【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

  • A+
所属分类:安全工具

事件背景


近日,深信服安全研究团队通过安全云脑发现2020年6月捕获到的样本不再活跃,于此同时另一批样本突然活跃,且受感染的主机有重合。为确定两个时间点的样本的内部联系,深信服安全研究团队首先使用样本相似性匹配系统(Origin系统)进行相关性分析及溯源,关联到 2017 年同一家族的样本,并基于分析结果进行更深层次的剖析,确认为Mylobot僵尸网络。



Origin系统简介


Origin系统是一套深信服自研的,利用代码相似性进行恶意文件溯源的系统,它通过提取文件函数的CFG(control flow graph)、指令等信息,得到函数粒度的特征序列。通过对这些特征序列进行自动化比较和分析,可得到两个文件之间的相似性。Origin系统的功能包括单样本查询、多样本关联分析、家族谱系查询等,目前被应用于价值事件挖掘、家族规则提取、每日新增样本自动化分析等多个场景,文件相似性匹配原理图如下:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


功能一:单样本查询

给定一个样本,Origin系统进行自动化特征提取及分析,在得到样本的恶意性判定、归属家族和相似样本的同时,能够基于代码层面进行举证,如获取恶意代码的位置、具有恶意行为的函数及其二进制指令等:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


功能二:多样本关联分析

Origin系统利用代码相似性对多个文件进行聚类,每个点代表一个样本,更近的距离意味着更高的相关性,多样本聚类图如下:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


功能三:家族谱系查询

利用Origin系统,能够得到与一个家族相关的其他家族,这些家族之间具有一定的代码相似性,例如ransom.gandcrab.406家族,其家族谱系图如下:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


功能四:家族自分类

基于代码相似性匹配,Origin系统可将同时输入的大量样本分类,每一类作为一个家族,并自动为每一个新家族提取特征规则。


功能五:壳识别

Origin系统中存储了丰富的壳特征,可快速识别二进制文件的壳信息。



Origin全局分析


在11月20日左右,6月捕获到的样本corcs.gif和coret.gif不再活跃,于此同时warcs.gif和waret.gif突然开始活跃:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

深信服安全研究团队首先使用Origin系统的相似样本查询功能、样本聚类功能和家族关联功能对这两批样本进行了全局分析,以便于后续更具针对性的对它们进行细节分析。


相似样本查询

通过Origin系统对两批活跃样本进行代码相似性查询,发现它们的相似样本及相似样本的家族基本相同,且相似样本最高具有96.35%的相似性,Origin查询结果如下图:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


分别选取2020年11月,2020年6月,2018年和2017年的样本作对比,发现除了payload变化外,其代码结构、程序执行流及核心代码均未发生重大变化。综合以上判断,该家族的样本主体其实就是一个shellcode加载器,目的是为了解密出资源里面的shellcode,注入到傀儡进程执行。

代码结构比较如下:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


程序执行流程比较如下:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


核心代码比较如下:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


payload比较如下,大小和命名和较大变化:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


相似样本聚类分析

深信服安全研究团队还利用Origin系统对上述相似样本进行了聚类分析(下图),可以发现,这些样本又可以分为多个簇,每个簇之间具有很强的代码同源性,他们属于同一家族或同一家族的不同变种。

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


家族关联分析

通过相似样本查询,深信服安全研究团队发现近期活跃样本和trojan.ceeinject.140家族的样本具有很强的代码相似性,应该属于该家族或该家族的不同变种。为了对归属家族有更多的理解,深信服安全研究团队使用Origin系统的家族溯源功能,画出了trojan.ceeinject.140的家族谱系图(下图),每一个节点代表一个家族,家族之间连线代表这两个家族的代码具有一定的相似性。通过家族谱系图,我们识别到了与trojan.ceeinject.140家族有血缘关系的一系列家族,如trojan.zusy.1024,trojan.khalesi.8等,它们存在着一些相似的行为。

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统



详细分析


通过对11月、6月活跃样本及它们的关联样本进行更深入分析,确认它们为规模庞大的 Mylobot 僵尸网络。Mylobot 僵尸网络最早于2015年活跃,于2018年被国外的安全机构披露,会下载执行窃密软件家族Khalesi。Mylobot家族结构复杂,集成了反调试,反沙箱,多线程,多层加密,自定义网络协议等技术手法,包含上千个遍布全球的C2域名,本质上是木马下载器,代码框架分为三部分:主体和2个阶段的payload。主体是一个加载器,用于解密和释放payload;第一阶段payload主要是反调试,反沙箱,禁用竞品常用端口,关闭杀软以及更新服务,解密出第二阶段payload;第二阶段payload,主要是进行持久化,清除竞品文件,创建傀儡进程,连接僵尸网络下载和执行任意木马。


主体部分

通过设置一个定时器,定时调用核心函数:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


解密器资源中的数据MMZ,解密为shellcode以及第一阶段payload:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


跳转到解密的shellcode,执行shellcode,解密的数据中包含了用于注入的shellcode以及第一阶段payload数据:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


获取当前命令行,再次启动自身作为傀儡进程,将第一阶段的恶意payload注入傀儡进程:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


第一阶段

第一阶段payload编译于2019年10月2日:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

第一阶段payload通过一系列手段进行反调试与虚拟环境的检测:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


检测当前进程是否为Windows更新服务进程wusaupdate:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


如果当前进程是wusaupdate,则会停止windows更新服务,并且关闭Windows Defender:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


并封禁对外端口(2900, 1100, 2200,3300,4400,5500,6600,8800,9900)然后退出:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


 如果当前进程不为windows更新服务进程wusaupdate,读取资源数据101和102,解密资源101为第二阶段payload:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


解密第二阶段payload:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


然后会对第二阶段payload进行内存展开,获取其导出函数ep并进行调用:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


第二阶段

第二阶段payload同样编译于2019年10月2日:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


ep导出函数执行成功后,会解析需要使用的函数地址,创建固定的互斥量“hyceyeoh7efhs”:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


生成10长度的小写字符串,与%appdata%拼接路径,创建对应文件,然后删除(其主要目的是验证在%appdata%是否有创建文件权限),判断当前进程模块路径是否在%appdata%目录下:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


如果当前进程模块不在%appdata%目录下,生成随机字符串,将%appdata%路径与随机字符串拼接,创建目录:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


在该目录下创建随机字符串的文件路径,将第一阶段payload写入该路径,并且执行该恶意文件,当前进程退出:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


如果当前进程模块在%appdata%目录下,判断当前进程是否为cmd.exe;

如果是cmd.exe则创建notepad.exe傀儡进程;

如果不是cmd.exe则创建cmd.exe傀儡进程:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


将第二阶段payload注入傀儡进程,创建远程线程调用导出函数re,退出当前进程:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


调用re导出函数成功后,同样创建互斥量“hyceyeoh7efhs”:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


通过创建线程遍历%appdata%目录,删除这个目录和其子隐藏目录下可疑的exe文件(更名为xxxx.local.backup),结束这些exe进程,使这些exe文件不能执行:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


检测目录有:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


期间会创建注册表启动项,开机自启动:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


创建完新线程后,进行网络环境的初始化,然后主线程会创建线程2,线程2会通过注册表关闭defender,并且通过ShellExecuteExW以runas的方式创建自身子进程,保持权限:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


然后主线程会创建线程3,该线程的功能为监控当前恶意文件所在的随机目录文件变化:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


主线程创建线程4,该线程主要功能为与节点互相通信。

会启动一个新线程4.1,通过生成7字符串长度的随机域名,进行访问:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


生成格式类似于m%d.%s.com的格式(m0.ydykjmx.comm1.ydykjmx.com),尝试获取其IP(一共尝试43次),然后退出线程:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


在%temp%目录检测是否存在dd.te文件(其中包含了第一次运行的时间),不存在则将当前的系统时间写入其中并且使用0x12345678加密。存在则读取其中的时间,判断是否延迟连接C2服务器:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


读取恶意文件中的大量域名:端口字符串,每个域名端口对都会写入一个0x204大小的节点结构体中:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


创建大量的线程进行网络请求:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


网络工作线程,设置socket连接模式:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


根据之前的大量域名与端口,按照m%d.%s格式生成对应的域名(其中%d为当前线程的序列编号):

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


连接其中的C2(其文件中存在大量的域名,其中只有一个有效的,目前存活的域名为fywkuzp.ru)进行数据交互:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统


其传输数据使用异或编码(异或key为0xDE),其功能主要为下载器,下载其他第三方恶意软件并且执行:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统



IOC


url:

https[:]//212.8.242.104/corcs.gif

https[:]//212.8.242.104/coret.gif

https[:]//212.8.242.104/warcs.gif

https[:]//212.8.242.104/waret.gif

ip:

212.8.242.104

domain:

*.fywkuzp.ru

md5:

3e86685246c1fdcc9eef8b95986ba4e4

2262ca32d854ccd99b2fd166e1612472

e5b54ad94c5af53fe63de33113e8ebc3

5b18fb2d595f8bb316e73faf47561d51

3d95d71bd59673c0cfc11a4c4e83b2a5



深信服安全产品解决方案

  1. 深信服下一代防火墙AF、终端检测响应平台EDR、安全感知平台SIP等安全产品,已集成了SAVE人工智能引擎,均能有效检测防御此恶意软件,已经部署相关产品的用户可以进行安全扫描,检测清除此恶意软件,如图所示:

【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

2. 深信服为广大用户免费提供查杀工具,可下载如下工具,进行检测查杀:

64位系统下载链接

http://edr.sangfor.com.cn/tool/SfabAntiBot_X64.7z

32位系统下载链接

http://edr.sangfor.com.cn/tool/SfabAntiBot_X86.7z

3. 深信服安全感知平台、下一代防火墙、EDR用户,建议及时升级最新版本,并接入安全云脑,使用云查服务以及时检测防御新威胁;

4. 深信服安全产品继承深信服SAVE安全智能检测引擎,拥有对未知病毒的强大泛化检测能力,能够提前精准防御未知病毒;

5. 深信服推出安全运营服务,通过以“人机共智”的服务模式提供安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。


本文始发于微信公众号(深信服千里目安全实验室):【流行威胁追踪】恶意软件家族追踪利器:云脑Origin系统

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: