ISO鏡像文件中發現惡意軟體

Threat Research Labs研究人員發現一起自2019年4月開始的垃圾郵件攻擊活動。該攻擊活動中將含有下一階段payload的ISO鏡像文件作為附件在垃圾郵件活動中進行傳播。

垃圾郵件攻擊活動

該垃圾郵件活動開始於2019年4月，郵件正文是關於發票的消息，用ISO硬碟鏡像文件作為附件。郵件中文中的消息表明該攻擊活動並不針對某個個人或企業。圖1是含有ISO文件作為附件的垃圾郵件示例。

圖1: 含有ISO文件作為附件的垃圾郵件示例

研究人員最開始是根據垃圾郵件的附件ISO格式對郵件進行懷疑的。研究人員進一步分析樣本發現其中含有LokiBot和NanoCore惡意軟體。截止目前，研究人員共發現了該攻擊活動的10個不同變種，使用的是不同的ISO鏡像文件和郵件。

使用此類不常見的文件格式進行攻擊使惡意軟體作者有一定的優勢，因為ISO文件格式在許多郵件安全解決方案的掃描中是出於白名單中的。許多主流的操作系統的默認軟體在用戶點擊後會自動檢測和掛載ISO鏡像文件。因此ISO文件對垃圾郵件攻擊者的首選目標。攻擊活動中使用的ISO鏡像文件的大小在1M到2MB之間，一般的鏡像文件大小在100MB以上。鏡像文件中只含有一個可執行文件，也就是真實的惡意軟體payload。

Payload分析

LokiBot

越來越多的攻擊者開始使用LokiBot做為垃圾郵件攻擊活動的傳播payload。當前版本的Loki與之前版本雷士，唯一的不同就說使用了反逆向技術。在分析的樣本中使用IsDebuggerPresent()函數來確定是都在調試器中載入。還應用了常見的反虛擬機技術，通過測試CloseHandle()和GetProcessHeap()的計算時間差來檢測是否在虛擬機中運行。圖2是反彙編代碼。

圖2: LokiBot中的反調試檢查

反逆向代碼修復後，惡意軟體樣本會在內存中解壓，如圖3所示。解壓的二進位文件是一個VB語言編寫的可執行文件。

圖3: 含有解壓的二進位代碼的內存區域

惡意軟體感染系統後，會執行以下操作：

·查詢系統GUID信息

·執行process hollowing和啟動子進程

·刪除父進程，使子進程仍出於運行狀態。

感染過程完成後，樣本會啟動竊取器功能來：

·探測超過25個不同的web瀏覽器來竊取不同的瀏覽信息

·檢查機器上是否運行有web或郵件伺服器

·確定15個不同的郵件和文件傳輸客戶端的憑證

·檢查是否有常用的遠程管理工具，比如SSH, VNC，RDP

圖4 是研究人員分析的惡意軟體行為。

圖4: 惡意軟體行為

NanoCore RAT

NanoCore RAT使用AutoIT來對主.NET編譯的二進位文件進行封裝。

圖5: 惡意軟體樣本中的AutoIT代碼段

反編譯的AutoIT腳本是經過混淆的，並構成了NanoCore RAT的真實.NET二進位文件，如圖6所示。

圖5: 惡意軟體樣本中的AutoIT代碼段

真實的二進位文件通過執行以下動作來染過系統：

·檢測是否有調試器

·創建mutex，並執行進程注入

·通過修改註冊表來創建駐留

惡意軟體一旦在受害者設備上立足，就會開始獲取以下信息：

·獲取剪貼板數據和監控鍵盤輸入

·收集關於系統中文檔文件的信息

·連接到TFP伺服器來上傳從系統中竊取的數據

圖7是Netskope對該RAT的詳細分析。進程執行圖描繪了與樣本相關的不同進程的常見和流圖。

圖7: NanoCore RAT分析

結論

垃圾郵件活動開始使用不同的新老技術來保持相關。選擇ISO鏡像文件作為附件表明攻擊者開始嘗試對抗郵件過濾器和掃描器，因為一般ISO文件類型是在白名單中的。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！