安基網 首頁 資訊 安全報 查看內容

Netwire惡意軟件將攻擊目標對準意大利

2020-6-6 12:04| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: ZLab惡意軟件研究人員分析了使用Netwire惡意軟件感染說意大利語的受害者的攻擊鏈。介紹信息竊取者惡意軟件證實是網絡參與者最廣泛采用的武器之一。其中之一就是Netwire(MITRE S0198),這是一種多平臺遠程管理工具(RAT),至少從2012年開始就被犯罪分子和間諜團體使用。在我們的網絡威脅情報監視期間 ...

ZLab惡意軟件研究人員分析了使用Netwire惡意軟件感染說意大利語的受害者的攻擊鏈。

介紹

信息竊取者惡意軟件證實是網絡參與者最廣泛采用的武器之一。

其中之一就是Netwire(MITRE S0198),這是一種多平臺遠程管理工具(RAT),至少從2012年開始就被犯罪分子和間諜團體使用。在我們的網絡威脅情報監視期間,我們發現了一個特定的Office文檔,該文檔被裝備以提供這種惡意工具,并發現了一個旨在針對講意大利語的受害者的隱藏惡意活動。我們發現的特定攻擊鏈顯示了有趣的技術模式,類似于針對意大利制造業格局的其他先前活動,因此,我們決定更深入地研究。

技術分析

此活動中使用的變體與NetWire惡意軟件家族的其他示例類似,但具有攻擊鏈的演變。下圖報告了此活動中使用的NetWire感染鏈:


圖1:感染鏈

意大利感染管道

該NetWire活動是作為帶有嵌入的XML宏的惡意電子郵件附件提供的。以下是滴管的靜態信息:


表1:有關樣本的靜態信息


打開后,Excel文檔看起來像是帶有一些動態元素的文檔,但是沒有一些可單擊的按鈕。在那里,經典的安全通知告知我們宏包含在文檔中并且被禁用。


圖2:惡意文檔概述


文檔中包含的宏非常小,并且不包含無效代碼或其他反分析技術,這是隨機查找變量命名的一部分。


圖3:提取的宏


VBS宏代碼段與“ cloudservices-archive。] best”域聯系,以便下載隱藏在名為圖片文件的文件中的下一階段有效負載,但它不是圖片,也不是可執行文件:它實際上是XSL樣式表,其中包含能夠加載另一個ActiveX對象的Javascript。


圖4:一段JS代碼


該powershell命令的混淆很容易解碼,結果如下:


代碼段1


此時,惡意軟件嘗試從先前位置下載其他“ fiber.vbs”文件,這是一個小代碼段,通過多個嵌套替換隱藏了powershell調用。


圖5:下載的VBS腳本片段


實際上,這次代碼被嚴重混淆,并且包含許多字符串操作子例程,但是,一旦重構了結果字符串,上述powershell引用就會變得更加清晰。


圖6:去模糊的Powershell負載的一部分


它實際上包含另一個Powershell階段,旨在了解執行環境并觸發另一個階段的執行。

在這種情況下,惡意軟件會從先前階段的同一域下載“ image01.jpg”文件。如果下載成功,則惡意軟件會從下載的文件中讀取原始字節,并將其轉換為可以執行Powershell代碼的位置。在這里,兩個動態鏈接的庫被解壓縮并準備好加載到內存中:一個用于AMSI旁路,而其他則是最終的有效負載。

該腳本還配置了一種持久性機制,將其自身復制到目錄``%APPDATA% Local Microsoft''內,并在``HKCU Software Microsoft Windows CurrentVersion Run''上設置注冊表項。


圖7:對命令進行混淆處理以準備持久性機制


圖8:持久性機制的證據

黑客工具1:修補AmsiScanBuffer

以前的Powershell片段中嵌入的兩個DLL中的第一個實際上是用作繞過Microsoft的AntiMalware掃描接口AMSI的工具。特別是,在加載后,此DLL在感染鏈中運行的第一種方法是“ [oioioi] :: fdsfdf()”。


圖9:修補AmsiScanBuffer技術的證據

上圖顯示了該技巧的完成方式:從“程序集標題”字段中檢索引用目標方法進行修補以避免在運行時檢測到有效負載所需的兩個組件“ amsi.dll”和“ AmsiScanBufer”。

黑客工具2:注入器

實際上,第二個DLL并不是最終的有效負載。而是另一個實用程序:進程注入實用程序,用于將惡意軟件植入程序隱藏到其他進程內存中。


圖10:反編譯進樣器模塊的證據

如代碼片段4所示,變量“ $ MNB”在調用“ CASTLE”類中的靜態方法“ CRASH”時作為參數傳遞。另一個參數是進行注入的目標過程。該.NET編譯的可執行文件包含對攻擊者使用的注入方法的許多引用。其中的一部分如下:


圖11:代碼內注入調用的證據


Payload

最終有效負載存儲在最后一個powershell階段捕獲的$ MNB2變量中。


表2:有關Netwire有效負載的靜態信息


在分析二進制結構時,我們恢復了已配置命令和控制服務器的硬編碼IP地址:185.140.53。] 48。一位由匿名服務提供商運營的比利時主機,被此行為者濫用。Netwire可執行文件使用自解密例程運行其特洛伊木馬模塊,它分配一個新的內存區域,然后解密干凈代碼,如下圖所示。


圖12:自解密例程


解密后,惡意軟件會將其漫游器信息保存到注冊表項“ HKCU Software Netwire”中。此時,很容易發現表征Netwire RAT變體的惡意功能。綜上所述,Netwire RAT使其操作員能夠從受害者機器獲取敏感信息,例如:

竊取Outlook憑據;

竊取Internet Explorer瀏覽器歷史記錄;

竊取Chrome瀏覽器歷史記錄;

竊取Mozilla瀏覽器歷史記錄;

記錄擊鍵。

然后,將通過該惡意軟件獲取的所有敏感數據發送到攻擊者的命令和控制服務器,從而可能導致欺詐行為和進一步的網絡危害。


圖13:設置注冊表項的軌跡


圖14:完整的注冊表項

相似與模式

在此分析中,我們描述了一種旨在誘騙意大利受害者的攻擊,并通過進行嚴格的代碼操縱來避免檢測到這種所謂的“商品惡意軟件”。

但是,這種特殊的操作和混淆模式對我們來說并不新鮮。實際上,尤其是在處理Powershell階段時,我們注意到一些變量和名稱結構與我們最近關于意大利制造業發起的Aggah運動的最新報告之一非常相似。

盡管有變量名,但有效載荷的解碼功能是相同的。另外,變量名“ $ MNB”和“ blindB”已保存。潛在地,這也可能意味著這些技術的一部分已被其他堅持意大利景觀的演員重復使用,或者Aggah演員正在探索不同的感染鏈。


圖15:Netwire活動和Aggah活動之間的相似之處

結論

在過去的幾年中,Netwire RAT獲得了很多成功,網絡參與者也采用了它來感染受害者,甚至包括APT33(精制小貓)和Gorgon Group這樣的政府資助團體也將其納入了他們的武器庫,讓我們想起了即使是所謂的商品惡意軟件也可以代表著嚴重的威脅,尤其是當由經驗豐富的攻擊者進行管理時,能夠將其重新打包以逃避檢測,并利用合并的操作做法來加速網絡攻擊。

我們觀察到的特定運動顯示出清楚的元素,表明攻擊的目標是意大利語。它還顯示了與最近針對意大利制造業的運營中采用的技術有趣的相似之處,即使未經證實,也表明仍可能進行低足跡的運營。此處發布的報告中提供了其他詳細信息,包括危害指標(IoC)和Yara規則:



小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6835031620559307268/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 2008年上证指数走势图 河南福彩22选5预测 彩胜广东十一选五下载 股票开户哪个券商好 山西快乐10分走势图下载 股票分析软件源代码 浙江体彩6十1历史号码 重庆时时开彩结果记录 湖北30选5开奖结果查询今天 炒股配资平台 内蒙古快三走势图所有 体彩有网上投注平台吗 加拿大快乐8预测28 买股票配资 黑龙江体彩6十1开奖查询 东京快乐8计划wx15 com