Himera與AbSent-Loader利用COVID-19傳播惡意軟件
COVID-19 疫情的大流行給了網絡攻擊者可乘之機,很多惡意軟件藉機通過疫情主題進行傳播和感染,Himera 和 AbSent-Loader 也不例外。
介紹
正在有犯罪組織利用有關《家庭和醫療休假法案》(FMLA)的要求進行惡意軟件的傳播。這些電子郵件與 Himera 和 Absent-Loader 有關:
通常來說,Loader 是專門將其他惡意軟件的代碼加載到失陷主機中的。有時候 Loader 也會進行信息竊取,即使這已經不應該由它們來做了。Absent-Loader 就屬於會進行竊密的這一類,事實上,失陷主機的信息會不斷在地下市場進行出售,通常是由其他有組織的犯罪分子或商業競爭對手購買。
技術分析
攻擊行動使用的樣本首先是 Word 文檔,該文檔拉取可執行文件,然後刪除另一個可執行文件並進行重命名逃避檢測。完整感染鏈如下所示:
電子郵件包含 Word 文檔附件,如下所示:
| 文件名稱 | Covid-19-PESANTATION.doc |
|---|---|
| 哈希值 | 97FA1F66BD2B2F8A34AAFE5A374996F8 |
| 威脅名稱 | Himera Loader Dropper |
| 文件大小 | 95,4 KB (97.745 byte) |
| 文件類型 | Microsoft Word 文檔 |
| ssdeep | 1536:7fVmPSiRO8cOV8xCcoHrZvIdTZ2DSXMqcI3iL5PEs8VlbeH0btGDYLlNq2l+SEg:7fVz8zyUHlvId7H3iL5MVlbeHGkQvqTU |
該文檔不利用任何宏代碼或漏洞,而是將整個可執行文件作爲對象嵌入文檔中。因此,一旦用戶點擊代表可執行文件的惡意圖表就允許文檔執行名爲 HimeraLoader.exe 的惡意文件。
| 文件名稱 | HimeraLoader.exe |
|---|---|
| 哈希值 | 4620C79333CE19E62EFD2ADC5173B99A |
| 威脅名稱 | 二階段 Dropper |
| 文件大小 | 143 KB (146.944 byte) |
| 文件類型 | 可執行文件 |
| 文件信息 | Microsoft Visual C++ 8 |
| ssdeep | 3072:jqW9iAayyenylzx0/2gJUSUZsnOA/TtYLeEoWj5PxJhQQeSH1pNGmHohurCMSiBf:jqW9iAayyenylzx0/2gJUSUZsnJ/TKLd |
在分析 HimeraLoader.exe 時,我們注意到惡意代碼加載過程中創建了一個非常有特色的互斥量 HimeraLoader v1.6 :
此外,該樣本使用了一些經典的反分析技巧,例如 sDebbugerPresent 、 IsProcessorFeaturePresent 與 GetStartupInfoW 。如果存在調試器,將會執行不同的代碼。函數 GetStartupInfoW 會檢索在創建調用進程時指定的 STARTUPINFO 結構體數據,該函數以一個指向 STARTUPINFO 結構體的指針作爲參數,該結構體接收啓動信息且不返回信息。
Himera Loader 通過所有反分析檢查時,它將會從 http://195.2.92.151/ad/da/drop/smss.exe 拉取另一個二進制文件。該服務器由俄羅斯托管服務提供商 VDSina.ru 提供。
AbSent-Loader
通過 URL 下載的文件如下所示:
| 文件名稱 | smss 1 .exe |
|---|---|
| 文件哈希 | 4D2207059FE853399C8F2140E63C58E3 |
| 威脅名稱 | Dropper/Injector |
| 文件大小 | 0,99 MB (1.047.040 byte) |
| 文件類型 | 可執行文件 |
| 文件信息 | Microsoft Visual C++ 8 |
| ssdeep | 24576:+9d+UObalbls+rcaN+cFsyQIDHx2JrjDwc9bmfRiHwl:+9d+UObaVzrcaN+cKypDHx2Jr/wYbmJd |
當 smms.exe 執行時,將會複製自身到 %TEMP% 路徑下的新文件 winsvchost.exe 中,並且創建計劃任務以維持持久化。
此外,該惡意軟件還使用了一些有趣的反調試技術,例如 GetTickcount 。將兩個值相減,結果放置在 EAX 寄存器中。在 call eax 指令後,減去第一個 GetTickCount API 調用的結果,並執行第二個調用的結果。
然後,惡意軟件每十五分鐘建立一次 TCP 連接。這些連接被定向到相同服務提供商運營的同一主機(195.2.92.151),但此時將 POST 請求發送到 /ad/da/gate.php 。
該 Payload 是 AbSent-Loader 的新版本,該惡意軟件缺乏現代惡意軟件的高級功能,但仍然足夠複雜到可以保持對失陷主機的持久化。
結論
在這個特定的時期,網絡空間中公司和人員的風險越來越大。攻擊者正在利用疫情的流行,通過所有可能的方式來賺錢。我們強烈建議公司應該增強網絡安全防禦能力,來抵禦各種不同的網絡攻擊。
IOC
97FA1F66BD2B2F8A34AAFE5A374996F8
4620C79333CE19E62EFD2ADC5173B99A
4D2207059FE853399C8F2140E63C58E3
http://195.2.92.151/ad/da/drop/smss.%5Dexe
http://195.2.92.151/ad/da/gate.%5Dphp
Yara
import "pe"
import "math"
rule HimeraLoader_May2020{
meta:
description = "Yara Rule for HimeraLoaderV1.6"
author = "Cybaze Zlab_Yoroi"
last_updated = "2020-05-29"
tlp = "white"
SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74"
category = "informational"
strings:
$a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF}
$a2 = {6A 07 0F B7 D0 8D 7D E0 59 33}
$a3 = "mscoree.dll" wide
$a4 = "KViKZjK]EZA^yG@JA"
condition:
uint16(0) == 0x5A4D and all of them
}
rule AbsentLoader_may2020{
meta:
description = "Detects Absent Loader distributed in COVID-19 theme"
author = "Cybaze @ Z-Lab"
hash = "4D2207059FE853399C8F2140E63C58E3"
last_update = "2020-05-18 12:37:28"
tags = "DOC, EXE, FILE, MAL, LOADER, COVID19"
strings:
$s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15}
$s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide
condition:
uint16(0) == 0x5A4D and
uint32(uint32(0x3C)) == 0x00004550 and
pe.number_of_sections == 6 and
$s1 at entrypoint and
$s2 and
filesize > 900KB and
pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and
pe.sections[5].name == ".DATA" and
math.entropy(0, filesize) >= 6
}
參考來源
* 本文作者:Avenger ,轉載請註明來自 FreeBuf.COM
