研究人員近期發(fā)現(xiàn)一個(gè)Glupteba的變種。Glupteba是Operation Windigo 攻擊活動(dòng)中使用的木馬，研究人員之前報(bào)告過(guò)其針對(duì)MikroTik 路由器的攻擊以及C2 服務(wù)器的更新。

該變種的行為與其他Glupteba 變種有相似之處。此外，該變種還使用了模塊化的廣告惡意軟件ManageX。

使用Go 語(yǔ)言

在解壓了攻擊中使用的主釋放器后，研究人員發(fā)現(xiàn)該惡意軟件變種是用Go 語(yǔ)言開(kāi)發(fā)的。Go 語(yǔ)言只有10 年的歷史，而且用它來(lái)開(kāi)發(fā)惡意軟件是比較少見(jiàn)的。惡意軟件開(kāi)發(fā)人員選擇Go 語(yǔ)言的原因可能是該語(yǔ)言的特征使得開(kāi)發(fā)的惡意軟件可以在進(jìn)入受害者系統(tǒng)時(shí)不被發(fā)現(xiàn)。其中一個(gè)特征是可以用1個(gè)庫(kù)來(lái)編譯但是在不同的操作系統(tǒng)上仍然可以執(zhí)行。這對(duì)跨平臺(tái)的惡意軟件來(lái)說(shuō)是非常重要和有優(yōu)勢(shì)的。

用Go 語(yǔ)言開(kāi)發(fā)的惡意軟件的文件大小都比較大。這是因?yàn)镚o 語(yǔ)言的標(biāo)準(zhǔn)庫(kù)并沒(méi)有很好的模塊化，因此導(dǎo)入單個(gè)函數(shù)就會(huì)引入大量的代碼。這也可以幫助惡意軟件繞過(guò)系統(tǒng)的檢測(cè)，因?yàn)樵S多反病毒軟件可能不能或不會(huì)掃描太大的文件。而且研究人員也很難對(duì)大文件進(jìn)行靜態(tài)分析。

釋放器

Glupteba 攻擊中的主釋放器是通過(guò)安裝rootkit 組件來(lái)實(shí)現(xiàn)駐留的，rootkit組件會(huì)注入惡意代碼到svchost.exe 進(jìn)程中。該進(jìn)程會(huì)成為payload的下載器，因?yàn)镚lupteba 將payload 看作模塊，這也是一種隱藏惡意進(jìn)程的方法，即將惡意進(jìn)程偽裝成正常的進(jìn)程。

惡意軟件的模塊化的方法是通過(guò)釋放組件到系統(tǒng)中來(lái)實(shí)現(xiàn)的，這也可以避免被反病毒軟件檢測(cè)到。

因?yàn)獒尫牌魇褂昧薝PX 打包器打包，因此靜態(tài)分析并沒(méi)有發(fā)現(xiàn)太多東西。

圖 2. 打包的樣本

使用UPX 解壓器后發(fā)現(xiàn)樣本是用C++編譯的。

圖 3. 編譯器

解壓文件后表明樣本是用Go 語(yǔ)言編寫(xiě)的。

圖 4. Golang編譯的樣本代碼

樣本無(wú)法通過(guò)常見(jiàn)的工具來(lái)解壓。必須在調(diào)試器中打開(kāi)文件才可以看到其中的字符串。此外，一些惡意軟件分析攻擊嚴(yán)重依賴(lài)樣本中可讀的字符串來(lái)確定樣本是否是惡意的。這也是為什么惡意軟件作者使用打包器的另外一個(gè)原因。

圖 5. 表明惡意廣告payload的可疑字符串

樣本中的字符串表明在不同的平臺(tái)上使用了web瀏覽器。其中一個(gè)payload 中包含了惡意廣告擴(kuò)展的安裝。此外，web瀏覽器的安裝也不僅限于Windows 平臺(tái)，還包含Linux平臺(tái)、安卓平臺(tái)和iOS 平臺(tái)的web 瀏覽器。

圖 6. 與DoublePulsar 工具使用相關(guān)的字符串

惡意軟件代碼中提到的DoublePulsar 是Shadow Brokers 泄露的一個(gè)后門(mén)植入工具。該工具可以確保其他惡意代碼的執(zhí)行，并且一般是通過(guò)EternalBlue 漏洞利用來(lái)進(jìn)行傳播。

圖 7. 使用DoublePulsar 工具的shellcode 注入

擴(kuò)展安裝器payload

研究人員發(fā)現(xiàn)安裝在一些機(jī)器上的payload 是一個(gè)安裝的擴(kuò)展，這些擴(kuò)展通過(guò)執(zhí)行wcrx.exe 來(lái)安裝到系統(tǒng)中，wcrx.exe 是一個(gè)類(lèi)似釋放器的打包的文件。該文件會(huì)完成以下動(dòng)作：

· 在機(jī)器上安裝的web瀏覽器中添加名為chrome_filter 的瀏覽器擴(kuò)展；

圖 8. 安裝的擴(kuò)展

· 連接到hxxp://fffffk[.]xyz/down/m_inc[.]js?1589344811463 并替換來(lái)自瀏覽器擴(kuò)展的m_inc.js 文件。這是對(duì)每個(gè)訪問(wèn)的頁(yè)面都會(huì)執(zhí)行的內(nèi)容腳本。

Glupteba變種：跨平臺(tái)、模塊化惡意軟件分析

圖 9. JS 文件的URL

圖 10. m_inc.js的內(nèi)容

· 開(kāi)始rundll32.exe，然后查詢hxxp://info[.]d3pk[.]com/js_json 來(lái)尋找 JSON 列表，其中包含要注入到IE 瀏覽器的腳本。

圖 11. rundll32.exe 內(nèi)存字符串

研究人員進(jìn)一步分析發(fā)現(xiàn)，系統(tǒng)中的master_preferences 文件含有惡意文件的跡象，比如chrome AppID。 文件包含有用戶想要應(yīng)用到計(jì)算機(jī)Chrome 瀏覽器的設(shè)置。在該文件中安裝Chrome 擴(kuò)展是一種向 Chrome瀏覽器添加功能和特征的方式。

圖 12. master_preferences 的內(nèi)容

其中的內(nèi)容是一個(gè)Chrome AppID，這也是ManageX chrome 擴(kuò)展的IoC。ManageX使用一個(gè)Chrome 瀏覽器的擴(kuò)展來(lái)追蹤用戶瀏覽器的活動(dòng)并與C2 域名進(jìn)行通信。

漏洞利用

攻擊中的釋放器還包括使用初始的機(jī)器作為跳板，然后掃描內(nèi)網(wǎng)來(lái)尋找有漏洞的機(jī)器。然后啟動(dòng)EternalBlue 漏洞利用在網(wǎng)絡(luò)中傳播釋放器。

EternalBlue 漏洞利用是Microsoft SMBv1 中的安全漏洞（CVE-2017-0143 到 CVE-2017-0148），廣泛應(yīng)用于Windows 7、Windows Server 2008、Windows XP以及部分Windows 10系統(tǒng)中。這些樣本中的字符串表明了目標(biāo)Windows系統(tǒng)的版本、端口、架構(gòu)，與Microsoft SMBv1 使用的非常類(lèi)似。但是目前Microsoft SMBv1 都是被禁用或卸載了的。

圖 13. 未解壓的樣本中的字符串

圖 14. 未解壓的樣本中的字符串

微軟在2017年3月 就發(fā)布了這些漏洞的補(bǔ)丁，但是許多企業(yè)仍然沒(méi)有進(jìn)行修復(fù)。此外，還有許多惡意軟件作者使用EternalBlue 漏洞利用進(jìn)行加密貨幣挖礦等惡意活動(dòng)。

本文翻譯自：https://www.trendmicro.com/en_us/research/20/i/cross-platform-modular-glupteba-malware-uses-managex.html如若轉(zhuǎn)載，請(qǐng)注明原文地址：