欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

利用Marap downloader收集系统信息,TA505要搞大事情

来源:本站整理 作者:佚名 时间:2018-08-27 TAG: 我要投稿

Proofpoint 的研究人员最近在一场大型的垃圾电子邮件活动(有数百万封电子邮件被分发)中发现了一种新的downloader,主要针对金融机构。恶意软件被命名为“Marap”(根据“param”反向命名),因其所具备的主要功能而值得被注意,包括下载其他模块和payload的能力。模块化的特性允许攻击者在需要时添加新的功能,或者在感染目标系统后下载其他模块。到目前为止,我们已经观察到它下载了一个能够执行收集系统信息任务的模块。
活动分析
我们在2018年8月10日观察到了这场垃圾电子邮件活动,经过分析我们发现了一个相同的payload——Marap downloader。从电子邮件的特征来看,它们与TA505在之前活动中所分发的电子邮件有很多相似之处。总的来说,电子邮件包含了以下不同类型的附件:
Microsoft Excel Web查询(“.iqy”)文件;
受密码保护的ZIP压缩文件(其中包含“.iqy”文件);
内嵌“.iqy”文件的PDF文档;
包含恶意宏的MicrosoftWord文档。
接下来,让我们来看看相应的几个不同的垃圾电子邮件示例:
1)以“.iqy”文件作为附件的电子邮件示例
其中一些电子邮件声称来自“sales”,主题为“REQUEST [REF:ABCDXYZ]”(随机字母),附件为“REP_10.08.iqy”(活动日期)。

图1.以“.iqy”文件作为附件、“Sales”为主题的电子邮件示例
另一些电子邮件声称来自“[收件人姓名]”,主题为“IMPORTANT Documents-[银行名称]”,附件为“Request 1234_10082018.iqy”(随机数字,活动日期)。请注意,此类电子邮件冒用了美国主要银行的品牌和名称,在本示例中我们进行了马赛克处理。

图2.以“.iqy”文件作为附件、“主要银行”为主题的电子邮件示例
2)以内嵌“.iqy”文件的PDF文档作为附件的电子邮件示例
此类电子邮件声称来自“Joan Doe”,主题为“DOC_1234567890_10082018”(也使用“PDF”、“PDFFILE”或“SNC”,随机数字,活动日期),对应的附件为“SCN _1234567890_10082018.pdf”(内嵌“.iqy”文件)。

图3. 以内嵌“.iqy”文件的PDF文档作为附件的电子邮件示例
3)以受密码保护的ZIP压缩文件作为附件的电子邮件示例
此类电子邮件声称来自“John”(名字也随机),主题为“Emailing: PIC12345”(随机数字),对应的附件为“PIC12345.zip”。

图4. 以受密码保护的ZIP压缩文件作为附件的电子邮件示例
4)以Microsoft Word文档作为附件的电子邮件示例
此类电子邮件声称来自“John”(名字也随机),主题为“Invoice for 12345.10/08/2018”(随机数字,活动日期),相应的附件为“Invoice_12345.10_08_2018.doc”。

图5. 以MicrosoftWord文档作为附件的电子邮件示例(在本示例的正文中错误地描述为“PDF格式”)
恶意软件分析
如上所述,Marap是一个新的downloader,以其命令和控制(C&C)服务器的参数“param”反向拼写命名。它是采用C语言编写的,其中包含了一些值得注意的反分析功能。
反分析功能
大多数Windows API函数调用都是在运行时使用散列算法解析的。API散列值在恶意软件中非常常见,它可以防止分析人员和自动化工具能够轻易地确定代码的用途。对于Marap而言,它所使用的似乎是一种自定义的算法。
第二种反分析技术是在重要函数开始运行时执行时序检查(图6)。这些检查能够阻碍对恶意软件的调试和沙箱检测。如果计算出的休眠时间过短,恶意软件就会退出。

图6.反分析时序检查
另外,Marap的开发者还使用了以下三种方法来对恶意软件中的大多数字符串进行了混淆处理:
1.在堆栈上创建(堆栈字符串);
2.基本的XOR编码;
3.稍微复杂一点的基于XOR的编码。
最后执行的反分析检查会将系统的MAC地址与虚拟机供应商列表中的地址进行比较。如果检查到匹配项,恶意软件则可能会退出。
配置
Marap的配置以加密格式存储在一个名为“Sign.bin”的文件中(例如,C:\Users\[用户名]\AppData\Roaming\Intel\Sign.bin)。它的DES加密是在CBC模式下完成的,使用IV值“\x00\x00\x00\x00\x00\x00\x00\x00”。密钥是经过以下过程生成的:
使用线性同余生成器(LCG)和两个硬编码的随机数种子(seed)生成164字节的数据(在其他样本中种子可能不同);
使用SHA1算法对数据进行散列化;

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载