欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

带有加载保护机制的新型Neutrino僵尸程序

来源:本站整理 作者:佚名 时间:2017-03-02 TAG: 我要投稿

本文将分析多功能Neutrino僵尸程序(也叫Kasidet)的一个最新版本,该程序通过以它命名的利用工具包(Neutrino Exploit Kit)进行分发。今年一月份时,我们已经大概描述了利用垃圾邮件传播的Neutrino僵尸程序,因此我们不会过多讨论这些细节,而会将重点放在它的程序加载部分。
程序使用多层虚拟机检测技术对其关键核心进行了隐藏,导致我们对其最终载荷的提取工作遇到了些许挑战。
一、分发机制
程序样本从美国的恶意广告活动中捕获,这些活动使用了Neutrino Exploit Kit进行恶意程序分发。恶意程序在受害主机上首先会进行指纹检测,探测虚拟化环境,捕获网络流量以及检查反病毒软件。如果程序发现所处环境异常(即不是典型的受害主机),则放弃感染过程。程序使用落地前页面中的大量混淆的JavaScript代码完成这一检查过程,而不是使用以往的Flash检测方法。

程序初始检查通过后,下一步骤是启动一个特制的Flash文件,其中包含一系列的Internet Explorer和Flash Player漏洞利用工具(参考这里的相关介绍)。最后一步是使用wscript.exe下载和执行经过RC4编码的载荷,以绕过代理网络限制。
总体感染流程如下所示:

Maciej Kotowicz写了一个脚本,可以提取Flash文件中的功能组件。
二、分析的样本及哈希值
Neutrino Exploit Kit释放的原始样本:b2be7836cd3edf838ca9c409ab92b36d
加载器:349f5eb7c421ed49f9a260d17d4205d3
载荷(即Neutrino僵尸程序):6239963eeda5df72995ad83dd4dedb18
三、行为分析
样本采取了保护机制以防止在受控环境中投放。当样本探测到其运行在虚拟机或沙箱中时会进行自删除操作。

环境检测通过后,程序将副本拷贝到%APPDATA%/Y1ViUVZZXQxx/.exe(本文中为abgrcnq.exe,uu.exe):

同时对释放的文件夹及文件进行隐藏。
样本通过计划任务完成本地持久化。

样本修改添加了几个注册表键值,如安装日期等基本设置信息:

对几个键值进行修改,以在系统里保持隐藏性。注册表中的Hidden及SuperHidden功能可以使程序副本对用户保持隐藏。样本通过修改以下注册表项达到文件的隐藏性:
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
样本利用命令将自身添加到防火墙白名单中:

cmd.exe " /a /c netsh advfirewall firewall add rule name="Y1ViUVZZXQxx" dir=in action=allow program=[full_executable_path]
与此类似,样本也将自身路径添加到Windows Defender的例外文件列表中:

样本对终端服务设置表项进行修改,将MaxDisconnectionTime及MaxIdleTime值设为0,受影响表项为:

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxDisconnectionTimeHKLM\SOFTWARE\Policies\Microsoft\Windows NT\Terminal Services\MaxIdleTime
如果安装过程一切顺利,样本将加载其核心部件,我们也可以观察到典型的Neutrino僵尸网络流量特征,比如下图中,经过base64编码的“enter”请求报文及“success”响应报文特征。响应包以注释形式嵌入到空白html页面中,避免引起用户警觉。

程序发送自身信息作为下一个请求,而C2C服务器则会返回程序下一步要执行的命令。请求及响应报文也经过base64进行编码。解码后的一个示例为:
请求报文:

cmd&9bc67713-9390-4bcd-9811-36457b704c9c&TESTMACHINE&Windows%207%20(32-bit)&0&N%2FA&5.2&22.02.2017&NONE
响应报文:

1463020066516169#screenshot#1469100096882000#botkiller#1481642022438251#rate 15#
响应报文中,第一个命令是截屏命令,之后我们的确看到程序发送了一张JPG格式的屏幕截图:

从发送报文中我们可知程序版本为5.2版(与这篇文章分析的类似:https://blog.malwarebytes.com/cybercrime/2017/01/post-holiday-spam-campaign-delivers-neutrino-bot/)

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载