官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Avenger- 关注
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
0
1
2
3
4
5
6
7
8
9
COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。
介绍
正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:
通常来说,Loader 是专门将其他恶意软件的代码加载到失陷主机中的。有时候 Loader 也会进行信息窃取,即使这已经不应该由它们来做了。Absent-Loader 就属于会进行窃密的这一类,事实上,失陷主机的信息会不断在地下市场进行出售,通常是由其他有组织的犯罪分子或商业竞争对手购买。
技术分析
攻击行动使用的样本首先是 Word 文档,该文档拉取可执行文件,然后删除另一个可执行文件并进行重命名逃避检测。完整感染链如下所示:
电子邮件包含 Word 文档附件,如下所示:
| 文件名称 | Covid-19-PESANTATION.doc |
|---|---|
| 哈希值 | 97FA1F66BD2B2F8A34AAFE5A374996F8 |
| 威胁名称 | Himera Loader Dropper |
| 文件大小 | 95,4 KB (97.745 byte) |
| 文件类型 | Microsoft Word 文档 |
| ssdeep | 1536:7fVmPSiRO8cOV8xCcoHrZvIdTZ2DSXMqcI3iL5PEs8VlbeH0btGDYLlNq2l+SEg:7fVz8zyUHlvId7H3iL5MVlbeHGkQvqTU |
该文档不利用任何宏代码或漏洞,而是将整个可执行文件作为对象嵌入文档中。因此,一旦用户点击代表可执行文件的恶意图表就允许文档执行名为 HimeraLoader.exe 的恶意文件。
| 文件名称 | HimeraLoader.exe |
|---|---|
| 哈希值 | 4620C79333CE19E62EFD2ADC5173B99A |
| 威胁名称 | 二阶段 Dropper |
| 文件大小 | 143 KB (146.944 byte) |
| 文件类型 | 可执行文件 |
| 文件信息 | Microsoft Visual C++ 8 |
| ssdeep | 3072:jqW9iAayyenylzx0/2gJUSUZsnOA/TtYLeEoWj5PxJhQQeSH1pNGmHohurCMSiBf:jqW9iAayyenylzx0/2gJUSUZsnJ/TKLd |
在分析 HimeraLoader.exe 时,我们注意到恶意代码加载过程中创建了一个非常有特色的互斥量 HimeraLoader v1.6:
此外,该样本使用了一些经典的反分析技巧,例如 sDebbugerPresent、IsProcessorFeaturePresent 与 GetStartupInfoW。如果存在调试器,将会执行不同的代码。函数 GetStartupInfoW 会检索在创建调用进程时指定的 STARTUPINFO 结构体数据,该函数以一个指向 STARTUPINFO 结构体的指针作为参数,该结构体接收启动信息且不返回信息。
Himera Loader 通过所有反分析检查时,它将会从 http://195.2.92.151/ad/da/drop/smss.exe 拉取另一个二进制文件。该服务器由俄罗斯托管服务提供商 VDSina.ru 提供。
AbSent-Loader
通过 URL 下载的文件如下所示:
| 文件名称 | smss1.exe |
|---|---|
| 文件哈希 | 4D2207059FE853399C8F2140E63C58E3 |
| 威胁名称 | Dropper/Injector |
| 文件大小 | 0,99 MB (1.047.040 byte) |
| 文件类型 | 可执行文件 |
| 文件信息 | Microsoft Visual C++ 8 |
| ssdeep | 24576:+9d+UObalbls+rcaN+cFsyQIDHx2JrjDwc9bmfRiHwl:+9d+UObaVzrcaN+cKypDHx2Jr/wYbmJd |
当 smms.exe 执行时,将会复制自身到 %TEMP% 路径下的新文件 winsvchost.exe 中,并且创建计划任务以维持持久化。
此外,该恶意软件还使用了一些有趣的反调试技术,例如 GetTickcount。将两个值相减,结果放置在 EAX 寄存器中。在 call eax 指令后,减去第一个 GetTickCount API 调用的结果,并执行第二个调用的结果。
然后,恶意软件每十五分钟建立一次 TCP 连接。这些连接被定向到相同服务提供商运营的同一主机(195.2.92.151),但此时将 POST 请求发送到 /ad/da/gate.php。
该 Payload 是 AbSent-Loader 的新版本,该恶意软件缺乏现代恶意软件的高级功能,但仍然足够复杂到可以保持对失陷主机的持久化。
结论
在这个特定的时期,网络空间中公司和人员的风险越来越大。攻击者正在利用疫情的流行,通过所有可能的方式来赚钱。我们强烈建议公司应该增强网络安全防御能力,来抵御各种不同的网络攻击。
IOC
97FA1F66BD2B2F8A34AAFE5A374996F8
4620C79333CE19E62EFD2ADC5173B99A
4D2207059FE853399C8F2140E63C58E3
Yara
import "pe"
import "math"
rule HimeraLoader_May2020{
meta:
description = "Yara Rule for HimeraLoaderV1.6"
author = "Cybaze Zlab_Yoroi"
last_updated = "2020-05-29"
tlp = "white"
SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74"
category = "informational"
strings:
$a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF}
$a2 = {6A 07 0F B7 D0 8D 7D E0 59 33}
$a3 = "mscoree.dll" wide
$a4 = "KViKZjK]EZA^yG@JA"
condition:
uint16(0) == 0x5A4D and all of them
}
rule AbsentLoader_may2020{
meta:
description = "Detects Absent Loader distributed in COVID-19 theme"
author = "Cybaze @ Z-Lab"
hash = "4D2207059FE853399C8F2140E63C58E3"
last_update = "2020-05-18 12:37:28"
tags = "DOC, EXE, FILE, MAL, LOADER, COVID19"
strings:
$s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15}
$s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide
condition:
uint16(0) == 0x5A4D and
uint32(uint32(0x3C)) == 0x00004550 and
pe.number_of_sections == 6 and
$s1 at entrypoint and
$s2 and
filesize > 900KB and
pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and
pe.sections[5].name == ".DATA" and
math.entropy(0, filesize) >= 6
}
参考来源
*本文作者:Avenger ,转载请注明来自 FreeBuf.COM
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
- 532 文章数
- 178 关注者