探索BLOODALCHEMY后门

(1)数据混淆

为了隐藏其字符串，BLOODALCHEMY 恶意软件使用了一种经典技术，即对每个字符串进行加密，然后在其前面加上单字节解密密钥，最后将所有字符串连接在一起，形成所谓的加密 blob。虽然字符串不以空值结束，但从 Blob 开始的偏移量、字符串和大小会作为参数传递给解密函数。

Blob = Key0 :EncryptedString0 + Key1:EncryptedString1 + ... + KeyN:EncryptedStringN

def decrypt_bytes(encrypted_data: bytes, offset: int, size: int) -> bytes:    decrypted_size = size - 1    decrypted_data = bytearray(decrypted_size)    encrypted_data_ = encrypted_data[offset : offset + size]    key = encrypted_data_[0]    i = 0    while i != decrypted_size:            decrypted_data[i] = key ^ encrypted_data_[i + 1]           key = (key + ((key << ((i % 5) + 1)) | (key >> (7 - (i % 5))))) & 0xFF           i += 1    return bytes(decrypted_data)

def decrypt_configuration_string(id: int) -> bytes:        return decrypt_bytes(                *get_configuration_encrypted_string(                        get_configuration_dword(id)))

def get_configuration_dword(id: int) -> int:        b = ida_bytes.get_bytes(CONFIGURATION_VA + id, 4)        return b[0] + (b[1] + (b[2] + (b[3] << 8) << 8) << 8)

def get_configuration_encrypted_string(id: int) -> tuple[int, int]:         ea = CONFIGURATION_VA + id        v2 = 0        i = 0        while i <= 63:            c = ida_bytes.get_byte(ea)            v6 = (c & 127) << i            v2 = (v2 | v6) & 0xFFFFFFFF            ea += 1            if c >= 0:                break            i += 7            return ea, v2

图7：BLOODALCHEMY 删除以前安装的服务

• 作为注册表项CurrentVersionRun:

图8：BLOODALCHEMY 删除“CurrentVersionRun”持续性注册表项

• 作为计划任务，通过以下方式以系统权限运行schtask.exe：

b'schtasks.exe /CREATE /SC %s /TN "%s" /TR "'%s'" /RU "NT AUTHORITY\SYSTEM" /Fb'

使用TaskScheduler::ITaskServiceCOM接口进行持久化。

图9：ITaskService COM 接口的实例化

(3)运行模式

该恶意软件根据其配置有不同的运行模式：

• 在主进程或单独的进程线程内运行

恶意软件可以在主进程线程内运行,或者在单独的线程中运行。

图10：在主函数中调用功能函数

图11：在新线程中调用的功能函数

• 创建一个Windows进程并向其中注入shellcode

从硬编码列表创建一个 Windows 进程，并使用WriteProcessMemory+QueueUserAPC+ResumeThread方法通过参数传递 shellcode的入口点。 

图12：进程注入运行方法

图13：用于注入进程的目标二进制文件列表

shellcode 包含在我们称之为 p_interesting_data 的参数中，该参数实际上是一个指向包含恶意软件配置和可执行二进制数据结构的指针。

图14：入口点原型

图15：在远程进程中复制提供的 shellcode

图16：进程注入例程的最后部分

• 作为一项服务

将其自身作为服务安装并运行的情况下，服务名称和描述将为Test和Digital Imaging System：

图17：用于安装 BLOODALCHEMY 服务的名称和描述字符串

此外，当作为服务运行并由服务管理器启动时，恶意软件会首先将服务状态设置为“SERVICE_RUNNING”，然后将状态设置为“SERVICE_STOPPED”，从而将自身伪装为已停止，而实际上恶意软件仍在运行。

图18：BLOODALCHEMY 的服务入口点伪装服务状态

(4)通信

恶意软件使用 HTTP 协议、命名管道或套接字进行通信。当使用 HTTP 协议时，恶意软件请求以下 URI：

/Inform/logger/.

图19：用于连接到 C2 的 URI

在这种情况下，BLOODALCHEMY 将尝试使用在注册表项中找到的任何代理服务器SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings。

图20：从注册表获得的主机代理信息

本文的示例并未发现任何 C2 基础设施，但 URL 可能如下所示：

https://malwa[.]re/Inform/logger

使用命名管道时，名称是使用当前 PID 作为种子随机生成的。

图21：使用当前 PID 生成随机管道名称

在等待客户端连接到该命名管道时，恶意软件会扫描正在运行的进程，并检查其父进程是否仍在运行，这可能是为了限制对命名管道的访问。也就是说，恶意软件并没有检查管道客户端是否是正确的父进程，只是检查父进程是否在运行。这就在保护命名管道时，引入了有缺陷的逻辑。

图22：检索父级 PID

图23：用于限制管道访问父进程的检查存在缺陷

从恶意软件字符串和导入函数中我们知道恶意软件还可以使用 TCP/UDP 套接字进行操作。

图24：在 "通信 "接口的一个实现中使用套接字API

虽然我们还没有对它们的使用做出任何结论，但可以列出在加密字符串中找到的所有协议，对于所有协议，数据都可以加密，如LZNT1 压缩和/或 Base64 编码：

• DNS://

• HTTP://

• HTTPS://

• MUX://

• UDP://

• SMB://

• SOCKS5://

• SOCKS4://

• TCP://

(5)命令

该恶意软件仅包含几个具有实际效果的命令：

• 写入/覆写恶意软件工具集

有三个命令可以使用接收到的 Base64 编码的二进制数据写入（或覆写）恶意软件工具集：

n任意一个恶意软件二进制文件 ( Test.exe)

n侧载 DLL ( BrLogAPI.dll)

n主要受信二进制文件 ( BrDifxapi.exe)

图25：BLOODALCHEMY 工具集覆盖命令

• 启动其恶意软件二进制文件Test.exe

在持续化目录中启动Test.exe二进制文件的一个命令。

图26：运行恶意软件可执行二进制文件的BLOODALCHEMY 命令

• 卸载并终止

卸载并自行终止命令会首先删除特定位置的所有文件，然后删除任何持续性注册表项或计划任务，接着删除已安装的服务，最后结束自身。

图27：卸载并自行终止的命令

图28：卸载功能

• 收集主机信息

一个主机信息收集命令包括CPU、OS、显示器、网络等。

图29：信息收集命令