Himera与AbSent-Loader利用COVID-19传播恶意软件

栏目: IT技术 · 发布时间: 4年前

内容简介:COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:

COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。

介绍

正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:

Himera与AbSent-Loader利用COVID-19传播恶意软件

通常来说,Loader 是专门将其他恶意软件的代码加载到失陷主机中的。有时候 Loader 也会进行信息窃取,即使这已经不应该由它们来做了。Absent-Loader 就属于会进行窃密的这一类,事实上,失陷主机的信息会不断在地下市场进行出售,通常是由其他有组织的犯罪分子或商业竞争对手购买。

技术分析

攻击行动使用的样本首先是 Word 文档,该文档拉取可执行文件,然后删除另一个可执行文件并进行重命名逃避检测。完整感染链如下所示:

Himera与AbSent-Loader利用COVID-19传播恶意软件

电子邮件包含 Word 文档附件,如下所示:

文件名称 Covid-19-PESANTATION.doc
哈希值 97FA1F66BD2B2F8A34AAFE5A374996F8
威胁名称 Himera Loader Dropper
文件大小 95,4 KB (97.745 byte)
文件类型 Microsoft Word 文档
ssdeep 1536:7fVmPSiRO8cOV8xCcoHrZvIdTZ2DSXMqcI3iL5PEs8VlbeH0btGDYLlNq2l+SEg:7fVz8zyUHlvId7H3iL5MVlbeHGkQvqTU

该文档不利用任何宏代码或漏洞,而是将整个可执行文件作为对象嵌入文档中。因此,一旦用户点击代表可执行文件的恶意图表就允许文档执行名为 HimeraLoader.exe 的恶意文件。

文件名称 HimeraLoader.exe
哈希值 4620C79333CE19E62EFD2ADC5173B99A
威胁名称 二阶段 Dropper
文件大小 143 KB (146.944 byte)
文件类型 可执行文件
文件信息 Microsoft Visual C++ 8
ssdeep 3072:jqW9iAayyenylzx0/2gJUSUZsnOA/TtYLeEoWj5PxJhQQeSH1pNGmHohurCMSiBf:jqW9iAayyenylzx0/2gJUSUZsnJ/TKLd

在分析 HimeraLoader.exe 时,我们注意到恶意代码加载过程中创建了一个非常有特色的互斥量 HimeraLoader v1.6

Himera与AbSent-Loader利用COVID-19传播恶意软件

此外,该样本使用了一些经典的反分析技巧,例如 sDebbugerPresentIsProcessorFeaturePresentGetStartupInfoW 。如果存在调试器,将会执行不同的代码。函数 GetStartupInfoW 会检索在创建调用进程时指定的 STARTUPINFO 结构体数据,该函数以一个指向 STARTUPINFO 结构体的指针作为参数,该结构体接收启动信息且不返回信息。

Himera与AbSent-Loader利用COVID-19传播恶意软件

Himera Loader 通过所有反分析检查时,它将会从 http://195.2.92.151/ad/da/drop/smss.exe 拉取另一个二进制文件。该服务器由俄罗斯托管服务提供商 VDSina.ru 提供。

AbSent-Loader

通过 URL 下载的文件如下所示:

文件名称 smss 1 .exe
文件哈希 4D2207059FE853399C8F2140E63C58E3
威胁名称 Dropper/Injector
文件大小 0,99 MB (1.047.040 byte)
文件类型 可执行文件
文件信息 Microsoft Visual C++ 8
ssdeep 24576:+9d+UObalbls+rcaN+cFsyQIDHx2JrjDwc9bmfRiHwl:+9d+UObaVzrcaN+cKypDHx2Jr/wYbmJd

smms.exe 执行时,将会复制自身到 %TEMP% 路径下的新文件 winsvchost.exe 中,并且创建计划任务以维持持久化。

Himera与AbSent-Loader利用COVID-19传播恶意软件

此外,该恶意软件还使用了一些有趣的反调试技术,例如 GetTickcount 。将两个值相减,结果放置在 EAX 寄存器中。在 call eax 指令后,减去第一个 GetTickCount API 调用的结果,并执行第二个调用的结果。

Himera与AbSent-Loader利用COVID-19传播恶意软件

然后,恶意软件每十五分钟建立一次 TCP 连接。这些连接被定向到相同服务提供商运营的同一主机(195.2.92.151),但此时将 POST 请求发送到 /ad/da/gate.php

Himera与AbSent-Loader利用COVID-19传播恶意软件

该 Payload 是 AbSent-Loader 的新版本,该恶意软件缺乏现代恶意软件的高级功能,但仍然足够复杂到可以保持对失陷主机的持久化。

结论

在这个特定的时期,网络空间中公司和人员的风险越来越大。攻击者正在利用疫情的流行,通过所有可能的方式来赚钱。我们强烈建议公司应该增强网络安全防御能力,来抵御各种不同的网络攻击。

IOC

97FA1F66BD2B2F8A34AAFE5A374996F8

4620C79333CE19E62EFD2ADC5173B99A

4D2207059FE853399C8F2140E63C58E3

http://195.2.92.151/ad/da/drop/smss.%5Dexe

http://195.2.92.151/ad/da/gate.%5Dphp

Yara

import "pe" 
import "math"
 rule HimeraLoader_May2020{

    meta:
      description = "Yara Rule for HimeraLoaderV1.6"
      author = "Cybaze Zlab_Yoroi"
      last_updated = "2020-05-29"
      tlp = "white"
      SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74"
      category = "informational"

    strings:
            $a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF}
         $a2 = {6A 07 0F B7 D0 8D 7D E0 59 33}
            $a3 = "mscoree.dll" wide 
         $a4 = "KViKZjK]EZA^yG@JA"

    condition:
        uint16(0) == 0x5A4D and all of them
}


rule AbsentLoader_may2020{ 
    meta: 
        description = "Detects Absent Loader distributed in COVID-19 theme" 
        author = "Cybaze @ Z-Lab" 
        hash = "4D2207059FE853399C8F2140E63C58E3" 
        last_update = "2020-05-18 12:37:28" 
        tags = "DOC, EXE, FILE, MAL, LOADER, COVID19" 

    strings: 
        $s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15}
        $s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide

    condition: 
        uint16(0) == 0x5A4D and          
        uint32(uint32(0x3C)) == 0x00004550 and  
        pe.number_of_sections == 6 and 
        $s1 at entrypoint and
        $s2 and
        filesize > 900KB and
        pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and
        pe.sections[5].name == ".DATA" and
        math.entropy(0, filesize) >= 6
}

参考来源

Yoroi

* 本文作者:Avenger ,转载请注明来自 FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

算法分析-有效的学习方法(影印版)

算法分析-有效的学习方法(影印版)

Jeffrey J.McConnell / 高等教育出版社 / 2003-03-01 / 28.0

本书主要目标是提高读者关于算法对程序效率的影响等问题的认知水平,并培养读者分析程序中的算法所必需的技巧。各章材料以激发读者有效的、协同的学习方法的形式讲述。通过全面的论述和完整的数学推导,本书帮助读者最大限度地理解基本概念。 本书内容包括促使学生参与其中的大量程序设计课题。书中所有算法以伪码形式给出,使得具备条件表达式、循环与递归方面知识的读者均易于理解。本书以简洁的写作风格向读者介绍了兼具......一起来看看 《算法分析-有效的学习方法(影印版)》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码