地下黑市出现的新型Loader:Buer恶意软件分析

41yf1sh 恶意软件 2019年12月10日发布
Favorite收藏

导语:多年来,Proofpoint的研究人员持续在跟踪第一阶段恶意下载工具的使用情况,这些威胁行为者在电子邮件恶意活动期间使用第一阶段下载工具来安装其他形式的恶意软件。

概述

多年来,Proofpoint的研究人员持续在跟踪第一阶段恶意下载工具的使用情况,这些威胁行为者在电子邮件恶意活动期间使用第一阶段下载工具来安装其他形式的恶意软件。特别是在过去的两年中,这些恶意下载工具变得越来越强大,提供了高级配置和精准定位的功能。

更重要的是,恶意下载工具和其他恶意软件(例如:僵尸网络和银行木马)已经取代勒索软件,作为主要的Payload,使威胁行为者可以灵活地在感染过程中部署一系列恶意软件。例如,影响范围最广泛的Smoke Loader已经被广泛应用于投递Payload(例如Ursnif和The Trick银行木马),并使用其自身的模块进行对凭据和其他信息/数据的窃取,以及实现其他的恶意功能。

自2019年8月下旬以来,Proofpoint的研究人员持续跟踪名为Buer(根据其作者而命名)的新型模块化加载工具的开发与销售情况。Buer的功能与Smoke Loader不相上下,并且目前正在一些知名的地下黑市中进行销售,目标是提供给寻求现有完善解决方案的攻击者。

恶意活动

2019年8月28日

8月28日,Proofpoint研究人员发现了一些恶意电子邮件,该邮件模仿成对此前邮件通信的答复。在恶意邮件中,附带包含恶意Payload的Microsoft Word附件,利用Microsoft Office宏来下载下一阶段的Payload。

2019年8月28日恶意活动中,使用的Microsoft Word附件样本:

1.png

我们观察到用于下载下一阶段Payload的URL包括:

hxxp://jf8df87sdfd.yesteryearrestorations[.]net/gate.php

hxxp://93345fdd.libertycolegios[.]com/gate.php

投放的Payload名为verinstere222.xls或verinstere33.exe(以在攻击期间,攻击者使用的名称命名)。Payload并不是此前通常在野外观察到的无文档加载工具,而是不常见的Ursnif Dreambot变种。

在接下来的9月和10月期间,Proofpoint研究人员和信息安全社区的其他成员观察到同一攻击者的几次恶意活动,他们投放了Ursnif的Dreambot变种或这种新型的加载工具。

2019年10月10日

10月10日,Proofpoint的研究人员观察到澳大利亚发生了一起恶意活动,其中使用了Fallout漏洞利用工具包(EK)来投放新的加载工具。

Fallout EK利用易受攻击的浏览器进行HTTP网络流量跟踪:

2.png

随后,加载程序投放了一些第二阶段的恶意软件Payload,包括KPOT窃取恶意软件、Amadey和Smoke Loader。

2019年10月21日

自7月初以来,Proofpoint研究人员观察到大约100起涉及Ostap的恶意活动,这些恶意活动中似乎仅加载了The Trick的多个实例。然而,在21日,研究人员使用类似于“Penalty Notice # PKJWVBP”(罚款通知 编号PKJWVBP)标题的恶意电子邮件,其中包含Microsoft Word附件。如果启用附件中的恶意宏,将会执行Ostap。我们观察到,Ostap从下面的位置下载了这一加载工具:

hxxps://185.130.104[.]187/nana/kum.php?pi=18b&[redacted]

随后,从C2域名garrisontx[.]us中加载The Trick “ono22”。

在恶意文档中启用宏后观察到的网络流量:

3.png

10月21日恶意活动中使用的Microsoft Word附件:

4.png

地下市场及功能分析

由于我们已经观察到这种新型加载工具已经在不同的恶意活动中使用,因此我们猜想,攻击者可能在地下市场中将其销售给不同的攻击者。8月16日,我们在一个地下论坛中发现了一个广告,描述了一个名为“Buer”的恶意加载工具,该加载工具与上述恶意活动中观察到的恶意软件功能相匹配。

在接下来的几周内,地下市场中声称添加和发布的功能与这些恶意活动中发现的恶意加载工具的发展情况完全匹配。

我们从作者发布的公告上检索到了俄语文字,作者将恶意软件定价为400美元,同时提供为潜在客户安装该软件的服务,使其在受害者主机上启动并运行。作者还指出,后续更新和修复漏洞都是免费的,但是如果需要重新创建新地址,则需要收取25美元的附加费。

下面的文字是Proofpoint从地下市场找到的,初步认为是恶意软件作者缩写,这是对恶意加载工具功能的摘要,使用俄文书写。

地下论坛的文章中描述Buer Loader Bot恶意程序功能的文本:

5.png

同样,该广告中还列举出了控制面板的功能。恶意软件作者指出,模块化Bot是使用C语言编写的,使用到由.NET Core编写的控制面板,作者强调说,由于使用了适合的编程语言,所以客户端和服务器都具有比较高的性能。

1、根据说明,客户端的总Payload大小是55-60KB,可以作为Windows可执行文件和动态链接库运行,可以完全在内存中运行,并且兼容32位或64位Windows操作系统。

2、该客户端通过HTTPS连接进行通信,在解密和重建后可以通过控制面板进行远程更新。

3、恶意软件作者还提到,加载工具作为受信任应用程序的代理进程运行,使用用户级别的特权运行。

4、最值得关注的是,该恶意软件将无法在独联体国家(前苏联国家,例如俄罗斯)的计算机上运行。

该广告还描述了服务器和控制面板的功能,包括:

1、控制面板也是使用.NET Core编写的,在Ubuntu / Debian Linux系统上易于安装。

2、服务器提供了大量的统计信息,包括在线/活跃/下线/总感染主机的数量、被感染主机列表的实时更新、文件下载计数器,同时支持按操作系统类型、访问权限、逻辑CPU内核数对被感染主机进行筛选。

3、从被感染主机下载的文件将以加密形式存储在服务器上,并通过Token授予访问权限。

4、最值得关注的是,和客户端一样,作者指出,服务器不处理从独联体国家发送的API请求。

该论坛发帖中还包含Buer加载工具和控制面板的技术说明。在说明中作者指出,启动加载工具包括三个步骤,如果前两个步骤在受感染系统中没有成功执行,并且注入代理进程失败(例如:出现与加密自身的不兼容问题),加载工具将在自己的进程中执行。

其中,对加载程序进行了以下的说明:

1、加载程序使用FastFlux体系结构。

2、加载程序在Microsoft Windows中的受信任进程下工作。MemLoadEx进程现在支持x64[.]exe作为受信任的应用程序。

3、MemLoad已经更新,现在支持本地x32[.]exe应用程序。

在技术说明中,还提到了控制面板的以下功能:

1、完成API访问功能,使用HTTPS并支持自签名证书。

2、支持在面板中编辑任务。用户可以在执行期间停止任务,并更改Payload和执行次数。

3、添加了通过客户端ID创建任务的功能,非常适用于单点操作。

4、在创建任务时使用逐步的窗口提示。

5、允许客户端上线后弹出通知。

6、增强客户端ID的唯一性。

7、已经将标签添加到面板中,允许对客户端进行排序,以对其进行后续操作。

8、在表中显示计算机名称。

9、加密兼容性有所改进。

10、添加了客户端历史记录。

11、该控制面板已经扩展到Docker(支持Docker容器)。

说明:我们认为,这个功能可能是为了更容易地集成到租用的Docker主机上,从而简化安装过程。

12、在面板中进行文件验证,面板将不会丢失加载工具无法下载的文件,并且不会再在客户端上产生通知。

13、支持重复执行任务。

最后,恶意软件作者描述了1.1.9版本的技术改进。这些技术改进值得引起关注,因为这说明恶意软件正在积极、专业化地开发中。

1、加载工具已经获得了一种在本地执行外部文件的新方法。该方法的优点在于具有唯一性,且无需通过加载工具创建CreateProcess / ShellExecute。执行过程将产生一个可信的进程,而无需执行任何命令。

2、面板可以标记执行特定任务的所有客户端,这将允许用户将Payload发放到某些被感染主机组中。

3、实现了集成化的API,同时具有配套文档。

4、添加了在代理模式下通过引用发送文件的功能。该文件以加密形式传输到被感染主机上。

5、修正了按国家统计被感染主机中的错误,并添加了其他改进。

控制面板截图

在地下市场中,包含以下控制面板快照,显示了可供客户使用的某些后端功能,包括遥测监控、主机过滤等。

Buer Loader C2的控制面板登录UX:

6.png

Buer控制面板的受感染主机遥测监控屏幕:

7.png

Buer控制面板的黑暗模式遥测监控屏幕:

8.png

控制面板过滤器视图,其中展现了筛选出的Microsoft Windows远程被感染主机:

9.png

控制面板视图,其中展现了加载工具任务的文件管理:

10.png

控制面板中按用户权限排序的远程被感染主机:

11.png

控制面板视图中的任务状态:

12.png

控制面板视图中的创建任务:

13.png

恶意软件分析

Buer Loader是一种新型的下载工具恶意软件,可以下载并执行其他Payload。

反分析功能

加载工具中包含一些基本的反分析功能:

1、通过检查进程环境块(PEB)和线程环境块(TEB)中的NtGlobalFlag来检查调试器是否存在;

2、使用Red Pill、No Pill和相关机制检查是否在虚拟机环境中运行;

3、检查区域设置,以确保恶意软件未在特定国家运行。

恶意软件进行国家检查以确保不会在特定国家运行:

14.png

持久性

通过配置注册表RunOnce条目来增强持久性。根据版本,注册表项将直接执行恶意软件或设置执行任务。

加密字符串

该样本中包含一个加密字符串的函数。

字符串的解密序列:

15.png

以下函数展现了如何使用Python在Ghidra中解密加密后的字符串。

字符串的解密序列(Python版本):

16.png

字符串解密示例:

17.png

Windows API调用

在样本中,使用哈希算法来解决大多数API调用。哈希算法可以确保API名称的每个字符均为大写字母,然后,将每个字符向右旋转(ROR)13,并将其进行累加。

用于解决Windows API调用问题的哈希算法:

18.png

以下函数展示了如何使用Python帮助解决API调用问题的示例:

19.png

下面,列举了一些使用的哈希值,及其对应的Windows API名称:

CreateMutexW    0xed619452

OpenMutexW    0x7bffe25e

CreateProcessW    0xb4f0f46f

WinHttpOpen    0xaf7f658e

WinHttpCrackUrl    0x8ef04f02

WinHttpConnect    0x9f47a05e

WinHttpOpenRequest    0x1dd1d38d

命令与控制

命令与控制(C&C)功能通过HTTP(S)的GET请求进行处理。命令信标示例如下图所示:

20.png

这些请求会转到“update API”,并包含一个加密的参数。该参数可以通过以下方式解密:

1、Base 64解码;

2、十六进制解码;

3、RC4解密(分析样本中使用的密钥为“CRYPTO_KEY”)。

以下是明文参数的一个示例:

88a5e68a2047fa5ebdc095a8500d8fae565a6b225ce94956e194b4a0e8a515ae|ab21d61b35a8d1dc4ffb3cc4b75094c31b8c00de3ffaaa17ce1ad15e876dbd1f|Windows 7|x64|4|Admin|RFEZOWGZPBYYOI

其中包含使用 | 符号分隔的数据,包括:

1、被感染主机ID(各种系统参数的SHA-256十六进制摘要,包括硬件配置文件GUID和名称、计算机名称、卷序列号和CPUID);

2、自身可执行映像的SHA-256哈希值;

3、Windows版本;

4、系统架构;

5、处理器数量;

6、用户权限;

7、计算机名称。

命令信标响应示例如下所示:

21.png

可以采用类似于上面的Request参数的方式将其解密,这里十六进制编码的字节使用 – 分隔。以下是纯文本响应内容的一个示例:

22.png

解密后的文本是一个JSON对象,其中包含有关如何下载和执行Payload的各种选项。

1、type(包括两种类型):

(1)update – 进行更新;

(2)download_and_exec – 下载并执行特定内容;

2、options – 指定要下载的Payload的选项:

(1)Hash – 仅适用于“update”类型,确认是否存在新的更新;

(2)x64 – Payload是否为64位;

(3)FileType – 在我们分析的样本中未使用;

(4)AssemblyType – 在我们分析的样本中未使用;

(5)AccessToken – 用于下载Payload(请参考下文);

(6)External – 指示是从C&C下载,还是从外部URL下载Payload;

3、method – 执行方法:

(1)exelocal – 创建进程;

(2)memload – 注入并手动加载Payload;

(3)memloadex – 注入并手动加载Payload;

(4)loaddllmem – 注入并手动加载Payload;

4、parameters – 在命令行中传递的参数;

5、pathToDrop – 在我们分析的样本中未使用;

6、autorun – 指示是否为Payload设置注册表RunOnce持久性;

7、modules – 请参见下面的“模块”章节;

8、timeout – 在我们分析的样本中未使用。

从C&C服务器下载Payload的过程是通过对“download API”的请求完成的,如下图所示。

从C&C下载Payload:

23.png

明文请求参数的示例如下:

88a5e68a2047fa5ebdc095a8500d8fae565a6b225ce94956e194b4a0e8a515ae|58007044-67d4-4963-9f5f-400dfbc69e74

其中包含被感染主机的ID以及命令信标响应中的AccessToken。如果Payload是从C&C下载的,则使用RC4对其进行加密。在我们分析的样本中,密钥为“CRYPTO_KEY”。

模块

信标命令响应中包含“modules”列表。我们尚未观察到野外使用的Buer模块,但根据代码,该列表将包含模块AccessTokens。通过将AccessToken发送到C&C的“module API”来查询模块文件名。然后,将使用“downloadmodule API”下载该模块。下载并解密后,将使用“loaddllmem”方法进行加载。

总结

近期,在各种恶意活动中,新型恶意下载工具Buer频繁出现,这些恶意行为导致了漏洞利用工具包的出现。这些恶意下载工具通常将Ostap作为辅助Payload,并将类似于The Trick银行木马的恶意软件作为主要Paylaod下载。

这种新型恶意加载工具具有强大的地理位置定位、系统配置和反分析功能,目前正在地下论坛中进行销售。使用俄语的恶意软件作者正在积极开发具有复杂控制面板和丰富功能集的下载程序,从而使得该恶意软件在地下黑市具有一定的竞争力。

恶意下载工具是使用C语言编写的,控制面板是使用.NET Core编写的,其性能得到了良好的提升,下载占用空间较小,并且能轻松在Linux服务器上安装。其内置对Docker容器的支持进一步增强了对租用主机的支持,并增强了在受感染主机上的扩散能力。该恶意软件的功能包含在作者发布的广告和发行说明中。

参考文章

[1] https://twitter.com/malware_traffic/status/1182456890095259652

[2] https://www.cert.pl/en/news/single/ostap-malware-analysis-backswap-dropper/

[3] https://www.proofpoint.com/us/threat-insight/post/ostap-bender-400-ways-make-population-part-with-their-money

[4] https://www.aldeid.com/wiki/X86-assembly/Instructions/sidt

[5] https://www.aldeid.com/wiki/X86-assembly/Instructions/sldt

威胁指标

SHA-256

fa699eab565f613df563ce47de5b82bde16d69c5d0c05ec9fc7f8d86ad7682ce(2019年8月28日)

6c694df8bde06ffebb8a259bebbae8d123effd58c9dd86564f7f70307443ccd0(2019年9月3日)

197163b6eb2114f3b565391f43b44fb8d61531a23758e35b11ef0dc44d349e90(2019年9月24日)

9e8db7a722cc2fa13101a306343039e8783df66f4d1ba83ed6e1fe13eebaec73(2019年10月16日,Fallout Drop)

ab21d61b35a8d1dc4ffb3cc4b75094c31b8c00de3ffaaa17ce1ad15e876dbd1f(2019年10月21日,Ostap Drop)

753276c5887ba5cb818360e797b94d1306069c6871b61f60ecc0d31c78c6d31e(2019年11月28日,Buer)

URL

http[://]45.76.247[.]177:8080/api/update/(2019年8月28日,Buer C&C回调)

https[://]173.212.204[.]171/api/update/(2019年9月24日,Buer C&C回调)

http[://]134.0.119[.]53:8080/api/update/(2019年10月16日,Buer C&C回调)

https[://]garrisontx[.]us/api/update/(2019年10月21日,Buer C&C回调)

https[://]185.130.104[.187/nana/kum.php?pi=18b(2019年10月21日,Ostap实例投放Buer)

ffload01[.]top | 185.125.58[.]11(2019年11月28日,Buer C&C)

ffload01[.]top | 185.186.141[.]129(2019年11月28日,Buer C&C)

ET和ETPRO Suricata/Snort签名

2029077 || ET TROJAN Buer Loader Update Request

2029079 || ET TROJAN Buer Loader Response

2029078 || ET TROJAN Buer Loader Download Request

2839684 || ET TROJAN Buer Loader Successful Payload Download

2029080 || SSL/TLS Certificate Observed (Buer Loader)

本文翻译自:https://www.proofpoint.com/us/threat-insight/post/buer-new-loader-emerges-underground-marketplace 如若转载,请注明原文地址: https://beta.4hou.com/malware/22021.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论