研究人员最近发现了一个Glupteba变种。Glupteba是OperationWindigo活动中使用的特洛伊木马,研究人员之前曾报告过该木马针对MikroTik路由器并更新C2服务器。此变体的行为类似于其他Glupteba变体。此外,该变体使用ManageX,一种模块化的广告软件恶意软件。使用Go语言在对攻击中使用的主要投放器进行解包后,研究人员发现该恶意软件变体是使用Go语言开发的。Go语言只有10年的历史,用它来开发恶意软件的情况相对较少。恶意软件开发人员可能会选择Go语言,因为该语言的特性允许恶意软件在进入受害者系统时不被检测到。其中一个特点是可以使用1个库进行编译,但仍然可以在不同的操作系统上执行。这对于跨平台恶意软件非常重要和有利。使用Go语言开发的恶意软件往往具有相对较大的文件大小。这是因为Go语言的标准库没有很好的模块化,所以导入单个函数会引入大量的代码。这也可以帮助恶意软件逃避系统检测,因为许多防病毒软件可能不会或可能不会扫描太大的文件。研究人员也很难对大文件进行静态分析。DropperGlupteba攻击中主要的dropper是通过安装rootkit组件来驻留的,它会向svchost.exe进程中注入恶意代码。这个进程会成为payload的下载者,因为Glupteba把payload看成一个模块,这也是一种隐藏恶意进程的方式,即将恶意进程伪装成正常进程。恶意软件的模块化方法是通过将组件释放到系统中来实现的,这也避免了防病毒软件的检测。由于dropper是用UPX加壳器加壳的,静态分析没有发现太多。图2.包装样品。使用UPX解压器发现样本是用C++编译的。图3.编译器解压文件并显示样本是用Go语言编写的。图4.Golang编译示例代码samples无法通过常用工具解压。必须在调试器中打开该文件才能看到其中的字符串。此外,一些恶意软件分析攻击严重依赖样本中的可读字符串来确定样本是否是恶意的。这是恶意软件作者使用加壳程序的另一个原因。图5.表示恶意广告负载的可疑字符串样本中的字符串表明在不同平台上使用了Web浏览器。其中一个有效载荷包含恶意广告扩展的安装。另外,网页浏览器的安装不限于Windows平台,还包括Linux平台、Android平台和iOS平台的网页浏览器。图6.与使用DoublePulsar工具相关的字符串恶意软件代码中提到的DoublePulsar是ShadowBrokers泄露的后门植入程序。该工具可确保其他恶意代码的执行,并且通常通过EternalBlue漏洞进行传播。图7.使用DoublePulsar工具的Shellcode注入扩展安装程序有效负载研究人员发现,安装在某些机器上的有效负载是已安装的扩展。这些扩展程序是通过执行wcrx.exe安装在系统上的,这是一个类似dropper的打包文件。该文件执行以下操作:将名为chrome_filter的浏览器扩展添加到安装在计算机上的Web浏览器;图8.安装的扩展连接到hxxp://fffffk[.]xyz/down/m_inc[.]js?1589344811463并替换浏览器扩展中的m_inc.js文件。这是为访问的每个页面执行的内容脚本。Glupteba变种:跨平台、模块化恶意软件分析图9.JS文件的URL图10.m_inc.js的内容启动rundll32.exe,然后查询hxxp://info[.]d3pk[.]com/js_json以查找包含要注入IE浏览器的脚本的JSON列表。图11.rundll32.exe内存字符串进一步分析发现,系统上的master_preferences文件包含恶意文件的迹象,例如chromeAppID。该文件包含用户想要应用到计算机的Chrome浏览器的设置。在此文件中安装Chrome扩展程序是向Chrome浏览器添加功能和特性的一种方式。图12.master_preferences的内容该内容是一个ChromeAppID,它也是ManageXchrome扩展的IoC。ManageX使用Chrome浏览器扩展来跟踪用户浏览器活动并与C2域通信。exploit攻击中的dropper还包括以原机为跳板,扫描内网寻找易受攻击的机器。然后启动EternalBlue漏洞利用以在整个网络中传播植入程序。EternalBlueexploit是微软SMBv1(CVE-2017-0143到CVE-2017-0148)中的一个安全漏洞,广泛应用于Windows7、WindowsServer2008、WindowsXP和部分Windows10系统。这些样本中的字符串表示目标Windows系统的版本、端口和体系结构,与MicrosoftSMBv1使用的字符串非常相似。但目前MicrosoftSMBv1已禁用或已卸载。图13.未压缩样本中的字符串图14.未压缩样本中的字符串微软在2017年3月发布了针对这些漏洞的补丁,但许多公司仍未对其进行修补。此外,许多恶意软件作者使用EternalBlue漏洞进行恶意活动,例如加密货币挖掘。本文翻译自:https://www.trendmicro.com/en_us/research/20/i/cross-platform-modular-glupteba-malware-uses-managex.html如有转载请注明原文地址:
