Himera与AbSent-Loader利用COVID-19传播恶意软件
source link: https://www.freebuf.com/articles/others-articles/238360.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。
介绍
正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:
通常来说,Loader 是专门将其他恶意软件的代码加载到失陷主机中的。有时候 Loader 也会进行信息窃取,即使这已经不应该由它们来做了。Absent-Loader 就属于会进行窃密的这一类,事实上,失陷主机的信息会不断在地下市场进行出售,通常是由其他有组织的犯罪分子或商业竞争对手购买。
技术分析
攻击行动使用的样本首先是 Word 文档,该文档拉取可执行文件,然后删除另一个可执行文件并进行重命名逃避检测。完整感染链如下所示:
电子邮件包含 Word 文档附件,如下所示:
文件名称 Covid-19-PESANTATION.doc 哈希值 97FA1F66BD2B2F8A34AAFE5A374996F8 威胁名称 Himera Loader Dropper 文件大小 95,4 KB (97.745 byte) 文件类型 Microsoft Word 文档 ssdeep 1536:7fVmPSiRO8cOV8xCcoHrZvIdTZ2DSXMqcI3iL5PEs8VlbeH0btGDYLlNq2l+SEg:7fVz8zyUHlvId7H3iL5MVlbeHGkQvqTU该文档不利用任何宏代码或漏洞,而是将整个可执行文件作为对象嵌入文档中。因此,一旦用户点击代表可执行文件的恶意图表就允许文档执行名为 HimeraLoader.exe 的恶意文件。
文件名称 HimeraLoader.exe 哈希值 4620C79333CE19E62EFD2ADC5173B99A 威胁名称 二阶段 Dropper 文件大小 143 KB (146.944 byte) 文件类型 可执行文件 文件信息 Microsoft Visual C++ 8 ssdeep 3072:jqW9iAayyenylzx0/2gJUSUZsnOA/TtYLeEoWj5PxJhQQeSH1pNGmHohurCMSiBf:jqW9iAayyenylzx0/2gJUSUZsnJ/TKLd 在分析 HimeraLoader.exe 时,我们注意到恶意代码加载过程中创建了一个非常有特色的互斥量 HimeraLoader v1.6 :
此外,该样本使用了一些经典的反分析技巧,例如 sDebbugerPresent 、 IsProcessorFeaturePresent 与 GetStartupInfoW 。如果存在调试器,将会执行不同的代码。函数 GetStartupInfoW 会检索在创建调用进程时指定的 STARTUPINFO 结构体数据,该函数以一个指向 STARTUPINFO 结构体的指针作为参数,该结构体接收启动信息且不返回信息。
Himera Loader 通过所有反分析检查时,它将会从 http://195.2.92.151/ad/da/drop/smss.exe 拉取另一个二进制文件。该服务器由俄罗斯托管服务提供商 VDSina.ru 提供。
AbSent-Loader
通过 URL 下载的文件如下所示:
文件名称 smss 1 .exe 文件哈希 4D2207059FE853399C8F2140E63C58E3 威胁名称 Dropper/Injector 文件大小 0,99 MB (1.047.040 byte) 文件类型 可执行文件 文件信息 Microsoft Visual C++ 8 ssdeep 24576:+9d+UObalbls+rcaN+cFsyQIDHx2JrjDwc9bmfRiHwl:+9d+UObaVzrcaN+cKypDHx2Jr/wYbmJd 当 smms.exe 执行时,将会复制自身到 %TEMP% 路径下的新文件 winsvchost.exe 中,并且创建计划任务以维持持久化。
此外,该恶意软件还使用了一些有趣的反调试技术,例如 GetTickcount 。将两个值相减,结果放置在 EAX 寄存器中。在 call eax 指令后,减去第一个 GetTickCount API 调用的结果,并执行第二个调用的结果。
然后,恶意软件每十五分钟建立一次 TCP 连接。这些连接被定向到相同服务提供商运营的同一主机(195.2.92.151),但此时将 POST 请求发送到 /ad/da/gate.php 。
该 Payload 是 AbSent-Loader 的新版本,该恶意软件缺乏现代恶意软件的高级功能,但仍然足够复杂到可以保持对失陷主机的持久化。
结论
在这个特定的时期,网络空间中公司和人员的风险越来越大。攻击者正在利用疫情的流行,通过所有可能的方式来赚钱。我们强烈建议公司应该增强网络安全防御能力,来抵御各种不同的网络攻击。
IOC
97FA1F66BD2B2F8A34AAFE5A374996F8
4620C79333CE19E62EFD2ADC5173B99A
4D2207059FE853399C8F2140E63C58E3
http://195.2.92.151/ad/da/drop/smss.%5Dexe
http://195.2.92.151/ad/da/gate.%5Dphp
Yara
import "pe"
import "math"
rule HimeraLoader_May2020{
meta:
description = "Yara Rule for HimeraLoaderV1.6"
author = "Cybaze Zlab_Yoroi"
last_updated = "2020-05-29"
tlp = "white"
SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74"
category = "informational"
strings:
$a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF}
$a2 = {6A 07 0F B7 D0 8D 7D E0 59 33}
$a3 = "mscoree.dll" wide
$a4 = "KViKZjK]EZA^yG@JA"
condition:
uint16(0) == 0x5A4D and all of them
}
rule AbsentLoader_may2020{
meta:
description = "Detects Absent Loader distributed in COVID-19 theme"
author = "Cybaze @ Z-Lab"
hash = "4D2207059FE853399C8F2140E63C58E3"
last_update = "2020-05-18 12:37:28"
tags = "DOC, EXE, FILE, MAL, LOADER, COVID19"
strings:
$s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15}
$s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide
condition:
uint16(0) == 0x5A4D and
uint32(uint32(0x3C)) == 0x00004550 and
pe.number_of_sections == 6 and
$s1 at entrypoint and
$s2 and
filesize > 900KB and
pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and
pe.sections[5].name == ".DATA" and
math.entropy(0, filesize) >= 6
}
参考来源
* 本文作者:Avenger ,转载请注明来自 FreeBuf.COM
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK