恶意软件加载程序对于部署恶意软件至关重要,它使威胁行为者能够传递和执行恶意负载,从而促进数据盗窃和勒索软件等犯罪活动。利用先进的规避技术,加载程序绕过安全措施并利用各种分发渠道产生广泛的影响,威胁组织增强了下载和执行各种恶意软件类型的能力,如 Smoke Loader 和 GuLoader 所示,突出了它们在广泛的恶意软件分发中的作用。
最近,SpiderLabs 在 2024 年 3 月 8 日发现了一封网络钓鱼电子邮件,其附加档案中包含伪装成欺诈性银行付款的 Windows 可执行文件。这一行动引发了感染链,最终导致特斯拉特工的部署。
本博客对新识别的加载程序进行了深入分析,重点介绍了攻击的规避性以及加载程序及其命令与控制 (C2) 框架中使用的先进策略、技术和程序 (TTP)。我们将深入讨论加载程序的多态性、特定用户代理字符串的使用、代理的使用以及命令和控制服务器保护,这些共同增强了加载程序交付和执行有效负载的能力。虽然这些技术本身并不新鲜或独特,但这种新加载程序的有效性源于其对这些方法的巧妙组合和集成,这可能会导致感染率增加,并给检测和缓解带来更大的挑战。
技术分析
感染链
以下是说明感染链的简要概述。感染链始于一封冒充银行付款通知的网络钓鱼电子邮件,其中附加了伪装的加载程序作为存档文件。然后,该加载程序使用混淆来逃避检测,并通过复杂的解密方法利用多态行为。该加载程序还展示了绕过防病毒防御的能力,并使用特定的 URL 和用户代理检索其有效负载,利用代理进一步混淆流量。然后,有效负载本身(Agent Tesla infostealer)完全在内存中执行,使用受损的电子邮件帐户通过 SMTP 捕获和窃取数据,以进行谨慎的通信。
图 1. 感染链:电子邮件传送加载程序,然后部署 Agent Tesla infostealer
电子邮件传送
该威胁始于旨在欺骗收件人的虚假银行付款电子邮件。这封电子邮件中隐藏着一个名为“ Bank Handlowy w Warszawie - dowód wpłaty_pdf.tar.gz ”的附件,伪装成银行的合法付款收据。该文件名暗示是一个无害的文档,但它实际上包含伪装在 tar.gz 存档中的恶意加载程序。这种策略通常用于网络钓鱼攻击,以诱骗收件人无意中激活恶意软件并发起恶意活动。
图 2. MailMarshal 从假冒产品电子邮件中解压 tar.gz 附件
装载机
使用 .NET 编译的加载程序可执行文件使用混淆和打包来隐藏其功能并逃避检测。
执行时,加载程序通过将加密字符串和解密密钥存储在其代码内的单独列表中来初始化其配置。解密首先识别加密字符串的索引并将其与另一个列表中的特定密钥进行匹配。这种基于索引的匹配是解密恶意软件运行所需的配置数据的关键步骤。
图 3. 变体 1:加载程序的加密配置和字符串
图 4. 变体 2
加载程序的多态行为特别有趣,通过我们观察到的两个不同的变体可以明显看出,每个变体都使用不同的解密例程。这种多态性引入了额外的复杂性,给传统的防病毒系统带来了重大挑战。
仔细观察每个变体所采用的解密例程,就会发现其操作的复杂性:
变体 1 - ab9cd59d789e6c7841b9d28689743e700d492b5fae1606f184889cc7e6acadcc
第一个变体通过将十六进制密钥转换为字节数组来解密配置。然后,它生成加密字符串的 SHA-256 哈希值,确保哈希值的长度与密钥中的字节数组的长度匹配。接下来,它通过从 SHA-256 哈希值中减去密钥派生字节数组中的相应字节来进行解密。
图 5. 变体 1:使用十六进制字符串转换、SHA-256 散列和减法进行解密
变体 2 - a02388b5c352f13334f30244e9eedac3384bc2bf475d8bc667b0ce497769cc6a
第二种变体的解密过程首先将密钥从 Base64 和加密字符串转换为字节。然后,它对密钥和加密字符串的相应字节执行按位异或运算。生成的字节数组被重新编码为 UTF-8 以生成解密的字符串。
图 6. 变体 2 解密:base64 密钥、字符串转换和 XOR 操作
加载程序的配置隐藏了关键函数和库,特别是kernel32.dll中的VirtualProtect,以修改代码注入的内存权限。它使用amsiScanBuffer和amsi.dll等编码引用来掩盖其绕过 Microsoft 反恶意软件扫描接口 (AMSI) 检测的尝试。
此外,诸如Invoke、EntryPoint、Load、Assembly和GetType之类的术语指的是反射加载,它允许在运行时动态执行代码。
此外,配置还包括下载 URL 和用户代理字符串,这对于检索有效负载至关重要。
通过 AMSI 绕过绕过防病毒软件
在启动有效负载检索和反射加载过程之前,加载程序会准备目标系统以确保无缝有效负载执行。此准备工作包括通过修补AmsiScanBuffer函数来绕过反恶意软件扫描接口 (AMSI) ,以逃避对内存内容的恶意软件扫描。
图 7. 通过内存修补绕过 AMSIScanBuffer
有效负载检索和执行
在 AMSI 旁路之后,加载程序为传入的有效负载准备内存空间。它专门针对hxxps[://]artemis-rat[.]com托管的有效负载,需要特定的用户代理字符串,Mozilla/5.0(Windows NT 10.0;Win64;x64)AppleWebKit/537.36(KHTML,杀手 Gecko) Chrome/58.0.3029.110 Safari/537.3,以确保有效负载的传递。
图 8. 变体 1 利用特定用户代理通过代理获取有效负载
一种变体采用来自 GitHub 上开源列表(特别是来自https://github.com/TheSpeedX/PROXY-List/blob/master/http.txt )的 HTTP 代理服务器,以方便有效负载的下载。这种方法会生成大量网络数据包和显着的噪声,从而可能使网络流量分析和检测工作变得复杂。
检索后,有效负载不会立即执行。相反,加载程序使用“:::”作为分隔符从 HTML 内容中识别并提取有效负载,以分隔恶意代码。此操作部分强调了加载程序在处理有效负载时的隐秘方法,确保在看似良性的流量中不检测到恶意代码。提取后,有效负载将加载到内存中。
图 9.嵌入 HTML 响应正文中的编码有效负载
加载程序使用 XOR 加密来解密有效负载,解密密钥嵌入在加载程序本身中。它首先将十六进制字符串转换为字节序列,然后迭代每个字节,对密钥中的相应字节应用 XOR 运算。我们观察到的两个变体遵循类似的解密例程来处理有效负载,仅使用的解密密钥不同。
图 10. 有效负载解密例程
一旦有效负载被解码并存储在内存中,加载器就会利用.NET的反射和程序集加载功能,定位并调用有效负载的主入口点,从而触发Agent Tesla信息窃取者的操作。加载和执行过程仅在系统内存空间内进行,最大限度地减少检测,并且不会在磁盘上留下任何痕迹,从而增强恶意活动的隐蔽性和规避性。
Agent Tesla
Agent Tesla 完全从内存中执行,执行击键记录、凭证盗窃和数据泄露等恶意活动。该变体使用 KoiVM 保护器,这是一种基于虚拟化的加壳器,可将 .NET CIL 代码转换为虚拟指令,由虚拟机在运行时解释,从而使静态和动态分析变得复杂。
从网络浏览器收集用户名和密码等有价值的信息后,特工 Tesla 使用简单邮件传输协议 (SMTP)(一种常用的发送电子邮件的方法)窃取这些数据。
图 11. Agent Tesla infostealer 的嵌入式配置
威胁行为者经常劫持受损的电子邮件帐户来执行渗透过程。这种方法有几个战略好处。首先,它利用了人们对定期电子邮件通信的信任,从而降低了引起怀疑的可能性。其次,它提供了匿名性,使得追踪攻击的威胁行为者变得更加困难。最后,使用现有的电子邮件系统意味着他们不必建立新的沟通渠道,从而节省时间和资源。
概括
与特斯拉特工一起观察到的新加载程序利用欺骗性电子邮件附件(例如伪装的银行付款收据)来渗透系统。它使用 .NET 编译,采用混淆和打包技术来隐藏其功能并逃避检测。加载程序表现出具有不同解密例程的多态行为。它采用修补等方法来绕过反恶意软件扫描接口 (AMSI) 检测并动态加载有效负载,确保秘密执行并最大限度地减少磁盘上的痕迹。该装载机标志着特斯拉特工部署策略的显着演变。
此外,鉴于其多功能性,该加载程序将来很可能会被用来部署 Agent Tesla 之外的其他类型的恶意软件。
妥协指标
Loader (Variant 1)
MD5 b69f65b999db695b27910689b7ed5cf0
SHA256 ab9cd59d789e6c7841b9d28689743e700d492b5fae1606f184889cc7e6acadccLoader (Variant 2)
MD5 38d6ebb40197248bc9149adeec8bd0e7
SHA256 a02388b5c352f13334f30244e9eedac3384bc2bf475d8bc667b0ce497769cc6aPacked Agent Tesla
MD5 2bd452c46a861e59ac151a749047863f、63f802e47b78ec3d52fe6b403bad823f
SHA256 e3cb3a5608f9a8baf9c1da86324474739d6c33f8369cc3bb2fd8c79e919089c4、f74e1a37a218dc6fcfabeb1435537f709d742505505a11e4757fc7417e5eb96 2Unpacked Agent Tesla
MD5 3637aa1332b312fe77cc40b3f7adb8dc、37b38ae2d99dd5beb08377d6cbd1bccd
SHA256 3a1fe17d53a198f64051a449c388f54002e57995b529635758248dc4da7f5080、a3645f81079b19ff60386cb244696ea56f5418ae556fba4fd0afe77cfcb292 11SMTP Exfiltration
发件人电子邮件:merve@temikan[.]com[.]tr
收件人电子邮件:frevillon[.]acsitec@proton[.]me下载网址
hxxps[://]artemis-rat[.]com/get/65f0e7dd5b705f429be16c65
hxxps[://]artemis-rat[.]com/get/65eb0afe3a680a9851f23712用户代理
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, killer Gecko) Chrome/58.0.3029.110 Safari/537.3代理服务器列表
hxxps[://]github[.]com/TheSpeedX/PROXY-List/blob/master/hxxp[.]txt参考链接: https://blog.eclecticiq.com/operation-flightnight-indian-government-entities-and-energy-sector-targeted-by-cyber-espionage-campaign
图片来源网络目标可联系删除
