德國(guó)用戶受Gootkit及REvil惡意軟件威脅

作者：gejigeji 2020-12-11 10:04:58

早在11月23日，研究人員就收到了一位合作伙伴發(fā)出的關(guān)于德國(guó)Gootkit攻擊復(fù)發(fā)的警報(bào)。

早在11月23日，研究人員就收到了一位合作伙伴發(fā)出的關(guān)于德國(guó)Gootkit攻擊復(fù)發(fā)的警報(bào)。 Gootkit是一個(gè)功能強(qiáng)大的銀行木馬，自2014年起就存在了，并且具有許多功能，例如旨在竊取與財(cái)務(wù)相關(guān)的信息的按鍵或視頻記錄。

在最新的活動(dòng)中，攻擊者通過(guò)使用誘餌論壇模板來(lái)誘騙用戶下載惡意文件，從而依靠受到攻擊的網(wǎng)站對(duì)用戶進(jìn)行社交工程。

在分析復(fù)雜的惡意軟件加載程序時(shí)，研究人員找到了一個(gè)令人驚訝的發(fā)現(xiàn)。受害者會(huì)收到Gootkit本身，或者在某些情況下會(huì)收到REvil(Sodinokibi)勒索軟件。在對(duì)犯罪基礎(chǔ)設(shè)施進(jìn)行檢查之后，決定是否提供一個(gè)有效載荷。

在德國(guó)觀察到的Gootkit攻擊樣本

安全研究人員TheAnalyst于11月首次公開(kāi)使用復(fù)雜的加載程序公開(kāi)識(shí)別一個(gè)活躍的Gootkit攻擊樣本，該加載程序最終將幕后的主使者指向了Gootkit，此前Gootkit已經(jīng)沉寂了好長(zhǎng)一段時(shí)間了。德國(guó)的計(jì)算機(jī)緊急響應(yīng)小組DFN-CERT后來(lái)證實(shí)，受到攻擊的網(wǎng)站已成為此次攻擊的目標(biāo)。

大約在同一時(shí)間，研究人員開(kāi)始從一些合作伙伴及其ISP收到有關(guān)Gootkit相關(guān)流量的報(bào)告。研究人員能夠在遙測(cè)范圍內(nèi)確認(rèn)所有位于德國(guó)的Gootkit檢測(cè)。

德國(guó)的Gootkit攻擊情況

幾天后，研究人員修復(fù)了600多臺(tái)遭到破壞的計(jì)算機(jī)。

網(wǎng)站上的虛假論壇模板

初始加載程序通過(guò)被黑客攻擊的網(wǎng)站傳播，使用一種有趣的搜索引擎優(yōu)化(SEO)技術(shù)定制虛假模板，試圖欺騙用戶下載文件。

該模板模仿一個(gè)論壇主題，在該主題中，用戶以德語(yǔ)詢問(wèn)有關(guān)特定主題的幫助，并收到一個(gè)答案，該答案似乎正是他們所尋找的。值得注意的是，托管此模板的被黑網(wǎng)站不是德語(yǔ)(只有模板);它們只是很容易受到攻擊，并被用作攻擊基礎(chǔ)設(shè)施的一部分。

受攻擊網(wǎng)站會(huì)加載誘餌模板來(lái)欺騙受害者

如果正確的受害者瀏覽了受攻擊的網(wǎng)站，則攻擊者會(huì)有條件地動(dòng)態(tài)創(chuàng)建此虛假的論壇帖子。腳本從DOM中刪除合法的網(wǎng)頁(yè)內(nèi)容，并添加自己的內(nèi)容(該模板顯示指向要下載的文件的鏈接)。

誘餌模板后面的HTML代碼視圖

每次訪問(wèn)頁(yè)面之前，都要進(jìn)行服務(wù)器端檢查，以確定是否已經(jīng)向用戶提供了假模板，在這種情況下，Web服務(wù)器將返回合法內(nèi)容。

無(wú)文件執(zhí)行和模塊安裝

一旦受害者執(zhí)行了他們剛剛下載的zip存檔中的惡意腳本，攻擊過(guò)程就開(kāi)始了。

嚴(yán)重模糊處理的惡意腳本

此腳本是導(dǎo)致執(zhí)行最終有效載荷的幾個(gè)階段中的第一個(gè)階段。下圖就是一個(gè)綜述：

攻擊流程

階段1：第一個(gè)JavaScript

第一個(gè)JavaScript模塊必須由受害者手動(dòng)執(zhí)行的，為了隱藏其真實(shí)意圖，它被模糊處理了。模糊處理由三層組成，上一層解碼下一層的內(nèi)容。

第一階段就是對(duì)下一個(gè)元素進(jìn)行解碼：

第一階段腳本

解碼后的輸出是一個(gè)逗號(hào)分隔的JavaScript塊數(shù)組：

用逗號(hào)分隔的腳本數(shù)組

數(shù)組中有四個(gè)元素由它們的索引引用，例如，索引為0的元素表示“構(gòu)造函數(shù)”，1是另一個(gè)JavaScript代碼塊，2是空的，3是導(dǎo)致調(diào)用提供代碼的包裝器。

塊1負(fù)責(zé)讀取/寫入“HKEY_CURRENT_USER\SOFTWARE\

第三層JavaScript

此代碼段負(fù)責(zé)連接到C2，它從列表中獲取域，并逐個(gè)嘗試它們。如果得到響應(yīng)，它將繼續(xù)運(yùn)行。

上面的下載器腳本是加載過(guò)程的第一階段，在功能方面，它在所有被刪除的文件中幾乎是相同的。變體之間的區(qū)別將從下一部分開(kāi)始，下一部分是從C2服務(wù)器獲取的另一個(gè)JavaScript。

階段2：第二個(gè)JavaScript(從C2下載)

服務(wù)器的預(yù)期響應(yīng)是一個(gè)十進(jìn)制字符串，其中包含用于驗(yàn)證的偽隨機(jī)標(biāo)記，需要在進(jìn)一步處理之前將其移除，標(biāo)記由 “@[request argument]@”組成。

使用C2服務(wù)器的GET請(qǐng)求

轉(zhuǎn)換為ASCII后，將顯示下一個(gè)JavaScript，并執(zhí)行代碼。該JavaScript帶有嵌入式PE有效載荷，該載荷可能是Gootkit的加載程序，也可能是REvil勒索軟件的加載程序。用于去模糊化的算法也存在一些差異。

Gootkit變體示例

下載的JavaScript

下載的代碼塊負(fù)責(zé)安裝持久性攻擊元素，它還運(yùn)行一個(gè)Powershell腳本，該腳本讀取存儲(chǔ)，對(duì)其進(jìn)行解碼并進(jìn)一步運(yùn)行。

階段3：存儲(chǔ)的有效載荷和解碼Powershell

開(kāi)發(fā)者還多樣化了編碼和存儲(chǔ)有效載荷的方法，在研究人員的測(cè)試中，他們觀察到了兩種編碼方式。在其中一種格式中，PE存儲(chǔ)為Base64編碼的字符串，而在另一種格式中存儲(chǔ)為十六進(jìn)制字符串，通過(guò)用模式替換特定的數(shù)字來(lái)模糊處理。

有效載荷通常存儲(chǔ)為注冊(cè)表項(xiàng)列表，但是研究人員還觀察到了一種變體，其中類似的內(nèi)容被寫入TXT文件中。

存儲(chǔ)在文件中的有效載荷示例：

有效載荷作為磁盤上的文件

該文件的內(nèi)容是一個(gè)模糊處理的Powershell腳本，該腳本運(yùn)行另一個(gè)Base64模糊處理的層，該層最終對(duì).NET有效內(nèi)容進(jìn)行解碼。

用于對(duì)文件進(jìn)行模糊處理的Powershell腳本示例：

"C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe" -ExecutionPolicy Bypass -windowstyle hidden -Command "IEX (([System.IO.File]::ReadAllText('C:\Users\[username]\bkquwxd.txt')).Replace('~',''));"

下面研究人員將研究加載程序的兩個(gè)示例：一個(gè)導(dǎo)致執(zhí)行REvil勒索軟件，另一個(gè)導(dǎo)致執(zhí)行Gootkit。

示例1：加載REvil勒索軟件

下面的示例顯示了將PE文件編碼為模糊處理的十六進(jìn)制字符串的變體，在分析的案例中，整個(gè)流程導(dǎo)致了REvil勒索軟件的執(zhí)行。

執(zhí)行第二階段JavaScript將導(dǎo)致有效載荷以密鑰列表的形式寫入注冊(cè)表。內(nèi)容被編碼為十六進(jìn)制，并略微模糊處理。

存儲(chǔ)在注冊(cè)表中的有效載荷片段，編碼為使用模式模糊處理的十六進(jìn)制字符串

編寫密鑰后，JavaScript會(huì)部署一個(gè)PowerShell命令，該命令負(fù)責(zé)解碼和運(yùn)行存儲(chǔ)的內(nèi)容。

JS組件使用Base64編碼腳本部署PowerShell

腳本的解碼內(nèi)容：

解碼后的內(nèi)容

它從注冊(cè)表項(xiàng)中讀取內(nèi)容，并通過(guò)替換模式來(lái)對(duì)其進(jìn)行模糊處理。在給定的示例中，將十六進(jìn)制字符串中的模式 “!@#” 替換為“1000”，然后在.NET Reflection的幫助下對(duì)PE進(jìn)行解碼和加載。

下一階段的PE文件(.NET)：

REvil加載程序：(0e451125eaebac5760c2f3f24cc8112345013597fb6d1b7b1c167001b17d3f9f)

.NET加載程序帶有一個(gè)硬編碼的字符串，該字符串是下一階段的PE：最終的惡意載荷。 PowerShell腳本調(diào)用的Setup函數(shù)負(fù)責(zé)解碼和運(yùn)行下一個(gè)PE：

硬編碼字符串(PE)

部署有效載荷

加載程序借助Process Hollowing法(PE注入的經(jīng)典方法之一)進(jìn)入下一階段。

REvil贖金記錄

示例2：加載Gootkit

在另一個(gè)常見(jiàn)變體中，有效載荷另存為Base64。注冊(cè)表項(xiàng)以以下格式組成一個(gè)PowerShell腳本：

$Command =[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String("[content]")); Invoke-Expression $Command;Start-Sleep -s 22222;

存儲(chǔ)有效載荷的注冊(cè)表項(xiàng)

解碼base64編碼的內(nèi)容后，研究人員得到另一個(gè)PowerShell腳本：

更多的PowerShell

它還附帶了另一個(gè)base64編碼的片段，該片段在Reflection Assembly的幫助下進(jìn)一步解壓縮和加載。它是.NET二進(jìn)制文件，與上一個(gè)類似。

Gootkit加載程序：(973d0318f9d9aec575db054ac9a99d96ff34121473165b10dfba60552a8beed4)

該腳本從.NET模塊調(diào)用函數(shù)“Install1”。此函數(shù)加載另一個(gè)PE，該P(yáng)E作為base64編碼的緩沖區(qū)嵌入其中：

另一個(gè)緩沖區(qū)

部署有效載荷

這次，加載程序使用另一種PE注入方法，即手動(dòng)加載到父進(jìn)程中。

顯示的有效載荷是Gootkit的第一階段二進(jìn)制文件：60aef1b657e6c701f88fc1af6f56f93727a8f4af2d1001ddfa23e016258e333f。該P(yáng)E用Delphi編寫。在其資源中，研究人員可以找到另一個(gè)PE(327916a876fa7541f8a1aad3c2270c2aec913bc8898273d545dc37a85ef7307f)，該文件已通過(guò)XOR進(jìn)行了單字節(jié)模糊處理，它被第一個(gè)文件進(jìn)一步加載。

總結(jié)

此活動(dòng)背后的攻擊者使用了非常聰明的加載程序，就像是俄羅斯套娃一樣。該加載程序執(zhí)行了許多步驟來(lái)逃避檢測(cè)。鑒于有效載荷是使用隨機(jī)命名的密鑰存儲(chǔ)在注冊(cè)表中的，因此許多安全產(chǎn)品將無(wú)法檢測(cè)到并刪除它。

但是，在某些情況下該加載程序會(huì)負(fù)責(zé)下載REvil勒索軟件。研究人員曾經(jīng)能夠在實(shí)驗(yàn)室中重現(xiàn)此流程，但大多數(shù)時(shí)候研究人員都發(fā)現(xiàn)的是Gootkit。

REvil組織對(duì)新成員有非常嚴(yán)格的規(guī)定，他們必須通過(guò)測(cè)試并必須為俄羅斯人。在研究人員收集到的REvil樣本中，他們注意到的一件事是，贖金記錄仍指向cryptoror.top而不是cryptoror.cc，這表明這可能是一個(gè)較舊的樣本。

銀行木馬是一種與勒索軟件截然不同的商業(yè)模式。勒索軟件在過(guò)去幾年中蓬勃發(fā)展，部分得益于知名受害者的巨額贖金。研究人員已經(jīng)看到，銀行惡意軟件(即Emotet)變成了勒索軟件的加載程序，在這些加載程序中，不同的攻擊者可以專門研究其最擅長(zhǎng)的領(lǐng)域。時(shí)間會(huì)告訴我們Gootkit的回歸到底意味著什么，以及它將如何發(fā)展。

檢測(cè)與保護(hù)

Malwarebytes通過(guò)不同的保護(hù)層來(lái)防止、檢測(cè)和刪除Gootkit和REvil。當(dāng)研究人員收集到了攻擊指標(biāo)后，就能夠阻止傳播網(wǎng)站，使用戶不下載初始加載程序。

當(dāng)JavaScript通過(guò)WinRar或7-Zip等壓縮文件應(yīng)用打開(kāi)時(shí)，研究人員基于行為的反利用層也可以阻止惡意加載程序，而不會(huì)產(chǎn)生任何簽名。