能够举行云云猖獗的繁衍

申博_安全工具 申博 57次浏览 已收录 0个评论

是什么缘由让Dridex能够举行云云猖獗的繁衍

媒介

从2011年被发明至今,Dridex银行木马已成为最盛行的银行木马家属。光在2015年,Dridex形成的损失估计就超过了4000万美元,与其他银行木马家属差别,因为它总是在不停演化并让其变得越发庞杂。在2011年终次被发明时,Deidex就已能够经由历程充任代办的后端服务器来隐蔽其主要的敕令与掌握(C&C)服务器,从而回避检测。鉴于Deidex的新版本会完全迭代旧版本,而且每次新的变异都邑让Deidex的进击手艺进一步更新,所以我们能够得出结论,Deidex的背地一定有一个牢固的研发团队在对其延续的举行更新和庇护。

而在2016年,Dridex的loader变得越发庞杂,加密体式格局发生了变化,引入了二进制loader协定,以及包含二进制花样的设置文件的<settings>部份。

紧接着,Dridex的第四个版本在2017年终被发明,它具有与第三版相似的功用,但开发者已住手了运用设置文件,并不再数据包中运用XML花样,而且还返回到二进制文件。因为loader如今每周最多运转两天,因而对新样本的剖析显得越发难题。这与Lurk相似, Lurk的loader一周只运转了几个小时。

最新的Dridex版本剖析:假装和代码注入手艺

刚消停了一年,在2019年7月,又有研讨人员观察到的Dridex的新变体假装成正当的Windows体系历程,之所以要这么做,是因为幕后的开发者又对Dridex的版本举行了迭代,以防止进击被发明。经研讨,该变体在其全部进击历程中运用了五种代码注入手艺:AtomBombing、DLL敕令挟制、Process Hollowing手艺、PE注入和线程实行挟制。

注:2016年10月,网络平安公司EnSilo的研讨团队公开了一个支撑一切Windows体系的代码注入要领,将其定名为AtomBombing。听说该要领能够绕过大多数的平安软件,而且应用的体系缺点很难被修复。

代码注入手艺用于正当的Windows可实行文件,增量整数值被供应给敕令行,以挂起历程实行特定使命。

自2019年6月初Emotet木马和AZORult的进击运动被停止以来,Dridex和讹诈软件运动变得越发凸起了。2019年7月,网络平安公司Bromium的研讨人员观察到一次Dridex银行木马的垂纶运动。异常荣幸,此次进击的有效载荷已被Bromium的研讨人员的捕捉。经由历程这些样本,我们能够完全剖析其进击链并相识了进击是怎样事情的。在这篇文章中,我们将细致引见其进击链的各个阶段,以展现Dridex怎样运用五种代码注入手艺将本身假装成正当的Windows历程(MITRE ATT&CK手艺T1036)来防止检测。

MITRE ATT&CK是一款能够加快检测与相应的最新东西(敌手战术及手艺的大众知识库),能够深入研讨敌手行动,平安剖析师可应用该信息在网络攻防战中占有有益职位。这是在建立敌手及其相干战术、手艺及流程(TTP)知识库方面迈出的一大步。

在最先剖析之前,我们将起首演示在微型VM中实行最新的Dridex示例,以及Bromium怎样经由历程断绝进击并坚持体系的完全性来庇护其用户。

以下是视频中显现的6部份内容:

1.Bromium平安平台在零丁的微型VM中翻开每一个文档;

2.Bromium Live View显现了一个正在运转的微型VM列表;

3.我们能够在Live View中看到invoice.doc文件在微型VM中被翻开;

4.当文件封闭时,微型VM以及任何歹意软件都邑一同被烧毁;

5.从进击样本中捕捉证据,包含任何映射到MITRE ATT和CK框架的行动;

6.在微型VM的进击周期内发出的严峻正告的细致视图有助于平安团队观察歹意软件的行动,以便相识进击者的效果。

进击行动剖析

文件名:Invoice.doc

大小:75.5 KB(77312字节)

MD5:0fe77bc5e76660ad45379204aa4d013c

SHA1:c338882c64eb012855096e73edfec3c733ea9053

SHA256:72da2959520e824a617a5a174b1bc1a8bd6d83daf83eabb5937640f1efa37bcd

是什么缘由让Dridex能够举行云云猖獗的繁衍

上图为2019年7月观察到的Dridex的全部进击周期

第1阶段:下载递次

Dridex下载递次是作为Microsoft Word 97-2003文档(. doc)被供应的,该文档运用暗码123加密。它包含两个Visual Basic for Applications(VBA)宏子例程:Document_Open和main。要检察宏代码的内容,能够在Bromium Secure View中的Microsoft Word VBA编辑器中翻开它。

是什么缘由让Dridex能够举行云云猖獗的繁衍

Document_Open和main子例程

只管两个子递次都被举行了细微地隐约处置惩罚,但是在不调试代码的情况下,我们照样能够辨认出很多显现下载递次怎样事情的字符串。比方,能够在下图的左边看到宏项目包含一个名为a0woxm的用户表单。在表单内部,嵌入的文本属性包含一个可扩大款式表言语(XSL)剧本。main子例程会从表单建立一个名为aXtIkN的对象,并将其text属性赋给字符串变量aHwPzG。以后,它将aHwPzG和变量agvpx一同传递给要领adWspA8。字符串变量agvpx包含XSL文件的途径(C:\\Windows\\Temp\\aXwZvnt48.xsl)。要领adWspA8从Scripting.FileSystemObject建立一个TextStream对象,并挪用CreateTextFile要领将数据从aHwPzG写入文件aXwZvnt48.xsl。

是什么缘由让Dridex能够举行云云猖獗的繁衍

main子例程中凸起显现的部份,该子例程将嵌入的XSL剧本写入用户的%TEMP%目次中的文件

为了防止被静态检测到,该子例程包含援用Windows Management Instrumentation敕令行(WMIC)敕令的反向字符串。 StrReverse函数用于在宏实行时期反转这些字符串。变量a5rk9包含值“wmic os get / format:”,它与变量agvpx连系后,会构建一个shell敕令:

wmic os get /format:"C:\\Windows\\Temp\\aXwZvnt48.xsl“

是什么缘由让Dridex能够举行云云猖獗的繁衍

main宏中的Shell敕令,它运用WMIC实行XSL文件

XSL是一种与CSS相似的言语,用于示意XML文档的花样。至关重要的是,它支撑剧本言语,包含JScript和VBScript,许可进击者运用该言语来实行歹意代码。一般,XSL剧本运用Windows剧本主机运转,但也能够运用WMIC实行。

此时,下载递次会运用WMIC实行包含JScript的XSL剧本,该剧本担任下载Dridex的有效载荷。这类手艺属于微软的Type III attack无文件进击分类法,并展现了MITRE ATT&CK手艺T1120。WMIC能够在内存中处置惩罚和实行当地和长途托管的XSL剧本,这类手艺一般称为SquiblyTwo。运用WMIC,纵然体系上禁用了Windows剧本主机,进击者照样能够实行嵌入在XSL文件中的JScript。

XSL剧本包含两个函数,函数aawg1担任建立XMLHTTP对象,并发送一个HTTP GET要求以从URL hxxps://carmelavalles[.]com/site/wp-admin/chrome.bin下载Dridex可实行文件。然后,它建立一个ActiveX流对象(ADODB.Stream),并将缓冲区设置为从初期HTTP要求吸收的相应对象。接下来,它经由历程指定数组中的第五个元素从函数axas5v9中检索要领称号SaveToFile。然后,它挪用SaveToFile要领,将文件名指定为“c:\windows\temp\awMiOFl[.]exe”和选项2(adSaveCreateOverWrite)。此选项意味着假如已存在具有雷同称号的文件,则流对象将掩盖目标文件。将文件保存到磁盘后,XSL剧本将自行删除。

是什么缘由让Dridex能够举行云云猖獗的繁衍

XSL剧本的内容

在对pestudio中被删除的有效载荷的疾速剖析后,研讨人员发明它是歹意的,包含运用列入黑名单的节称号:rdata3,.qdata,aei和CODE2。

是什么缘由让Dridex能够举行云云猖獗的繁衍

由pestudio辨认的歹意指导符

然后我们将它与另一个已被删除的Dridex有效载荷举行比较,发明二者的节数目雷同。除了.text部份外,一切部份都具有雷同的原始文件大小。这表明进击者能够运用了多态加载器来流传Dridex。

是什么缘由让Dridex能够举行云云猖獗的繁衍

文件部份与另一个Dridex示例的比较,表明运用了多态加载器

删除的有效载荷awMiofl.exe在实行时,会将其本身解压缩到内存中并进入轮回状况,轮回时候快要9分钟。在每次轮回中,先运用字符串“Installing …”或“Installed”挪用OutputDebugStringW,然后挪用Sleep函数约莫10毫秒。

是什么缘由让Dridex能够举行云云猖獗的繁衍

在Dridex的解包例程时期捕捉的频仍OutputDebugStringW API挪用

退出轮回状况后,将罗列以下注册表项以网络有关体系的基本信息,包含CurrentBuild,CurrentVersion,InstallTime和InstallDate。

1.\Registry\Machine\Software\Microsoft\Windows\CurrentVersion\Policies\System;

2.\Registry\Machine\Software\Microsoft \Windows NT\CurrentVersion;

第2阶段:运用AtomBombing举行历程注

接下来,awMiofl.exe翻开并运用enSilo在2016年发明的名为AtomBombing的手艺将代码注入explorer.exe。它的事情道理是应用Windows全局原子表和异步历程挪用(APC)将代码注入长途历程。

是什么缘由让Dridex能够举行云云猖獗的繁衍

Dridex翻开并运用AtomBombing代码注入手艺将本身注入explorer.exe

然后,awMiofl.exe遍历C:\ Windows \ System32目次并运用文件名 C:\Windows\System32 * .exe挪用FindFirstFileA API。文件名包含一个通配符,以婚配System32目次中的一切.exe文件。关于每一个婚配项,它将翻开文件并读取其依靠的动态链接库(DLL)。假如它与一个DLL列表婚配,那末它会以挂起形式天生历程并停止。我们疑心Dridex如许做是为了预备下次的代码注入,但在我们剖析的样本中,Dridex照样停止了该历程,这与我们的预期不符。

第3阶段:DLL挟制

以后,它会在位置%APPDATA%处建立一个随机定名的目次。建立目次后,它将C:\Windows\System32复制到正当体系可实行文件的文件夹,并在其导入地点表(IAT)中复制与可实行文件库依靠项婚配的歹意64位DLL,DLL挟制手艺之所以盛行就是因为能够滥用Window的DLL加载递次。默许情况下,假如禁用SafeDllSearchMode,DLL加载递次将根据下面列出的目次的递次查找所需的DLL:

1.已加载应用递次的目次途径;

URGENT/11: VxWorks RTOS 11个0 day破绽影响20亿装备

Armis Labs安全研究人员近日在目前使用最广泛嵌入式设备实时操作系统(real-time operating systems,RTOS)VxWorks中发现了11个0 day漏洞,该操作系统广泛应用于航空、国防、工业、医疗、电子、网络和其他关键行业中,预计影响超过20亿设备。 Armis Labs安全研究人员在目前使用最广泛嵌入式设备实时操作系统(real-time operating systems,RTOS)VxWorks的TCP/IP栈中发现了11个0 day漏洞,称作URGENT/11,影响v 6.5及之后版本,甚至影响13年之

2.当前目次;

3.体系目次;

4.16位体系目次;

5.Windows目次;

6.PATH环境变量中列出的目次。

因为awMiofl.exe将歹意DLL复制到与正当可实行文件雷同的目次,因而在运转可实行文件时,它也会将歹意DLL加载到Roaming文件夹而不是System32中的正当DLL。

是什么缘由让Dridex能够举行云云猖獗的繁衍

位于%APPDATA%\ RC17zE位置的歹意DLL和Windows二进制文件的文件写入事宜

是什么缘由让Dridex能够举行云云猖獗的繁衍

Dumpbin输出显现EhStorAuthn.exe对UxTheme.dll的依靠关联

第4阶段: 构建持久性进击

以后,awMiofl.exe会经由历程建立名一个为Bpnayitifvdws的计划使命来完成持久性进击,该使命被设置为每小时运转一次 C:\Users\[Redacted]\AppData\Roaming\RC17zE\EhStorAuthn.exe。

是什么缘由让Dridex能够举行云云猖獗的繁衍

建立一个名为Bpnayitifvdws的计划使命

是什么缘由让Dridex能够举行云云猖獗的繁衍

实行计划使命Bpnayitifvdws

第5阶段:更多的DLL挟制

Explorer.exe在用户的%TEMP%目次中建立批处置惩罚文件x3un.cmd,并删除歹意DLL NqE850.tmp。然后启动cmd.exe并运转x3un.cmd。 X3un.cmd包含将已删除的DLL文件NqE850.tmp和正当的Windows二进制systemreset.exe从System32目次复制到用户的Roaming文件夹中新建立的目次C:\Users\[Redacted]\AppData\Roaming\0l78l。

是什么缘由让Dridex能够举行云云猖獗的繁衍

Explorer.exe在%TEMP%中删除歹意DLL和批处置惩罚文件,然后运转批处置惩罚文件。

是什么缘由让Dridex能够举行云云猖獗的繁衍

X3un.cmd将歹意DLL和正当Windows二进制文件复制到%APPDATA%文件夹,以预备DLL挟制。

Explorer.exe屡次反复此步骤以复制差别的歹意DLL和正当的Windows二进制文件:

是什么缘由让Dridex能够举行云云猖獗的繁衍

C:\Users\%USERNAME%\AppData\Roaming中的目次构造,每一个文件夹包含歹意DLL和正当Windows二进制文件。

运用DLL挟制,歹意软件能够绕过杀毒软件的检测和相应东西,这是因为启动的历程是由Microsoft签订的。我们搜检了VirusTotal,因为它们的多态性,这些被删除的DLL都不会有能够被发明的哈希。假如DLL加载时期的杀毒扫描结果是清洁的,杀毒软件将不会标记它,直到它扫描历程内存。

是什么缘由让Dridex能够举行云云猖獗的繁衍

被删除的dll是64位二进制文件,纵然在15天后也没有检测到VirusTotal中的任何哈希值。

Explorer.exe在 run key下建立一个名为Fetkovwkmarbx的注册表项,其值为C:\Users\[Redacted]\AppData\Roaming\0l78l\systemreset.exe。这意味着每次Windows启动时都邑启动Dridex,从而许可歹意软件在重新启动后坚持进击性。

是什么缘由让Dridex能够举行云云猖獗的繁衍

将条目Fetkovwkmarbx添加到注册表中的 run key,以便在用户登录重启后延续提议打击

第6阶段:建立挂起的历程

Explorer.exe以挂起形式从 C:\Windows\System32目次天生多个正当的Windows二进制文件,以实行长途历程代码注入和Process Hollowing手艺。

是什么缘由让Dridex能够举行云云猖獗的繁衍

explorer.exe从 C:\Windows\System32目次建立的挂起历程是什么缘由让Dridex能够举行云云猖獗的繁衍

Explorer.exe对挂起的历程实行代码注入

文件夹称号的假装历程

Dridex试图经由历程建立一个带有跟随空格的目次(“C:\Windows ”)来绕过应用递次白名单的限定。此手艺滥用了Windows API处置惩罚具有跟随空格的MS-DOS款式途径的体式格局。处置惩罚MS-DOS款式途径时,Windows API挪用一个名为RtlGetFullPathName_U的辅佐函数,该函数会从途径中删除任何跟随空格。

Explorer.exe建立一个目次“C:\Windows \System32”,并从真正的System32目次中复制正当的whoami.exe递次以及名为Version.dll的歹意DLL,然后运用以下敕令行启动它:

“C:\Windows \system32\whoami.exe” 1188 21993FF418 1

你能够经由历程在敕令提示符下运转以下敕令来本身举行尝试,这将在C:\中建立一个Windows目次,但具有跟随空格:

md “\\?\C:\Windows ”

rd /s /q “\\?\C:\Windows ”(注重跟随空格)

是什么缘由让Dridex能够举行云云猖獗的繁衍

怎样运用前缀“\\?\”建立带有跟随空格的目次

是什么缘由让Dridex能够举行云云猖獗的繁衍

Dridex经由历程Windows API滥用MS-DOS途径处置惩罚,将白名单途径与跟随空格一同列入白名单

假如Dridex在体系上运转,它最终会以挂起形式从 C:\Windows\Syswow64 启动历程,目标就是举行代码注入。传递给流程的参数假如增添一次,则示意它实行特定使命。它还会在定时期隔后运用新的二进制途径修正并触发计划使命Bpnayitifvdws。

是什么缘由让Dridex能够举行云云猖獗的繁衍

在 C:\Windows\Syswow64以挂起形式启动的正当Windows二进制文件,参数为1

是什么缘由让Dridex能够举行云云猖獗的繁衍

在C:\Windows\Syswow64以挂起形式启动的正当Windows二进制文件,参数为2

是什么缘由让Dridex能够举行云云猖獗的繁衍

Dridex进击周期中发生的一切历程

总结

基于从微型VM捕捉的事宜,我们能够看到Dridex最少实行了最少五种差别范例的代码注入:

1.DLL敕令挟制;

2. Process hollowing;

3.PE注入;

4.线程实行挟制;

5.AtomBombing;

进击目标(IOC)

是什么缘由让Dridex能够举行云云猖獗的繁衍

原文地点: https://www.4hou.com/malware/19550.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明是什么缘由让Dridex能够举行云云猖獗的繁衍
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址