木马化的开源软件很难发现,因为它利用合法的非恶意软件,因此可用于进行有针对性的攻击。然而,进一步的调查揭示了揭示恶意意图的可疑行为。调查分析研究人员在分析一个事件时发现了一个名为notepad.exe的文件。因为记事本是众所周知的合法应用程序。因此,一些恶意软件作者通过使用合法软件的名称来伪装恶意文件以逃避检测。图1.可疑的notepad.exe文件notepad.exe文件是由ntoskrnl.exe可执行文件释放的,它是WindowsNT操作系统内核可执行文件。这个过程被怀疑是通过使用ntoskrnl.exe或网络共享来实现的。根据数据分析,研究人员认为攻击者在本案中使用的网络共享方式。通过RCA分析,研究人员发现恶意notepad.exe文件通过调用以下工具完成了一些可疑操作:表1.可执行文件名和函数从notepad.exe文件到这些进程和函数的链接表明该文件是一个典型的后门,它从恶意远程用户那里获取命令。notepad.exe的属性如下:图2.Notepad.exe属性文件说明,产品名称,原文件名为Notepad++。实际上,Notepad++的可执行文件一般是notepad++.exe,而不是样本中的“notepad.exe”。v7.8.6版本也比较老,最新版本是11月份发布的v7.9.1。找到的执行文件:图3.执行notepad.exe文件。该文件的用户界面与合法的Notepad++文件非常相似。乍一看,没有问题。但在行为方面,研究人员发现样本会在c:\windows\debug文件夹中搜索配置。数据文件。图4搜索config.dat文件代码分析恶意Notepad++文件的反编译结果如下图:图5恶意Notepad++文件的代码段非恶意Notepad++文件的代码段如下所示:图6.非恶意Notepad++文件代码部分这些代码有很多相似之处。然而,恶意Notepad++文件有一些额外的代码来加载加密的blob文件(config.dat)。加密后的代码可以在内存中解密执行,从而执行后门Behavior。研究人员总共发现了2个相同加载程序但负载不同的实例,其中一个是TrojanSpy.Win32.LAZAGNE.B,另一个是Ransom.Win32.EXX.YAAK-B(Defray勒索软件)。进一步调查显示,使用相同加载程序的其他blob文件可以加载不同的有效负载。研究人员怀疑该文件被用于有针对性的水坑攻击。在初始机器被感染后,恶意的notepad++和config.dat通过管理员共享传播。此notepad.exe文件来自恶意源,与Notepad和Notepad++.exe官方发布源无关。由于武器化的开源软件与合法的记事本文件非常相似,因此分析的样本很可能被误认为是非恶意文件,尤其是对计算机知识不多的员工。由于记事本的源代码是公开可用的并且任何人都可以访问,因此攻击者通过对开源软件进行特洛伊木马化来实现这一目的。攻击者可以找到广泛使用的开源软件,并通过添加执行与加载加密blob文件类似功能的代码来将其木马化??。也就是说,文件的二进制代码大多是非恶意的,而恶意代码的目的只是加载文件。此外,加密的blob文件没有标头信息。因此很难检测到,即使是基于人工智能/机器学习方法的反恶意软件解决方案也是如此。建议研究人员建议用户从官方或合法来源下载文件、应用程序和软件(包括开源软件)。企业可以创建和维护允许他们下载的站点列表。对于安全和IT团队,强烈建议验证下载文件的校验和。本文翻译自:https://www.trendmicro.com/en_us/research/20/k/weaponizing-open-source-software-for-targeted-attacks.html如有转载请注明出处。
