犯罪软件世界正在发生什么:Emotet、DarkGate 和 LokiBot

2023年 9月 27日 40.5k 0

介绍

恶意软件领域不断发展。新的家庭诞生,而另一些家庭则消失。有些家庭是短暂的,而另一些家庭则可以长期活跃。为了跟踪这一演变,我们既依赖我们检测到的样本,也依赖我们的监控工作,其中包括僵尸网络和地下论坛。

在此过程中,我们发现了新的Emotet样本、一个名为“DarkGate”的新加载程序以及一个新的LokiBot 信息窃取活动。

DarkGate

2023 年 6 月,一位知名恶意软件开发者在一个热门暗网论坛上发布了一则广告,吹嘘自己开发了一款加载程序,该加载程序自 2017 年以来已投入工作超过 20,000 小时。其中一些主要功能超出了典型的功能下载器功能,据称包括以下内容:

  • 隐藏的 VNC
  • Windows Defender 排除
  • 浏览器历史记录窃取者
  • 反向代理
  • 文件管理器
  • Discord 待币窃取者

我们的私人报告中提供了所宣传功能的完整列表。

我们获得的示例缺少其中一些功能,但这并不意味着什么,因为它们无论如何都会在构建器中启用或禁用。然而,我们能够重建由四个阶段组成的感染链,一直到加载最终的有效负载:DarkGate 本身。

  • VBS 下载器脚本:该脚本相当简单。它设置几个环境变量来混淆后续命令调用。然后从 C2 下载两个文件(Autoit3.exe 和 script.au3),并以 script.au3 作为参数执行 Autoit3.exe。
  • AutoIT V3 脚本:AutoIT V3 是一种类似 BASIC 的免费软件脚本语言,恶意软件作者经常使用它,因为它可以模拟击键和鼠标移动等。执行的脚本会被混淆,但最终会为嵌入的shellcode分配内存并最终执行shellcode。
  • Shellcode:shellcode 非常简单:它在内存中构造一个 PE 文件,动态解析导入并将控制权转移给它。
  • DarkGate执行器(由shellcode构建的PE文件):执行器将script.au3文件加载到内存中,并在脚本中找到加密的blob。然后对加密的 blob 进行解密(使用 XOR 密钥和最终的 NOT 运算)。这会生成一个 PE 文件,其导入表是动态解析的。最终的结果就是DarkGate加载器。
  • DarkGate加载器有几个全局变量,实际上是一个Delphi TStringList,由17个变量组成,描述了恶意软件的核心功能:

  • 找到 AV 时设置的变量
  • 找到虚拟环境时设置的变量
  • 找到 Xeon 处理器时设置的变量
  • C2端口号
  • 完整的变量列表可以在我们的私人报告中找到。核心功能不包括恶意软件加载,它是在单独的模块中实现的。

    同样引人注目的是字符串的加密方式。每个字符串都使用唯一密钥和使用自定义字符集的自定义版本的 Base64 编码进行加密。

    LokiBot

    LokiBot 是一种信息窃取程序,于 2016 年首次出现,至今仍然活跃。它旨在从各种应用程序(例如浏览器、FTP 客户端等)窃取凭据。最近,我们检测到一场针对货船公司的网络钓鱼活动,该活动会投放 LokiBot。

    在我们调查的案例中,受害者收到了一封似乎来自业务联系人的电子邮件,其中说明了需要支付的港口费用。电子邮件中附有一份 Excel 文档。正如预期的那样,打开文档时,系统会要求用户启用宏。然而,这是一个虚假警告,因为该文档不包含任何宏,而是试图利用CVE-2017-0199。

    该漏洞使得通过提供链接打开远程文档成为可能。这会导致下载 RTF 文档,从而利用另一个漏洞,即CVE-2017-11882。通过利用另一个漏洞,LokiBot 被下载并执行。

    执行后,它会从各种来源收集凭据并将其保存到恶意软件内的缓冲区中,然后将其发送到 C2。数据通过使用 APLib 压缩的 POST 请求发送。发送出系统信息后,恶意软件会侦听其他 C2 命令。这些命令可用于下载其他恶意软件、运行键盘记录器等。

    Emotet

    Emotet 是一个臭名昭著的僵尸网络,尽管它于 2021 年被摧毁,但后来又重新出现。在最近的一波攻击中,他们加入了 OneNote 感染的行列,发送带有恶意 OneNote 文件的电子邮件。打开其中一张会显示类似于下图的图像。

    Emotet OneNote 诱饵文档

    单击查看按钮会执行嵌入且经过混淆的恶意 VBScript。反混淆后的代码相当简单。

    反混淆下载器脚本

    正如我们所看到的,有几个站点包含有效负载。该脚本会尝试每一个,直到成功为止,然后将有效负载(一个 DLL)保存在临时目录中,并使用 regsvc32.exe 执行它。然后,执行的 DLL 从其资源部分加载资源 (LXGUM),并使用简单的滚动 XOR 算法对其进行解密,如下所示。

    资源解密代码

    解密的有效负载实际上是 shellcode,它通过哈希进行典型的导入。其中两个已解析的函数是 LdrLoadDll 和 LdrGetProcedureAddress,恶意软件作者经常使用它们来逃避对众所周知的 API 的动态分析:在本例中为 LoadLibrary 和 GetProcAddress。接下来,分配内存,并将资源部分中的 blob(PE 文件)写入分配的内存,这是最终的 Emotet 有效负载。DLL 依赖性已解决,导入地址表 (IAT) 已重建。然后,shellcode 会覆盖 PE 文件的 DOS 标头,以使 EDR 解决方案更难以检测内存中的二进制文件。最后,Emotet 被执行。

    Emotet 有效负载本身与前一波攻击中的相同。

    结论

    恶意软件不断发展,TTP 不断变化,阻碍了检测。此外,组织可能很难决定首先防御哪种类型的恶意软件威胁。情报报告可以帮助您识别与您的业务相关的威胁并防范这些威胁。

    妥协指标 (MD5)

    LokiBot

    31707f4c58be2db4fc43cba74f22c9e2
    2c5cf406f3e4cfa448b167751eaea73b

    DarkGate

    1B9E9D90136D033A52D2C282503F33B7
    149DA23D732922B04F82D634750532F3

    Emotet

    238f7e8cd973a386b61348ab2629a912
    df3ee4fb63c971899e15479f9bca6853

    转载来源:https://securelist.com/emotet-darkgate-lokibot-crimeware-report/110286/

    图片来源网络侵权可联系删除

    相关文章

    Mallox勒索软件新Linux变种现世
    伪装成破解程序和商业工具的新型恶意软件正在传播
    Orcinius后门新样本分析
    Poseidon窃取程序通过Google广告感染Mac用户
    大选开始之际,欧盟各政党遭受 DDoS 攻击
    微软2024

    发布评论