歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

解析NanoCore犯罪軟件攻擊鏈

來源:本站整理 作者:佚名 時間:2019-06-18 TAG: 我要投稿

網絡犯罪分子常常會采用多層的加密或混淆技術來逃避安全產品的檢測。對加密器和封裝器的使用在當今惡意軟件領域正變得越來越流行,它們不僅能為惡意代碼提供所謂的“FUD”(完全無法檢測)功能,并且還能隱藏額外的payload。
近日,Cybaze-Yoroi ZLab發現了一類有趣的樣本,它是Nanocore遠程管理工具(RAT)的變種之一,用到了Delphi封裝器。下面是Yoroi實驗室對此樣本的分析。
技術分析
Nanocore RAT是一種“通用的”惡意軟件,通過操作它的客戶端進行攻擊對一般人而言沒什么太大難度。此次攻擊事件中,攻擊者瞄準了意大利的奢侈品行業,攻擊由一封偽裝成來自銀行的釣魚郵件開始。

圖1:部分截取的釣魚郵件
附件是一個7z格式的存檔文件,包含一個Adobe Acrobat圖標的有效PE文件,看來攻擊者試圖通過一個簡單的伎倆來讓用戶相信它是一個合法的PDF文件。該PE可執行文件信息如下:

表1:Nanocore dropper/ NanoCore RAT的靜態信息
接著我們在樣本上提取了一些靜態信息:

圖2:有關“trasferimento.exe”dropper / NanoCore RAT的信息
該樣本是用“BobSoft Mini Delphi”編譯器編譯的,有兩個重要特征:一是高水平的熵; 二是可執行文件中偽造的編譯時間戳。
執行惡意軟件時,我們注意到惡意軟件會執行一些檢查來逃避檢測。

圖3:惡意軟件檢查的進程
上圖展示了惡意軟件所檢查的一些進程,此操作是通過使用經典的Win32 API調用“CreateToolhelp32Snapshot”和“Process32Next”來執行的。

圖4:用于檢查打開工具的API調用
如果檢查的進程中沒有一個處于活動狀態,惡意軟件就可以繼續進行實際的感染:將Nanocore RAT的實際payload寫入“%TEMP%”文件夾中。

圖5:由加載程序和相關API調用編寫的NanoCore payload
payload會進一步加載到內存中,有趣的是,該payload在沒有經過任何加密或混淆。

圖6:嵌入在“trasferimento.exe”樣本資源中的有效負載與寫入%TEMP%文件夾的“non.exe”之間的比較
如上圖所示,“trasferimento.exe”Delphi包裝器有很多嵌入式資源(左側),其中一個包含整個Nanocore RAT的payload。右側我們列出了一個名為“2035”的資源和真實payload之間的差異分析,“2035”左上角黃色突出的是要在機器上植入的payload名稱——“non.exe”,后續代碼是相同的,也沒有任何保護。“trasferimento.exe”組件運行計劃任務以保證其持久性。

圖7:惡意軟件設置的任務調度程序
此時,惡意軟件會創建一個帶有偽隨機名稱的xml文件,該名稱包含其在計算機上持久性的配置。創建此文件后,惡意軟件會生成“non.exe”進程,然后通過以下命令行重新生成自身。
schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:\Users\admin\AppData\Local\Temp\tmpC5A7.tmp”schtasks.exe” /create /f /tn “IMAP Subsystem” /xml “C:\Users\admin\AppData\Local\Temp\tmpCB59.tmp”
xml配置文件的主體如下:
     
   
      InteractiveToken      HighestAvailable            Parallel    false    false    true    false    false          false      false        true    true    false    false    false    PT0S   
4              ”C:\Users\admin\Desktop\trasferimento.exe”      $(Arg0)     
這兩項計劃任務的區別在于,一個引用“trasferimento.exe”進程,另一個引用“non.exe”進程。 它似乎是一種生存機制,在這種機制中,這兩個進程都在起作用,并保持感染的存活。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视