近日,FortiGuard威胁研究与响应实验室捕获到了一个检出率极低的恶意文件。分析表明,该文件旨在同时传播两种远控木马(RAT)——Revenge和WSH。
图1.仅有少数几款杀毒软件将该文件检测为“恶意”
第一阶段—Launcher/Dropper在文本编辑器中打开包含JavaScript代码的恶意文件,我们可以看到它包含url编码的数据。解码之后,就能够看到vbscript代码。
该恶意文件的制作者在调用函数“Chr()”时使用了简单的字符替换,试图隐藏实际的字符串(“Shell.application”和“cmd /c cd %temp%”)。
图2 .VBScript代码
VBScript代码将执行如下操作:
创建一个新的Shell.Application对象;调用函数“ShellExecute()”,最终生成一个文件名为“A6p.VBS”的脚本文件;执行新创建的脚本文件A6p.vbs;暂停CMD命令执行13秒(通过调用timeout.exe程序);删除脚本文件A6p.vbs;执行下载的脚本文件“Microsoft.vbs”;关闭当前/活动窗口。
图3.第一阶段Launcher/Dropper执行
第二阶段—DownloaderA6p.vbs被用于从外部网站获取资源(另一段VBScript代码),该代码包含经过混淆处理的字符串,大概是为了逃避检测。
然后,恶意文件制作者使用了一个函数(H9a)来显示这些字符串,一是用于创建对象(MSXML2.XMLHTTP和ADODB.STREAM),二是用于获取常规字符串(如MICROSOFT.VBS)。
脚本分析(Microsoft.vbs)
一旦“A6p.vbs”执行,它便会从远程服务器下载脚本文件“Microsoft.vbs”。
图4.下载脚本(A6p.vbs)
下载的文件将被保存在%TEMP%文件夹下,其代码由一个名为“th3m41n”的主类以三个Method类(“dugh41r”、“t01l3t”和“b3st1n”)组成。
Microsoft.vbs的最终目的是通过调用一个名为“ExecuteGlobal()”的函数来执行base64编码的数据。
图5. MICROSOFT.VBS及其解码的Base64数据
脚本分析(Microsoft.vbs—解码的Base64数据)
该脚本利用了两个函数:
writeBytes()—创建一个ADODB.Stream对象,以将二进制数据写入指定文件中任意数量的字节;decodebase64()—创建一个 Microsoft.XMLDOM对象,以创建一个临时XML元素来存储base64编码的数据,然后对其进行解码。
图6. 函数“writeBytes()”和“decodebase64()”
一旦脚本执行,它将创建一个新的WScript.Shell对象并收集操作系统环境和硬编码数据,最终通过使用“//B”调用VBScript解释器来运行新创建的脚本(GXxdZDvzyH.vbs)。
图7.GXxdZDvzyH.vbs的生成和执行
在脚本执行期间,一个名为“Microsoft”的值将被添加到Windows注册表(HKCU\Microsoft \Software\Microsoft)中,用于存储base64编码的数据。稍后将使用PowerShell命令修复这些数据,脚本的执行将以“0”替换“@”结束。
图8.base64编码数据
该脚本能够正确调用多个PowerShell命令的组合,以绕过解释器的执行策略并隐藏其自身存在,从而绕过“-ExecutionPolicy Bypass -windowstyle hidden -noexit -Command”参数。
下图展示了脚本执行期间传递给PowerShell解释器的命令行参数,以及每个参数的用途。
图9.传递给PowerShell解释器的命令行参数
连接到C&C服务器
在执行期间,脚本还会创建一个新线程,加载并执行一个.NET程序集。
通过将它从Windows注册表转储到可执行文件(e3edfe91e99ba731e58fc2ad33f2fd11)中,我们可以更好地对其进行分析。
可执行文件的基本信息如下所示:
图10.可执行文件的基本信息
一旦可执行文件执行,它将连接到两个C&C服务器,其IP地址和端口在主类的构造函数中分配。IP地址分别为“193.56.28.134”和“185.84.181.102”,端口号均为“5478”。
图11.C&C服务器的IP地址和端口号
遗憾的是,目前两个C&C服务器均已关闭。为了对恶意软件继续进行分析,FortiGuard将C&C服务器IP地址修改为了“127.0.0.1”。
图12.更改后的C&C服务器IP地址
恶意软件收集的信息
在与C&C服务器建立连接后,恶意软件将从受感染系统收集信息,并将其发送到C&C服务器。
数据包被分隔符分为15个块,且大多数都经过base64编码。
Information—命令的magic字符串;SG91c2U—解码为“House”;XzU4MUYxMDkz—解码为“_581F1093”,这是音量信息;10.0.2.15 —受感染计算机的IP地址;TTBZVEVTMEVOVi1QQyAvIE0wWVRlczBFbnY—解码为“M0YTES0ENV-PC / M0YTes0Env”,这是受感染计算机的计算机名和用户名;No—代表受感染计算机是否有网络摄像头;TWljcm9zb2Z0IFdpbmRvd3MgNyBVbHRpbWF0ZSAgMzI—被解码为“Microsoft Windows 7 Ultimate 32”,这是受害者的Windows系统信息;SW50ZWwoUikgQ29yZShUTSkgaTctNjcwMCBDUFUgQCAzLjQwR0h6—被解码为“Intel(R) Core(TM) i7-6700 CPU @ 3.40GHz”,这是CPU信息;3757629440—这是受感染计算机的物理内存大小;TWljcm9zb2Z0IFNlY3VyaXR5IEVzc2VudGlhbHM—被解码为“Microsoft Security Essentials”,应该是已安装的防病毒产品;Ti9B—被解码为“N/A”,它应该是已安装的防火墙产品;5478—C&C服务器的端口号;ZG5TcHkgdjYuMC40ICgzMi1iaXQsIC5ORVQgQ29yZSwgRGVidWdnaW5nKQ—被解码为“dnSpy v6.0.4 (32-bit, .NET Core, Debugging)”,这是最顶部窗口的标题;ZW4tVVM—被解码为“en-US”,这是受感染计算机配置的语言;False—一个硬编码的值。命令与控制
在.Net代码中,一个名为“this.data()”的线程函数负责处理所有接收到的C&C命令。
PNC—类似于心跳包(heartbeat),恶意软件只发送回“PNC”;P—要求恶意软件收集受感染计算机最顶部的窗口标题;IE和LP—要求恶意软件使用数据包中的指定值在系统注册表中进行操作;UNV—包含一个base64编码的gzip流,它是从恶意的ASM代码段压缩而来的。通过这个命令,攻击者可以向恶意软件发送恶意的ASM代码,并在内存中执行代码。
图13.负责处理“UNV”命令的代码片段
脚本分析(GXxdZDvzyH.VBS)
在感染链的第二阶段,另一个该脚本也将被执行,恶意文件制作者使用了与MICROSOFT.VBS相同的代码,只是base64编码数据中的有效载荷不同而已。
图14.Microsoft.vbs和GXxdZDvzyH.vbs脚本之间的差异
脚本分析(GXxdZDvzyH.VBS—解码的Base64数据)
这里的脚本是WSH RAT的1.6版本,总有29个函数,分别负责执行不同的任务,从实现长久驻留、数据处理,到窃取和渗透。
脚本执行后,它将通过函数调用执行安全性检查,以验证当前用户的权限,以判定是否需要提权。
图15. 安全检查代码
WSH RAT 1.6能够从一些软件(如FoxMail)和一些主流浏览器(Chrome和Mozilla Firefox)中窃取信息。
脚本首先会生成一个HTTP请求,该请求包含与受感染计算机有关的信息(通过执行函数“information()”获取),并使用“User-Agent:”标头来上传到C&C服务器。
图16.HTTP POST请求和用户代理数据
下图展示了User-Agent标头中使用的数据格式,并描述了脚本如何收集数据。
图17. User-Agent标头数据格式
为了实现长久驻留,WSH RAT会将一些新数据添加到Windows注册表中,并在Windows Startup(“%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup”)文件夹中创建自身副本。
图18.添加的值
WSH RAT支持26个命令,它们对应的功能不言而喻:
disconnect、reboot、shutdown、excecute、install-sdk、get-pass、get-pass-offline、update、uninstall、up-n-exec、bring-log、down-n-exec、filemanager、rdp、keylogger、offline-keylogger、browse-logs、cmd-shell、get-processes、disable-uac、check-eligible、force-eligible、elevate、if-elevate、kill-process和sleep。
