2015年12月2日夜间,安天监控预警体系感知到如下信息线索:某知名作家在新浪微博发布消息,曝光有人以发送“采访提纲”为借口,利用微博私信功能,发送恶意代码链接。
安天安全研究与应急处理中心(安天CERT)根据微博截图指向的链接,下载该样本并连夜展开分析。随着分析的深入,我们梳理了整个事件的过程,及相关的恶意代码机理。
引起我们关注的微博如图所示,该微博发布于12月1日23时24分。作家收到自称“南周冯翔”的记者发来的“采访提纲”,这位记者因“不知道联系方式”,而将“采访提纲”存放网盘。可是,网盘上的文件引起了反病毒软件的报警。
图 1 微博私信所发文件引起反病毒软件报警
首先,我们根据微博截图中的短网址找到真实的文件链接,由图可知,文件链接指向百度网盘。
图 2 报警文件的下载地址为百度网盘
百度网盘所有者为“南周冯翔”,分享创建时间为2015年11月30日17时4分,见下图。
图 3 “南周冯翔”的百度网盘分享
同时,我们注意到另一位微博名人也向“南周冯翔”提出质疑,该评论发表于11月30日
图 4 微博名人向“南周冯翔”提出质疑
对此,我们通过新浪微博搜索了这位“南周冯翔”的信息,发现其粉丝数只有三百多,而另一位“冯翔”却拥有过万的粉丝数,他们的“头像”等信息极为相似。不过,由于新浪微博的昵称是可以随意修改的,尚无法判定通过私信发送恶意代码的人是否为“南周冯翔”。我们将事件中涉及的人物关系梳理如下:
图 5 人物关系
无论是原始微博截图中的头像、微博两条搜索结果显示的头像,还是百度网盘的头像,相似度都非常高,让人真假难辨。我们梳理一下整个事件过程:
图 6 攻击流程示意图
虽然攻击者使用了社会工程学的方法,仿冒记者信息进行欺骗,但至今,并没有微博知名人士“中招”。下面,我们开始对样本本身进行分析。
| 包裹文件名称 | 南方周末采访提纲.rar |
| MD5 | F2928482E9F7443EDED6B366AAD554F9 |
| 文件大小 | 1.16 MB (1,217,174 字节) |
| 文件格式 | RAR archive data, v1d, os: Win32 |
包裹文件内部,只有一个与包裹文件同名的EXE文件,文件信息如下:
| 原始文件名 | 南方周末采访提纲.exe |
| MD5 | EA878E08F10057B2477090C8017AF587 |
| 处理器架构 | X86-32 |
| 文件大小 | 5,238 KB (5,364,268 字节) |
| 文件格式 | BinExecute/Microsoft.EXE[:X86] |
| 文件时间 | 2015-11-30 16:51:21 (文件时间取自包裹内) |
| 时间戳 | 53973C2B->2014-06-11 01:11:07(文件时间戳可被伪造) |
| 数字签名 | YES(伪造微软签名,数字签名无效) |
| 开发工具: | n/a |
| 加壳工具: | n/a |
EXE的文件图标如下图所示,程序图标很像Word文档。
图 7 南方周末采访提纲程序图标
文件具有数字签名,而且是微软的数字签名,但该签名不能通过在线验证,怀疑其采用了一种静态仿冒数字签名的手段。
图 8 南方周末采访提纲.exe仿冒微软数字签名
而衍生文件VSTquanjuhe.com具有仿冒的sogou数字签名:
图 9 VSTquanjuhe.com仿冒的sogou数字签名
图 9 VSTquanjuhe.com仿冒的sogou数字签名
图 10 ing.exe仿冒的NVIDIA数字签名
该程序在运行后,会在C盘根目录建立名为“$NtUninstallKB1601A$”的文件夹,其中包括BinBackup和tools两个子文件夹。整体目录结构如下图所示。
图 11 恶意程序释放文件夹整体目录结构
该目录结构中各具体文件名称及大小见下表。
| 所在目录 | 文件名称 | 文件大小 |
| .\ | bmd.vbe | 10.4 KB (10,698 字节) |
| .\ | gsxt.bat | 1.26 KB (1,299 字节) |
| ABAZ\ | 1.exe | 69.5 KB (71,168 字节) |
| ABAZ\ | sl2.db | 70 字节 (70 字节) |
| ABAZ\ | speedmem2.hg | 21.0 KB (21,504 字节) |
| ABAZ\ | XueTr.dll | 261 KB (267,776 字节) |
| ABAZ\ | XueTrSDK.sys | 362 KB (370,688 字节) |
| BinBackup\MYTEMP\ | 8.3f | 169 字节 (169 字节) |
| BinBackup\ | abc.os | 3.00 KB (3,072 字节) |
| BinBackup\ | abc1601.dat | 341 KB (350,190 字节) |
| BinBackup\ | inst.ini | 293 KB (300,990 字节) |
| BinBackup\ | lang1.lnk | 3 KB (3,172字节) |
| BinBackup\ | lang2.lnk | 3 KB (3,338字节) |
| BinBackup\ | links.ini | 404 KB (413,742 字节) |
| BinBackup\ | mew.1r | 42.6 KB (43,646 字节) |
| BinBackup\ | mtfile.tpi | 86.3 KB (88,462 字节) |
| BinBackup\ | os.bat | 242 字节 (242 字节) |
| BinBackup\ | super.inf | 7.01 KB (7,180 字节) |
| BinBackup\ | test1.pfx | 107 KB (110,030 字节) |
| BinBackup\ | test2.pfx | 95.1 KB (97,484 字节) |
| BinBackup\ | ua.lnk | 1 KB (1,046字节) |
| BinBackup\ | ub.lnk | 1 KB (668字节) |
| BinBackup\ | Win1.bat | 1.53 KB (1,570 字节) |
| BinBackup\ | Win2.bat | 764 字节 (764 字节) |
| Tools\ | cmd.exe | 336 KB (344,576 字节) |
| Tools\ | ing.exe | 192 KB (197,320 字节) |
| Tools\ | ua.exe | 483 KB (495,568 字节) |
| Tools\ | VSTquanjuhe.com | 51.5 MB (54,035,320 字节) |
样本执行流程图如下:
图 12 样本执行流程图
该样本是一个自解压程序,它使用了十多个加密脚本执行不同的恶意功能,运行后解压文件并运行解压后的程序VSTquanjuhe.com,使用验证是否存在文件"C:\\$NtUninstallKB1601A$\\BinBackup\\Images\\FreeImage.dll"的方法来校验程序是否首次运行,VSTquanjuhe.com使用极为复杂的解压密码解压文件links.ini(实为包裹文件),并使用验证是否存在文件夹"C:\Windows\SysWOW64"的方法来校验系统版本是否为64位操作系统,32位操作系统和64位操作系统调用不同的加密脚本执行。32位操作系统中(除Windows 8)通过脚本实现添加注册表启动项的操作,并重新启动操作系统,之后再次利用复杂的密码对多个文件进行解压,运行解压后的可执行文件shotdown.exe,shotdown.exe程序将释放一个名为FreeImage.dll的加密的RAR文件,通过再次重新启动系统,使用解密脚本及手工杀毒辅助工具“XueTr”覆盖360安全软件的白名单文件,并删除反病毒软件Windows Defender文件,运行解压的文件ing.exe(捆绑文件,释放VBS脚本),利用ing.exe释放的脚本解压RAR文件FreeImage.dll后得到后门程序FreImage.exe并运行,程序还可以利用文件替换的方法添加规则绕过腾讯电脑管家检测。64位操作系统及Windows 8系统的流程分支功能与32位操作系统的分支功能相差不多,主要的区别是重启系统是一次而非两次,不覆盖360安全软件的白名单文件。它们最终的目的都是运行两个后门程序。
| 文件路径名称 | 主要功能 |
| ABAZ\1.exe | XueTr命令行版本,供BAT及VBS脚本调用,实现强制复制、删除文件功能。 |
| ABAZ\XueTr.dll | XueTr依赖动态链接库文件。 |
| ABAZ\XueTrSDK.sys | XueTr依赖驱动文件。 |
| Tools\ua.exe | RAR命令行工具,供BAT及VBS脚本调用,实现文件解压缩。 |
这四个衍生的文件是较为常见的工具类程序。
Init.ini 文件虽然使用ini作为扩展名,但实际上是RAR包裹文件。
图 13 inst.ini解压文件的功能描述
bmd.vbe是一个加密的脚本文件,其中包含多层加密,层层解密后最终的代码如下:
图 14 bmd.vbe解密后的明文代码
它的主要功能是添加注册表启动项:“C:\$NtUninstallKB1601A$\BinBackup\ub.lnk”,随后调用gsxt.bat来替换安全软件的白名单文件,达到绕过安全软件的查杀的目的。
图 15 替换安全软件白名单
因此可以发现inst.ini包裹中文件的功能就是添加ub.lnk启动项,并尝试绕过安全软件查杀。
links.ini 文件虽然使用ini作为扩展名,但实际上是RAR包裹文件。
图 16 links.ini解压文件的功能描述
文件ua.lnk删除开始菜单与腾讯安全管家的注册表项,并修改.1r与.3f两种后缀的文件关联,使这两种后缀的文件能按vbe和inf文件的形式打开。
图 17 ua.lnk代码
解压文件中的vbe脚本采用JScript Encode编码算法进行加密,比如mew.1r脚本的代码片断如下:
图 18 加密的mew.1r代码
脚本采用了多次加密,反复解密后的明文代码片断如下所示。该脚本用于打开MYTEMP文件夹并调用SendKeys函数模拟键盘操作,实现选中配置文件8.3f(实为inf格式)并执行安装注册表操作:
图 19 解密后的mew.1r部分代码
该事件样本的最终目的是在用户系统中安装后门程序,通过上述分析,可以发现有两个后门程序:
| 原始文件名 | FreeImage.exe | unninst.exe |
| MD5 | 66FF6F32FF7096206B48D8006854C568 | 2A0C3E7262AD136D9D776A99E18A03CB |
| 处理器架构 | X86-32 | X86-32 |
| 文件大小 | 686 KB (702,464 字节) | 660 KB (676,352 字节) |
| 文件格式 | BinExecute/Microsoft.EXE[:X86] | BinExecute/Microsoft.EXE[:X86] |
| 时间戳 | 4981F684->2009-01-30 02:33:40 | 4981F684->2009-01-30 02:33:40 |
| 数字签名 | 无 | 无 |
| 开发工具: | Borland Delphi 6.0 - 7.0 | Borland Delphi 6.0 - 7.0 |
| 加壳工具: | 无 | 无 |
这两个后门程序的本地行为完全一致,开启系统进程svchost.exe,并注入其中。
FreeImage.exe注入:
图 20 FreeImage.exe注入svchost.exe
unninst.exe注入:
图 21 unninst.exe注入svchost.exe
通过代码分析,可以找出其上线地址:
| 域名 | 端口 | IP | 地理位置 | |
| FreeImage.exe | C***la.meibu.net | 3529 | 115.**.***.239 | 山东省青岛市 阿里云BGP数据中心 |
| unninst.exe | 1048****er.meibu.net | 3529 | 115.**.***.239 | 山东省青岛市 阿里云BGP数据中心 |
其动态域名跳转地址都为115.28.136.239。可以推断出这两个后门都是同一网络行为与功能。同时,经过安天CERT研究人员对后门代码以及上线数据包格式的分析,可以判定这两个后门为同一远程控制生成器生成,该远程控制软件是灰鸽子源码修改的RemoteABC远程控制软件的某一版本。
此远程控制软件具有如下功能:
从上述分析结果可以看出,在这起事件中,攻击者具有以下作业特点:
根据上述作业特点,我们得出如下启示:
| 0C5261CB53CF17E0A03CA1E6A230430B | 29017A44550FBC8AA4D64820044F54EC |
| 1E6726ED20B88CD2C3E546306E5A3C72 | 34220AFE857F99A493F4171482E7E8FE |
| 2A0C3E7262AD136D9D776A99E18A03CB | 480145BA7EE820C20AB7D2AD97F95005 |
| 3B86EC0243AB626A11787DA0C53C302A | A133284DA52E3CC848C175D73732E88A |
| 3EE804C0D1AB806BB837FE061A80B457 | AFFB80A87F53E67CA886935E44D2BB6E |
| 5D47C0554EE28E8532F0430CF8235195 | B3E18430E5353F6FEF2E787551A78921 |
| 35D779D412FA3682330162FAEDC7D26E | B60F57B01A0382C9D9372E78D95D6386 |
| 40E292484019A58AD3AA5C99EF993614 | B5713261E7338431FF430DE6E1ACE47A |
| 44FADA41819963DD353E62026011F6D5 | BDB0A5261D139F7B4804C6B03A3E909F |
| 45ADCB2BDD43FB32F4BA9542E7788F13 | C0**57F28C7657FB5B99E2CDD447EED9 |
| 53F88B226236125C816B795BFB8E239E | D2B983C66658C8A3DEF1E77E12AB8689 |
| 66FF6F32FF7096206B48D8006854C568 | EB5F29A9A9EDCD600F2846403E4B4223 |
| 110F6A386798757904892EDB5866A453 | F0F1038A3F455EAFEAB73944CC09FC08 |
| 887E9654A1E8C956013BB5961A4FDC6B | FB24C79B390D3CA14755C1F3DF3E6600 |
【原文:一例以“采访”为社工手段的定向木马攻击分析 作者:安天安全研究与应急处理中心(Antiy CERT) 安全脉搏整理发布】
本文作者:SP小编
本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/42056.html
必填 您当前尚未登录。 登录? 注册
必填(保密)