Himera与AbSent-Loader利用COVID-19传播恶意软件

栏目: IT技术 · 发布时间: 4年前

内容简介:COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:

COVID-19 疫情的大流行给了网络攻击者可乘之机,很多恶意软件借机通过疫情主题进行传播和感染,Himera 和 AbSent-Loader 也不例外。

介绍

正在有犯罪组织利用有关《家庭和医疗休假法案》(FMLA)的要求进行恶意软件的传播。这些电子邮件与 Himera 和 Absent-Loader 有关:

Himera与AbSent-Loader利用COVID-19传播恶意软件

通常来说,Loader 是专门将其他恶意软件的代码加载到失陷主机中的。有时候 Loader 也会进行信息窃取,即使这已经不应该由它们来做了。Absent-Loader 就属于会进行窃密的这一类,事实上,失陷主机的信息会不断在地下市场进行出售,通常是由其他有组织的犯罪分子或商业竞争对手购买。

技术分析

攻击行动使用的样本首先是 Word 文档,该文档拉取可执行文件,然后删除另一个可执行文件并进行重命名逃避检测。完整感染链如下所示:

Himera与AbSent-Loader利用COVID-19传播恶意软件

电子邮件包含 Word 文档附件,如下所示:

文件名称 Covid-19-PESANTATION.doc
哈希值 97FA1F66BD2B2F8A34AAFE5A374996F8
威胁名称 Himera Loader Dropper
文件大小 95,4 KB (97.745 byte)
文件类型 Microsoft Word 文档
ssdeep 1536:7fVmPSiRO8cOV8xCcoHrZvIdTZ2DSXMqcI3iL5PEs8VlbeH0btGDYLlNq2l+SEg:7fVz8zyUHlvId7H3iL5MVlbeHGkQvqTU

该文档不利用任何宏代码或漏洞,而是将整个可执行文件作为对象嵌入文档中。因此,一旦用户点击代表可执行文件的恶意图表就允许文档执行名为 HimeraLoader.exe 的恶意文件。

文件名称 HimeraLoader.exe
哈希值 4620C79333CE19E62EFD2ADC5173B99A
威胁名称 二阶段 Dropper
文件大小 143 KB (146.944 byte)
文件类型 可执行文件
文件信息 Microsoft Visual C++ 8
ssdeep 3072:jqW9iAayyenylzx0/2gJUSUZsnOA/TtYLeEoWj5PxJhQQeSH1pNGmHohurCMSiBf:jqW9iAayyenylzx0/2gJUSUZsnJ/TKLd

在分析 HimeraLoader.exe 时,我们注意到恶意代码加载过程中创建了一个非常有特色的互斥量 HimeraLoader v1.6

Himera与AbSent-Loader利用COVID-19传播恶意软件

此外,该样本使用了一些经典的反分析技巧,例如 sDebbugerPresentIsProcessorFeaturePresentGetStartupInfoW 。如果存在调试器,将会执行不同的代码。函数 GetStartupInfoW 会检索在创建调用进程时指定的 STARTUPINFO 结构体数据,该函数以一个指向 STARTUPINFO 结构体的指针作为参数,该结构体接收启动信息且不返回信息。

Himera与AbSent-Loader利用COVID-19传播恶意软件

Himera Loader 通过所有反分析检查时,它将会从 http://195.2.92.151/ad/da/drop/smss.exe 拉取另一个二进制文件。该服务器由俄罗斯托管服务提供商 VDSina.ru 提供。

AbSent-Loader

通过 URL 下载的文件如下所示:

文件名称 smss 1 .exe
文件哈希 4D2207059FE853399C8F2140E63C58E3
威胁名称 Dropper/Injector
文件大小 0,99 MB (1.047.040 byte)
文件类型 可执行文件
文件信息 Microsoft Visual C++ 8
ssdeep 24576:+9d+UObalbls+rcaN+cFsyQIDHx2JrjDwc9bmfRiHwl:+9d+UObaVzrcaN+cKypDHx2Jr/wYbmJd

smms.exe 执行时,将会复制自身到 %TEMP% 路径下的新文件 winsvchost.exe 中,并且创建计划任务以维持持久化。

Himera与AbSent-Loader利用COVID-19传播恶意软件

此外,该恶意软件还使用了一些有趣的反调试技术,例如 GetTickcount 。将两个值相减,结果放置在 EAX 寄存器中。在 call eax 指令后,减去第一个 GetTickCount API 调用的结果,并执行第二个调用的结果。

Himera与AbSent-Loader利用COVID-19传播恶意软件

然后,恶意软件每十五分钟建立一次 TCP 连接。这些连接被定向到相同服务提供商运营的同一主机(195.2.92.151),但此时将 POST 请求发送到 /ad/da/gate.php

Himera与AbSent-Loader利用COVID-19传播恶意软件

该 Payload 是 AbSent-Loader 的新版本,该恶意软件缺乏现代恶意软件的高级功能,但仍然足够复杂到可以保持对失陷主机的持久化。

结论

在这个特定的时期,网络空间中公司和人员的风险越来越大。攻击者正在利用疫情的流行,通过所有可能的方式来赚钱。我们强烈建议公司应该增强网络安全防御能力,来抵御各种不同的网络攻击。

IOC

97FA1F66BD2B2F8A34AAFE5A374996F8

4620C79333CE19E62EFD2ADC5173B99A

4D2207059FE853399C8F2140E63C58E3

http://195.2.92.151/ad/da/drop/smss.%5Dexe

http://195.2.92.151/ad/da/gate.%5Dphp

Yara

import "pe" 
import "math"
 rule HimeraLoader_May2020{

    meta:
      description = "Yara Rule for HimeraLoaderV1.6"
      author = "Cybaze Zlab_Yoroi"
      last_updated = "2020-05-29"
      tlp = "white"
      SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74"
      category = "informational"

    strings:
            $a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF}
         $a2 = {6A 07 0F B7 D0 8D 7D E0 59 33}
            $a3 = "mscoree.dll" wide 
         $a4 = "KViKZjK]EZA^yG@JA"

    condition:
        uint16(0) == 0x5A4D and all of them
}


rule AbsentLoader_may2020{ 
    meta: 
        description = "Detects Absent Loader distributed in COVID-19 theme" 
        author = "Cybaze @ Z-Lab" 
        hash = "4D2207059FE853399C8F2140E63C58E3" 
        last_update = "2020-05-18 12:37:28" 
        tags = "DOC, EXE, FILE, MAL, LOADER, COVID19" 

    strings: 
        $s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15}
        $s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide

    condition: 
        uint16(0) == 0x5A4D and          
        uint32(uint32(0x3C)) == 0x00004550 and  
        pe.number_of_sections == 6 and 
        $s1 at entrypoint and
        $s2 and
        filesize > 900KB and
        pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and
        pe.sections[5].name == ".DATA" and
        math.entropy(0, filesize) >= 6
}

参考来源

Yoroi

* 本文作者:Avenger ,转载请注明来自 FreeBuf.COM


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

剑指Offer

剑指Offer

何海涛 / 电子工业出版社 / 2012-1 / 45.00元

《剑指Offer:名企面试官精讲典型编程题》剖析了50个典型的程序员面试题,从基础知识、代码质量、解题思路、优化效率和综合能力五个方面系统整理了影响面试的5个要点。全书分为7章,主要包括面试的流程,讨论面试流程中每一环节需要注意的问题;面试需要的基础知识,从编程语言、数据结构及算法三方面总结了程序员面试的知识点;高质量的代码,讨论影响代码质量的3个要素(规范性、完整性和鲁棒性),强调高质量的代码除......一起来看看 《剑指Offer》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

html转js在线工具
html转js在线工具

html转js在线工具