首页 > 安全 > 网络安全 >

Mega木马分析报告

2017-04-01

Mega木马分析报告。兰眼下一代威胁感知系统发现的本次攻击为典型的鱼叉攻击,通过对目标用户的邮箱发送恶意文件,在受害者打开恶意文件后,自动下载木马以进一步进行控制。该木马通过多种手段判断沙箱、虚拟机和杀软来对抗目标环境的安全机制。

1概述

Mega木马分析报告。兰眼下一代威胁感知系统发现的本次攻击为典型的鱼叉攻击,通过对目标用户的邮箱发送恶意文件,在受害者打开恶意文件后,自动下载木马以进一步进行控制。该木马通过多种手段判断沙箱、虚拟机和杀软来对抗目标环境的安全机制,保证自身能在不在被发现的的情况下运行。我们将该木马命名为Mega木马。

2分析

Mega木马的关键流程如下:

\

2.1钓鱼邮件

下图为兰眼下一代威胁感知系统收集到的攻击者和受害者邮箱信息,显然攻击者前期做了充足的情报收集工作。

\

邮件附件为一个Word文档,经分析,为一个包含对CVE-2012-0158漏洞利用代码的RTF文档,下面对这个文件进行详细分析。

MD5

91326328ab9e732eda20064926dc1a6e

文件大小

8.14 KB (8,345 字节)

文件类型

RTF

该Word文件使用的漏洞为CVE-2012-0158,其漏洞原理实:windows通用控件MSCOMCTL.ListView在处理 CObj这个对象的时候,存在检查缺陷,会导致栈溢出,从而可执行任意代码。

该文件中,攻击者使用了一些常用的绕过杀毒软件的方法,比如RTF的文件头,正常的RTF文件头为{\rtf1\,这里攻击者使用了{\rt,让杀毒软件识别不出来,我们可以看到其中的对象的为一个word文件。

\

下面是提取出来的word文件

\

进行动态调试,可以看到,该样本首先进行了一个解密的操作,即进行了一个异或操作,异或的常数为 3615A1B1 h,在解密出代码之后,跳转过去执行。

之后便是经典的通过PEB动态获取函数地址了。

在获取了函数API后,通过UrlDownloadToFile联网下载文件到临时文件夹,并执行。

下载的网址为https://kim***.com/wp/user1236.exe

\

下载下来,进行执行

\

至此,Word文件的使命完成, 后续工作转交新下载的木马进行。

2.2 Mega木马

反杀毒软件

接下来我们来分析新下载下来的木马,该木马为一个自解压文件,这个文件的静态信息如下:

文件名称

User1236.exe

文件大小

480 KB (492,435 字节)

文件类型

自解压文件

解压文件后,我们可以看到里面有一个VBS文件,和一个DLL文件和一个二进制文件。

\

自解压后自动运行的cEU00c.vbs这个文件

\

可以看到这个VBS文件的主要作用是通过rundll32调用gsp 2.dll文件的awfh2mw函数。

\

下面对gsp2.dll进行分析,下面是静态信息

文件名称

Gsp2.dll

MD5

12B1670E9BAEDA0C7C0FA7EB68843718

文件大小

10.6 MB (11,159,767 字节)

文件签名

壳信息

编译器信息

orland Delphi ( 2.0 – 7.0 )

编译时间

1992年6月20日

为方便调试,我们写了个小程序对这个函数进行调用。

\

在执行工程首先会打开名字为x的二进制文件。

在加载进来以后,会首先查找megaend和megastr 字符串,然后记录位置

\

并将这两个字符串的中间拷贝出来

\

下面是拷贝的部分二进制文件

\

然后继续对样本通过RC4算法进行解密,密钥为 lpaedw1j2s ,流密码长度不是传统的256而是变成了456。

\

可以看到解密出来一个新的PE文件。

\

然后对PE头进行检验。

\

样本对整个PE文件进行加载,输入导入表,并开始执行。

\

首先文件会解密出一些函数名称进行加载,使用了BASE64和改进密钥长度的RC4算法,。

可以看到0jGtInt5+Mkl+hk=是经过BASE64加密的,然后通过改进密钥长度的RC4算法进行解密,密钥统一为chancla。

\

然后样本开始寻找杀毒软件,以对抗杀软检测:

avg:查找 avgui.exe、avguix.exe

C:\Program Files (x86)\AVG\Framework\Common\avguix.exe

C:\Program Files\AVG\Framework\Common\avguix.exe

Avast:查找 avastui.exe

C:\Program Files\AVAST Software

360:查找 C:\Program Files (x86)\360\

C:\Program Files\360\

Bitdefender:查找 C:\Program Files\Bitdefender\

Norton:查找 C:\Program Files (x86)\Norton Security\

C:\Program Files\Norton Security\

Trend Micro:查找 C:\Program Files\Trend Micro\

Kaspersky: 查找 C:\Program Files (x86)\Kaspersky Lab\

大蜘蛛:查找 spideragent.exe

\

对抗人工分析

依据配置策略进一步的判断是否在沙箱中,比如先查找配置文件是否存在antiwirshark,如果有则同样先使用BASE64解码,然后通过RC4解密,通过判断进程和其他方式,判断是否有这个进程。

\

分析是否在沙箱中运行,以达到反沙箱功能。查找的进程 wireshark、taskmanager、regedit、msconfig等

\

反虚拟机

反VBox虚拟机

\

反VPC虚拟机

反VMware虚拟机

反沙箱

\

创建互斥量,互斥量名称为lpaedw1j2s

\

样本中还提供了bypassUAC的功能

\

为了绕过一些杀软,在设置开机自启动前,先 ping一下。

\

将文件拷贝到开机自启动的文件夹中

\

之后开始进行注入 注入到regasm.exe,先挂起创建进程

\

之后开始注入并开始执行

\

控制功能

注入的为一个C#编写的样本,但是攻击者为这个样本加了前不久出的 ConfuserEx v1.0.0版本的强混淆壳。

\

在进行脱壳后发现是个具有完整功能的后门,样本首先会连接***.com 这个网址取得IP,然后将主机的基本信息发送过去

下面是收集到的TCP流,我们可以收集的很多信息

包括 国家,操作系统

版本一些基本信息和装的软件信息

\

在对主机进行了控制之后,可以执行一些其他功能,脱壳后,可以发现很多功能,包括键盘记录,文件下载执行。

\

对hosts文件进行修改

\

3结论

此次攻击,以邮件为攻击入口,通过向目标植入具备很强的反侦察能力Mega木马达成攻陷主机的目标,为进一步的深度渗透和攻击确立基础。

Mega木马能够对抗很多杀软、人工分析,以及沙箱检测,在确定安全之后,才跟C&C进行连接,以进一步控制目标。Mega木马控制功能非常完善,一旦被攻击成功,可利用其向内网其他主机进行渗透,非常危险。

相关文章
最新文章
热点推荐