Himera與AbSent-Loader利用COVID-19傳播惡意軟件
COVID-19 疫情的大流行給了網絡攻擊者可乘之機,很多惡意軟件藉機通過疫情主題進行傳播和感染,Himera 和 AbSent-Loader 也不例外。
介紹
正在有犯罪組織利用有關《家庭和醫療休假法案》(FMLA)的要求進行惡意軟件的傳播。這些電子郵件與 Himera 和 Absent-Loader 有關:
通常來說,Loader 是專門將其他惡意軟件的代碼加載到失陷主機中的。有時候 Loader 也會進行信息竊取,即使這已經不應該由它們來做了。Absent-Loader 就屬於會進行竊密的這一類,事實上,失陷主機的信息會不斷在地下市場進行出售,通常是由其他有組織的犯罪分子或商業競爭對手購買。
技術分析
攻擊行動使用的樣本首先是 Word 文檔,該文檔拉取可執行文件,然後刪除另一個可執行文件並進行重命名逃避檢測。完整感染鏈如下所示:
電子郵件包含 Word 文檔附件,如下所示:
文件名稱 | Covid-19-PESANTATION.doc |
---|---|
哈希值 | 97FA1F66BD2B2F8A34AAFE5A374996F8 |
威脅名稱 | Himera Loader Dropper |
文件大小 | 95,4 KB (97.745 byte) |
文件類型 | Microsoft Word 文檔 |
ssdeep | 1536:7fVmPSiRO8cOV8xCcoHrZvIdTZ2DSXMqcI3iL5PEs8VlbeH0btGDYLlNq2l+SEg:7fVz8zyUHlvId7H3iL5MVlbeHGkQvqTU |
該文檔不利用任何宏代碼或漏洞,而是將整個可執行文件作爲對象嵌入文檔中。因此,一旦用戶點擊代表可執行文件的惡意圖表就允許文檔執行名爲 HimeraLoader.exe 的惡意文件。
文件名稱 | HimeraLoader.exe |
---|---|
哈希值 | 4620C79333CE19E62EFD2ADC5173B99A |
威脅名稱 | 二階段 Dropper |
文件大小 | 143 KB (146.944 byte) |
文件類型 | 可執行文件 |
文件信息 | Microsoft Visual C++ 8 |
ssdeep | 3072:jqW9iAayyenylzx0/2gJUSUZsnOA/TtYLeEoWj5PxJhQQeSH1pNGmHohurCMSiBf:jqW9iAayyenylzx0/2gJUSUZsnJ/TKLd |
在分析 HimeraLoader.exe 時,我們注意到惡意代碼加載過程中創建了一個非常有特色的互斥量 HimeraLoader v1.6
:
此外,該樣本使用了一些經典的反分析技巧,例如 sDebbugerPresent
、 IsProcessorFeaturePresent
與 GetStartupInfoW
。如果存在調試器,將會執行不同的代碼。函數 GetStartupInfoW 會檢索在創建調用進程時指定的 STARTUPINFO 結構體數據,該函數以一個指向 STARTUPINFO 結構體的指針作爲參數,該結構體接收啓動信息且不返回信息。
Himera Loader 通過所有反分析檢查時,它將會從 http://195.2.92.151/ad/da/drop/smss.exe
拉取另一個二進制文件。該服務器由俄羅斯托管服務提供商 VDSina.ru
提供。
AbSent-Loader
通過 URL 下載的文件如下所示:
文件名稱 | smss 1 .exe |
---|---|
文件哈希 | 4D2207059FE853399C8F2140E63C58E3 |
威脅名稱 | Dropper/Injector |
文件大小 | 0,99 MB (1.047.040 byte) |
文件類型 | 可執行文件 |
文件信息 | Microsoft Visual C++ 8 |
ssdeep | 24576:+9d+UObalbls+rcaN+cFsyQIDHx2JrjDwc9bmfRiHwl:+9d+UObaVzrcaN+cKypDHx2Jr/wYbmJd |
當 smms.exe
執行時,將會複製自身到 %TEMP%
路徑下的新文件 winsvchost.exe
中,並且創建計劃任務以維持持久化。
此外,該惡意軟件還使用了一些有趣的反調試技術,例如 GetTickcount
。將兩個值相減,結果放置在 EAX 寄存器中。在 call eax
指令後,減去第一個 GetTickCount API 調用的結果,並執行第二個調用的結果。
然後,惡意軟件每十五分鐘建立一次 TCP 連接。這些連接被定向到相同服務提供商運營的同一主機(195.2.92.151),但此時將 POST 請求發送到 /ad/da/gate.php
。
該 Payload 是 AbSent-Loader 的新版本,該惡意軟件缺乏現代惡意軟件的高級功能,但仍然足夠複雜到可以保持對失陷主機的持久化。
結論
在這個特定的時期,網絡空間中公司和人員的風險越來越大。攻擊者正在利用疫情的流行,通過所有可能的方式來賺錢。我們強烈建議公司應該增強網絡安全防禦能力,來抵禦各種不同的網絡攻擊。
IOC
97FA1F66BD2B2F8A34AAFE5A374996F8
4620C79333CE19E62EFD2ADC5173B99A
4D2207059FE853399C8F2140E63C58E3
http://195.2.92.151/ad/da/drop/smss.%5Dexe
http://195.2.92.151/ad/da/gate.%5Dphp
Yara
import "pe" import "math" rule HimeraLoader_May2020{ meta: description = "Yara Rule for HimeraLoaderV1.6" author = "Cybaze Zlab_Yoroi" last_updated = "2020-05-29" tlp = "white" SHA256 = "b694eec41d6a71b27bb107939c262ed6c7a5f4919c33f152747b9cd7881b1b74" category = "informational" strings: $a1 = {74 ?? 85 CE 75 26 E8 ?? ?? ?? ?? 8B C8 3B CF} $a2 = {6A 07 0F B7 D0 8D 7D E0 59 33} $a3 = "mscoree.dll" wide $a4 = "KViKZjK]EZA^yG@JA" condition: uint16(0) == 0x5A4D and all of them } rule AbsentLoader_may2020{ meta: description = "Detects Absent Loader distributed in COVID-19 theme" author = "Cybaze @ Z-Lab" hash = "4D2207059FE853399C8F2140E63C58E3" last_update = "2020-05-18 12:37:28" tags = "DOC, EXE, FILE, MAL, LOADER, COVID19" strings: $s1= {E8 67 05 00 00 E9 7A FE FF FF 55 8B EC 6A 00 FF 15} $s2 = "9+VPO3Ptqo5VwjCHLBwxY/DzOuo7pbKPh8jnGJHTewlufKPm8dEnimSoUs7gu8v4UfmFdox3L+du1ukoDgqHmpRVRy6NEdgKdvrA5IXLPkp/b+Z9jYpDxfy+rhDQgJiG9gJbBMuSPaO7LSeu+hJyV+HyxIvM" ascii wide condition: uint16(0) == 0x5A4D and uint32(uint32(0x3C)) == 0x00004550 and pe.number_of_sections == 6 and $s1 at entrypoint and $s2 and filesize > 900KB and pe.imphash() == "1dc0ccab66ccb6a7a1db95e90357aa9c" and pe.sections[5].name == ".DATA" and math.entropy(0, filesize) >= 6 }
參考來源
* 本文作者:Avenger ,轉載請註明來自 FreeBuf.COM