2020版Smokeloader僵尸网络变种分析
作者:leye乐鱼娱乐app 发布时间:2021-12-31 01:48
本文摘要:1 概述 近期,安天CERT通过网络监测发现了一起僵尸网络事件,经分析人员判断,该僵尸网络名为Smokeloader,它从2011年开始在黑客论坛出售,一直处于更新状态。安天CERT分析人员发现本次活跃的Smokeloader样本是2020年最新的版本。 Smokeloader主要通过垃圾邮件携带恶意宏代码的Office文档举行流传,该样本具备远程下载其它组件、窃取用户敏感信息和提倡DDoS攻击等功效。

leye乐鱼娱乐app

1 概述 近期,安天CERT通过网络监测发现了一起僵尸网络事件,经分析人员判断,该僵尸网络名为Smokeloader,它从2011年开始在黑客论坛出售,一直处于更新状态。安天CERT分析人员发现本次活跃的Smokeloader样本是2020年最新的版本。

Smokeloader主要通过垃圾邮件携带恶意宏代码的Office文档举行流传,该样本具备远程下载其它组件、窃取用户敏感信息和提倡DDoS攻击等功效。该僵尸网络曾被发现用来流传GandCrab勒索软件[1]、Kronos银行木马[2]等多款污名昭著的恶意软件。2020版本的Smokeloader使用多种规避检测和反抗分析的技术,如运行情况的检测、花指令、代码自解密、反虚拟机等。

运行乐成后将自身添加为计划任务,保证自身的持久化。Smokeloader在获取系统基本信息后,将其加密发送到攻击者服务器,吸收返回信息,下载插件并注入内存中运行,插件功效主要包罗窃取网站信息、收集邮件信息、窃取虚拟钱币信息、监控浏览器、键盘记载、下载Team Viewer等三种远程控制软件举行隐蔽控制等。此外Smokeloader还会下载远程控制法式、挖矿木马和勒索软件。

Smokeloader为了告竣目的做了充实的“多手准备”:为了实现远程控制功效,下载了三种远程控制法式来提升远控的乐成机率;为了实现窃取浏览器凭证等信息,使用了多套技术装备提升窃取浏览器信息的乐成机率;使用了多种反调试、反虚拟机和反查杀等技术反抗宁静人员的分析、自动化分析情况的检测和宁静软件的查杀。攻击者使用了Anyplace Control、AnyDesk和Team Viewer三种远程控制软件,它们的特点是网络流量均由各自的服务器举行通信,即攻击者与受害者不直接通信,而是通过上述三款远程控制软件的服务器举行中转,导致追踪攻击者的难度增大。

2 事件对应的ATT&CK映射图谱 该起事件针对目的系统投放Smokeloader僵尸网络,通过对该事件举行ATT&CK映射,展示攻击者在该事件中使用的技术特点。图 2-1 事件对应的ATT&CK映射图谱 详细ATT&CK技术行为形貌表:表 2-1 该事件的ATT&CK技术行为形貌表3 样本概览3.1 样本标签表 3-1 Smokeloader样本标签3.2 样本功效流程概览 Smokeloader僵尸网络通常使用垃圾邮件流传,邮件附件携带恶意宏文档,文档启用宏后下载Smokeloader僵尸网络,该僵尸网络运行后首先通过shellcode技术与自身法式建立系统ntdll.dll方式来规避检测,然后通过检测系统注册表中是否存在特定的关键词方式判断是否在虚拟机中运行。样本首先判断自身是否在Windows7以上系统情况中运行,否则退出历程。

样本乐成执行后将恶意代码注入到系统Explorer历程中,将自身添加为计划任务,距离10分钟运行一次,保证自身的持久化。样本在获取系统基本信息后,将其加密发送到攻击者服务器,并下载落地多个实体文件,包罗Avaddon勒索软件、CoinMiner挖矿木马、远程控制软件(Team Viewer、AnyDesk、Anyplace Control)等,如3-2所示,此外该僵尸网络还在内存中下载了多个插件,详细插件功效如表3-3所示。

图 3-1 样本的流传与功效图 通过安天威胁情报综合分析平台关联Smokeloader样本,发现了大量的关联域名、IP、样本等信息。图 3-2 安天威胁情报综合分析平台样本关联分析图 3-3 与Smokeloader通信的域名表 3-2 下载样本功效列表表 3-3 插件功效列表4 防护建议 安天提醒宽大用户,提高网络宁静意识,实时举行系统更新和毛病修复,制止下载非正版的应用软件、非官方游戏及注册机等;安装具有主动防御能力的终端防护软件(如安天智甲)以对勒索软件提供有效防护;实时备份重要文件,文件备份应与主机隔离;只管制止打开社交媒体分享的不明泉源链接,将信任网站添加书签并通过书签会见;制止使用弱口令或统一的口令;吸收邮件时要确认发送泉源是否可靠,制止打开可疑邮件中的网址和附件,制止轻易下载泉源不明的附件。

现在,安天智甲终端防御系统(V5.0.5.08181344)可实现对以上恶意软件的查杀与有效防护。图 4-1 安天智甲有效防护5 样本详细分析 该样本运用shellcode技术规避检测,样本中包罗了大量反抗分析的技术,如运行情况的检测、花指令、代码自解密、反虚拟机等。运行后将自身添加为计划任务,距离10分钟运行一次,保证自身的持久化。样本在获取系统基本信息后,将其加密发送到攻击者服务器,接受返回信息下载插件加载运行。

leyu乐鱼全站app

5.1 解密shellcode 主样本运用shellcode技术规避检测,运行后首先解密第一段shellcode代码并执行,然后会分配新的内存空间,将第二段shellcode写入,并将自身历程挂起。图 5-1 写入s hellcode5.2 反抗分析 由于沙箱和其他宁静性解决方案经常使用ntdll函数的用户域挂钩,跟踪样本的所有系统挪用,故该样本首先复制系统目录下的ntdll.dll到%APPDATA% Local Temp目录并重名为D47F.tmp,尔后使用LdrLoadDll加载D47F.tmp到内存,来规避沙箱情况的检测。图 5-2 建立新的ntdll.dll副本 样本中包罗了大量反抗分析的技术,包罗运行情况的检测、花指令、代码自解密、反虚拟机等,通过检测系统注册表中是否存在特定的关键词,以此判断是否运行于虚拟机中。

表 5-1 查询注册表键值 获取系统OSMajorVersion,只能在Win7及以上的系统情况运行。图 5-3 获取系统OSMajorVersion5.3 建立计划任务,下载插件 该样本运行后将自身添加为计划任务设置计划任务名为NvNgxUpdateCheckDaily_{%08X-%04X-%04X-%04X-%08X%04X}(十六进制值在二进制文件中是硬编码的),距离10分钟运行一次,保证自身的持久化。

图 5-4 生成计划任务名称图 5-5 计划任务 样本在获取系统基本信息后,将其加密发送到攻击者服务器,并接受返回信息。图 5-6 POST发送数据 样本中解密后的硬编码域名信息:表 5-2 域名信息 吸收的返回数据中,前4字节表现长度,数据的长度要大于前4字节所表现的长度。样本对数据举行解密之后,会对第5,6字节举行校验,判断是否为2020。

通过对该僵尸网络以往版本的分析确认,该样本是2020年新的版本。图 5-7 样本版本5.4 样本插件功效分析 安天CERT分析发现Smokeloader共有9个插件,插件功效主要包罗窃取网站信息、收集邮件信息、窃取虚拟钱币信息、监控浏览器、键盘记载、下载Team Viewer等三种远程控制软件举行隐蔽控制等。5.4.1 插件1 窃取网站与Windows登录凭证 该插件的功效是读取多个浏览器的数据库文件,从中窃取网站登录的用户名和密码。

而且通过vaultcli.dll,会见Windows凭证治理器,窃取生存的账号密码信息。通过HTTP协议将窃取的信息上传到攻击者指定的服务器。

表 5-3 读取的浏览器信息5.4.2 插件2 下载其他恶意代码、竣事历程与重启电脑 凭据指令中关键词“procmon_rules”提供的规则,该规则有下载其他恶意代码、强制竣事历程与重启电脑操作功效。该指令的规则是procmon_rules = XXX.exe|[operation number]?[id],XXX.exe指想要竣事的历程名称,供operation number中的1使用;operation number可以控制该插件举行三种操作;指令id是起到唯一标识的作用。operation number可以控制该插件举行三种操作,使用0,1,2对应其三种操作: 0 对应操作是请求下载新的恶意软件,然后建立一个暂时文件,把下载下来的恶意软件写入暂时文件并运行。

1 对应的操作是凭据XXX.exe指定的历程名,然后挪用TerminateProcess竣事该历程。2 对应的操作是提升当前历程的权限,然后挪用ExitWindowsEx强制重启电脑。5.4.3 插件3 收集用户邮件文件 Smokeloader插件3收集用户邮件,通过HTTP协议将窃取的信息上传到攻击者指定的服务器。

收集邮件的相关路径、文件夹及文件后缀如下:表 5-4 收集邮件内容5.4.4 插件4 窃取网站登录凭证 判断指令中是否存在“fgclearcookies”,存在,则清理浏览器cookies,使用户再次登录网站时,需要输入用户名密码。无论是否存在该关键词,都市对多个浏览器历程举行监控。当发现浏览器历程时,会将代码举行注入,HOOK浏览器历程的相关个函数用来监控是否有cookies传输。当发现cookies举行传输时,举行拦截。

强制用户使用用户名密码登录,窃取用户的网站用户名和密码。表 5-5 监控多个浏览器历程5.4.5 插件5 窃取浏览器、邮件、FTP凭证 该插件会监控历程,当发现有以下历程时会将代码注入到该历程内,对send函数和WSASend函数举行HOOK,用来窃取登录凭证。表 5-6 监控相关历程5.4.6 插件6 窃取虚拟钱币 该插件用来举行文件搜索操作,搜索规则由指令中的“filesearch_rules”来指定,将搜索到的文件回传给攻击者。

从已知的指令来看,主要针对虚拟钱币钱包相关文件。首先定位“filesearch_rules=*wallet*=100000000*2fa*=100000000*backup*phrase*=100000000……”字符串,剖析指令,提取虚拟钱币钱包相关的字符串(*wallet*,*2fa*,*backup*phrase*)等。

图 5-8 定位filesearch_rules规则 该插件遍历系统磁盘搜索存在关键词的文件并将其存在暂时目录下,完成后压缩文件发送给攻击者指定服务器。图 5-9 压缩窃取的文件5.4.7 插件7 DDoS攻击 该插件用来举行DDoS攻击,攻击规则由指令中的“ddos_rules”指定,指令的规则一般是“ddos_rules=[0-7]|[URL/IP]”,0-7代表了8种差别的DDoS攻击手法,用来对指定的网站或IP提倡DDoS攻击。

5.4.8 插件8 键盘记载 该插件用来举行键盘记载,规则由指令中的“keylog_rules”指定,针对keylog_rules指定的历程,对其的TranslateMessage和Getclipboarddata函数举行HOOK获取目的历程的键盘输入和剪切板内容,将记载的内容回传给攻击者服务器。5.4.9 插件9 下载执行远程控制软件 该插件用来执行指令“runhtv”,若存在该指令,则下载执行远程控制软件。毗连C2下载远程控制软件Team Viewer、AnyDesk和Anyplace Contro,使用HOOK的方法隐藏窗体执行,获取远程控制软件的登录凭证,这样可以实现以下两个目的: 一是使远程控制软件隐藏运行,不显示窗体。

乐鱼官网推荐

二是用来获取毗连到此机械的凭证,并将凭证回传给攻击者,使攻击者可通过Team Viewer、Anyplace Control和AnyDesk远程控制该主机。以Team Viewer为例举行分析,下载的Team Viewer远程控制软件相关文件:图 5-10 Team Viewer 以暂停的状态建立历程Team Viewer图 5-11 建立历程 向历程中写入代码,恢复历程运行。写入到Team Viewer历程中的代码,会对特定的函数举行HOOK操作。

被HOOK的函数如下:表 5-7 被HOOK的函数 可以实现两个目的:一是使Team Viewer隐藏运行,不显示窗体。二是用来获取毗连到此机械的Your ID和Password,并将ID和Password回传给攻击者,使攻击者可通过Team Viewer来远程控制该主机。

图 5-12 Team Viewer运行界面 该Team Viewer相关的文件是带有数据签名的官方文件,版本为14.2.2558。Team Viewer网络流量均由各自的服务器举行通信,即攻击者与受害者不直接通信,而是通过上述三款远程控制软件的服务器举行中转,导致追踪攻击者的难度增大。图 5-13 Team Viewer网络流量由服务器转发6 IoCs参考资料[1] TxHollower加载器更新隐藏技术投递多种载荷 https://blog.ensilo.com/txhollower-process-doppelganging[2] Kronos重生 https://www.proofpoint.com/us/threat-insight/post/kronos-reborn[3] 精准投放Tsunami僵尸网络和“魔铲”挖矿木马的行动分析 https://www.antiy.cn/research/notice&report/research_report/20200424.html[4] 流传CoronaVirus勒索软件和KPOT窃密木马事件的分析 https://www.antiy.cn/research/notice&report/research_report/20200323.html。


本文关键词:2020版,Smokeloader,僵尸,网络,变种,分析,概述,乐鱼官网推荐

本文来源:leyu乐鱼全站app-www.gongyijob.com

电话
0513-651250002