FavoriteLoading
0

偽裝成“發票到期”電子郵件,傳播Neutrino僵尸網絡

事件描述

一、?背景介紹

近日,深信服安全團隊捕獲到一個新型垃圾郵件,其中包含受密碼保護的Word文檔,團隊中的相關人員對其進行了深入的分析,發現是同樣類型的Neutrino最新版本僵尸程序。

二、?樣本信息

Neutrino屬于Kasidet家族,此次病毒通過偽裝成“發票到期”的電子郵件并且帶有密碼保護的附件進行傳播,帶有密碼保護的電子郵件可能會給人一種安全感。在此深信服提醒廣大用戶:陌生人發來的陌生文檔,郵件不要輕易打開。郵件內容如下:

1.png

2.png

“Invoice.doc”附件中包含一個宏,如果用戶的宏安全設置為低,則文檔將自動啟動宏。此外,宏受密碼保護。面對這種情況,大多數用戶都不知道這份文件會在后臺做些什么。如下:

3.png

4.png

查看宏內容顯示它將從hxxp//209.141.59.124/1.exe下載文件,然后保存至%Temp%\qwerty2.exe并啟動。宏內容如下:

5.pngqwerty2.exe主要功能如下:

a)?DDOS攻擊

b)?信息竊取

c)?FTP嗅探

d)?反調試、反虛擬機和反沙箱

e)?文件下載

本次分析涉及的文件信息如下:

文件名:Invoice.doc

文件大小:39424?bytes

文件描述:受密碼保護的Word文檔

MD5:E875E978CCDD5A02AEEFB207F83F7E16

SHA1:B59EBB1FA9383B646FBA7F1C39624D2674CA3F9E

文件名:qwerty2.exe

文件大小:397312bytes

文件版本:4.08.0004

MD5:30B43B2437A5CA665279D4A47A18CE7C

文件位置:C:\ Users\[用戶名]\AppData\Local\Temp\ qwerty2.exe

SHA1:6D58318FA35030FF5C97CEAD87924C6C5714DD48

三、?樣本分析

1.?樣本運行后先執行一段混淆代碼,然后通過“MapViewOfFile”將文件進行映射。

6.png7.png

2.?將映射后的數據進行解密,通過跳轉到ZwSetInformationProcess函數將DEP關閉,然后在轉入解密后的數據并執行。

8.png

9.png

10.png

3.?獲取cpuid信息(包括型號,信息處理器)、操作系統版本、地理位置、網卡配置和IP信息。

11.png

12.png

13.png

4.?為了防止惡意程序被多次運行Neutrino惡意軟件創建互斥體:“{FC502D82-2B78-8E2F-95F0-8FA2992433F6}”。

14.png

5.?修改文件創建時間、設置文件屬性、設置注冊表Run啟動,確保在受感染的機器上持久存活。

15.png

6.?動態加載CreateToolhelp32Snapshot、Module32First、M?odule32Next函數遍歷進程模塊與事先設定好的進程模塊進行比較,如果遍歷到相同進程模塊,則終止執行。

16.png

7.?使用IsDebuggerPresent、CheckRemoteDebuggerPresent判斷程序是否正被調試。使用GetTickCount、Sleep、GetTickCount進行單步執行時間檢測。使用QueryDosDevices檢測虛擬機(比如:VMware),判斷是否處于虛擬環境中,使用EnumWindows、GetClassName進行窗口檢測。

17.png

18.png

8.?如果程序加載成功,便會加載核心程序,使用CryptStringToBinary?API函數解密嵌入的C&C URL將獲取的信息以 POST的方式發送到securityupdateserver4.com。這些響應包會以注釋形式嵌入到空白html頁面中,為避免讓用戶發覺。捕獲的流量包如下:

19.png

總結:

僵尸程序最主要的特點就是可以一對多地執行相同的惡意行為,比如可以同時對某目標網站進行分布式拒絕服務(DDOS)攻擊,同時發送大量的垃圾郵件等,而正是這種一對多的控制關系,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務。僵尸程序一旦構成了一個攻擊平臺,便可利用這個平臺有效地發起各種各樣的攻擊行為,可以導致整個基礎信息網絡或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網絡欺詐等其他違法犯罪活動。

四、?相關IOC

Md5:E875E978CCDD5A02AEEFB207F83F7E16

Md5:30B43B2437A5CA665279D4A47A18CE7C

IP:209.141.59.124

域名:securityupdateserver4.com

Url:http//209.141.59.124/1.exe

 

原文鏈接:http://hack-sec.top/?post=208

【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。