伪装成侵犯版权的下载器恶意软件(MDS 产品检测)

2023年 9月 21日 79.1k 0

8 月 28 日,AhnLab 安全应急响应中心 (ASEC) 确认,伪装成侵犯版权的下载器恶意软件已分发给韩国境内不明人数的人。分布式恶意软件包含检测虚拟环境的代码,以避免基于沙箱的安全解决方案检测到,并且是一种下载名为 MainBot 的恶意软件的 .NET 恶意软件。根据该公司的 AhnLab 智能防御 (ASD) 基础设施和 VirusTotal 收集的文件信息,该病毒据信分布在韩国和台湾。

发现的恶意代码包含带有版权相关内容的文件名,并将文件图标伪装成PDF,导致用户将恶意代码误认为是PDF文档。

[图1]恶意代码使用的PDF图标图像

【C&C通讯方式】

该恶意软件从攻击者的 Google 共享文档页面接收基本配置信息,例如 Telegram 令牌、聊天 ID 和 MainBot 下载地址。

[图2]利用Google Docs共享文档的恶意代码配置存储代码

【图3】BASE64编码的Google Docs共享文档地址

BASE64解码网址:

hxxps://docs.google.com/document/export?format=txt&id=10bTqbc6WMebYNQEZy86Uy_3YnIynx3VNnFD-wF1EH6E&includes_info_params=true&usp=sharing&cros_files=false&inspectorResult=%7B%22pc%22%3A1%2C%22lplc%22%3A12%7D&showMarkups=true 

*id 是攻击者存储配置信息的 Google 文档的唯一 ID。

如图2所示,解析攻击者的共享文档页面,获取攻击者的Telegram服务器信息,然后根据收到的消息向受感染PC下发MainBot安装、执行、更改文件名、关闭命令。在分析时,MainBot 并未受到保护。

[反虚拟机]

该恶意软件有六个条件来检查虚拟环境,以避免被基于沙箱的恶意软件检测解决方案设备检测到。

1、检查运行环境是否有0杀毒软件。

2、执行“SELECT * FROM WmiMonitorBasicDisplayParams”WMI查询,检查计算机上所有显示器的基本显示参数信息是否为0(检查显示器是否物理连接)

3、使用Win32_Keyboard WMI类检查USB键盘信息是否存在(检查键盘是否物理连接到USB)

4、检查RAM是否小于4GB

5、检查磁盘容量是否小于128GB

6、检查HKLMSOFTWAREWOW6432NodeClientsStartMenuInternet是否没有子项,或者只有“IEXPLORE.EXE”或“Microsoft Edge”存在。

【图4】虚拟环境检查代码

如果满足六个条件中的三个或更多,则被识别为虚拟环境,恶意软件将以下字符串传递到攻击者的 Telegram 服务器,并每 5 秒调用主机上的 Sleep 函数,执行 [HWID]-SKIP来自攻击者服务器的 VM 命令。无限期等待直至收到。

【图5】-SKIP VM命令每5秒检查一次代码

[检测虚拟机时传递到 Telegram 服务器的字符串]

之后,当通过 Telegram 服务器收到 [HWID]-SKIP VM 字符串时,MainBot 将被下载并安装在 PC 上。

【MDS产品检测】

AhnLab MDS 在沙箱环境中检测到此类恶意代码,诊断名称为“Execution/MDP.Event.M11291”。

[图6]使用AhnLab MDS的恶意代码检测屏幕(1)

[图7]使用AhnLab MDS的恶意代码检测屏幕(2)

最近,攻击者不仅在恶意软件中添加反虚拟机技术来逃避安全产品的检测,而且利用Telegram、Google Docs等普通服务器进行此类命令控制的案例也越来越多。由于它与普通服务器通信并执行命令操作,因此即使在网络解决方案中也很难检测到。因此,除了网络解决方案和APT解决方案外,安全人员还必须通过EDR产品监控端点发生的异常行为,以防止企业安全事件的发生。

[IOC]

[MD5]

- 411f04a6b60d02072a67a7bbddf9b752
- 187ce0c69ae10fcc93e546e02a4c9bb9

[文件检测]

– Trojan/Win.Agent.C5478091 (2023.08.29.02)
– Malware/Win.Generic.C5479395 (2023.09.01.00)

[行为检测]

– Execution/MDP.Event.M11291

转载来源:https://asec.ahnlab.com/ko/56843/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论