Himera与AbSent-Loader利用COVID-19传播恶意软件

COVID-19 疫情的大流行给了网络攻击者可乘之机，很多恶意软件借机通过疫情主题进行传播和感染，Himera 和 AbSent-Loader 也不例外。

介绍

正在有犯罪组织利用有关《家庭和医疗休假法案》（FMLA）的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关：

通常来说，Loader 是专门将其他恶意软件的代码加载到失陷主机中的。有时候 Loader 也会进行信息窃取，即使这已经不应该由它们来做了。Absent-Loader 就属于会进行窃密的这一类，事实上，失陷主机的信息会不断在地下市场进行出售，通常是由其他有组织的犯罪分子或商业竞争对手购买。

技术分析

攻击行动使用的样本首先是 Word 文档，该文档拉取可执行文件，然后删除另一个可执行文件并进行重命名逃避检测。完整感染链如下所示：

电子邮件包含 Word 文档附件，如下所示：

该文档不利用任何宏代码或漏洞，而是将整个可执行文件作为对象嵌入文档中。因此，一旦用户点击代表可执行文件的恶意图表就允许文档执行名为 HimeraLoader.exe 的恶意文件。

在分析 HimeraLoader.exe 时，我们注意到恶意代码加载过程中创建了一个非常有特色的互斥量 HimeraLoader v1.6 ：

此外，该样本使用了一些经典的反分析技巧，例如 sDebbugerPresent 、 IsProcessorFeaturePresent 与 GetStartupInfoW 。如果存在调试器，将会执行不同的代码。函数 GetStartupInfoW 会检索在创建调用进程时指定的 STARTUPINFO 结构体数据，该函数以一个指向 STARTUPINFO 结构体的指针作为参数，该结构体接收启动信息且不返回信息。

Himera Loader 通过所有反分析检查时，它将会从 http://195.2.92.151/ad/da/drop/smss.exe 拉取另一个二进制文件。该服务器由俄罗斯托管服务提供商 VDSina.ru 提供。

AbSent-Loader

通过 URL 下载的文件如下所示：

当 smms.exe 执行时，将会复制自身到 %TEMP% 路径下的新文件 winsvchost.exe 中，并且创建计划任务以维持持久化。

此外，该恶意软件还使用了一些有趣的反调试技术，例如 GetTickcount 。将两个值相减，结果放置在 EAX 寄存器中。在 call eax 指令后，减去第一个 GetTickCount API 调用的结果，并执行第二个调用的结果。

然后，恶意软件每十五分钟建立一次 TCP 连接。这些连接被定向到相同服务提供商运营的同一主机（195.2.92.151），但此时将 POST 请求发送到 /ad/da/gate.php 。

该 Payload 是 AbSent-Loader 的新版本，该恶意软件缺乏现代恶意软件的高级功能，但仍然足够复杂到可以保持对失陷主机的持久化。

结论

在这个特定的时期，网络空间中公司和人员的风险越来越大。攻击者正在利用疫情的流行，通过所有可能的方式来赚钱。我们强烈建议公司应该增强网络安全防御能力，来抵御各种不同的网络攻击。

IOC

97FA1F66BD2B2F8A34AAFE5A374996F8

4620C79333CE19E62EFD2ADC5173B99A

4D2207059FE853399C8F2140E63C58E3

http://195.2.92.151/ad/da/drop/smss.%5Dexe

http://195.2.92.151/ad/da/gate.%5Dphp

Yara

import "pe" 
import "math"
 rule HimeraLoader_May2020{

    meta:
      description = "Yara Rule for HimeraLoaderV1.6"
      author = "Cybaze Zlab_Yoroi"
      last_updated = "2020-05-29"
      tlp = "white"
      SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74"
      category = "informational"

    strings:
            $a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF}
         $a2 = {6A 07 0F B7 D0 8D 7D E0 59 33}
            $a3 = "mscoree.dll" wide 
         $a4 = "KViKZjK]EZA^yG@JA"

    condition:
        uint16(0) == 0x5A4D and all of them
}


rule AbsentLoader_may2020{ 
    meta: 
        description = "Detects Absent Loader distributed in COVID-19 theme" 
        author = "Cybaze @ Z-Lab" 
        hash = "4D2207059FE853399C8F2140E63C58E3" 
        last_update = "2020-05-18 12:37:28" 
        tags = "DOC, EXE, FILE, MAL, LOADER, COVID19" 

    strings: 
        $s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15}
        $s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide

    condition: 
        uint16(0) == 0x5A4D and          
        uint32(uint32(0x3C)) == 0x00004550 and  
        pe.number_of_sections == 6 and 
        $s1 at entrypoint and
        $s2 and
        filesize > 900KB and
        pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and
        pe.sections[5].name == ".DATA" and
        math.entropy(0, filesize) >= 6
}

参考来源

Yoroi

* 本文作者：Avenger ，转载请注明来自 FreeBuf.COM