譯者:知道創宇404實驗室翻譯組
原文鏈接:https://www.trendmicro.com/en_us/research/20/k/weaponizing-open-source-software-for-targeted-attacks.html
前言
由於採用了合法的非惡意軟件的外觀,木馬開源軟件隱蔽且有效的攻擊很難被發現。但通過仔細調查可發現其可疑行爲,從而暴露其惡意意圖。
開源軟件如何木馬化?我們如何檢測到它們?爲了回答這些問題,讓我們看一下最近的相關調查。
調查
我們發現一個名爲notepad.exe的文件。衆所周知,記事本是合法的應用程序。但某些黑客使用諸如notepad.exe之類的合法名稱進行僞裝以規避檢測。
notepad.exe文件是通過ntoskrnl.exe刪除的,它是Windows NT操作系統內核可執行文件的簡稱。這可以通過利用ntoskrnl.exe或通過網絡共享來完成。根據我們獲得的遙測數據分析,它很可能是後者。RCA表明,此惡意notepad.exe文件通過調用以下工具進行了可疑操作:
| 可執行文件 | 功能 |
|---|---|
| ipconfig.exe | 獲取Windows IP配置 |
| 可執行文件 | 枚舉域中的本地和全局組列出服務器和工作站服務的設置標識本地計算機和域中的所有共享命名用戶本地和域用戶帳戶 |
| 註冊表文件 | 將導入註冊表項/條目轉儲到文件中 |
| 系統信息 | 收集本地或遠程計算機的操作系統配置信息,包括Service Pack級別 |
| 任務列表 | 獲取本地或遠程計算機上當前正在運行的進程的列表 |
notepad.exe文件指向這些進程及其功能的鏈接表明,該文件是典型的後門程序,可從惡意遠程用戶獲取命令。notepad.exe的文件屬性中列出的詳細信息如下所示:
文件描述、產品名稱和原始文件名提到Notepad++是一種用作源代碼編輯器的開源軟件,文件的某些詳細信息是可疑的。例如,文件通常不被命名爲“notepad.exe”。4月份發佈的v7.8.6版本也已經過時了,截至撰寫本文時,最新版本是於11月初發布的v7.9.1。
執行有問題的文件將顯示以下內容:
該文件的用戶界面外觀和功能令人信服,類似於典型的合法Notepad++文件。初步外觀沒有發現任何可疑之處。但是就行爲而言,我們發現該示例執行了非惡意文件不會執行的操作:它在c:\ windows \ debug文件夾中搜索名爲config.dat的文件。由於上述文件在樣本代碼分析中顯示出來,因此這種行爲非常明顯。
代碼分析
反編譯此惡意Notepad++文件的代碼將顯示以下代碼:
下面顯示了從典型的非惡意Notepad++文件中提取的代碼片段:
這些代碼段具有許多相似之處,但惡意Notepad++文件具有其他代碼,這些代碼會加載加密的Blob文件(config.dat),該文件會解密該代碼並在內存中執行該代碼,以便它可以執行其後門例程。這使我們想起了例如PLUGX惡意軟件類型。
我們觀察到兩個使用相同加載器和不同負載的實例。其中一個有效負載被檢測爲TrojanSpy.Win32.LAZAGNE.B,另一個有效負載被檢測爲Ransom.Win32.EXX.YAAK-B(Defray勒索軟件)。調查還發現其他具有相同加載程序的Blob文件會導致不同的有效負載。
我們懷疑此事件中的文件的攻擊具有針對性。在初始計算機被感染後,通過管理員共享傳播惡意的notepad++和config.dat 變得很容易。
武器化開源軟件
由於與合法的 Notepad ++ 文件極爲相似,被分析的樣本很容易被誤認爲是非惡意文件。黑客通過對開放源代碼軟件進行木馬化來掩飾這種情況。因此任何人(包括黑客)都可以訪問其源代碼。
黑客可以尋找被廣泛使用的軟件開源代碼,並通過添加惡意代碼使其木馬化,這些惡意代碼可以執行諸如加載加密blob文件之類的功能。這意味着生成的文件的大多數二進制代碼且非惡意的,而惡意代碼只是加載文件,這種活動似乎不太可疑。此外,加密的Blob文件沒有文件頭,使反惡意軟件(包括基於AI / ML的解決方案和僅關注單個保護層的解決方案)難以檢測到。爲了阻止此類威脅,安全團隊的以下建議將很有幫助。
建議
用戶應從受信任的合法渠道下載文件、應用程序和軟件(例如開源軟件),以避免此類威脅。例如,Notepad ++用戶可以從其官方網站下載相關文件;企業可以創建並向其員工分發批准的下載站點列表;公司可以規定:經過IT團隊的批准,員工才能在辦公設備上安裝軟件。安全團隊建議驗證下載的二進制文件;使用Trend Micro™ XDR,它可以跨端點、電子郵件、雲工作負載和網絡收集並關聯數據,從而提供更好安全保障。
IOCs
| File name | SHA-256 | Trend Micro Pattern Detection | Trend Micro Machine Learning Detection |
|---|---|---|---|
| notepad.exe (malicious, non-legitimate file named as such) | bacc02fd23c4f95da0fbc5c490b1278d327fea0878734ea9a55f108ef9f4312e | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| config.dat | 64ba94000e2815898fb17e93deaa44ac0e1b4c55316af727b908dfe74c3b7ef6 | Trojan.Win32.VATET.ENC | N/A |
| config.dat | 33234dc94d926f1fc2831f40e27080739b415d485aa457d14a83617a3996089b | Trojan.Win32.VATET.ENC | N/A |
| release.exe | 09c99e37121722dd45a2c19ff248ecfe2b9f1e082381cc73446e0f4f82e0c468 | TrojanSpy.Win32.LAZAGNE.B | Troj.Win32.TRX.XXPE50FFF038 |
| virus2.dll | 1c3331b87dc55a8cc491846f2609d6226f66eb372716df349567ed619dd1b731 | Ransom.Win32.EXX.YAAK-B | Troj.Win32.TRX.XXPE50FFF038 |
Hashs
| SHA-256 | Trend Micro Patten Detection | Trend Micro Machine Learning Detection |
|---|---|---|
| 0b42bf15b77cfe9f9e693f2776691647e78a91be27f5bdb8d1a366be510a773f | Trojan.Win32.VATET.A | Troj.Win32.TRX.XXPE50FFF038 |
| 10c4067908181cebb72202d92ff7a054b19ef3aada939bf76178e35be9506525 | Trojan.Win32.VATET.A | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| 19938becb018e3459b49381c7efffabbe44a6450362b769ba85a3f1240b068d0 | Trojan.Win32.VATET.A | Troj.Win32.TRX.XXPE50FFF038 |
| 2f149a79f721bb78eb956f70183b531fb6a1b233ceb4a3d6385759a0b0c16fd3 | Trojan.Win32.VATET.SM | Troj.Win32.TRX.XXPE50FFF038 |
| 37e8d3ae4c34441b30098d7711df8ef0bcc12c395f265106b825221744b956bc | Trojan.Win32.VATET.A | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| 382d9bf5da142d44de5fda544de4fffe2915a3ffc67964b993f3c051aa8c2989 | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| 42f5f1b08c9cee876bafdb6dc4188e8e29d26a07951e1083e08e2a4b0cb6d0ff | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 (GENERIC: Hit Bad Auto Shield) |
| 4421720e0321ac8b3820f8178eb8a5ff684388438b62c85f93df9743a1d9fdb9 | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| 4fb94877cc150f591e5b61dc5641f33e93e67ae1912c2e122e7ef2a236046f1a | Trojan.Win32.VATET.A | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| 52d3ebe824ad60a939d64e73336e790884e3674b2d22dbe6e3c6b22061124161 | Trojan.Win32.VATET.SM | n/a |
| 57eea67e3eebde707c3fb3473a858e7f895ae12aad37cc664f9c0512c0382e6a | Trojan.Win32.VATET.SM | Troj.Win32.TRX.XXPE50FFF038 |
| 6ac07424e5c9b87d76645aa041772ac8af12e30dc670be8adf1cf9f48e32944b | Backdoor.Win32.VATET.CFH | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| bacc02fd23c4f95da0fbc5c490b1278d327fea0878734ea9a55f108ef9f4312e | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| ea6c3b993d830319b08871945cf2726dd6d8e62e8fed8fc42bcb053c38c78748 | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| e5ce1c1b69bd12640c604971be311f9544adb3797df15199bd754d3aefe0a955 | Trojan.Win32.VATET.A | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| ef7e21d874a387f07a9f74f01f2779a280ff06dff3dae0d41906d21e02f9c975 | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 |
| f0a25444cf58b61ff6cdd86ff1cfa53a51ad426817a33bd0e098f4f0ff286f22 | Trojan.Win32.VATET.SM | BKDR.Win32.TRX.XXPE50FFF038E0002 |
本文由 Seebug Paper 發佈,如需轉載請註明來源。本文地址:https://paper.seebug.org/1429/