歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

使用開源代碼拼湊出惡意代碼:Frankenstein惡意活動分析

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿

Cisco Talos最近發現了一系列惡意文件,我們認為這些文件是作為“Frankenstein”惡意活動中協調網絡攻擊的一部分。根據我們的評估,攻擊者在2019年1月至4月期間執行了一系列操作,以便通過惡意文檔的方式,在用戶的計算機上安裝惡意軟件。我們評估此惡意活動是針對特定目標的,因為各種惡意軟件存儲庫中的此類文檔數量很少。“Frankenstein”這個名字指的是攻擊者將幾個不相關的組件拼湊在一起的能力,他們使用四種不同的開源技術來構建惡意活動期間所使用的工具。
該惡意活動使用以下組件:
1. 一篇文章,用于檢測我們的樣本何時在虛擬機中運行;
2. 利用MSbuild執行PowerShell命令的GitHub項目;
3. GitHub項目中一個名為“Fruityc2”的組件,用于構建一個階段的惡意工具;
4. 一個名為“PowerShell Empire”的GitHub項目,用于進行代理。
我們認為,“Frankenstein”惡意活動背后的威脅行為者具有中等技術水平,并且具有豐富的資源。攻擊者對開源解決方案的偏好已經成為了該惡意組織的一大趨勢,根據這種趨勢,他們越來越多地使用公開的解決方案,可能會有助于提高運營的安全性。這些混淆技術需要網絡防御者修改其程序和防御模式,以有效檢測到此類威脅。
本報告該輸了整個“Frankenstein”惡意活動中使用的各種反檢測技術。其中一些技術包括檢查是否有任何分析工具(例如:Process Explorer)在后臺運行,以及確定樣本是否位于虛擬機中。威脅參與者還采取了其他方法,僅響應包含預定義字段的GET請求,例如不存在的用戶代理字符串、會話Cookie、域名上的特定目錄等。威脅參與者還使用不同類型的加密方法來保護傳輸中的數據。
木馬化文檔分析
Talos團隊已經確定了與這一惡意活動相關的兩種不同的感染媒介。為了對潛在目標造成實際危害,威脅行為者可能通過電子郵件來發送木馬化的Microsoft Word文檔。第一個向量依賴于一個獲取遠程模板后利用已知漏洞的木馬化文檔。第二個向量是一個木馬化的Word文檔,會提示受害者啟用宏,隨后運行Visual Basic腳本。由于威脅行為者所使用的C2的重復,我們能夠將這兩種技術與同一個威脅活動相關聯。
在第一個場景中,Talos發現了一個名為“MinutesofMeeting-2May19.docx”的文件,該文件似乎展示了約旦的國旗。一旦受害者打開文檔,該文檔就會從威脅活動者控制的網站上獲取一個遠程模板(hxxp://droobox[.]online:80/luncher.doc)。在下載luncher.doc之后,將會利用CVE-2017-11882漏洞,在受害者的主機上執行代碼。在漏洞利用之后,該文件會運行命令腳本,設置一個名為“WinUpdate”的任務,以保證其持久性。
“/Create /F /SC DAILY /ST 09:00 /TN WinUpdate /TR”
該計劃任務將運行一系列經過Base64編碼后的PowerShell命令,這些命令充當Stager,我們將在下一節中更詳細地分析該Stager。
MinutesofMeeting-2May19.docx樣本:

我們分析的一個惡意樣本,在出現的提示中要求受害者啟用“已經經過卡巴斯基(Kaspersky)進行安全防護的宏”,卡巴斯基是一家著名的反病毒公司。盡管威脅行為者通常會為惡意文檔創建虛假的安全標簽,但這種技術也可能表明威脅行為者已經對目標受害者進行了偵查,說明這些文檔在某種程度上已經進行了社會工程學方面的設計。
惡意Microsoft Word文檔示例:

我們發現的與該惡意組織相關的另外兩份文件似乎更加具有針對性。其中一份文件包含一些徽標,似乎與某些中東國家的政府機構相關,而另一份文件中顯示了一些未標明建筑物的圖像,這些圖像可能是一些精心挑選的目標建筑物。
包含官方徽標的特洛伊木馬化文檔:

包含不明建筑物圖像的木馬化文檔:

Visual Basic腳本及反分析功能
一旦用戶啟用了宏,就會開始執行強大的Visual Basic應用程序(VBA)腳本。VBA腳本中包含兩個反分析功能。首先,它將查詢Windows Management Instrumentation(WMI),以檢查下面的應用程序是否正在運行:
· VMWare
· Vbox
· Process Explorer
· Process Hacker
· ProcMon
· Visual Basic
· Fiddler
· WireShark
接下來,腳本將檢查下列任務是否正在運行:
· VMWare
· Vbox
· VxStream
· AutoIT
· VMtools
· TCPView
· WireShark
· Process Explorer
· Visual Basic
· Fiddler
宏代碼的副本,用于檢查具有分析功能的應用程序:

如果在遍歷過程中,發現任意一個上述應用程序或任務名稱,則腳本將停止執行。下一個逃避檢測的技術是調用WMI,并確定分配給系統的核心數。如果核心數小于2,則腳本將停止執行,最終用戶會收到一條彈出的消息,表示“該文件與您的Microsoft Office版本不兼容”。根據我們的評估,此技術是在2015 TrustedSec報告之后創建的模型,用于檢測樣本是在虛擬機還是在沙箱環境中運行。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.pcpbjo.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        云南快乐十分前三电视