跟踪通过垃圾邮件分发的无文件恶意软件

2023年 9月 21日 43.3k 0

AhnLab 安全紧急响应中心 (ASEC) 发现了一种通过垃圾邮件进行的无文件网络钓鱼活动,该活动会执行 PE 文件 (EXE),而不在用户的 PC 上创建它。附加hta扩展名的恶意代码最终会执行AgentTesla、Remcos、LimeRAT等恶意代码。该博客解释了从垃圾邮件到最终二进制文件的操作流程和相关技术。

[图1]是传播恶意软件的垃圾邮件的文本。它被伪装成银行转账通知进行分发,所附ISO镜像文件中包含伪装成转账通知的脚本文件(.hta),如图2所示。hta 文件是一种脚本文件,在执行时由 Windows 应用程序 mshta.exe 驱动。

[图1]钓鱼邮件正文

[图2] 所附iso文件中的恶意脚本(.hta)

[图3]是我公司在执行恶意hta文件时的EDR检测图。[图 4] 是一个 EDR 检测屏幕,其中包含恶意 hta 文件的执行痕迹。通过该图,可以看到可疑进程树从mshta.exe进程依次运行到cmd.exe、powershell.exe、RegAsm.exe。

[图3] hta文件执行轨迹

[图4]是mshta.exe执行的Powershell命令。通过Powershell脚本解析,可以看到代码向服务器请求字符串数据(DownloadString),加载解码后的数据(FromBase64string)(CurrentDomain.Load),并调用特定函数('VAI')。此技术对应于无文件技术,即在 Powershell.exe 内存中执行二进制文件,而不创建 PE 文件。

[图4] mshta.exe执行的Powershell脚本(有效负载下载和内存加载函数)

[图4]mshta.exe执行的Powershell脚本(有效负载下载和内存加载函数)[图5]是Powershell脚本向C2请求并通过浏览器确认的数据。通过Powershell脚本确认,Base64解码后数据被确认为PE文件(DLL)。

[图5] 从C2下载的数据(编码DLL)

[图5]从C2下载的数据(编码DLL)[图6] 是解码的 DLL 的一个函数,它从 C2 下载最终的二进制文件并将其注入到 RegAsm.exe(一个正常的 Windows 进程)中。因此,最终的恶意代码是从RegAsm.exe执行的。[图8]是一个EDR屏幕,显示Powershell.exe通过DLL函数注入RegAsm.exe。CYBLE 博客提到,Remcos、AgentTesla、LimeRAT 等最终二进制文件都是从网络钓鱼活动中下载的。

[图6] 解码后的DLL函数(最终二进制下载和注入)

[图7] powershell.exe执行注入Regasm.exe

上文利用EDR增量数据说明了通过垃圾邮件传播的文件租赁技术的恶意代码的传播方式。攻击者巧妙地伪装并散布银行转账通知,不将PE生成为文件,而是在Powershell.exe的内存中运行,因此可能很难检测和应对签名。打开附件时,始终要注意恶意代码是否存在可执行扩展名,并需要使用安全产品进行监控,以了解和控制来自攻击者的访问。

IOC

行为检测

连接/EDR.Behavior.M2650
执行/MDP.Powershell.M10668

文件检测

Downloader/Script.Generic
Trojan/Win,Generic.R526355

URL & C2

hxxps[:][/][/]cdn[.]pixelbin[.]io[/]v2[/]red-wildflower-1b0af4[/]original[/]hta[.]txt
hxxp[:][/][/]195[.]178[.]120[.]24[/]investorbase64[.]txt

MD5

43e75fb2283765ebacf10135f598e98c (.hta)
540d3bc5982322843934504ad584f370 (.dll)

转载来源:https://asec.ahnlab.com/ko/56438/

图片来源网络侵权可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论