新型Tinba病毒技術分析
責編:admin |2015-07-08 16:07:11Hackers們經常會使用URL縮寫來對惡意鏈接進行偽裝。然而,在本文的情況中,在URL縮寫中嵌入了廣告,并鏈接至了惡意站點。這一切都始于Adf.y的間隙廣告,間隙廣告這種技術是指在用戶得到實際網頁內容之前,頁面上會顯示一些廣告,廣告持續時間僅為幾秒鐘。
按照這個復雜的惡意廣告重定向鏈,在將有效載荷加至磁盤之前,HanJuan EK將會加載并利用Flash Player和IE瀏覽器的漏洞。
我們所收集到的有效載荷使用了多個軟件層為它的二進制代碼以及其與命令控制器和控制服務器通訊的信息進行了加密。這種木馬的目的是為了通過網絡釣魚,并扮演網絡的中間人來竊取信息,得到密碼和其他敏感數據。
技術細節
01 惡意廣告鏈
1、 前四個部分通過一個經過編碼的JavaScript腳本簡介來加載廣告:??
Chrome瀏覽器的JavaScript控制臺可以幫助我們對重定向調用進行快速定位,而不必進行復雜的解碼步驟:??
2、開始重定向:??
接下來的三個部分與其余部分有某些區別,這些會話過程之間的聯系現在還無法確認。深入研究之后,我們發現目的URL地址是由跨源資源共享(CORS)加載的。
科普:
“跨源資源共享(CORS)是一種機制,它能夠允許其他外部域的用戶申請訪問資源原始域的網頁中的受限資源。-維基百科”
上面為通過訪問控制許可源請求獲得的adk2.com網絡廣告的內容。??
這便讓我們得到了youradexchange.com所帶來的惡意廣告:??
其中所插入的URL地址實際上是一個真正的Joomal網站,但是這里能看到一個警告:該網站已被攻擊!??
利用工具??
在這里所提到的利用工具與我們常見的漏洞利用工具(Angler EK, Fiesta EK, Magnitude EK)有所不同。在經過一番分析和對比之后,我們認為它就是HanJuan EK。
在此之前,我們只對HanJuan EK進行過為數不多的幾次討論,所以很少人真正了解這個工具。我們層在未知利用工具中對其進行了描述,這是一個極其隱蔽的工具。
我們也在一個被入侵的網站上發現了HanJuan EK。
訪問頁面被分為了兩個部分:
1.?? 執行Flash Player漏洞利用的代碼
2.?? 執行IE瀏覽器漏洞利用的代碼
Flash漏洞利用的文件名都是隨機生成的,每次使用的都是與我們之前所觀察到的原始HanJuan工作模式相近的方式。
然而,在漏洞利用過程結束之后,代碼會插入一個帶有Flash版本信息的新GET請求會話。
最終,另一個隨機生成的URL地址和帶有。dat擴展名的文件名會將有效載荷交付。與之前版本的HanJuan不同的是,它會將一個二進制文件放入磁盤之中。
02 Fiddler流量數據:
接受到的頁面數據:??
Flash Player漏洞利用(CVE-2015-0359):
此次漏洞利用使用了VirtualAllocEx 編程接口,執行了一次內存堆棧攻擊。
IE瀏覽器的漏洞利用(CEV-2014-1776):
在這種情況下,我們同樣可以通過NtProtectVirtualMemory編程接口來執行內存堆棧攻擊,但并不推薦這樣做。
反惡意-反間諜軟件的用戶已經不會受到這兩種漏洞的影響了:
關于惡意軟件的有效載荷
目前該有效載荷已經被命名為Trojan.Agent.Fobber。這個名字來源于一個名為”Fobber“的文件夾,而該文件夾是用于存儲惡意軟件以及其他相關文件的。
不同于普通的Windows程序,Fobber的執行過程類似于下圖所示:
就在研究中所觀察到的情況,Fobber惡意軟件的目的是為了竊取用戶各種賬號的憑證。既然目前還沒有確定Fobber與其他已知惡意軟件的關系,我們懷疑它可能與其他盜取信息的木馬有關系,比如說Carberp或Tinba。
Fobber.exe
Fobber.exe是一個非常復雜的程序,而且其代碼是經過混淆的。在在樣本中,它一直在嘗試打開隨機注冊表鍵,然后惡意軟件便會執行一長串的跳躍,就好像是為了制造一個”兔子洞”來拖延我們的分析。
在這之后,fobber.exe進程便終止了,惡意軟件的執行會在verclsid.exe中繼續。
Verclsid.exe(Fobber代碼)
這個進程中的Fobber代碼的主要目的就是獲取Windows Explorer(explorer.exe)的進程ID號(PID),并向這個進程注入一個線程。向Windows Explorer中注入代碼是一種常用的信息竊取技術,惡意軟件已經使用這種技術很多年了。
在執行一個功能之前,它的代碼會受限進行解碼,如下圖所示(請注意指令”decode_more”):
在調用這個指令之后,所有的命令都很清楚了。
最終,當函數想要返回時,它會調用一個使用了ROP工具的特殊程序。
在上圖所示的”return_caller”中,返回指針被重寫了,并指向了父函數的返回指針(sub_41B21A)。除此之外,剛才函數中所有運行過的字節都被重新加密了,如下圖所示。
這種技術可以讓Fobber惡意軟件比傳統的惡意軟件更加地難以進行分析,因為傳統的惡意軟件可以將整個二進制文件全部拆包。類似的功能同樣可以在很多商業保護軟件中見到,例如Themida。
為了定位Explorer的PID,惡意軟件會搜索Explorer進程所使用的名為”Shell_TrayWnd”的已知進程窗口。
代碼使用了RtlAdjustPrivilege來為verclsid.exe進程授權,即SE_DEBUG_PRIVILEGE。這樣便會允許 verclsid.exe將代碼注入至Windows Explorer進程中,而不會產生任何的錯誤問題。在這個函數執行完之后,更多的代碼會在內存中解碼,并會在Explorer進程中創建一個遠程的控制 線程。
Explorer.exe(Fobber代碼)
在這個情況下,Fobber惡意軟件便會開始進行它的主要操作,即永久注入目標主機中,與C&C服務器進行連接,以及進行更多的操作。
03永久注入
Fobber能夠通過將其自身(fobber.exe)復制進AppData文件夾中的”Fobber”文件夾中,并使用nemre.exe作為文件名,這樣Fobber便可以在目標主機中立足了。在一個普通的計算機中,路徑可能會是:
C:\Users\<username>\AppData\Roaming\nemre.exe
每次遇到HanJuan EK時,我都覺得特別有趣,因為它很罕見。
通常情況下,漏洞利用工具只會以軟件的某一部分為目標,這樣可以獲得最高的利用價值:IE瀏覽器和Flash Player播放器。