8 月 28 日,AhnLab 安全应急响应中心 (ASEC) 确认,伪装成侵犯版权的下载器恶意软件已分发给韩国境内不明人数的人。分布式恶意软件包含检测虚拟环境的代码,以避免基于沙箱的安全解决方案检测到,并且是一种下载名为 MainBot 的恶意软件的 .NET 恶意软件。根据该公司的 AhnLab 智能防御 (ASD) 基础设施和 VirusTotal 收集的文件信息,该病毒据信分布在韩国和台湾。
发现的恶意代码包含带有版权相关内容的文件名,并将文件图标伪装成PDF,导致用户将恶意代码误认为是PDF文档。
[图1]恶意代码使用的PDF图标图像
【C&C通讯方式】
该恶意软件从攻击者的 Google 共享文档页面接收基本配置信息,例如 Telegram 令牌、聊天 ID 和 MainBot 下载地址。
[图2]利用Google Docs共享文档的恶意代码配置存储代码
【图3】BASE64编码的Google Docs共享文档地址
BASE64解码网址:
hxxps://docs.google.com/document/export?format=txt&id=10bTqbc6WMebYNQEZy86Uy_3YnIynx3VNnFD-wF1EH6E&includes_info_params=true&usp=sharing&cros_files=false&inspectorResult=%7B%22pc%22%3A1%2C%22lplc%22%3A12%7D&showMarkups=true *id 是攻击者存储配置信息的 Google 文档的唯一 ID。
如图2所示,解析攻击者的共享文档页面,获取攻击者的Telegram服务器信息,然后根据收到的消息向受感染PC下发MainBot安装、执行、更改文件名、关闭命令。在分析时,MainBot 并未受到保护。
[反虚拟机]
该恶意软件有六个条件来检查虚拟环境,以避免被基于沙箱的恶意软件检测解决方案设备检测到。
1、检查运行环境是否有0杀毒软件。
2、执行“SELECT * FROM WmiMonitorBasicDisplayParams”WMI查询,检查计算机上所有显示器的基本显示参数信息是否为0(检查显示器是否物理连接)
3、使用Win32_Keyboard WMI类检查USB键盘信息是否存在(检查键盘是否物理连接到USB)
4、检查RAM是否小于4GB
5、检查磁盘容量是否小于128GB
6、检查HKLMSOFTWAREWOW6432NodeClientsStartMenuInternet是否没有子项,或者只有“IEXPLORE.EXE”或“Microsoft Edge”存在。
【图4】虚拟环境检查代码
如果满足六个条件中的三个或更多,则被识别为虚拟环境,恶意软件将以下字符串传递到攻击者的 Telegram 服务器,并每 5 秒调用主机上的 Sleep 函数,执行 [HWID]-SKIP来自攻击者服务器的 VM 命令。无限期等待直至收到。
【图5】-SKIP VM命令每5秒检查一次代码
[检测虚拟机时传递到 Telegram 服务器的字符串]
之后,当通过 Telegram 服务器收到 [HWID]-SKIP VM 字符串时,MainBot 将被下载并安装在 PC 上。
【MDS产品检测】
AhnLab MDS 在沙箱环境中检测到此类恶意代码,诊断名称为“Execution/MDP.Event.M11291”。
[图6]使用AhnLab MDS的恶意代码检测屏幕(1)
[图7]使用AhnLab MDS的恶意代码检测屏幕(2)
最近,攻击者不仅在恶意软件中添加反虚拟机技术来逃避安全产品的检测,而且利用Telegram、Google Docs等普通服务器进行此类命令控制的案例也越来越多。由于它与普通服务器通信并执行命令操作,因此即使在网络解决方案中也很难检测到。因此,除了网络解决方案和APT解决方案外,安全人员还必须通过EDR产品监控端点发生的异常行为,以防止企业安全事件的发生。
[IOC]
[MD5]
- 411f04a6b60d02072a67a7bbddf9b752
- 187ce0c69ae10fcc93e546e02a4c9bb9[文件检测]
– Trojan/Win.Agent.C5478091 (2023.08.29.02)
– Malware/Win.Generic.C5479395 (2023.09.01.00)[行为检测]
– Execution/MDP.Event.M11291转载来源:https://asec.ahnlab.com/ko/56843/
图片来源网络侵权可联系删除
