0x00 背景

BLADABINDI还有另一个广为人知的名称:njRAT/Njw0rm,这是一款远程访问工具(RAT),具有各种后门功能,比如键盘记录、分布式拒绝服务(DDoS)攻击等等。从首次现身以来,各种网络间谍活动就在不断修改和重用这一款恶意软件。事实上,由于BLADABINDI高度可定制,并且在地下市场上随处可见,因此这已经成为覆盖范围较广的安全威胁。上周我们就遇到了一款蠕虫(趋势科技将其标识为Worm.Win32.BLADABINDI.AA),可以通过可移动驱动器传播,安装无文件版的BLADABINDI后门。

虽然我们尚未澄清恶意文件最初如何被投递到目标系统,但通过其传播方式,我们知道该恶意软件可以通过可移动驱动器进入目标系统。作为一种灵活且易于使用的脚本语言,我们也能在这个BLADABINDI样本中看到AutoIt的身影。BLADABINDI使用了AutoItFileInstall命令),将攻击载荷及主脚本编译成一个单独的可执行文件,使安防产品难以检测到攻击载荷(后门)。

图1. 使用AutoIt编译成的可执行文件的典型特征(高亮区域)

0x01 技术分析

我们使用AutoIt脚本反编译器来分解可执行文件关联的AutoIt脚本,发现该脚本主函数首先会删除目标系统%TEMP%目录中以Tr.exe命名的任何文件,以便安装自己的Tr.exe载荷。结束使用该名称运行的进程后,恶意软件会执行释放出来的攻击载荷,也会在同一个目录中释放自身的另一个副本。为了在系统中持久驻留,恶意软件会在%STARTUP%目录中添加一个快捷方式。

为了便于传播,恶意软件会搜索被感染系统中的可移动驱动器,在这些驱动器上安装一个隐藏的副本,还会释放一个快捷方式文件(.LNK文件),创建一个sss目录,将可移动驱动器根目录中的所有文件移动到该目录中。

图2. 反编译代码片段

图3. 使用AutoIt的FileInstall命令将AutoIt脚本封装到文件中,并在脚本执行时加载该文件

图4&5. 添加快捷方式(上图),通过可移动驱动器传播恶意软件(下图)

释放出来的Tr.exe实际上是另一个经过AutoIt编译的可执行脚本文件(Trojan.Win32.BLADABINDI.AA)。反编译该文件后,我们可知该文件中包含经过base64编码的另一个可执行文件,会在注册表的HKEY_CURRENT_USER\Software路径中插入名为Valuex的一个表项。

在本地持久化方面,恶意软件会在注册表的自启动路径(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run)中插入名为AdobeMX的一个表项,在启动时运行PowerShell,通过反射加载方式(从内存中加载可执行文件)来加载经过编码的可执行文件。

由于可执行文件会从注册表中直接加载到PowerShell内存中,因此我们从特定内存地址导出了该文件。我们发现这是使用.NET编译的可执行文件,经过商用代码保护软件混淆处理过。

图6. PowerShell加载经过编码处理的可执行文件

0x02 BLADABINDI/njRAT载荷

BLADABINDI后门变种使用water-boom[.]duckdns[.]org(1177端口)作为命令控制(C&C)服务器地址。与之前版本的BLADABINDI一样,无文件版变种也会在C&C URL中使用动态DNS。通过这种方法,攻击者有可能隐藏服务器的真实IP地址,或者可以根据需求修改/更新服务器地址。

恶意软件从C&C服务器下载的所有文件都会存放到%TEMP%目录中。恶意软件在互斥锁(mutex)和注册表中使用了同一个字符串(5cd8f17f4086744065eb0992a09e05a2),同时使用tcpClient_0变量的值作为HTTP服务器地址,用来接收恶意软件从被感染计算机中盗取的所有信息。然而,由于该变量的值为null,因此窃取的所有信息会发送到同一个C&C服务器。

后门运行时会创建一个防火墙策略,将PowerShell进程添加到防火墙的允许列表中。BLADABINDI支持的后门功能如图9所示,其中包括键盘记录、接收并运行可执行文件、窃取浏览器凭据等。

图7&8. BLADABINDI变种配置数据(上图),创建防火墙策略将PowerShell添加到允许程序列表中(下图)

图9. BLADABINDI变种支持的后门功能

0x03 缓解措施

这款蠕虫的攻击载荷、传播方式以及所使用的问文件后门技术使其成为一个重大威胁。用户以及商务环境如果还在使用可移动介质,应该保持安全环境,限制并防护可移动媒介、USB功能或PowerShell等工具的使用场景(特别是在具有敏感数据的系统上),并主动监控网关、端点、网络和服务器,查看异常行为和特征,比如C&C通信和信息泄露特征等。

用户和企业还可以使用趋势科技端点解决方案(如Trend Micro™ SecurityOfficeScanWorry-Free Business Security),这些产品都包含行为监控功能,可以检测无文件恶意软件攻击。 这些解决方案可以帮助各个单位定位可疑行为,在恶意软件被执行时或执行之前阻止攻击行为。OfficeScan中包含一个设备控制功能,可以防止用户访问USB和光驱,阻止本文中分析的类似攻击。 具备XGen™端点安全功能的Trend MicroOfficeScan™将高保真机器学习与其他检测技术和全球威胁情报融合在一起,可疑全面防范高级恶意软件。

0x04 IoC

样本哈希(SHA-256):

c46a631f0bc82d8c2d46e9d8634cc50242987fa7749cac097439298d1d0c1d6e —Worm.Win32.BLADABINDI.AA
25bc108a683d25a77efcac89b45f0478d9ddd281a9a2fb1f55fc6992a93aa830 — Win32.BLADABINDI.AA

恶意URL:

water[-]boom[.]duckdns[.]org

原文链接:https://blog.trendmicro.com/trendlabs-security-intelligence/autoit-compiled-worm-affecting-removable-media-delivers-fileless-version-of-bladabindi-njrat-backdoor/

源链接

Hacking more

...