压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

概述

最近，Cofense網(wǎng)絡(luò)釣魚防御中心（PDC）監(jiān)測(cè)到Astaroth木馬再次活躍。上周，我們的客戶共計(jì)有數(shù)十臺(tái)資產(chǎn)感染該木馬。根據(jù)估算，在短短一周內(nèi)，有約8000臺(tái)機(jī)器可能遭到入侵。

Astaroth木馬因其使用撒旦的變量名稱（古代傳說中的“大公爵”）而得名，自2017年底以來，一直通過偽造的發(fā)票釣魚郵件感染受害用戶，大部分發(fā)件人使用的是cam.br域名，以此來模擬合法的發(fā)件人。

下圖為冒充TicketLog的釣魚郵件：

此次木馬的再次活躍，顯然事先做了充足的謀劃，將此次攻擊的目標(biāo)放在了南美洲。所有惡意域名都是由Cloudflare托管，并用于將Payload傳送到IP地址位于南美洲的主機(jī)上。

成功下載Payload的抓包截圖：

Astaroth的原始Payload是惡意.lnk文件，這也是攻擊者比較常見的一種傳遞Payload的方法。惡意.lnk中包含指向URL的鏈接，受害用戶跳轉(zhuǎn)到該鏈接便能獲取下一個(gè)Payload。

利用現(xiàn)有Windows服務(wù)承載惡意軟件

Windows Management Instrumentation Console（WMIC）是WMI的命令行界面。WMIC是一個(gè)管理Windows主機(jī)的優(yōu)秀工具，受到管理員的廣泛青睞。使用get命令，可以以多種方式來檢索機(jī)器的信息，但是該木馬會(huì)濫用os get /format:命令，從以.xsl擴(kuò)展名的非本地資源下載Payload。同時(shí)，下載的樣式表允許從其中運(yùn)行經(jīng)篡改的JavaScript和VBS，這樣一來就能夠輕松在被感染系統(tǒng)中運(yùn)行任何類型的惡意軟件。Astaroth木馬的.lnk文件中包含WMIC.exe的參數(shù)，用于指定WMIC以非交互模式運(yùn)行，這樣一來被感染用戶就不會(huì)看到任何窗口，木馬可以悄悄地下載.lnk中的硬編碼URL，并自行退出。

Astaroth從URL中檢索包含帶有嵌入式JavaScript樣式表的.php文件。我們?cè)L問該網(wǎng)頁(yè)，并手動(dòng)進(jìn)到view:source即可看到其代碼。截至撰寫本文時(shí)，這部分代碼還沒有以任何方法進(jìn)行混淆。
下圖為.xsl中的嵌入式JS：

其中一些變量包含用于文件執(zhí)行和操作的ActiveX對(duì)象，在定義了幾個(gè)變量之后，該腳本使用一個(gè)函數(shù)“roll”來生成隨機(jī)數(shù)。

然后，使用生成的隨機(jī)數(shù)，從列表中選擇Payload的URL。

域名列表如下：

在代碼中，經(jīng)常會(huì)重復(fù)使用“xVRxastaroth”變量，這一變量可以作為指紋，有助于我們識(shí)別該木馬。其中，列出的154個(gè)域名都托管在CloudFlare上，木馬編寫者現(xiàn)在大多傾向于借助Google Cloud或CloudFlare等合法托管服務(wù)來托管其Payload或C&C基礎(chǔ)架構(gòu)，從而使得安全人員阻止IP的行動(dòng)變得更加困難。

在選擇域名之后，木馬會(huì)再次使用WMIC加載到另一個(gè)樣式表的Payload URL。選擇的域名將會(huì)以硬編碼值的形式存儲(chǔ)到/Seu7v130a.xsl?，并在后面附加1111111到9999999之間隨機(jī)選擇的數(shù)字。
例如：
hxxp://ta4dcmj[.]proxy6x-server[.]website/09//Seu7v130a[.]xsl?3314468[.]xsl
該P(yáng)ayload包含更多嵌入式的JavaScript，并且是惡意軟件核心功能的一部分。在這里，重復(fù)使用了與原始樣式表中聲明變量相同的變量，包括用于Payload域名的RNG Roller。在選擇Payload URL之后，該腳本將會(huì)創(chuàng)建certutil和regsvr32的副本并保存到臨時(shí)目錄中，以備之后使用。

惡意軟件產(chǎn)生certutil和regsvr32的副本：

Certutil.exe（其副本被木馬重命名為certis.exe）在Windows環(huán)境中通常用于管理證書。但在被感染主機(jī)上，第二個(gè)樣式表借助該可執(zhí)行文件來下載惡意軟件Payload。該腳本創(chuàng)建一個(gè)函數(shù)，函數(shù)使用-urlcache參數(shù)和-f、-split選項(xiàng)在temp文件夾中運(yùn)行復(fù)制的certutil。這樣一來，可以將獲取到的URL保存在文件中。

緩存URL并下載Payload：

該函數(shù)將重復(fù)使用，以檢索其余的惡意軟件Payload。此外，還會(huì)執(zhí)行檢查，在繼續(xù)下一步之前確保已經(jīng)將每個(gè)文件都下載到正確的文件夾中。

在下載惡意軟件并驗(yàn)證文件后，腳本會(huì)在C:Program Files目錄下檢查是否已經(jīng)安裝Avast防病毒產(chǎn)品，這是全球最流行的防病毒產(chǎn)品之一。

如果被感染主機(jī)上沒有安裝Avast，那么腳本將使用regsvr32繼續(xù)執(zhí)行最終的.dll，并退出。

如下圖所示，木馬已經(jīng)大功告成：

被感染主機(jī)的數(shù)據(jù)庫(kù)

在惡意軟件成功感染主機(jī)后，會(huì)生成一個(gè)純文本日志（r1.log）并保存在tempwl目錄下。這一日志中包含公網(wǎng)IP、地理位置、計(jì)算機(jī)名稱、計(jì)算機(jī)受感染的時(shí)間以及需要提供給木馬開發(fā)者的一些字段。

被感染主機(jī)的日志如下圖所示：

然后，該信息會(huì)被發(fā)送到位于第一個(gè)Payload URL根目錄中的SQLite數(shù)據(jù)庫(kù)，如下面的代碼段所示。~/9/中有多個(gè)打開的目錄，如果將數(shù)字減少到0，就可以打開其他幾個(gè)包含可下載的SQLite數(shù)據(jù)庫(kù)的目錄，這些目錄很可能來自之前的木馬活動(dòng)。經(jīng)過統(tǒng)計(jì)，被感染用戶高達(dá)數(shù)千人，一周大約就能感染8000人左右。

目錄截圖如下：

下面為在SQLite Browser中查看的數(shù)據(jù)庫(kù)，其中每個(gè)字段都經(jīng)過了Base64編碼。

解碼后，該數(shù)據(jù)庫(kù)中的內(nèi)容包含每臺(tái)受感染計(jì)算機(jī)的詳細(xì)日志。請(qǐng)注意加拿大VPS上托管計(jì)算機(jī)的第一個(gè)條目，與其他南美主機(jī)（也就是此次惡意活動(dòng)的主要針對(duì)目標(biāo)）有所不同。但我們并不能確定，這也可能是木馬開發(fā)者在測(cè)試他們的基礎(chǔ)架構(gòu)。

詳細(xì)分析

Astaroth木馬在驗(yàn)證所有核心文件和二進(jìn)制文件已經(jīng)運(yùn)行后，將執(zhí)行惡意軟件Payload。需要注意的是，任何Payload都可以通過濫用WMIC樣式表來實(shí)現(xiàn)傳遞，Astaroth支持通過多種方式來傳遞Payload。然而，根據(jù)最近我們監(jiān)測(cè)到的活動(dòng)，該木馬最近一直用于傳遞鍵盤記錄器。在下載的文件中，偽裝的.gif和.jpg文件似乎是惡意軟件的依賴項(xiàng)。然而，根據(jù)其Magic Byte來看，并不是任何已知的文件類型，并且沒有.text或其他PE部分，這就表明它們是不可執(zhí)行的。然而，其中確實(shí)存在函數(shù)名稱，包括PeekMessageA，這一函數(shù)在其他的鍵盤記錄類惡意軟件中也曾經(jīng)發(fā)現(xiàn)過。除此之外，還有幾個(gè)日志文件，以及一個(gè)名為vri的文件夾。當(dāng)惡意軟件運(yùn)行時(shí)，該文件夾中也會(huì)保存日志。

惡意軟件文件列表：

偽裝成“.jpg”的文件的Magic Byte：

函數(shù)名稱：

為了讓木馬更有針對(duì)性，在其他地區(qū)運(yùn)行Astaroth惡意軟件的嘗試都會(huì)失敗，具體而言，無法成功下載Payload，并且無法運(yùn)行.dll文件。我們對(duì)其中一個(gè).dll文件進(jìn)行了簡(jiǎn)要分析，目前發(fā)現(xiàn)它是使用Delphi語(yǔ)言編寫而成，其中使用了GetLocaleInfoA函數(shù)，以允許木馬獲取被感染主機(jī)的語(yǔ)言環(huán)境信息。

以Delphi語(yǔ)言編寫：

獲取語(yǔ)言環(huán)境信息：

通過更改注冊(cè)表中HKEY_CURRENT_USER>Control Panel>International項(xiàng)，我們將主機(jī)調(diào)整為巴西，并啟用葡萄牙語(yǔ)鍵盤，即可解決這一問題。.dll首先在靜默模式下使用regsrv32注冊(cè)并運(yùn)行，隨后會(huì)創(chuàng)建啟動(dòng)項(xiàng)，以保證其持久性。

運(yùn)行.dll的regsvr32：

創(chuàng)建啟動(dòng)項(xiàng)保證持久性：

該惡意軟件從regsvr32同時(shí)運(yùn)行2個(gè)dll文件，并產(chǎn)生userinit、ctfmon和svchost進(jìn)程。

新產(chǎn)生的進(jìn)程如下：

惡意的svchost使用CLSID dc30c1661-cdaf-11D0-8A3E-00c04fc9e26e不斷查詢ieframe.dll以及IWebBrowser2接口，這兩個(gè)組件都是與Internet Explorer交互的關(guān)鍵組件。

這一點(diǎn)至關(guān)重要，因?yàn)閻阂廛浖ｉT針對(duì)Internet Explorer瀏覽器。為了確保被感染用戶能夠使用IE，惡意軟件將終止其他瀏覽器的相關(guān)進(jìn)程，例如Chrome和Firefox，并希望被感染用戶能覺得這些瀏覽器出現(xiàn)了故障。當(dāng)被感染用戶使用IE瀏覽特定的巴西銀行網(wǎng)站或商務(wù)網(wǎng)站時(shí)，惡意軟件就會(huì)開始記錄鍵盤鍵入的內(nèi)容。

下圖為鍵盤記錄和外傳的數(shù)據(jù)：

外傳的數(shù)據(jù)采用Base64編碼，經(jīng)過解碼后得到了一系列自定義編碼的字符串，這些字符串看起來是以“/”分隔的。這些字符串可能必須要與特定字符串進(jìn)行異或操作運(yùn)算，因此解碼可能會(huì)非常困難。

下圖為外傳數(shù)據(jù)：

下圖為自定義編碼的字符串：

總結(jié)

Astaroth對(duì)于南美的企業(yè)來說，存在著較大的威脅。這一木馬也向網(wǎng)絡(luò)管理員提出了一大挑戰(zhàn)，對(duì)于許多網(wǎng)絡(luò)管理員來說，他們似乎無法阻止或限制WMIC的使用。

和惡意Office宏一樣，要防范這種基于社會(huì)工程的攻擊形式，最好的方法就是加強(qiáng)用戶的安全意識(shí)培訓(xùn)。

原文地址：https://cofense.com/seeing-resurgence-demonic-astaroth-wmic-trojan/