安全路透社
当前位置:安全路透社 > 网络转载 > 正文

Mega木马分析报告

* 原创作者:兰云科技银河实验室

1概述

兰眼下一代威胁感知系统发现的本次攻击为典型的鱼叉攻击,通过对目标用户的邮箱发送恶意文件,在受害者打开恶意文件后,自动下载木马以进一步进行控制。该木马通过多种手段判断沙箱、虚拟机和杀软来对抗目标环境的安全机制,保证自身能在不在被发现的的情况下运行。我们将该木马命名为Mega木马。

2分析

Mega木马的关键流程如下:

图片1.png

2.1钓鱼邮件

下图为兰眼下一代威胁感知系统收集到的攻击者和受害者邮箱信息,显然攻击者前期做了充足的情报收集工作。

图片2.png

邮件附件为一个Word文档,经分析,为一个包含对CVE-2012-0158漏洞利用代码的RTF文档,下面对这个文件进行详细分析。

MD5 91326328ab9e732eda20064926dc1a6e
文件大小 8.14 KB (8,345 字节)
文件类型 RTF

该Word文件使用的漏洞为CVE-2012-0158,其漏洞原理实:windows通用控件MSCOMCTL.ListView在处理 CObj这个对象的时候,存在检查缺陷,会导致栈溢出,从而可执行任意代码。

该文件中,攻击者使用了一些常用的绕过杀毒软件的方法,比如RTF的文件头,正常的RTF文件头为{\rtf1\,这里攻击者使用了{\rt,让杀毒软件识别不出来,我们可以看到其中的对象的为一个word文件。

图片3.png

下面是提取出来的word文件

图片4.png

进行动态调试,可以看到,该样本首先进行了一个解密的操作,即进行了一个异或操作,异或的常数为 3615A1B1 h,在解密出代码之后,跳转过去执行。

之后便是经典的通过PEB动态获取函数地址了。

在获取了函数API后,通过UrlDownloadToFile联网下载文件到临时文件夹,并执行。

下载的网址为https://kim***.com/wp/user1236.exe

图片7.png

下载下来,进行执行

图片8.png

至此,Word文件的使命完成, 后续工作转交新下载的木马进行。

2.2 Mega木马

反杀毒软件

接下来我们来分析新下载下来的木马,该木马为一个自解压文件,这个文件的静态信息如下:

文件名称 User1236.exe
文件大小 480 KB (492,435 字节)
文件类型 自解压文件

解压文件后,我们可以看到里面有一个VBS文件,和一个DLL文件和一个二进制文件。

图片9.png

自解压后自动运行的cEU00c.vbs这个文件

图片10.png

可以看到这个VBS文件的主要作用是通过rundll32调用gsp 2.dll文件的awfh2mw函数。

图片11.png

下面对gsp2.dll进行分析,下面是静态信息

文件名称 Gsp2.dll
MD5 12B1670E9BAEDA0C7C0FA7EB68843718
文件大小 10.6 MB (11,159,767 字节)
文件签名
壳信息
编译器信息 orland Delphi ( 2.0 – 7.0 )
编译时间 1992年6月20日

为方便调试,我们写了个小程序对这个函数进行调用。

图片12.png

在执行工程首先会打开名字为x的二进制文件。

在加载进来以后,会首先查找megaend和megastr 字符串,然后记录位置

图片15.png

并将这两个字符串的中间拷贝出来

图片16.png

下面是拷贝的部分二进制文件

图片17.png

然后继续对样本通过RC4算法进行解密,密钥为 lpaedw1j2s ,流密码长度不是传统的256而是变成了456。

图片18.png

可以看到解密出来一个新的PE文件。

图片19.png

然后对PE头进行检验。

图片20.png

样本对整个PE文件进行加载,输入导入表,并开始执行。

图片21.png

首先文件会解密出一些函数名称进行加载,使用了BASE64和改进密钥长度的RC4算法,。

可以看到0jGtInt5+Mkl+hk=是经过BASE64加密的,然后通过改进密钥长度的RC4算法进行解密,密钥统一为chancla。

  图片22.png

然后样本开始寻找杀毒软件,以对抗杀软检测:

avg:查找 avgui.exe、avguix.exe

C:\Program Files (x86)\AVG\Framework\Common\avguix.exe

C:\Program Files\AVG\Framework\Common\avguix.exe

Avast:查找 avastui.exe

C:\Program Files\AVAST Software

360:查找 C:\Program Files (x86)\360\

C:\Program Files\360\

Bitdefender:查找 C:\Program Files\Bitdefender\

Norton:查找 C:\Program Files (x86)\Norton Security\

C:\Program Files\Norton Security\

Trend Micro:查找 C:\Program Files\Trend Micro\

Kaspersky: 查找 C:\Program Files (x86)\Kaspersky Lab\

大蜘蛛:查找 spideragent.exe

图片23.png

对抗人工分析

依据配置策略进一步的判断是否在沙箱中,比如先查找配置文件是否存在antiwirshark,如果有则同样先使用BASE64解码,然后通过RC4解密,通过判断进程和其他方式,判断是否有这个进程。

图片25.png

分析是否在沙箱中运行,以达到反沙箱功能。查找的进程 wireshark、taskmanager、regedit、msconfig等

图片26.png

反虚拟机

反VBox虚拟机

图片27.png

反VPC虚拟机

反VMware虚拟机

反沙箱

图片30.png

创建互斥量,互斥量名称为lpaedw1j2s

图片31.png

样本中还提供了bypassUAC的功能

图片34.png

为了绕过一些杀软,在设置开机自启动前,先 ping一下。

图片35.png

将文件拷贝到开机自启动的文件夹中

图片36.png

之后开始进行注入 注入到regasm.exe,先挂起创建进程

图片37.png

之后开始注入并开始执行

图片39.png

控制功能

注入的为一个C#编写的样本,但是攻击者为这个样本加了前不久出的 ConfuserEx v1.0.0版本的强混淆壳。

图片41.png

在进行脱壳后发现是个具有完整功能的后门,样本首先会连接***.com 这个网址取得IP,然后将主机的基本信息发送过去

下面是收集到的TCP流,我们可以收集的很多信息

包括 国家,操作系统版本一些基本信息和装的软件信息

图片42.png

在对主机进行了控制之后,可以执行一些其他功能,脱壳后,可以发现很多功能,包括键盘记录,文件下载执行。

图片43.png

对hosts文件进行修改

图片44.png

3结论

此次攻击,以邮件为攻击入口,通过向目标植入具备很强的反侦察能力Mega木马达成攻陷主机的目标,为进一步的深度渗透和攻击确立基础。

Mega木马能够对抗很多杀软、人工分析,以及沙箱检测,在确定安全之后,才跟C&C进行连接,以进一步控制目标。Mega木马控制功能非常完善,一旦被攻击成功,可利用其向内网其他主机进行渗透,非常危险。

* 原创作者:兰云科技银河实验室

未经允许不得转载:安全路透社 » Mega木马分析报告

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册