欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

拆解一个经多层打包的Betabot木马新变种

来源:本站整理 作者:佚名 时间:2018-06-25 TAG: 我要投稿

安全研究员Wojciech在上周发表的一篇文章中指出,他在偶然间得到了一个Betabot木马的新变种样本,经过了多层的伪装和隐藏。作为初始向量的恶意Office文档试图利用一个17年前的漏洞。
Betabot可以说是一个多变的木马程序,从银行木马演变成密码窃取者,然后演变成一个僵尸网络,能够传播勒索软件和其他恶意程序。虽然在地下市场上你可能只需要花费大约120美元就可以购买到这款木马,但在2017年初也发现了一个破解版本。
 
Word文档作为初始向量
正如通常发生的那样,文档(PDF、Word、Excel)会是攻击者的切入点,在这种情况下,CVE-2017-11882被用于交付下一阶段的有效载荷。由于这种利用,攻击者可以将OLE对象嵌入到特制的RTF文件中,这允许他在受害者系统上执行命令。在下面,你可以找到嵌入在恶意word文档中的对象。

在word文件中嵌入的对象
所有对象都试图伪装成合法的软件(英特尔)来获得用户的信任。
l  Inteldriverupd1.sct允许攻击者利用Windows脚本组件创建新对象,用于在之后运行task.bat脚本。

inteldriverupd1.sct
l  Task.bat检查临时目录中“block.txt”文件的存在,如果文件不存在,脚本会创建它。最后它会启动“2nd.bat”并删除自身。

task.bat
l  最后阶段是执行2nd.bat脚本。一开始它会启动主exe文件并杀死文字处理程序(winword.exe)进程。之后,它会从注册表中删除Resiliency目录(对于每个版本)以隐藏它自己的痕迹并阻止文档的恢复。由于MRU(最近使用)功能,下一行很有趣。这些键保留最后打开文档的路径。通过这种方式,攻击者能够知道文件的执行位置,并可以轻易地将decoy.doc复制到临时文件夹。最后两条命令删除其他存在痕迹。

2nd.bat
l  就如同它的命名一样,“Decoy.doc”被用作诱饵,这意味着该文件将在感染后显示给最终用户。

decoy.doc
整个文件权重为1,4 MB。
另外值得一提的是,在执行时,它连接到hxxp://goog[.]com/newbuild/t.php?stats=send&thread=0,稍后会详细介绍这一点。下面展示了一个截图:

在word文件中嵌入的地址
第一层
丢弃的文件(exe.exe)是用C#编写的,并且使用DeepSea算法进行了混淆处理,但是De4dot做得很好,立即对文件进行去混淆处理。

 用de4dot进行去混淆
在这个操作之后,我们可以清楚地看到类和函数的名称,这可以让我们了解它的运作方式。事实证明,这只是第一层的混淆。我们必须确定下一个有效载荷的位置,以及可能的混淆算法,然后将其转储为二进制。

左边是去混淆之前,右边是去混淆之后
第二层     
函数负责解码,它是简单的xor和modulo操作。现在,我们可以轻松地转储下一个文件。

解码算法
一种方法是在“while”操作之后设置断点,并将其变量直接保存到磁盘。也可以将整个项目导入到Visual Studio中,然后调用该函数,但Wojciech决定将此函数重写为python并解码。
“Byte3”和“Byte2”是字节数组的名称。                
 int0 = len(byte3) – 1
int1 = len(byte3)
array_size = [15] * int1
byte2 = bytearray(array_size)
while int0> = 0:
    byte2 [int0] =(byte3 [int0%len(byte3)] ^ byte3 [int0])
    int0 = int0  -  1
file = open(“decoded.bin”,“w”)
file.write(byte2)
这是如何检索下一个文件的方法,另一种方法可以是调试代码并检查已加载的模块。新文件在执行之前被加载到内存中,因此可以将它从“modules”选项卡转储到DnSpy中。

未知的模块
另外有趣的是,在文件的资源中有许多被嵌入的图片。所有图片都包含有噪声像素,其中有一张图片是个例外,它看起来像布加勒斯特电影之夜的合法海报,名称为“Key0”。含有噪声像素的图片将在下一阶段中使用,但这张海报的目的仍然未知。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载