欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

JasperLoader:主攻意大利的恶意软件加载器

来源:本站整理 作者:佚名 时间:2019-06-03 TAG: 我要投稿

在过去的几个月里,出现了一种名为JasperLoader的新型恶意软件加载器,它以意大利和其他欧洲国家为目标,分发Gootkit等银行木马。我们最近也发表过JasperLoader相关特性的全面分析,在报告发表后不久,与之有关的分发活动就停止了。但经过几周的潜伏之后,我们发现JasperLoader的一个新版本正在传播。与初始版本相比,此版本有几个变化和改进的地方。JasperLoader通常用额外的恶意软件payload来感染系统,这些payload可用于泄露敏感信息、破坏系统或对组织产生其他负面影响。
此次行动背后的攻击者有计划地控制恶意软件的传播,还采取了相应的措施避免安全人员的分析,同时用到了一种新的机制来改进受感染系统和C2之间的通信。目前,JasperLoader还在持续对意大利扩散着威胁,攻击者也未间断对此恶意软件的改进工作,使之变得越来越复杂,在未来我们可能会看到JasperLoader的多种版本。
恶意软件分发上的改变
正如我们之前在对JasperLoader的分析中所提到的,JasperLoader采用了一个多阶段的感染过程,其特点是使用了几种混淆技术,使得分析更加困难。在感染初始阶段,攻击者利用一个名为Posta Elettronica Certificata (PEC)的服务来分发恶意邮件,PEC是一种经过认证的电子邮件服务,2019年初,意大利通过了PEC相关法案,这项新立法要求意大利企业使用电子发票来交付B2B和B2C交易的发票。攻击者嗅觉敏锐地意识到了可以利用新方案增加自身的可信度,诱使更多受害者打开恶意邮件。
不过现在,攻击者对恶意软件分发的方式做了一些改变。
我们最初看到的样本中,邮件携带了一个ZIP文件,其中包含VBS文件,一旦打开便会开启感染过程。而在当前版本中,攻击者不再直接使用附件。

上图是初始样本的邮件内容,由意大利语编写,并带有一个恶意附件,该邮件标题为“postacert.eml”,打开电子邮件后会弹出以下内容:

上图则是此次攻击中发现的新样本,也是分发过程开始开始转变的地方。电子邮件不再携带附件,但是有一个超链接转到地址hxxp:\tribunaledinapoli[.]recsinc[.]com/documento.zip,同时链接末端加上了邮件中的一个参数。例如,完整的URL是hxxp:\tribunaledinapoli[.]recsinc[.]com/documento.zip?214299,数字214299是电子邮件本身中引用的数字。该地址看似没什么问题,会得到来自Web服务器的HTTP 302响应。 HTTP 302是用于临时移动的重定向代码,多年来一直被攻击者滥用,比如几年前流行的利用302缓冲的漏洞利用工具包。
该链接会重定向到www.cnnic [.] cn,即中国互联网络信息中心(CNNIC)。显然,这个域名对用户而言是无害的,只会让他们感到一头雾水,所以我们决定开始研究潜在的地理定位。
地理定位是一种技术,攻击者使用它来确保所有的受害者都来自特定的地区或国家,而像我们这样的研究人员很难追踪到这种活动。地理定位经常由APT组织使用,但不常用于像JasperLoader这样的软件。为了测试,我们将流量路由到了意大利IP空间。
当流量通过意大利IP空间路由时,结果会有很大差异。返回请求是一个ZIP文件,其中包含一个恶意VBS文件,该文件类似于我们发现的早期样本。执行此VBS文件后,感染过程启动并安装加载程序。
这也说明JasperLoader在继续利用域名阴影(Domain Shadowing),并在攻击者控制的子域之间快速移动。下图显示了与JasperLoader利用的某一C2域的DNS解析,虽然范围有限,但能看出有超过95%的攻击事件来自意大利,地理定位保护措施似乎是成功的。

JasperLoader功能变化
JasperLoader的感染过程仍具有多阶段的特征,包括用于在系统上建立立足点,启动与攻击者控制的基础设施的通信,并实现加载器的核心功能。虽然许多处理函数与我们之前对JasperLoader的分析中描述的类似,但是恶意软件的操作有几个显著的变化,这些变化将在下面的小节中描述。
额外的混淆层
与之前在JasperLoader感染过程中所看到的类似,攻击者依靠多层混淆来试图隐藏恶意软件的动作。混淆机制通常是利用字符替换机制,并在运行时通过数学计算来重构将要执行的PowerShell指令。恶意软件利用的的Visual Basic脚本(VBS)下载器也使用相同的过程。

在当前行动中,攻击者引入了额外一层混淆,用字符替换来进一步模糊底层的PowerShell。 对VBS进行反模糊处理后,底层PowerShell为:

对上图中的每个字符替换后会变成第一阶段的PowerShell,该文件用于从C2检索其他阶段。这一阶段PowerShell的样本是:

此PowerShell与之前的JasperLoader中的内容类似,但还有一些显著差异。
诱饵文件
从第一阶段的PowerShell中可以看出,它从指定的URL检索PDF并将其显示给用户。 此PDF不是恶意的,只是设计用作诱饵文档,这样当用户执行VBS时,就会有一个预期的结果。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载