利用Marap downloader收集系统信息,TA505要搞大事情

Proofpoint 的钻研职员近来在一场大年夜型的垃圾电子邮件活动(稀有百万封电子邮件被分发)中发清楚明了一种新的downloader,主要针对金融机构。恶意软件被命名为“Marap”(根据“param”反向命名),因其所具备的主要功能而值得被留意,包括下载其他模块和payload的能力。模块化的特点容许进击者在必要时添加新的功能,或者在感染目标系统后下载其他模块。到今朝为止,我们已经察看到它下载了一个能够履行网络系统信息义务的模块。

活动阐发

我们在2018年8月10日察看到了这场垃圾电子邮件活动,颠末阐发我们发清楚明了一个相同的payload——Marap downloader。从电子邮件的特性来看,它们与TA505在之前活动中所分发的电子邮件有很多相似之处。总的来说,电子邮件包孕了以下不合类型的附件:

Microsoft Excel Web查询(“.iqy”)文件;

受密码保护的ZIP压缩文件(此中包孕“.iqy”文件);

内嵌“.iqy”文件的PDF文档;

包孕恶意宏的MicrosoftWord文档。

接下来,让我们来看看响应的几个不合的垃圾电子邮件示例:

1)以“.iqy”文件作为附件的电子邮件示例

此中一些电子邮件声称来自“sales”,主题为“REQUEST [REF:ABCDXYZ]”(随机字母),附件为“REP_10.08.iqy”(活动日期)。

图1.以“.iqy”文件作为附件、“Sales”为主题的电子邮件示例

另一些电子邮件声称来自“[收件人姓名]”,主题为“IMPORTANT Documents-[银行名称]”,附件为“Request 1234_10082018.iqy”(随机数字,活动日期)。请留意,此类电子邮件冒用了美国主要银行的品牌和名称,在本示例中我们进行了马赛克处置惩罚。

图2.以“.iqy”文件作为附件、“主要银行”为主题的电子邮件示例

2)以内嵌“.iqy”文件的PDF文档作为附件的电子邮件示例

此类电子邮件声称来自“Joan Doe”,主题为“DOC_1234567890_10082018”(也应用“PDF”、“PDFFILE”或“SNC”,随机数字,活动日期),对应的附件为“SCN _1234567890_10082018.pdf”(内嵌“.iqy”文件)。

图3. 以内嵌“.iqy”文件的PDF文档作为附件的电子邮件示例

3)以受密码保护的ZIP压缩文件作为附件的电子邮件示例

此类电子邮件声称来自“John”(名字也随机),主题为“Emailing: PIC12345”(随机数字),对应的附件为“PIC12345.zip”。

图4. 以受密码保护的ZIP压缩文件作为附件的电子邮件示例

4)以Microsoft Word文档作为附件的电子邮件示例

此类电子邮件声称来自“John”(名字也随机),主题为“Invoice for 12345.10/08/2018”(随机数字,活动日期),响应的附件为“Invoice_12345.10_08_2018.doc”。

图5. 以MicrosoftWord文档作为附件的电子邮件示例(在本示例的正文中差错地描述为“PDF款式”)

恶意软件阐发

如上所述,Marap是一个新的downloader,以其敕令和节制(C&C)办事器的参数“param”反向拼写命名。它是采纳C说话编写的,此中包孕了一些值得留意的反阐发功能。

反阐发功能

大年夜多半Windows API函数调用都是在运行时应用散列算法解析的。API散列值在恶意软件中非经常见,它可以防止阐发职员和自动化对象能够随意马虎地确定代码的用途。对付Marap而言,它所应用的彷佛是一种自定义的算法。

第二种反阐发技巧是在紧张函数开始运行时履行时序反省(图6)。这些反省能够阻碍对恶意软件的调试和沙箱检测。假如谋略出的休眠光阴过短,恶意软件就会退出。

图6.反阐发时序反省

别的,Marap的开拓者还应用了以下三种措施来对恶意软件中的大年夜多半字符串进行了肴杂处置惩罚:

1.在客栈上创建(客栈字符串);

2.基础的XOR编码;

3.轻细繁杂一点的基于XOR的编码。

着末履行的反阐发反省会将系统的MAC地址与虚拟机供应商列表中的地址进行对照。假如反省到匹配项,恶意软件则可能会退出。

设置设置设备摆设摆设

Marap的设置设置设备摆设摆设以加密款式存储在一个名为“Sign.bin”的文件中(例如,C:Users[用户名]AppDataRoamingIntelSign.bin)。它的DES加密是在CBC模式下完成的,应用IV值“x00x00x00x00x00x00x00x00”。密钥是颠末以下历程天生的:

应用线性同余天生器(LCG)和两个硬编码的随机数种子(seed)天生164字节的数据(在其他样本中种子可能不合);

应用SHA1算法对数据进行散列化;

[1] [2]下一页

应用CryptDeriveKey和散列值创建一个8字节的DES密钥。

一个经解密设置设置设备摆设摆设的示例如下:

15|1|hxxp://185.68.93[.]18/dot.php|hxxp://94.103.81[.]71/dot.php|hxxp://89.223.92[.]202/dot.php

它由“|”符号进行了分隔,包孕了以下设置设置设备摆设摆设参数:

C&C通信之间的休眠超韶光阴;

唆使假如恶意软件检测到它正在虚拟机上运行,是否应该退出;

三个C&C URL。

C&C

Marap应用HTTP进行C&C通信,但首先它考试测验了许多合法的WinHTTP函数,以确定它是否必要应用代理以及应用什么代理。C&C信标示例如下面的图7所示。

图7.C&C信标示例

该哀求包孕了一个参数——“param”,其数据应用与设置设置设备摆设摆设相同的措施加密,并添加了base64编码。明文哀求的示例如下:

62061c6bcdec4fba|0|0

它由“|”符号进行了分隔,包孕了以下内容:

Bot ID(经由过程散列化主机名、用户名和MAC地址天生,应用了与上述散列化API函数相同的散列算法)

应用与上述API函数散列值相同的散列算法散列主机名,用户名和MAC地址天生);

硬编码为“0”;

硬编码为“0”。

对付相应的加密也类似,一个经解密后的相应示例如下:

319&1&0&hxxp://89.223.92[.]202/mo.enc

它由“&”符号进行了分隔,包孕了以下内容:

敕令ID

敕令

节制相应类型的flag

敕令参数

经识别的敕令如下:

0:再次休眠和信标

1:下载URL、DES解密,并手动加载MZ文件(分配一个缓冲区,复制PE头和section,从新​​分配并解析导入表)。此敕令可以将数据从下载模块中传回C&C;

2:更新设置设置设备摆设摆设经进行DES加密,然后写入文件“Sign.bin”;

3:下载URL、DES解密,将MZ文件保存到“%TEMP%/evt”,并应用敕令行参数履行;

4:下载URL、DES解密,创建/挖空一个进程(与恶意软件相同的可履行文件),并注入下载的MZ文件;

5:下载URL、DES解密,将MZ文件保存为“%TEMP%/evt”,并应用LoadLibrary API加载它;

6:下载URL、DES解密,并手动加载MZ文件;

7:移除自身并退出

8:更新自身

在敕令履行之后,相应消息将发送回C&C。它由“&”符号进行了分隔,包孕了以下内容:

Bot ID;

硬编码的“1”;

敕令ID;

敕令;

节制相应类型的flag

敕令返回值

敕令状态代码(各类差错代码)

相应数据(以下两则之一)

一个简单的状态消息

来自模块的冗长的数据(应用“#”符号分隔)

系统信息网络模块

在撰写本文时,我们只看到Marap从C&C办事器高低载了一个系统信息网络模块。它是从“hxxp://89.223.92[.]202/mo.enc”,内部命名为“mod_Init.dll”。该模块是一个采纳C说话编写的DLL。会网络以下系统信息并发送到C&C办事器:

用户名

域名

主机名

IP地址

说话

国家

Windows版本

Microsoft Outlook.ost文件列表

已安装的防病毒软件

结论

跟着防病毒供应商越来越善于捕获商品化的恶意软件,要挟行径者和恶意软件作者均在继承探索新的措施,以前进效率,并削减其传播的恶意软件的痕迹和固有的“噪音”。我们留意到,今年打单软件的分发量大年夜幅下降,而银行木马、downloader和其他恶意软件则开始填补这一空白,这增添了要挟介入者在目标设备和收集上建立持久性的时机。

IOC

IOC

IOC类型

描述

bea0276c51bd6dbccb64110a8655fd623cbb9ebf6e0105c57f62e53e209361b6

SHA256

“REP_10.08.iqy”附件

1c6661cc19d071df75ef94c58829f223b8634c00a03d1dadcde222c25475fa05

SHA256

“Request [random digits]_10082018.iqy”附件

2c5729e17b64cd4e905ccfeabbc913ed945e17625c35ec1d6932194aae83d7c6

SHA256

PDF附件

8a03144025cd2804a714cd4e3833c341b02edf0c745c810c88efd053cc813233

SH

上一页[1] [2]

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包