事件描述
一、?背景介紹
近日,深信服安全團隊捕獲到一個新型垃圾郵件,其中包含受密碼保護的Word文檔,團隊中的相關人員對其進行了深入的分析,發現是同樣類型的Neutrino最新版本僵尸程序。
二、?樣本信息
Neutrino屬于Kasidet家族,此次病毒通過偽裝成“發票到期”的電子郵件并且帶有密碼保護的附件進行傳播,帶有密碼保護的電子郵件可能會給人一種安全感。在此深信服提醒廣大用戶:陌生人發來的陌生文檔,郵件不要輕易打開。郵件內容如下:
“Invoice.doc”附件中包含一個宏,如果用戶的宏安全設置為低,則文檔將自動啟動宏。此外,宏受密碼保護。面對這種情況,大多數用戶都不知道這份文件會在后臺做些什么。如下:
查看宏內容顯示它將從hxxp//209.141.59.124/1.exe下載文件,然后保存至%Temp%\qwerty2.exe并啟動。宏內容如下:
qwerty2.exe主要功能如下:
a)?DDOS攻擊
b)?信息竊取
c)?FTP嗅探
d)?反調試、反虛擬機和反沙箱
e)?文件下載
本次分析涉及的文件信息如下:
文件名:Invoice.doc
文件大小:39424?bytes
文件描述:受密碼保護的Word文檔
MD5:E875E978CCDD5A02AEEFB207F83F7E16
SHA1:B59EBB1FA9383B646FBA7F1C39624D2674CA3F9E
文件名:qwerty2.exe
文件大小:397312bytes
文件版本:4.08.0004
MD5:30B43B2437A5CA665279D4A47A18CE7C
文件位置:C:\ Users\[用戶名]\AppData\Local\Temp\ qwerty2.exe
SHA1:6D58318FA35030FF5C97CEAD87924C6C5714DD48
三、?樣本分析
1.?樣本運行后先執行一段混淆代碼,然后通過“MapViewOfFile”將文件進行映射。
2.?將映射后的數據進行解密,通過跳轉到ZwSetInformationProcess函數將DEP關閉,然后在轉入解密后的數據并執行。
3.?獲取cpuid信息(包括型號,信息處理器)、操作系統版本、地理位置、網卡配置和IP信息。
4.?為了防止惡意程序被多次運行Neutrino惡意軟件創建互斥體:“{FC502D82-2B78-8E2F-95F0-8FA2992433F6}”。
5.?修改文件創建時間、設置文件屬性、設置注冊表Run啟動,確保在受感染的機器上持久存活。
6.?動態加載CreateToolhelp32Snapshot、Module32First、M?odule32Next函數遍歷進程模塊與事先設定好的進程模塊進行比較,如果遍歷到相同進程模塊,則終止執行。
7.?使用IsDebuggerPresent、CheckRemoteDebuggerPresent判斷程序是否正被調試。使用GetTickCount、Sleep、GetTickCount進行單步執行時間檢測。使用QueryDosDevices檢測虛擬機(比如:VMware),判斷是否處于虛擬環境中,使用EnumWindows、GetClassName進行窗口檢測。
8.?如果程序加載成功,便會加載核心程序,使用CryptStringToBinary?API函數解密嵌入的C&C URL將獲取的信息以 POST的方式發送到securityupdateserver4.com。這些響應包會以注釋形式嵌入到空白html頁面中,為避免讓用戶發覺。捕獲的流量包如下:
總結:
僵尸程序最主要的特點就是可以一對多地執行相同的惡意行為,比如可以同時對某目標網站進行分布式拒絕服務(DDOS)攻擊,同時發送大量的垃圾郵件等,而正是這種一對多的控制關系,使得攻擊者能夠以極低的代價高效地控制大量的資源為其服務。僵尸程序一旦構成了一個攻擊平臺,便可利用這個平臺有效地發起各種各樣的攻擊行為,可以導致整個基礎信息網絡或者重要應用系統癱瘓,也可以導致大量機密或個人隱私泄漏,還可以用來從事網絡欺詐等其他違法犯罪活動。
四、?相關IOC
Md5:E875E978CCDD5A02AEEFB207F83F7E16
Md5:30B43B2437A5CA665279D4A47A18CE7C
IP:209.141.59.124
域名:securityupdateserver4.com
Url:http//209.141.59.124/1.exe
原文鏈接:http://hack-sec.top/?post=208
發表評論