深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件

近日,FortiGuard威胁研究与响应实验室捕获到了一个检出率极低的恶意文件。分析表明,该文件旨在同时传播两种远控木马(RAT)——Revenge和WSH。图

很多朋友对于深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件和不太懂,今天就由小编来为大家分享,希望可以帮助到大家,下面一起来看看吧!

图1. 只有少数防病毒软件将此文件检测为“恶意”

第一阶段—Launcher/Dropper

在文本编辑器中打开包含JavaScript代码的恶意文件,我们可以看到它包含URL编码的数据。解码后,可以看到VBScript代码。

图2.VBScript代码

VBScript 代码将执行以下操作:

创建一个新的Shell.Application 对象;暂停CMD命令执行13秒(通过调用timeout.exe程序);关闭当前/活动窗口。图3. 第一阶段Launcher/Dropper 执行

第二阶段—Downloader

A6p.vbs 用于从外部网站获取资源(另一段VBScript代码),其中包含混淆的字符串,大概是为了逃避检测。

脚本分析(Microsoft.vbs)

图4. 下载脚本(A6p.vbs)

下载的文件将保存在%TEMP%文件夹下,其代码由一个名为“th3m41n”的主类和三个Method类(“dugh41r”、“t01l3t”和“b3st1n”)组成。

Microsoft.vbs的最终目的是通过调用名为“ExecuteGlobal()”的函数来执行base64编码的数据。

图5. MICROSOFT.VBS 及其解码的Base64 数据

脚本分析(Microsoft.vbs—解码的Base64 数据)

该脚本使用两个函数:

writeBytes()—创建ADODB.Stream 对象以将二进制数据写入指定文件中的任意数量的字节; decodebase64()—创建一个Microsoft.XMLDOM 对象来创建一个临时XML 元素来存储base64 编码的数据,然后对其进行解码。图6. 函数“writeBytes()”和“decodebase64()”

脚本执行后,它会创建一个新的WScript.Shell 对象并收集操作系统环境和硬编码数据,最终通过使用“//B”调用VBScript 解释器来运行新创建的脚本(GXxdZDvzyH.vbs)。

图7. GXxdZDvzyH.vbs 的生成和执行

在脚本执行过程中,名为“Microsoft”的值将被添加到Windows 注册表(HKCU\Microsoft\Software\Microsoft) 中,用于存储Base64 编码的数据。稍后将使用PowerShell 命令修复此数据,并且脚本的执行将以“0”替换“@”结束。

图8.base64编码数据

该脚本能够正确调用多个PowerShell命令的组合来绕过解释器的执行策略并隐藏自身的存在,从而绕过“-ExecutionPolicy Bypass -windowstyle hide -noexit -Command”参数。

下图显示了脚本执行期间传递给PowerShell 解释器的命令行参数以及每个参数的用途。

图9. 传递给PowerShell 解释器的命令行参数

连接到C&C服务器

在执行过程中,脚本还会创建一个新线程,加载并执行.NET 程序集。

我们可以通过将其从Windows 注册表转储到可执行文件(e3edfe91e99ba731e58fc2ad33f2fd11) 来更好地分析它。

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件

可执行文件的基本信息如下:

图10. 可执行文件的基本信息

一旦可执行文件被执行,它将连接到两个CC服务器,其IP地址和端口在主类的构造函数中分配。 IP地址分别为“193.56.28.134”和“185.84.181.102”,端口号均为“5478”。

图11. C&C服务器的IP地址和端口号

不幸的是,两台C&C 服务器目前都已关闭。为了继续分析恶意软件,FortiGuard 将C&C 服务器IP 地址更改为“127.0.0.1”。

图12. 更改后的C&C 服务器IP 地址

恶意软件收集的信息

与C&C服务器建立连接后,恶意软件将从受感染的系统收集信息并发送给C&C服务器。

数据包被分隔符分为15 个块,并且大多数采用Base64 编码。

信息——命令的神奇字符串; SG91c2U—解码为“House”; ”,即受感染计算机的计算机名和用户名;No——表示受感染计算机是否有网络摄像头;TWljcm9zb2Z0IFdpbmRvd3MgNyBVbHRpbWF0ZSAgMzI——解码为“Microsoft Windows 7 Ultimate 32”,即受害者的Windows系统信息; zLjQwR 0h6—解码“Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz”,即CPU信息;3757629440——受感染计算机的物理内存大小;TWljcm9zb2Z0IFNlY3VyaXR5IEVzc2VudGlhbHM——解码为“Microsoft Security Essentials”,应该是已安装的防病毒产品;Ti9B——解码为“N/A”,应该是已安装的防火墙产品;5478——C&C服务器的端口号; 调试)”,这是最顶部窗口的标题;ZW4tVVM — 被解码为“en-US”,这是受感染计算机配置的语言;False — 一个硬编码值。命令与控制

在.Net代码中,名为“this.data()”的线程函数负责处理所有接收到的C&C命令。

PNC——类似于心跳包,恶意软件仅发回“PNC”; P—要求恶意软件收集受感染计算机最顶层的窗口标题; IE和LP——要求恶意软件使用数据包中指定的值在注册表中进行操作; UNV — 包含从恶意ASM 代码段压缩的base64 编码的gzip 流。通过此命令,攻击者可以向恶意软件发送恶意ASM 代码并在内存中执行代码。图13. 负责处理“UNV”命令的代码片段

脚本分析(GXxdZDvzyH.VBS)

图14. Microsoft.vbs 和GXxdZDvzyH.vbs 脚本之间的差异

脚本分析(GXxdZDvzyH.VBS—解码的Base64数据)

这里的脚本是WSH RAT 1.6版本。总共有29个函数,分别负责执行不同的任务,从长期持久化和数据处理到窃取和渗透。

脚本执行后,会通过函数调用进行安全检查,验证当前用户的权限,以确定是否需要提权。

图15. 安全检查代码

WSH RAT 1.6 能够从某些软件(例如FoxMail)和某些主要浏览器(Chrome 和Mozilla Firefox)窃取信息。

该脚本首先生成一个包含受感染计算机信息的HTTP 请求(通过执行“information()”函数获得),并使用“User-Agent:”标头将其上传到CC 服务器。

图16. HTTP POST 请求和用户代理数据

下图显示了User-Agent 标头中使用的数据格式,并描述了脚本如何收集数据。

图17. User-Agent 标头数据格式

为了实现长期持久性,WSH RAT 向Windows 注册表添加一些新数据,并在Windows 启动(“%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup”) 文件夹中创建自身的副本。

图18. 附加值

用户评论

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
玩味

太棒了!这份报告对这个新的恶意文件进行了十分周到的分析,我从中学到了很多关于新型威胁的技术细节。现在更警觉地看待未知文件的风险了。

    有13位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
|赤;焰﹏゛

好专业的研究!能同时传播两种远控木马这种手法真让人头疼,这说明黑客的攻击手段越来越 sophisticated 了。我们需要加强网络安全防护措施,避免成为他们的目标。

    有10位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
七级床震

看完分析报告后感觉自己被吓到了!希望大家都能提高警惕,定期扫描杀毒,保护好自己的重要数据和信息安全。

    有15位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
瑾澜

这篇博文让我意识到网络安全问题的重要性,尤其是在我们越来越依赖网络的环境下。 这种同时传播多种恶意软件的攻击手法确实非常危险,需要研究人员持续关注并找到应对策略。

    有14位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
盲从于你

能不能提供一些具体防御建议?例如,哪些类型的安全软件能够有效防御这类攻击?有哪些常用的漏洞需要特别注意?

    有7位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
怪咖

对这个新捕获的恶意文件来说,传播两种远控木马确实很厉害。我希望能够看到针对这种新型威胁的更深入研究,比如黑客开发这些木马的目的、传播路径以及潜在受害范围等。

    有19位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
淡抹丶悲伤

报告内容翔实易懂,但是我有点疑问:如果我的电脑被感染了这样恶意文件该如何处理?有没有什么专业的工具可以用来清理病毒和修复系统?

    有8位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
孤者何惧

我觉得这份分析報告非常值得推荐,它让我们对当前网络安全威胁有更清晰的认知。 同时传播多种远控木马确实很危险,我们需要重视这个问题并共同提高防范意识;但报告中没有介绍一些最新的安全技术或防护措施。

    有15位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
恰十年

这篇文章太长了!我主要想了解一下如何避免被这种恶意文件感染,能不能简化一下内容重点突出防护措施?

    有12位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
凉话刺骨

很佩服作者对网络安全的持续关注和研究。分析报告非常详细,能够帮我们更好地理解黑客的攻击手法,从而增强自己的防范能力。

    有15位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
败类

虽然文章写得很好,但是我觉得针对不同等级用户的安全建议也应该更加具体化。 例如,普通用户该如何降低感染风险?系统管理员如何进行更有效的网络安全保护?

    有13位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
三年约

关于分析报告中提到的两种远控木马的详细信息能否提供一些补充解释?比如它们的特征、攻击目标和防范措施等?

    有7位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
忘故

希望更多人都能够看到这篇博文,提高对网络安全的认识!只有多一层防护,才能更好地保护自己不被恶意软件所侵害。

    有8位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
不要冷战i

这个分析报告真的很棒!它让我更加了解了黑客的攻击手法和新技术的应用。我要向作者表达我的敬意,也希望他继续分享宝贵的研究成果!

    有6位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
孤街浪途

很可惜的是,这份报告并没有提及一些最新的安全漏洞和应对措施。现在的网络安全环境太复杂了,希望下次可以更详细地介绍一些实践性的防护建议。

    有14位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
从此我爱的人都像你

对于那些想进一步学习网络安全的读者来说,这篇博文是一个很好的起点。 虽然内容有些技术性,但通过阅读分析报告,我们可以加深对恶意软件传播机制的理解,并更好地保护自己的数据和系统安全。

    有19位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
炙年

作者分析新捕获的恶意文件真是太棒了!它不仅揭示了黑客利用多种远控木马攻击的特点,还提到了相关的防范措施,非常实用且切合实际!

    有14位网友表示赞同!

深入分析新捕获的旨在同时传播两个远程控制木马的恶意文件
最迷人的危险

我比较担心的是这样的恶意软件传播速度会越来越快!希望能够对这些恶意代码进行更深入的查杀和研究,同时加强网络安全教育宣传,提高用户的警惕性。

    有19位网友表示赞同!

原创文章,作者:小su,如若转载,请注明出处:https://www.sudun.com/ask/112586.html

Like (0)
小su的头像小su
Previous 2024年8月31日 下午10:42
Next 2024年8月31日 下午10:46

相关推荐

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注