内容简介:COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:
COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。
介绍
正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:
通常来说,Loader 是专门将其他恶意软件的代码加载到失陷主机中的。有时候 Loader 也会进行信息窃取,即使这已经不应该由它们来做了。Absent-Loader 就属于会进行窃密的这一类,事实上,失陷主机的信息会不断在地下市场进行出售,通常是由其他有组织的犯罪分子或商业竞争对手购买。
技术分析
攻击行动使用的样本首先是 Word 文档,该文档拉取可执行文件,然后删除另一个可执行文件并进行重命名逃避检测。完整感染链如下所示:
电子邮件包含 Word 文档附件,如下所示:
文件名称 | Covid-19-PESANTATION.doc |
---|---|
哈希值 | 97FA1F66BD2B2F8A34AAFE5A374996F8 |
威胁名称 | Himera Loader Dropper |
文件大小 | 95,4 KB (97.745 byte) |
文件类型 | Microsoft Word 文档 |
ssdeep | 1536:7fVmPSiRO8cOV8xCcoHrZvIdTZ2DSXMqcI3iL5PEs8VlbeH0btGDYLlNq2l+SEg:7fVz8zyUHlvId7H3iL5MVlbeHGkQvqTU |
该文档不利用任何宏代码或漏洞,而是将整个可执行文件作为对象嵌入文档中。因此,一旦用户点击代表可执行文件的恶意图表就允许文档执行名为 HimeraLoader.exe 的恶意文件。
文件名称 | HimeraLoader.exe |
---|---|
哈希值 | 4620C79333CE19E62EFD2ADC5173B99A |
威胁名称 | 二阶段 Dropper |
文件大小 | 143 KB (146.944 byte) |
文件类型 | 可执行文件 |
文件信息 | Microsoft Visual C++ 8 |
ssdeep | 3072:jqW9iAayyenylzx0/2gJUSUZsnOA/TtYLeEoWj5PxJhQQeSH1pNGmHohurCMSiBf:jqW9iAayyenylzx0/2gJUSUZsnJ/TKLd |
在分析 HimeraLoader.exe 时,我们注意到恶意代码加载过程中创建了一个非常有特色的互斥量 HimeraLoader v1.6
:
此外,该样本使用了一些经典的反分析技巧,例如 sDebbugerPresent
、 IsProcessorFeaturePresent
与 GetStartupInfoW
。如果存在调试器,将会执行不同的代码。函数 GetStartupInfoW 会检索在创建调用进程时指定的 STARTUPINFO 结构体数据,该函数以一个指向 STARTUPINFO 结构体的指针作为参数,该结构体接收启动信息且不返回信息。
Himera Loader 通过所有反分析检查时,它将会从 http://195.2.92.151/ad/da/drop/smss.exe
拉取另一个二进制文件。该服务器由俄罗斯托管服务提供商 VDSina.ru
提供。
AbSent-Loader
通过 URL 下载的文件如下所示:
文件名称 | smss 1 .exe |
---|---|
文件哈希 | 4D2207059FE853399C8F2140E63C58E3 |
威胁名称 | Dropper/Injector |
文件大小 | 0,99 MB (1.047.040 byte) |
文件类型 | 可执行文件 |
文件信息 | Microsoft Visual C++ 8 |
ssdeep | 24576:+9d+UObalbls+rcaN+cFsyQIDHx2JrjDwc9bmfRiHwl:+9d+UObaVzrcaN+cKypDHx2Jr/wYbmJd |
当 smms.exe
执行时,将会复制自身到 %TEMP%
路径下的新文件 winsvchost.exe
中,并且创建计划任务以维持持久化。
此外,该恶意软件还使用了一些有趣的反调试技术,例如 GetTickcount
。将两个值相减,结果放置在 EAX 寄存器中。在 call eax
指令后,减去第一个 GetTickCount API 调用的结果,并执行第二个调用的结果。
然后,恶意软件每十五分钟建立一次 TCP 连接。这些连接被定向到相同服务提供商运营的同一主机(195.2.92.151),但此时将 POST 请求发送到 /ad/da/gate.php
。
该 Payload 是 AbSent-Loader 的新版本,该恶意软件缺乏现代恶意软件的高级功能,但仍然足够复杂到可以保持对失陷主机的持久化。
结论
在这个特定的时期,网络空间中公司和人员的风险越来越大。攻击者正在利用疫情的流行,通过所有可能的方式来赚钱。我们强烈建议公司应该增强网络安全防御能力,来抵御各种不同的网络攻击。
IOC
97FA1F66BD2B2F8A34AAFE5A374996F8
4620C79333CE19E62EFD2ADC5173B99A
4D2207059FE853399C8F2140E63C58E3
http://195.2.92.151/ad/da/drop/smss.%5Dexe
http://195.2.92.151/ad/da/gate.%5Dphp
Yara
import "pe" import "math" rule HimeraLoader_May2020{ meta: description = "Yara Rule for HimeraLoaderV1.6" author = "Cybaze Zlab_Yoroi" last_updated = "2020-05-29" tlp = "white" SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74" category = "informational" strings: $a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF} $a2 = {6A 07 0F B7 D0 8D 7D E0 59 33} $a3 = "mscoree.dll" wide $a4 = "KViKZjK]EZA^yG@JA" condition: uint16(0) == 0x5A4D and all of them } rule AbsentLoader_may2020{ meta: description = "Detects Absent Loader distributed in COVID-19 theme" author = "Cybaze @ Z-Lab" hash = "4D2207059FE853399C8F2140E63C58E3" last_update = "2020-05-18 12:37:28" tags = "DOC, EXE, FILE, MAL, LOADER, COVID19" strings: $s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15} $s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide condition: uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and pe.number_of_sections == 6 and $s1 at entrypoint and $s2 and filesize > 900KB and pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and pe.sections[5].name == ".DATA" and math.entropy(0, filesize) >= 6 }
参考来源
* 本文作者:Avenger ,转载请注明来自 FreeBuf.COM
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 利用机器学习检测恶意活动
- 使用Rootkit实现恶意挖矿:CVE-2019-3396漏洞新型恶意利用方式分析
- 利用“驱动人生”升级程序的恶意程序预警
- 如何利用深度神经网络预防恶意软件
- LWN:利用debounce buffer来阻止恶意设备利用DMA窃取信息
- 黑客已经开始利用WinRAR漏洞传播恶意软件
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。