攻擊者利用Bitbucket存儲大量惡意軟體,已感染全球超50萬台電腦
介紹
近期,Cybereason安全團隊在一起攻擊行動中發現了攻擊者存儲於Bitbucket平台上的武器庫,庫中包含了大量間諜軟體、挖礦軟體和勒索軟體。攻擊者將惡意負載保管在Bitbucket中的不同帳戶中,進而感染受害者。由於部署的惡意軟體類型較多,攻擊者能夠從各個方面攻擊受害者,而不必局限於單一的攻擊目標或場景。
攻擊者所使用的惡意軟體如下:
·Predator:間諜軟體,能從瀏覽器中竊取憑證、攝像頭拍攝、截屏、竊取加密貨幣等。
·Azorult:間諜軟體,可以竊取密碼、電子郵件憑證、cookie、瀏覽器歷史記錄、用戶id和加密貨幣,並且具有後門功能。
·Evasive Monero Miner:多階段的XMRig礦機,使用先進的逃避技術來進行門羅幣挖掘。
·STOP:勒索軟體,基於開源的勒索軟體平台,同時它還具有下載功能,可以下載其他惡意軟體感染系統。
·Vidar:間諜軟體,能竊取web瀏覽器cookie和歷史記錄、數字錢包、雙因素身份驗證數據,也具有截屏功能。
·Amadey bot:一款簡單的木馬程序,主要用於偵察收集目標機器上的信息。
·IntelRapid:加密貨幣竊取軟體,能夠盜竊不同類型的加密貨幣錢包。
圖1.攻擊者攻擊的流程
此次行動中,攻擊者通過多種惡意軟體組合的方式來保障自己更持久的收入來源。本次發現也突顯了網路犯罪分子的攻擊趨勢——濫用合法的在線存儲平台(如Github,Dropbox,Google Drive和Bitbucket)來散播惡意軟體。
要點
·濫用資源共享平台:濫用Bitbucket基礎設施來存儲和分發大量不同惡意軟體。
·攻擊全面:通過多管齊下的惡意軟體庫,使攻擊者既能夠竊取敏感的瀏覽器數據、cookie、電子郵件客戶端數據、系統信息和雙因素身份驗證軟體數據,也能夠挖掘和竊取加密貨幣,還可以用攝像頭拍照、截屏,甚至部署勒索軟體。
·模塊化和不斷更新:攻擊者利用Bitbucket能夠輕鬆更新惡意負載。為了逃避檢測,他們準備了許多備用賬號,並連續不斷地更新其存儲庫。
·影響範圍大:到目前為止,這場行動已經感染了全世界50多萬台機器。
·影響程度深:大量不同類型的惡意軟體的組合可能會泄漏很多信息,使組織機構無法正常工作。這種威脅能夠危害系統安全,侵犯用戶隱私,損害機器性能,並通過竊取和傳播敏感信息對個人和企業造成巨大損害。
Payload分析
初始感染媒介:破解版商業軟體
攻擊者將Azorult和Predator The Thief隱藏在諸如Adobe Photoshop、Microsoft Office之類的破解版商業軟體中。用戶安裝完成後,Azorult (download.exe)會立即開始竊取信息,並刪除其二進位文件來掩蓋痕迹。Azorult執行後,Predator (dowloadx.exe)創建到Bitbucket的連接,開始下載其他有效負載。
圖2:惡意zip文件執行流程
拆包Predator,可以看到Azorult和Evasive Monero Miner的payload是從hxxps://bitbucket[.]org/patrickhornvist/repo/處下載的。
Bitbucket上還有多個其他有效負載:
·1.exe和3.exe,不同哈希值的Azorult。
·2.exe和8800.exe,不同哈希值的Predator the Thief。
·4.exe和5.exe,不同哈希值的Evasive Monero Miner。
·111.exe,STOP勒索軟體。
圖4:https://bitbucket[.]org/patrickhornvist/repo/downloads處的下載內容
通過研究活動相關的其他樣本,我們找到了攻擊者在Bitbucket上準備的其他一些惡意軟體庫,這些存儲庫很可能是用同一組惡意軟體樣本創建的。從下載量來看,預計到目前為止全球有超過50萬台機器受到了感染,每小時就有數百台機器中招。
值得注意的是,攻擊者幾乎是在連續不斷地更新Bitbucket上的payload,有時每隔幾個小時就更新一次。通過將新的二進位替換舊的二進位文件,可以有效避免傳統的防病毒軟體的檢測。
AZORULT
Azorult是一款間諜軟體,能快速竊取敏感數據,並在之後刪除所有關聯文件隱藏自身痕迹。
Predator下載的是Azorult另一逃避檢測版本。Predator會先下載一個次級下載器,次級下載器連接到hxxps://2no[.]co/2QqYb5並下載名為bolo.com的證書格式的編碼文件。
圖5.編碼的Azorult有效載荷,名為bolo.com的文件
次級下載器使用certutil.exe(本地Windows二進位文件)解碼有效負載,解碼後的有效負載還有一層混淆。
圖6.解碼的Azorult有效負載-grol
為了執行解碼後的負載,惡意軟體將啟動Autoit編譯器,攻擊者將其重命名為了lsm.com。AutoIt是一種免費軟體腳本語言,用於自動執行Windows GUI和常規腳本。它與Windows的所有版本兼容,沒有任何先決條件,對攻擊者來說十分有用。
圖7.Azorult執行的攻擊流程
執行後,Azorult將掃描文件系統並搜索敏感數據,如瀏覽器數據、cookie、電子郵件客戶端和加密貨幣錢包。它將該數據複製到%TEMP%目錄,打包並將其發送給攻擊者。一旦所有信息濾出完成,Azorult將刪除複製到%TEMP%的所有數據,並刪除其二進位文件以掩蓋其蹤跡。
STOP勒索軟體和VIDAR間諜軟體
STOP勒索軟體於2018年首次發現,在2019年初才開始大肆攻擊。經過一年的時間,它的加密手段和逃避檢測的技術都得到了加強,一度被攻擊者用它來將Azorult交付到受害者的系統上。
STOP在%AppData%中創建一個文件夾,在那裡複製它的二進位文件,並使用icacls更改對文件的訪問控制,使其他人無法訪問。
STOP創建一個RUN註冊表項和一個計劃任務,每五分鐘執行一次。在運行時,它連接到C2伺服器,向C2發送MAC地址的MD5散列,並下載用於文件加密的密鑰。
STOP還將其他payload下載到計算機上,包括:
·hxxp://ring2[.]ug/files/cost/updatewin2.exe
·hxxp://ring2[.]ug/files/cost/updatewin1.exe
·hxxp://ring2[.]ug/files/cost/updatewin.exe
·hxxp://ring2[.]ug/files/cost/3.exe
·hxxp://ring2[.]ug/files/cost/4.exe
·hxxp://ring2[.]ug/files/cost/5.exe
updatewin.exe和updatewin2.exe幫助逃避檢測,其他payload是獨立的惡意軟體,包括Visel、Vidar等一些臭名昭著的惡意軟體。
圖8.STOP和Vidar的流程示意
Vidar是一款著名的間諜軟體 ,它從瀏覽器、電子郵件和雙因素認證軟體數據中收集系統信息及密碼。它將竊取的數據存儲在%ProgramData%的一個隨機命名的文件夾中,並將信息發送到C2伺服器besfdooorkoora[.]com。在數據被發送給攻擊者後,惡意軟體停止進程並從機器上刪除其payload(5.exe)。
Evasive Monero Miner
自比特幣崛起以來,礦機在地下社區變得越來越受歡迎,成為最暢銷惡意軟體之一。
Evasive Monero Miner是一種dropper ,可根據其原始源代碼植入開源的XMRig礦機。Evasive Monero Miner的舊版本於2018年底首次提交給VirusTotal,但直到2019年12月,在一次大規模的感染行動中才被發現。
此Dropper由打包工具Themida封裝,Themida是一款功能強大的封裝器,具有防調試功能。它使用Autoit編譯腳本解包並下載XMRig礦機。Dropper中還使用了幾種逃避檢測技術,包括代碼注入、文件重命名、編碼文件、不可執行的擴展名以及通過Tor連接的能力。
深入MONERO DROPPER
首次執行Evasive Monero Miner時,它將在%TEMP%文件夾中植入幾個文件:
·CL_Debug_Log.txt
·CR_Debug_Log.txt
·Asacpiex.dll(與CR_Debug_Log.txt相同)
CL_Debug_Log.txt是7zip可執行文件的二進位文件,攻擊者將其重命名以隱藏活動,此文件提取並解碼名為CR_Debug_Log.txt的7zip存檔文件。CR_Debug_Log.txt負責將礦機的payload——32.exe和64.exe(代表32位和64位版本)提取到%TEMP%中。
提取payload後,dropper將刪除編碼過的存檔文件CR_Debug_Log.txt,並檢查計算機是32位還是64位,根據檢查結果複製相關的二進位文件,將其重命名為helper.exe,然後保存在\AppData\Roaming\Microsoft\Windows中。
圖9.XMRig Miner Dropper執行的攻擊流程
Dropper還將在%TEMP%中創建一個名為SystemCheck.xml的XML文件,以及計劃任務SystemCheck,該任務每分鐘運行一次XML文件。
XML文件配置為使用參數-SystemCheck運行helper.exe:
圖10.Sys5emCheck.xml執行helper.exe
helper.exe是已編譯的Autoit腳本,該腳本為惡意軟體配置設置了一些變數,包括:
·命令行參數
·TCP協議
·礦池,埠為manip2[.]hk:7777。
·一個進程列表,看是否處於測試環境中。
·兩個URL路徑:public2/udp.txt和public2/32/32.txt(32位版本)或fpublic2/64/64.txt(64位版本)。
·基於變數名稱的密碼DxSqsNKKOxqPrM4Y3xeK,用於解密存檔文件。
圖11.helper.exe反編譯代碼:變數設置
helper.exe包含在執行過程中構建的兩個嵌入式二進位文件,其中第一個是7zip二進位文件。
圖12.helper.exe反編譯的代碼:7Zip二進位文件嵌入代碼
第二個是編碼的7zip存檔文件,用於名為Tor.tmp的Tor客戶端。它使用helper.exe中的嵌入式密碼對Tor.tmp進行解碼,然後將其提取到\AppData\Roaming\Microsoft\Windows\Tor\。
圖13.helper.exe反編譯代碼:Tor客戶端嵌入代碼
圖14.用於提取Tor.tmp存檔文件的命令行
Dropper 將檢查目標計算機上的各種防病毒引擎,以及Windows Defender的SmartScreen功能是否存在,SmartScreen用於防止網路釣魚和各種惡意軟體網站。
圖15.helper.exe反編譯的代碼:安全產品列表
helper.exe包含Base64編碼的四個域名:
圖16.helper.exe反編譯代碼:嵌入的Base64編碼域名
解碼域名:
·bgpaio75egqvqigekt5bqfppzgth72r22f7vhm6xolzqd6ohroxs7pqd[.]onion
·jr2jjfxgklthlxh63cz3ajdvh7cj6boz3c3fbhriklk7yip4ce4vzsyd[.]onion
·uovyniuak3w4d3yzs4z4hfgx2qa6l2u6cx4wqsje4pmnmygc6vfddwqd[.]onion
·Rcjndzwubq5zbay5xoqk4dnc23gr4ifseqqsmbw5soogye6yysc7nkyd[.]onion
Dropper通過Tor客戶端連接到一個解碼域名,將內容下載到名為SysBackup.tmp的文件中,並將惡意軟體版本下載到文件upd.version至目標計算機。這兩個文件都在\AppData\Roaming\Microsoft\Windows\中創建。
圖17.helper.exe反編譯代碼:創建下載XMRig礦機SysBackup.tmp的GET請求
下載文件後,dropper將終止tor.exe。
Sysbackup.tmp為XMRig Miner可執行文件提供了一個位元組數組。
圖18.XMRig文件屬性
helper.exe生成attrib.exe並將XMRig礦機代碼注入內存。
圖19.Process Hacker截取的attrib.exe內存中的XMRig礦機代碼
Dropper通過命令行執行attrib.exe,該命令行指定了礦機的礦池和錢包。
圖20.helper.exe反編譯代碼:構建attrib.exe的命令行
結語
這種「物盡其用」的攻擊方式能夠為攻擊者帶來持續的收益。不同種類的惡意軟體將獲取儘可能多的敏感數據,同時挖礦和勒索軟體也能壓榨受害者的剩餘價值。
當前,攻擊者濫用合法在線存儲平台進行牟利的行為已經不是什麼新鮮事了。將惡意payload存儲在受信任的平台上,可以獲取安全產品的信任。此外,將交付基礎結構(在線存儲平台)與C2伺服器基礎結構分開,也能為攻擊者減少其C2伺服器暴露的風險。因此,確保這些可信資源的安全性對就顯得尤為重要。
本文參考自:https://www.cybereason.com/blog/the-hole-in-the-bucket-attackers-abuse-bitbucket-to-deliver-an-arsenal-of-malware
