概述
近期,随着疫情在国外爆发,一些国外的黑产团伙也开始蠢蠢欲动,某不存在的社交网站上安全研究员披露了多起利用疫情为诱饵进行的攻击活动。
这次分析的样本名为“CVOID.doc”,与疫情相关,该样本为公式编辑器漏洞利用文件,一旦在未修补漏洞的环境下运行后,便会从远程拉回一个hta文件执行,再次从远程拉回NanoRAT执行,从而控制受害者机器。
样本分析
样本信息如下
| 文件名 | CVOID.doc |
|---|---|
| MD5 | df0bce9e2779b2a0c8cdfde33af17365 |
| 利用方式 | 公式编辑器 |
| 后续链接 | http://gaminithilakasiri.info/wp-user/file[.]hta |
样本打开后,没有任何的诱饵信息,做的比较粗糙
漏洞成功利用后,将会从http://gaminithilakasiri.info/wp-user/file[.]hta下载文件执行。
Hta中包含powershell代码,将从https://gaminithilakasiri.info/wp-user/wp【.】exe下载可执行文件并保存到%appdata%output.exe执行
| 文件名 | Wp.exe |
|---|---|
| Md5 | b73114a5ab9ce93e5b3345012bf459d2 |
该文件是c#编写的文件,有意思的是该文件很鸡贼的伪装成“Heroes III”的的开源辅助,反编译后可见大量与Heroes 相关的字符串
大部分代码与开源复制一致,但仔细分析会发现以下内存加载调用
调用的数据经Smethod_5方法可知来源于资源
通过pe工具分析可见,资源中确实还有个可执行文件
Dump出的资源pe信息如下:
| 文件名 | RoboSki.DLL |
|---|---|
| MD5 | 0113f14b0c0ea14db59a8db26dc0ea9a |
该文件依旧只是一个Loader,会再次在内存加载一个pe执行
再次dump出的文件信息如下
| 文件名 | ReZer0V2 |
|---|---|
| MD5 | 61520312d5283f32d35eca8fef7b1588 |
该样本依旧只是个loader,但再执行最后的文件之前,会先进行虚拟机检查,设置持久化等操作,该样本被加载运行后,首先会通过检查互斥量“GhrviEfuXmDnjaa”从而保证只有一个实例运行
之后尝试修改Windows Defender的注册表项和执行一些powershell命令从而达到关闭Windows Defender的目的
通过一些硬盘描述以及注册表项检测自身是否运行再虚拟机中,若在虚拟机中就退出程序
检测虚拟机通过后会再次检测一些计算机用户名,看是否为常见的沙箱,蜜罐,研究人员用户名,若是则退出
检测都通过后,便会创建计划任务,以实现自身的持久性
前期检测准备工作结束后,样本将再次内存加载另一个可执行文件、
若加载失败,便会再次尝试将可执行文件注入执行
第三次dump的pe文件信息如下
| 文件名 | Nanocore RAT |
|---|---|
| MD5 | 0bb9331570daed9de581bfa96810e0fe |
Dnspy反编译后,可见该文件属于常见的商业木马 Nanocore RAT
样本运行后会先从资源解密出配置信息,包括c2地址等
Nano Core RAT作为一个常见的RAT的,已经有大量公开的分析文章了,这里就不进行详细分析了,该RAT与c2通信后,具有键盘记录,获取浏览器保存的账号密码,获取应用列表等多个功能
总结
疫情还未结束,利用疫情进行的黑客攻击活动越演越烈,在日常获取疫情相关信息的时候注意多从官方来源获取,对于来历不明的文件尽量少执行,不安装来历不明的移动应用。最后大家身体健康!工作顺利!
*本文原创作者:fuckgod,本文属于FreeBuf原创奖励计划,未经许可禁止转载
来源:freebuf.com 2020-03-30 10:00:53 by: fuckgod
请登录后发表评论
注册