欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

针对多个国家金融机构客户的新型Metamorfo变种分析

来源:本站整理 作者:佚名 时间:2020-02-14 TAG: 我要投稿

Metamorfo是一个恶意软件家族,该恶意软件主要针对在线金融机构的客户发动攻击。近期,FortiGuard实验室捕获了两种不同的Metamorfo变种。针对其中的第一个变种,我们此前已经发布了分析文章,这个变种仅针对巴西金融机构的客户发动攻击。
我们发现的第二个Metamorfo变种则针对多个国家金融机构的客户发动攻击。在本篇文章中,我们将详细介绍新变种是如何感染受害者的计算机,以及它如何在受害者的计算机上执行操作,包括如何收集数据、如何与其命令和控制(C&C)服务器进行通信,最后将介绍它所支持的C&C命令。
恶意样本分析
与早些时候的变种一样,我们这次捕获到的是一个名为“view-(AVISO)2020.msi”的MSI文件,该文件通过ZIP压缩包的形式进行传播。在此前的分析中,我们发现当用户在Windows操作系统中双击该MSI文件时,MSI文件将由MsiExec.exe自动解析和执行。
通过分析最新的MSI文件,我们发现在其中也包含一个与早期版本名称相同的流“!_StringData”,在其中包含一段JavaScript代码,其中混入了大量垃圾字符串。在提取代码并去掉混淆的内容之后,我们可以清楚看到这段代码的作用。下图是代码的一个片段,展现了恶意样本所使用的JavaScript代码的关键功能。
从流“!_StringData”中提取的JavaScript代码片段:

在这段代码中,从URL“hxxp[:]//www[.]chmsc[.]edu[.]ph/library/modules/down/op57.lts”下载文件,这实际上是包含3个文件的ZIP压缩包。在下载完成后,会将其解压缩到“C:\”路径下新创建的随机字符串文件夹(在我们的示例中,创建的文件夹名称为“RrRbiebL”)。除此之外,3个解压缩后的文件均使用随机字符串进行重命名,在我们的示例中分别为“cMejBlQe.exe”、“M6WnYxAh”和“YvSVUyps.dll”,下图展示了文件夹的详细信息。
随机命名的文件夹中,包含3个解压缩后的文件:

这三个文件将会在命令行中执行:
C:\RrRbiebL\cMejBlQe.exe   C:\RrRbiebL\M6WnYxAh C:\RrRbiebL\YvSVUyps.dll
我们在上面的截图中可能已经注意到,这些文件会将其自身添加到系统注册表的auto-run组中。下面是系统注册表中auto-run条目的截图,其中的值就是上面的命令行。
添加到系统注册表中的auto-run组:

AutoIt脚本运行Metamorfo
其中,“C:\RrRbiebL\cMejBlQe.exe”命令带有两个参数,分别是“C:\RrRbiebL\M6WnYxAh”和“C:\RrRbiebL\YvSVUyps.dll”。经过分析,我们发现文件“cMejBlQe.exe”是一个AutoIt脚本执行程序,其原始名称为“AutoIt3.exe”。文件“M6WnYxAh”是一个经过编译的二进制AutoIt脚本文件(即“.A3X”文件),而文件“YvSVUyps.dll”中包含Metamorfo恶意软件变种的主体。
此前,我们已经观察到AutoIt被许多恶意软件家族滥用,以实现恶意目的。攻击者之所以使用AutoIt,其原因之一是为了绕过反病毒检测。
我们对“M6WnYxAh”文件进行反编译,得到其源代码如下:
SLEEP(2000)
_SLEEP(2000)
SLEEP(2000)
_SLEEP(2000)
GLOBAL $NPYVKYZFH1Z9T8E5CL48UGNZ878HTHO91S63AH=$CMDLINE[1]
GLOBAL $KPH98S477U6K32TXPN3F8UBVSHZ=DLLOPEN($NPYVKYZFH1Z9T8E5CL48UGNZ878HTHO91S63AH)
DLLCALL($KPH98S477U6K32TXPN3F8UBVSHZ,"Int","B1OWOEFK3SBYS0ETX4XXHRNV7SZGYFTU")
FUNC _SLEEP($IDELAY)
            DLLCALL("Kernel32.dll","none","Sleep","dword",$IDELAY)
ENDFUNC
首先,会暂停8秒。然后,从路径$CMDLINE[1]中加载DLL文件,该路径是命令行命令中的最后一个参数,即“C:\RrRbiebL\YvSVUyps.dll”。随后,继续调用名为“B1OWOEFK3SBYS0ETX4XXHRNV7SZGYFTU”的DLL文件的导出函数。随后,由DLL代码控制受感染的计算机。
Metamorfo恶意软件主体分析
现在,我们来深入分析文件“YvSVUyps.dll”。从下图中,我们可以看到DLL文件使用了加壳工具“VMProtect v3.00-3.3.1”。VMProtect是一个非常强大的加壳程序,在目标进程运行时支持动态代码保护。这给安全分析人员带来了巨大的挑战,举例来说,所有API地址都被隐藏,并且在调用之前动态计算。
使用分析工具分析YvSVUyps.dll:

在运行后,我们可以从内存中转储还原真实的代码。通过分析其ASM代码,我们发现它时使用Borland Delphi进行编译的,这一点和之前发现的其他变种一样。
接下来,我们分析恶意软件在受害者系统上执行的主要任务。
再经过VMProtect恢复代码后,将调用FormCreate()函数,我们可以将其视为是Main()函数。
[...]
022AE2BA     lea     edx, [ebp+var_30]
022AE2BD     mov     eax, offset a015f924af437_0
022AE2C2     call    decrypt_fun   
022AE2C7     mov     edx, [ebp+var_30]

[1] [2] [3] [4] [5]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载